Контроль доступа: бесконечные возможности

Журнал ТЗ № 3 2009

Мир систем контроля и управления доступом (СКУД) радикально изменился. Система, которая ранее использовалась только для открывания дверей, теперь улучшает информационную безопасность, помогает повысить производительность труда и более эффективно управлять ресурсами, расширяет возможности гостевого доступа и позволяет извлечь прибыль там, где до этого у конечного пользователя были только затраты.

На сегодняшний день, когда большинство информации хранится в электронном виде, обеспечение безопасности как физических, так и логических активов является главной задачей. «Защита физической собственности и программного обеспечения, содержащего интеллектуальную и коммерческую ценности, является жизненной необходимостью для обеспечения успеха компании и ее дальнейшего развития», – считает Эрик Жозеф (Eric Joseph), руководитель службы технической поддержки компании Lenel Systems International (UTC Fire & Security).
Управление доступом к IT-ресурсам обычно заключается лишь в разграничении прав доступа по имени пользователя и паролю. Однако, как считает Тим Фиппс (Tim Phipps), руководитель направления идентификации и контроля доступом в Европе, на Ближнем Востоке и в Африке (регион EMEA) компании HID Global, с ростом количества разнообразного программного обеспечения на предприятии многим сотрудникам приходится запоминать слишком большое число комбинаций имен пользователя и паролей, что очень неудобно в работе. «Люди часто забывают свои регистрационные данные, что приводит к блокировке их учетных записей и не дает выполнять работу. Еще хуже, когда некоторые безответственные сотрудники записывают свои пароли на бумажке, что многократно увеличивает вероятность их кражи или некорректного использования», – отмечает эксперт из HID Global.
Именно поэтому многие ведущие производители СКУД работают над объединением систем и приложений, использующих смарт-карты для физического и логического контроля и управления доступом, в целях создания единой и однократной регистрации. «Использование смарт-карты одновременно с паролями дает дополнительный уровень безопасности, – считает Жозеф. – Но теперь с появлением более защищенных технологий идентификации можно смело применять однократную регистрацию». Однократная регистрация, несомненно, является инструментом повышения эффективности бизнеса, поскольку пользователю нужно ввести свои данные всего один раз для доступа ко всем разрешенным ресурсам: различным сетевым приложениям, базам данных и платформам. Это включает в себя доработанные windows- и web-приложения, а также серверные и терминальные решения. Ведь зачастую пользователи не выходят из системы и не блокируют свои рабочие станции, покидая рабочее место. При использовании смарт-карты для входа в систему выход из нее будет выполнен сразу же при извлечении карты из компьютера, и возможность оставить рабочую стацию незащищенной значительно снижается, если не исключается вовсе. Более того, если физическая и логическая системы управления и контроля доступом интегрированы, то при выходе владельца карты из здания его учетная запись может быть отключена, что делает невозможным вообще какой-либо доступ к его компьютеру, пока человек вне здания.

Объединенные приложения контроля физического и логического доступа
Для повышения IT-безопасности в смарт-карту встраивается мощный контактный микрочип, поддерживающий способы шифрования с помощью инфраструктуры открытых ключей (PKI). По словам Фиппса, система шифрования с открытыми ключами является промышленным стандартом для обмена информацией и безопасного взаимодействия в IT-системах. Он строится на использовании пар открытых и закрытых ключей, хранящихся в цифровых сертификатах, уникальных для каждого пользователя.
«Используя поддержку инфраструктуры открытых ключей, можно шифровать документы и ставить цифровую подпись в сообщениях, например, электронной почты, чтобы отправитель и получатель почты были уверены, что сообщение подлинное, никем не прочитано и не изменено», – говорит Фиппс.
Приложения Microsoft, такие как Word, Excel, Powerpoint и Exchange, в полном объеме поддерживают смарт-карты. Также можно использовать смарт-карту, чтобы ограничить доступ к секретному документу в редакторе Word, например к договорам или заказам на покупку, или использовать ее для контроля за изменениями данных о финансовой деятельности или клиентах в документах редактора Excel.
Другие приложения поддерживают ограничение доступа к VPN (виртуальная частная сеть) сетям, «тонкого клиента» и решения предварительной идентификации перед загрузкой системы.
Поскольку регистрационные данные, определяющие права доступа, хранятся в смарт-карте, они являются переносными и их можно брать с собой куда угодно. Это означает, что пользователь может пройти идентификацию и получить соответствующий уровень доступа в здания и к IT-ресурсам компании, даже если ему приходится работать в разных местах, во время путешествий или дома.

Управление бизнесом
Приложение управления бизнесом как часть интегрированной системы контроля доступа собирает всю информацию от СКУД и использует бизнес-правила из других систем. Через программную интеграцию системы управления бизнесом, такие как учет рабочего времени, посещений и планирования бизнес-ресурсов (ERP-система), могут обмениваться информацией. «Та же информация, собранная подсистемой управления безопасностью, представляет собой ценность и для других сфер бизнеса. Объединение подсистем бизнеса и управления безопасностью максимально увеличивает значимость обеих для пользователя, – считает Эрик Жозеф, руководитель службы технической поддержки компании Lenel Systems International (UTC Fire & Security). – Например, события из подсистемы безопасности могут немедленно предоставить системе управления бизнесом информацию о новых или уволенных сотрудниках, а также быть использованы системой расчета заработной платы для начисления компенсаций».
В качестве примера, Жозеф приводит программу управления бизнесом, которая работает по правилам, изложенным в законе Сарбейнса – Оксли. «Распределение обязанностей по закону Сарбейнса – Оксли означает, что ответственность за обработку заказов клиентов должна лежать на множестве людей, чтобы обеспечить целостность процесса и информации. Зачастую эти люди работают в разных областях бизнеса, и это значит, что до известной степени доступом снаружи процесса можно управлять», – отмечает Жозеф.
Интеграция системы физического контроля доступа и программ управления бизнесом помогает организациям соблюдать правила. Другие примеры касаются контроля количества часов, которые рабочий провел на опасном или вредном производстве, например, в угольной шахте, или ограничение доступа тем, кто не прошел соответствующую подготовку и инструктаж. Такие вопросы можно легко решать с помощью интегрированной СКУД.
Управление людскими ресурсами (HR) тоже выигрывает от интеграции. Эрик Жозеф отмечает, что все сведения о новых сотрудниках, которые отдел кадров вводит в базу данных, можно передать в систему управления безопасностью, что избавляет от двойной работы по вводу данных, а также значительно снижает риск ошибок и улучшает общую эффективность. Системы безопасности могут дать очень ценную информацию пользователю. Данные о времени прихода и ухода сотрудника с работы, о количестве сотрудников в определенном месте и информация о местоположении конкретного сотрудника на предприятии определенно представляют собой ценность и могут быть легко получены из СКУД.
Если сотрудник занимает должность управляющего IT-отделом, эта информация из базы данных отдела кадров передается в базу данных системы контроля доступа, чтобы сотрудник получил соответствующие права доступа к определенным помещениям, например к серверной комнате.
Ранее имя нового сотрудника, например Ами Смит (Amy Smith), могли ввести в базу данных системы начисления зарплаты как «А Смит (A Smith)». Такие расхождения вызывали неудобства и приводили к путанице. В интегрированной системе контроля физического и логического доступа пользователи могут использовать перекрестную информацию из разных источников данных. Когда же трудовой контракт с Ами Смит заканчивается, то, как только сведения о ней будут удалены из базы данных, ее учетная запись также будет удалена и из систем начисления зарплаты, контроля физического и логического доступа.
Другое приложение – это учет рабочего времени. До внедрения интегрированной системы корейский полицейский участок хранил записи о посещении офицерами ежедневной утренней планерки в виде рукописных отчетов – зачастую неточный и утомительный процесс. «Теперь офицеру нужно всего лишь сканировать свою карточку в портативном контроллере перед началом совещания, и программа управления автоматически создаст отчет сразу после планерки», – отмечает представитель компании IDTECK.
Существуют и другие варианты применения системы. Пока бизнес круглосуточно открытых спортклубов на подъеме, их владельцы должны лучше управлять физическим доступом в тренажерный зал и к базам данных клиентов. «По сути, программа по контролю внесения оплаты членами спортклуба управляет СКУД, – говорит Джерри Грациано (Jerry Graciano), руководитель отдела развития партнерской сети компании Brivo. – Данные, указанные в платежной системе, вводятся один-единственный раз, далее в режиме реального времени они поступают на сервер СКУД».
Владельцы спортклубов могут ввести данные о члене клуба вместе с данными о его банковском счете и кредитной карты в платежную систему, которая передает их в систему контроля физического доступа. Если срок действия карточки члена клуба истек, доступ в здание автоматически блокируется.
Такие решения дают возможность пользователям получать уведомления по электронной почте или на мобильный телефон с последующим доступом в систему (платежную и контроля и управления физическим доступом) он-лайн через web-интерфейс.


Интегрированные решения экономят деньги
Компании, которые выдают автозаправочные карты сотрудникам, крайне заинтересованы в строгом контроле покупок топлива. Считыватель СКУД теперь можно установить на колонку АЗС. Пользователю всего лишь нужно приложить к считывателю заправочную карточку фирмы и набрать расстояние в милях.
«Считыватели систем СКУД могут взаимодействовать с топливно-раздаточными колонками, и количество проданного бензина автоматически записывается и отсылается в компанию пользователя. Это решение завоюет большой рынок», – считает Дэвид Бенжаммоу (David Benhammou), президент компании CDVI. В Европе автозаправочные станции в законодательном порядке обязали устанавливать видеокамеры в целях повышения безопасности. С их помощью можно контролировать правомерность использования карты путем сравнения фотографии человека, который заправляется по этой карте, с фотографией из базы данных. Также камеры можно использовать для идентификации номерного знака транспортного средства с номером машины в базе.
Парковка и гостевая стоянка тоже используют такие решения для управления парковочными местами. Системы управления и контроля физическим доступом можно интегрировать с системами управления парковкой. «Наша технология XML API позволяет различным системам обмениваться данными в формате XML, чтобы они понимали друг друга», – отмечает Джерри Грациано.
«Теперь все арендодатели используют общий интерфейс для выделения парковки, между ними распределены все парковочные места, а свободные места собраны в единый банк, и их можно выделять в нужное время», – говорит Грациано. Гости получают парковочное разрешение для своего транспорта. Каждое разрешение имеет встроенный микрочип, который удаленно может программироваться арендодателем. В чип можно записать самые разные данные, включая дату заезда и выезда из отеля. Программу управления парковкой можно интегрировать в системы управления бронированием и правами пользователя в других общественных местах, например в СПА-салонах или фитнес-центрах.
Другим прикладным использованием интегрированной СКУД, которое приветствуют покупатели, является безналичная продажа.
Представитель компании VMC House, провайдера решений для безналичной оплаты, пояснил: «Пользователи смарт-карт могут положить на карту определенные денежные средства. Эту карту можно использовать для покупок в торговых автоматах, оплаты в служебных столовых или в любых POS-терминалах, расположенных в офисе или на территории».
При этом безналичная технология дает дополнительные преимущества, например, снижение затрат на работу с наличными деньгами, более быстрые транзакции, большее удобство, поскольку человеку не надо помнить о том, чтобы взять денег на покупки, не нужно таскать мелочь в кармане.
IDTECK интегрировал свой портативный контроллер СКУД с программным обеспечением для ресторана. Теперь перед тем как заказывать блюда, сотрудник сканирует свою проксимити-карту, а по окончании трапезы программное обеспечение автоматически вы
считывает стоимость блюд и вычитает эту сумму из предстоящей зарплаты.

Перспективные рынки
Интегрированные СКУД будут сильно востребованы в финансовом секторе, поскольку главным объектом для банковской безопасности является информация, отличающаяся своей сложностью и чувствительностью к рискам. Для защиты информации и организации безопасного доступа можно использовать, например, интегрированное решение Novel и Imprivata.
«Если у пользователя нет доступа к двери, у него нет доступа к информации. Возможность взлома системы информационной безопасности банка с использованием ложного VPN сводится к минимуму», – говорит Винет Нарголвала (Vineet Nargolwala), исполнительный директор Honeywell Systems Group в регионе EMEA.
Интегрированные решения контроля доступа все чаще встречаются в розничной торговле, поскольку дают существенный выигрыш из-за обмена информацией. С помощью СКУД, видеонаблюдения, охраны и управления информацией пользователи не только контролируют вход и выход персонала, но также отслеживают доставку и расход товаров, поток покупателей, PoS-базы данных и информацию о клиентах.