Если у вас возникли вопросы, или появилось предложение, напишите нам

Интеграция СЗИ НСД и СКУД

Системы защиты информации от несанкционированного доступа (СЗИ НСД) и системы контроля и управления доступом (СКУД) решают одну задачу — контроль доступа людей (сотрудников и несотрудников) к ресурсам организации. Первые в части защиты от несанкционированного доступа к информационным ресурсам, хранящимся и обрабатываемым в информационных системах и на рабочих местах сотрудников. Вторые в части контроля физического доступа людей к тем или иным объектам предприятий (организаций).

В то же время их полезная интеграция практически не встречается на объектах информатизации, поскольку СКУД и СЗИ НСД разрабатываются, внедряются и сопровождаются на местах эксплуатации специалистами разных профилей и изначально для разных целей.

пропустить рассуждения и перейти к описанию решения

Однако необходимо признать, что защита объекта информатизации не может быть в полной мере комплексной и эффективной даже в том случае, если в числе организационно-технических мер предусмотрены и меры по защите автоматизированной системы, и меры по защите периметра, но эти меры и реализующие их подсистемы безопасности не взаимоувязаны.

Рассмотрим пример. Очевидно, что разблокировка заблокированной сессии пользователя и включение автоматизированного рабочего места (АРМ) — это два совершенно разных с точки зрения безопасности информации события. Аналогично и пара блокировка сессии/выключение АРМ — является парой разных событий, которые должны наступать в разных обстоятельствах и вызывать разную реакцию подсистемы информационной безопасности. Довольно нелепо, если система начнет их «путать» и выключать АРМ пользователя, отошедшего покурить, вместо того, чтобы заблокировать его сессию, или при начале другой рабочей смены требовать для включения АРМ идентификатора того пользователя, который закончил свой сеанс предыдущим вечером.

Это разные события, они обрабатываются по-разному и это правильно. Естественно, что для них в СЗИ НСД задаются как правило разные правила. Например, разблокировать сессию зачастую может не только тот пользователь, который ее начал, но и администратор или другой пользователь с аналогичной ролью (или входящим в коллективную учетную запись). При этом разблокируется именно та же сессия, без ее прерывания и изменения прав доступа. Иная ситуация при включении ранее выключенного АРМ. При включении рабочего места на него загружается профиль именно того пользователя, который его включает, а не того, кто работал последним. Кроме того, для разблокировки сессии и для включения АРМ могут быть установлены совершенно разные ограничения по времени. Продолжение работы сверх штатного времени и включение компьютера в нерабочее время — разные вещи.

Соответственно, если перед уходом пользователь (случайно или умышленно) не выключил АРМ, а только заблокировал сессию, то он открывает злоумышленнику возможность осуществить те или иные манипуляции на его рабочем месте, которые тот не смог бы осуществить, будь АРМ корректно выключен. И такую ситуацию нельзя назвать ошибкой СЗИ НСД или даже ошибкой в ее настройке. Все отработало штатным образом, однако открылась возможность для возникновения инцидента.

Эта возможность открывается потому, что СЗИ НСД сама по себе не может определить, какие события «в физическом мире» сопровождают то или иное событие в информационной системе - ушел ли пользователь АРМа совсем, или где-то рядом, приходил ли он сегодня вообще, или кто-то достал из кармана его идентификатор.

Интеграция систем контроля доступа, видеонаблюдения и защиты информации позволит поднять защищенность объекта информатизации на новый уровень и при этом не повлечет усложнения (а в общем случае — приведет к заметному упрощению) администрирования, обслуживания и эксплуатации системы:

  • снизится число событий, предотвращение и анализ которых требует преимущественно организационных мер и значительно зависит от человеческого фактора;
  • дополнительные проверки при выполнении процедур аутентификации (авторизации) пользователей повысят уровень информационной безопасности;
  • уменьшение количества паролей, запоминаемых пользователем, и всевозможных персональных носителей-идентификаторов снизит число инцидентов безопасности, в том числе связанных с халатностью или другими персональными особенностями сотрудников.

И основная предпосылка этих изменений — именно в том, что объектом контроля обеих систем являются действия одних и тех же людей.

Интеграция СЗИ НСД и СКУД позволит достичь ощутимых преимуществ, которые могут быть заметно усилены применением в объединенной системе идентификации/аутентификации сотрудников по сосудистому руслу ладони.

Приведем пример сценария развития событий при попытке сотрудника приступить к работе в начале дня в такой интегрированной системе на базе ПАК СЗИ НСД «Аккорд» с биометрическим считывателем (сканером сосудистого русла PalmSecure), в которой эталон биометрического признака пользователя записан в карту СКУД и она же зарегистрирована как идентификатор пользователя в «Аккорде»:

  1. Сотрудник прикладывает карту СКУД и руку к считывателю на КПП при входе на территорию предприятия.
  2. На монитор компьютера охранника выводится фото сотрудника, ассоциированного с данной картой, и результаты верификации предъявленного сосудистого русла с эталоном из карты.
  3. Охранник оценивает результат верификации и визуально сравнивает фото на экране с сотрудником.
  4. Сотрудник проходит на территорию предприятия.
  5. Данные о том, что сотрудник успешно прошел, передаются управляющему элементу интегрированной системы контроля доступа для учета при попытке сотрудника пройти в одно из помещений предприятия.
  6. При необходимости возможно установить правила, регулирующие нормальное время между проходом на территорию и входом в помещение, установить нужную реакцию на нарушение этого времени.
  7. При входе в помещение также производится идентификация по карте СКУД и аутентификация на основе биометрической верификации, после чего система контроля доступа ждет включения АРМ.
  8. При включении АРМ СЗИ НСД «Аккорд» запрашивает карту и руку, производит контрольные процедуры, на основании которых загружается профиль пользователя, и последний может приступить к работе в рамках установленных для него правил разграничения доступа к информационным ресурсам системы.
  9. Работа на АРМ производится при условии наличия карты в считывателе АРМ.
  10. При снятии карты со считывателя АРМ для предъявления на считыватель СКУД при выходе из помещения АРМ блокируется и разблокировка производится по повторному предъявлению карты и руки..

Дополнительно система может быть усложнена самыми разными сценариями — работа с контролером или коллективная работа, сигнализация о различных событиях, и многое-многое другое.

Для реализации такой системы в ОКБ САПР разработаны «Средства интеграции с системой видеомониторинга», предназначенные для объединения СЗИ НСД и СКУД в интегрированную систему видеомониторинга и контроля доступа (СВМиКД) к автоматизированным рабочим местам (АРМ).

Средства включают в себя:

  1. Сервер интеграции СЗИ НСД и СВМиКД,
  2. Универсальный хаб «Рассвет»,
  3. Комплекс интеграции СЗИ НСД с системой видеомониторинга и контроля доступа «Рассвет-СВМиКД».

С применением этих средств можно интегрировать системы на нескольких уровнях (в зависимости от поставленных на конкретном объекте информатизации задач):

  • объединение идентификаторов СКУД и СЗИ НСД,
  • объединение объектов доступа СКУД и СЗИ НСД,
  • объединение оборудования контроля доступа к АРМ СКУД, видеомониторинга и СЗИ НСД в одну подсистему.

1) Объединение персональных идентификаторов сотрудников, применяемых ими в СЗИ НСД и в СКУД даст возможность сократить количество инцидентов, связанных с забыванием идентификаторов, передачей идентификаторов другому лицу, а также оставлением идентификаторов без присмотра в момент отсутствия пользователя на рабочем месте, а также практически исключить действие человеческого фактора, связанного с невыполнением требования блокировки рабочего места пользователя в момент его отсутствия на рабочем месте.

Для прохода через СКУД пользователю необходим идентификатор, который он, соответственно, не сможет оставить в считывателе СЗИ НСД, чтобы избежать блокировки.

Этот уровень интеграции на отдельных АРМ и на входах в отдельные помещения может быть усилен применением биометрической аутентификации пользователя (и в СКУД, и в СЗИ НСД). Предлагаемая технология верификации по рисунку сосудистого русла ладони в качестве альтернативы введению пароля с клавиатуры позволит достичь двух основных преимуществ:

  • существенное упрощение администрирования за счет исключения инцидентов забывания пользователями паролей;
  • повышение безопасности и трудовой дисциплины за счет исключения случаев передачи сотрудниками паролей и идентификаторов друг другу.

Эту функциональность выполняет универсальный хаб «Рассвет» (как отдельный компонент или в составе комплекса «Рассвет-СВМиКД») и подключаемыми к нему считывателями соответствующих идентификаторов.

2) Интеграция на уровне объединения объектов доступа предполагает логическое взаимоувязывание помещений и компьютеров. Это позволит создать новые правила доступа как к ПЭВМ, так и в помещения, что в целом повысит безопасность объекта информатизации. Например, доступ к ПЭВМ будет происходить только в том случае, если системой зафиксирован факт прохода пользователя в помещение, в котором установлена это средство вычислительной техники. С другой стороны, при выходе из помещения контроллер СКУД откроет замок на двери только в том случае, если пользователь произвел какие-то назначенные действия. Так, выйти из комнаты, заблокировав доступ к компьютеру скринсейвером, пользователю может быть разрешено в любой момент, а вот пройти через контроллер СКУД на выходе из здания — только в том случае, если процессы, запущенные на АРМ, корректно завершены. И наоборот, СЗИ НСД не предоставит доступ в информационную систему, если нет информации от СКУД, что он вошел на территорию предприятия, и так далее. При этом, разумеется, все факты таких нестандартных ситуаций будут зарегистрированы и могут быть (и должны быть!) проанализированы ответственным за безопасность лицом.

Для реализации такого взаимодействия необходимо объединение систем управления СКУД и СЗИ НСД путем создания третьей управляющей системы — это позволит формировать правила доступа во взаимосвязанности результатов выполнения действий доступа к информационным ресурсам и помещениям.

Эту функциональность реализует Сервер интеграции СЗИ НСД и СВМиКД. Конкретные наборы правил и условий их сочетаний вырабатываются для каждой системы отдельно управляющим персоналом системы.

3) Интеграция на уровне выделения взаимодействия компонентов СКУД, видеомониторинга и СЗИ НСД в отдельную сеть, независимую от основной сети взаимодействия средств вычислительной техники (СВТ) объекта информатизации, позволит исключить возможность нежелательного влияния процессов интегрированной системы безопасности на основную функциональную систему и наоборот. В частности, нагрузка на канал связи в момент сбора журналов на управляющий сервер с подконтрольных объектов, а особенно, передача видеопотока, может существенно снизить скорость передачи данных в основной функциональной системе, что недопустимо. В то же время на объекте информатизации есть АРМ, функциональное назначение которых таково, что требует видеонаблюдения за действиями оператора (с помощью камеры, установленной на монитор рабочего места или иным образом, и направленной на оператора), а также передачи для оперативного мониторинга видеопотока с экрана монитора, и архивирования этого видеопотока на случай разбора инцидентов. Такие данные имеют большой объем, оборудование для съемки этих данных должно соответствовать высоким требованиям, иначе данные будет невозможно анализировать, а компрометация этих данных во время их передачи или хранения сведет на нет все приложенные усилия.

Функциональность выделения взаимодействия в отдельную сеть выполняется универсальным хабом «Рассвет».

Функциональность передачи видео данных с мониторов АРМ и с видеокамер на управляющие сервера СКУД без использования основной сети функциональной системы — выполняется комплексом «Рассвет-СВМиКД».

Схема КТС интегрированной системы выглядит следующим образом.

Рис. 1. Структурная схема интегрированной системы

Взаимодействие компонентов системы при этом выглядит так:

Рис. 2. Схема информационных потоков интегрированной системы

esperentia est optima magistra
Кнопка связи