Журнал "Системы Безопасности" № 4‘2021

С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 65 Такие интерфейсы, как Wiegand и Touch Memory (его еще часто называют iButton), не поддерживают шифрование передаваемых данных, аутентификацию сторон или конт- роль целостности линии связи. Передача данных по ним происходит посредством коротких импульсов от считывателя, которые контроллер фиксирует на своей стороне и понимает, какая информация была передана. Эту информацию можно легко перехватить, наблюдая за колебаниями напряжения на проводах линии. Конечно, добраться до самих проводов под чистовой отделкой или в специальные короба – более сложная зада- ча, однако сама уязвимость при этом не теряет своей актуальности. Интерфейс OSDP (Open Supervised Device Proto- col) – современный, унифицированный и без- опасный, но пока недостаточно распространен- ный. Очень важный аспект стандарта – это воз- можность использования криптографии при обмене данными между периферийными устройствами и контроллером. OSDP представляет собой все еще нишевое решение для заказчиков, у которых вопрос безопасности стоит на первом месте (напри- мер, банковские структуры или предприятия нефтегазовой отрасли). Но это только пока: стандарт все больше набирает популярность не только за счет своей унифицированности и защищенности, но и удобства настройки и использования. Безопасность – это хорошо, но это не единственное, что нужно пользова- телям. Так, например, к нативным возможностям OSDP относится отслеживание состояния связи с устройствами, а также, в отличие от того же Wiegand, отсутствие необходимости прокладки дополнительных коммуникаций: на одной линии могут работать и несколько считывателей. Интерфейс OSDP хоть и является стандартом, но, как следует из названия, никак не ограничи- вает возможности расширения своих функций. При желании производителя по этому же интерфейсу можно обновлять настройки инди- кации считывателей, прошивки устройств, настраивать режимы работы с картами, имею- щими инструменты защиты от копирования, и многое другое. Интерфейсы связи между контроллером и сервером Третье уязвимое место в системах контроля и управления доступом – связь между контрол- лером и сервером, которая осуществляется раз- ными способами. Самыми распространенными интерфейсами для этого являются RS-485 и Ethernet. При взаимодействии сервера с контролле- ром может передаваться различная инфор- мация (данные для доступа сотрудников – номера карт, правила доступа), а также осуществляется обратная процедура – отправка на сервер информации о собы- тиях на точках прохода. Все это происходит посредством канала, который тоже должен шифроваться. Поскольку СКУД все глубже интегрируется в ИТ-экосистему компаний, использование интерфейса Ethernet смотрится выигрыш- нее из-за удобства подключения, админи- стрирования и достигаемого уровня без- опасности. Так, например, при передаче данных существует нативная возможность их защиты посредством шифрования по стандартным протоколам TLS и DTLS, широко использующимся во множестве приложений, с которыми знаком каждый: веб- браузеры, клиенты электронной почты, мес- сенджеры или приложения IP-телефонии (VoIP). Хранение данных Очень важен вопрос хранения на сервере лич- ных данных сотрудников, клиентских баз и дру- гой конфиденциальной информации. Для этого существуют специализированные программы для защиты данных от копирования и передачи, средства для шифрования информации на жестких дисках и т.д. Но, даже несмотря на их использование, не стоит забывать базовые правила, выполнение которых становится залогом надежности хра- нения данных. Среди них можно отметить своевременное обновление системы, установ- ку надежных паролей и их регулярную смену, проработку политик доступа, включенный Firewall и др. Основным источником возникновения угроз для безопасности является не оборудование, а сам человек. Можно рассчитать устойчивость системы и предусмотреть риски, но по итогу самом слабым местом в системах безопасности остается человеческий фактор. Например, сотрудник охраны бизнес-центра может про- дать парковочные карты жителям соседних домов, а рядовой сотрудник – исправить дан- ные о своем рабочем времени, если оператор забудет выйти из программы. Подобных при- меров множество. Гарантия защиты Проблема обеспечения безопасности информа- ции в системах безопасности крайне актуальна. В этом смысле "сквозная защита данных", начи- ная от идентификатора и заканчивая сервером системы, – это обязательная составляющая современных СКУД, помимо которой произво- дителю следует позаботиться об удобстве использования и администрирования всей системы. В условиях сближения с ИТ-сегментом стро- гое следование стандартам, проверенным на протяжении нескольких лет и успешно при- меняющимся повсеместно, не только гаран- тирует достаточный уровень защиты инфор- мации в СКУД, но также делает систему более понятной и прогнозируемой для ИТ- специалистов, все чаще задействованных в выборе и администрировании подобных решений. n www.secuteck.ru август – сентябрь 2021 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Устройство для копирования бесконтактных карт Примеры идентификаторов формата MIFARE Защита передаваемых данных от идентификатора до сервера СКУД