Журнал "Системы Безопасности" № 3‘2025

С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 105 www.secuteck.ru июнь – июль 2025 СПЕЦПРОЕКТ КОНТРОЛЛЕРы УПРаВЛЕНИя СКУД И ОхРаННОй СИгНаЛИЗаЦИЕй Иван Байков, АРМО-Системы Когда речь идет о безопасности, нужно поду- мать о защите всех линий связи в системе. Для сервера и контроллера это взаимодействие через защищенные каналы, где применяются VPN-туннели и HTTPS-протоколы, а также мно- гофакторная аутентификация для обеспечения максимальной безопасности передачи данных. Связь между контроллерами можно защитить с помощью следующих методов: шифрование данных (TLS/SSL), изоляция сети (например, с помощью VLAN) и управление доступом между контроллерами. Линия связи "считыватели – контроллеры": обмен данными рекомендован с применением AES-шифрования и защищенных протоколов OSDP, при этом необходимо регулярно прово- дить обновление прошивок для поддержания актуального уровня защиты. При взаимодействии карт доступа со считыва- телями можно предложить использовать карты с поддержкой шифрования типа MIFARE DESFi- re, а также внедрить многофакторную аутенти- фикацию, например добавить ПИН-код. Перио- дическая замена карт доступа позволяет мини- мизировать риски их компрометации. Когда контроллер взаимодействует с исполни- тельным устройством, защита организуется на уровне сигнальных линий с применением экра- нирующих материалов. Постоянный монито- ринг попыток доступа поможет своевременно выявить несанкционированные действия. Игорь Ядрихинский, PERCo В первую очередь должны защищаться каналы "сервер – контроллер" и "контроллер – контрол- лер", так как именно по этим каналам происхо- дит ключевой обмен данными системы. Приве- дем рекомендации, направленные на дополни- тельную защиту каналов "сервер – сервер", "сервер – контроллер": 1. Шифруйте всю переписку устройств: используйте современное HTTPS-подобное шифрование, чтобы посторонние не смогли прочитать или подменить данные. У каждого контроллера и у сервера должны быть собст- венные цифровые "паспорт – ключи". Старые, небезопасные протоколы необходимо выключить. 2. Создайте отдельную физическую сеть для СКУД: контроллеры не должны "видеть" бухгал- терию или рабочие компьютеры, разрешите только нужные адреса и порты, а остальное запретите. Дистанционно управляйте системой только через защищенный канал. 3. Проверяйте, кто именно подключается к кабелю: включите функцию на коммутаторе, которая пускает в сеть только "своих", ограничь- те число устройств на каждом порте, чтобы зло- умышленник не подменил контроллер. 4. Защитите кабели физически: прячьте их в металлических коробах или под потолком, ограничьте физический доступ к каналам связи, используйте экранированный кабель и пра- вильное заземление, поставьте защиту от грозы и скачков напряжения. 5. Сделайте резервные пути: проложите две независимые линии связи, держите резервный контроллер и копию базы данных на запасном сервере. 6. Обеспечьте надежное питание: используйте отдельную линию питания от электрощита, в шкафах можно установить отдельные аккуму- ляторы на несколько часов работы. 7. Собирайте и просматривайте журналы собы- тий: храните логи проходов и сообщений устройств в отдельном месте, которое не так легко взломать, настройте автоматические уведомления о потере связи, перезагрузке или странных попыт- ках подключения, периодически проверяйте сете- вой трафик на необычную активность. 8. Контролируйте обновления прошивок: устанавливайте только официальные обнов- ления, подписанные производителем, загру- жайте их по зашифрованному каналу и толь- ко после двухфакторной проверки личности, запретите установку ПО "с флешек" без одоб- рения ответственного сотрудника. 9. Проводите регулярные проверки: раз в год приглашайте внешних специалистов для испы- таний на взлом, после серьезных обновлений сканируйте сеть на уязвимости, обязательно ведите актуальную схему сети и фиксируйте все изменения. 10. Следуйте отраслевым стандартам: СКУД для важных объектов должны соответствовать российским нормам безопасности. Для крити- Какие линии связи и управления в СКУД должны защищаться в первую очередь и какие методы для это можно использовать: сервер – контроллер, контроллер – контроллер, считыватель – контроллер, карта – считыватель, исполнительное устройство (электрозамок, турникет и пр.) – контроллер? КОЛОНКА РЕДАКТОРА Архонты современных СКУД У правление – ключевая функ- ция любой системы, а для такой слож- ной, как СКУД, это особенно актуально. На верхнем уровне управления, без- условно, находится программное обес- печение (ПО), поскольку подавляющее большинство СКУД (кроме автономных) управляются с компьютера (компьютеров). Однако на аппаратном уровне этим занимаются контроллеры СКУД, которые при нарушении связи с ПО берут на себя основ- ные функции управления, переходя в автоном- ный режим работы. Можно сказать, что конт- роллеры – это архонты современных СКУД. По этой причине характеристики контроллеров ока- зывают огромное влияние на систему в целом. Для систем разного масштаба и степени защи- щенности требования потребителей к конт- роллерам могут существенно различаться. Многие эксперты сходятся во мнении, что для крупных и особо крупных СКУД с большим количеством пользователей следует обратить внимание прежде всего на мощность контрол- лера, емкость памяти, перечень поддерживае- мых функций и защищенность. Высокая мощ- ность позволяет обрабатывать в реальном времени большой поток событий, особенно при пиковых нагрузках, когда простое устрой- ство может "захлебнуться". Емкость памяти обеспечивает хранение в контроллере десят- ков и сотен тысяч идентификаторов пользова- телей и событий системы, что важно при нару- шении связи с сервером. Широкий перечень функций обеспечивает поддержку различных режимов работы на аппаратном уровне. Защищенность позволяет противостоять не только обычному, но и квалифицированному взлому. В этой категории многие коллеги выделяют важность защиты в СКУД каналов связи на уровне "компьютер – контроллер" и "карта – считыватель", а также защиты линий управления исполнительными устройствами. Для контроллеров средних и небольших СКУД важна сбалансированность характеристик, при этом возрастает фактор стоимости самого конт- роллера. Существенное влияние на выбор может оказать наличие или отсутствие каких-то функ- ций, являющихся для заказчика определяющи- ми. В данном сегменте конкуренция более высо- кая, поскольку функционал контроллеров раз- ных производителей может оказаться близким. Алексей Гинце Редактор раздела "Системы контроля и управления доступом", директор по связям с общественностью компании "ААМ Системз" К огда контроллер взаимодействует с исполнительным устройством, защита организуется на уровне сигнальных линий с применением экра- нирующих материалов. Постоянный мониторинг попыток доступа помо- жет своевременно выявить несанкционированные действия.