1 109 Table of Contents 111 134

Журнал "Системы Безопасности" № 3‘2025

С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 106 чески важных объектов выполняйте требова- ния регуляторов. 11. Для защиты линии "считыватель – контрол- лер" рекомендуется использовать более защи- щенные каналы связи (RS-485/OSDP). Для защиты линии "карта – считыватель" рекомендуется применять методы идентифи- кации, защищенные шифрованием (карты MIFARE с защитой от копирования и мобиль- ные приложения на основе технологий NFC/BLE). Леонид Стасенко, ДИАМАНТ ГРУПП актуальность защиты определяется в первую очередь доступностью линии связи для потен- циального злоумышленника. Чаще всего могут оказаться уязвимыми линии "считыватель – контроллер" и "контроллер – исполнительное устройство". например, считыватель с интер- фейсом Wiegand и его связь с контроллером не имеют средств контроля целостности, возможно параллельное подключение к этой линии про- стого имитатора кодов, который может опреде- лить формат Wiegand, снять коды рабочих карт, а затем в нужное время элементарно такие карты имитировать. Еще одно узкое место – канал связи "карта – считыватель". в связи с этим настоятельно не рекомендуется использовать совсем незащи- щенные карты (типа EM Marine, HID Prox), которые элементарно копируются. Даже MIFARE Classic в режиме серийного номера (UID) совсем не защищены от копирования. Поэтому, если вы хотите защитить данный канал, используйте карты с высоким уровнем защиты (MIFARE Plus в режиме SL3, банков- ские карты в режиме хеширования PAN- номера и т.д.). защита остальных каналов связи (это, как пра- вило, Ethernet) лежит на совести специалистов иТ-отдела. Степан Тарасов, Эра новых технологий в первую очередь необходимо защитить линии связи между сервером и контроллером, так как, имея доступ к ним, можно саботиро- вать работу системы контроля доступа, осу- ществляя несанкционированные проходы или блокируя точки прохода. Чаще всего для защиты данных линий связи применяются системы шифрования или отдельно пробра- сываются собственные, не соединенные с дру- гими сетями линии связи. Стоит обратить внимание также на работу связки "карта – считыватель": самая распро- страненная проблема – это копирование идентификатора карты или передача своей карты постороннему пользователю. Для реше- ния данных проблем рекомендуется использо- вать карты с системой шифрования, что поз- волит избежать копирования карт, а для запрета передачи карты использовать двух- факторную идентификацию или мониторинг на постах охраны. Вячеслав Тесаков, Равелин на наш взгляд, основная угроза компроме- тации системы контроля доступа идет по линии связи с сервером, по линии управле- ния и взаимодействия контроллеров, то есть линии "сервер – контроллер" и "контрол- лер – контроллер". вскрыть систему контроля доступа непосредственно на двери достаточ- но непросто и не очень быстро. Тут необхо- димы и специальное оборудование, и непо- средственный доступ к проводам, и знания. а вот получить удаленный доступ в сеть системы безопасности иногда проще, в осо- бенности на коммерческих предприятиях. Кроме этого, конечно, хотелось бы в очередной раз напомнить, что надо защищать канал "карта – считыватель", потому что если на объ- екте используются карты, которые можно ско- пировать, то можно сказать, что здесь установ- лена не система контроля, а система ограниче- ния доступа. При использовании подобных идентификаторов нельзя создать систему без- опасности в принципе. Аркадий Созданов, МПК "СОАР" 1. Сервер – контроллер. Для этого сочетания в первую очередь необходимо защитить сер- вер баз данных СКуД, здесь нужны ком- плексные мероприятия и методы защиты как техническими средствами, так и программ- ными, выбор может состояться по бюджету, предложений на рынке множество. 2. Контроллер – контроллер. Для этого соче- тания прежде всего необходимо защитить линии интерфейсов связи RS-485, OSDP, Wi-Fi, вluetooth. защита может осуществляться на аппаратном уровне (контроллеры должны выдерживать статические разряды, перегрузки по току и напряжению), способами шифрова- ния и на физическом уровне (способами мон- тажа). 3. Считыватель – контроллер. Для этого соче- тания в первую очередь необходимо защи- тить способами шифрования контроллер и кабели на физическом уровне (способами монтажа). 4. Карта – считыватель. Для этого сочетания необходимо применять карты с защищенной ячейкой памяти, а считыватель – с собственным протоколом обмена с контроллером. 5. исполнительное устройство (электрозамок, турникет и пр.) – контроллер. исполнительные устройства должны быть защищены в соответ- ствии с существующими нормативами по элек- тробезопасности и укрепленности для зон про- хода со СКуД. Аркадий Гамбург, Компания Семь печатей в первую очередь стоит защищать линии от контроллера к серверу системы, как наиболее открытые (лвС, а зачастую и вывод в интернет) и, следовательно, уязвимые. Метод – шифро- вание протокола. Тимофей Макаров, Sigur в СКуД безопасность не ограничивается логикой "разрешить/запретить доступ". Сама инфраструктура связи – между конт- роллерами, считывателями, сервером и исполнительными устройствами может быть уязвимой. Это особенно критично для объектов с высокими требованиями к без- опасности, от офисов, где хранится конфи- денциальная информация, до промышлен- ных предприятий. 1. Сервер – контроллер. в этом случае часто используются стандартные средства защиты, предусмотренные протоколами связи, с уче- том интерфейса взаимодействия сервера и контроллеров. на рынке есть решения с интерфейсом RS-485, но большинство используют IP-контроллеры. Для RS-485 в СКуД применяются протоколы Modbus или OSDP с поддержкой шифрования. При под- ключении по Ethernet используют стандарт- ные методы защиты, такие как протокол DTLS. в кибербезопасности слабым звеном зача- стую является человеческий фактор, поэтому важно применять все предлагаемые произво- дителями средства защиты. 2. Контроллер – считыватель. наиболее распространенным интерфейсом является Wiegand, реже используется интерфейс RS-485 совместно с протоколом OSDP. во втором случае можно применить стандарт- ные способы защиты, например AES 128. С Wiegand работать сложнее, поскольку он однонаправленный и не поддерживает шифрование. Можно обеспечить косвенную безопасность, применяя карты с защитой от копирования. 3. Карта – считыватель. несмотря на рекомен- дации применять защищенные от копирования карты MIFARE SL2/SL3, DESFire, на множестве объектов используются карты с низким уровнем защиты – Em-Marine. Конечно, MIFARE и DESFire не гарантируют полную сохранность данных, поэтому стоит записывать персональный иден- тификатор сотрудника в защищенную область карты. использование мобильной идентифика- ции или биометрии также способствует обес- печению безопасности. Александр Орлов, Octagram Основные линии связи защищаются при монтаже, само оборудование системы конт- роля доступа должно быть в смонтировано в запираемых коробах и иметь датчики вскрытия. Самое уязвимое место – это линия "карта – счи- тыватель", все остальные линии связи и так защищены в силу того, что находятся на охра- няемом объекте, а карту пользователь забирает с собой. Для этого есть решения, которые защи- щают от клонирования карт, реализуются они обычно на стороне считывателя. июнь – июль 2025 www.secuteck.ru СПЕЦПРОЕКТ КОнТРОллЕРы уПРавлЕния СКуД и ОхРаннОй СигнализаЦиЕй С читыватель с интерфейсом Wiegand и его связь с контроллером не имеют средств контроля целостности, возможно параллельное под- ключение к этой линии простого имитатора кодов, который может опре- делить формат Wiegand, снять коды рабочих карт, а затем в нужное время элементарно такие карты имитировать.

RkJQdWJsaXNoZXIy Mzk4NzYw