Продукты

СКУД и информационная безопасность: перспективы интеграции

Мы "не откроем Америку", если скажем, что интегрированные системы безопасности (ИСБ) давно и прочно обосновались на рынке и перестали быть экзотикой или прихотью отдельных "продвинутых" заказчиков. Безусловно, были и будут отдельные задачи, которые успешно и эффективно решаются узкоспециализированными подсистемами – контроля и управления доступом (СКУД), охранно-пожарной сигнализации (ОПС), теленаблюдения (CCTV), защиты периметра и пр.

Необходимо, однако, заметить, что все больше потребителей выбирают именно ИСБ, применение которых позволяет не только решить возникающие задачи обеспечения безопасности в комплексе, но и повысить эффективность работы отдельных подсистем, в нее входящих. Не будем подробно останавливаться на этой теме, ведь публикаций, посвященных данному вопросу, было достаточно во всех профессиональных изданиях. Попробуем заглянуть дальше – выйдем за рамки систем физической защиты и рассмотрим перспективы создания ИСБ, способных решать также задачу обеспечения информационной защиты.

Считаем необходимым сразу предупредить читателя, что данная статья может рассматриваться в большей степени как приглашение к диалогу, нежели в качестве набора готовых рецептов по созданию таких систем, хотя некоторые идеи, изложенные здесь, могут быть реализованы уже сейчас.
Дабы не "подавиться" масштабностью темы, рассмотрим вопрос более узко в контексте интеграции СКУД и системы информационной безопасности (ИБ).

Управляем доступом к чему?

Если рассматривать задачу управления доступом в широком смысле этого слова – как универсальное понятие сферы безопасности, – то можно найти много общего в классических СКУД и системах ИБ. Несанкционированный доступ одинаково опасен вне зависимости от того, будет ли это доступ к информации или речь идет о физическом доступе в охраняемые зоны и помещения. Если обозначить главные защищаемые цели, которые могут выступать в качестве объектов для реализации угроз, то это:

• персонал предприятия;
• материальные ресурсы (имущество, высоколиквидное сырье и пр.);
• финансовые ресурсы (деньги, ценные бумаги и пр.);
• интеллектуальные и информационные ресурсы (ноу-хау, информация на носителях и информация, циркулирующая по внутренним каналам компании и пр.).

В некоторых случаях ущерб, причиненный одному или нескольким ресурсам, может оказаться фатальным для жизнедеятельности предприятия и даже привести к его ликвидации или банкротству.
В качестве защиты персонала и материальных ресурсов эффективным средством являются классические СКУД, пресекающие несанкционированное проникновение в определенные помещения, зоны, на территорию предприятия посторонних лиц и регламентирующие правила  перемещения собственных сотрудников. Для информационных ресурсов аналогичную роль выполняют системы и средства защиты информации.
Да простят читатели несколько вольное сравнение, но можно сказать, что классические СКУД и системы информационной безопасности во многом похожи – они позволяют отсечь посторонних, прекратить "праздные шатания" собственного персонала; причем неважно, идет ли речь о физическом доступе в запрещенные помещения или об информационном доступе к серверу (к тем местам, где той или иной категории лиц быть не положено), а также минимизировать внутренние угрозы, исходящие от недобросовестных сотрудников.

Термины и определения

Для понимания сходства и различия СКУД и систем ИБ, а также возможности их интеграции,  надо, прежде всего, рассмотреть принятые в этих областях термины и определения. Многие ключевые понятия, используемые в области СКУД, играют не меньшую роль в системах ИБ;  такие, например, термины, как "идентификация", "идентификатор", "разграничение полномочий"  и пр., одинаково часто используются в обеих областях. Есть, однако, некоторые отличия, связанные с их трактовкой, указываемой в официальных документах, что, впрочем, не является непреодолимым препятствием в вопросе интеграции СКУД и систем ИБ. В п. 3 ГОСТ Р 51241–98 ("Средства и системы контроля и управления доступом") дается следующее определение одного из наиболее часто употребляемых терминов – "идентификация":

"Идентификация – процесс опознавания субъекта или объекта по присущему ему или присвоенному ему идентификационному признаку. Под идентификацией понимается также присвоение субъектам и объектам доступа идентификатора и(или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов".

При этом идентификатор доступа или просто идентификатор (носитель идентификационного признака) трактуется ГОСТом как "уникальный признак субъекта или объекта доступа. В качестве идентификатора может использоваться запоминаемый код, биометрический признак или вещественный код. Идентификатор, использующий вещественный код, – предмет, в который (на который) с помощью специальной технологии занесен идентификационный признак в виде кодовой информации (карты, электронные ключи, брелоки и т.д.)".

Если посмотреть трактовку терминов в области ИБ, то там картина будет несколько иной.
В контексте компьютерной безопасности распространенными являются термины "идентификация" и "аутентификация".
Идентификация в компьютерной безопасности – процесс сообщения субъектом своего имени или номера с целью отличить данный субъект от других субъектов.

Аутентификация (англ. Authentication) – процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, используя для этого некую уникальную информацию, в простейшем случае – имя и пароль. Данную процедуру следует отличать от идентификации и авторизации (проверки прав доступа к ресурсам системы).

Идентификация предоставляет возможность субъекту назвать себя (сообщить свое имя). Используя аутентификацию, ответная сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "подтверждение подлинности". Термин устоялся, он закреплен в руководящих документах Гостехкомиссии России, использован в многочисленных публикациях. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.

Тут можно провести аналогию с классическими СКУД, в которых также существуют похожие механизмы – привычный и знакомый вариант чтения карты на считывателе (когда считыватель просто ретранслирует считанный код контроллеру), а также чтение карты на считывателе с взаимной авторизацией (код неавторизованной на данном считывателе карты вообще не будет передан далее со считывателя на контроллер).

Возвращаясь к ИБ, можно отметить, что в сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, для рассматриваемого сервиса существенными являются ответы на два вопроса:
• что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);
• как организован (и защищен) протокол идентификации/аутентификации.

Для классических СКУД это будет выглядеть так:
• что служит идентификатором (в контексте СКУД данный термин раскрыт выше);
• как организован (и защищен) обмен данными между идентификатором и считывателем, и далее – между считывателем и контроллером.

В сфере ИБ субъект может подтвердить свою подлинность, предъявив, по крайней мере, что-то одно из перечисленного:
• нечто, что он знает (в простейшем случае пароль);
• нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
• нечто, что является частью его самого (голос, отпечатки пальцев и т.п., то есть биометрические характеристики).

В классических СКУД свою подлинность пользователь может подтвердить, введя:
• запоминаемый код – код, вводимый с помощью клавиатуры, кодовых переключателей или других подобных устройств (в классических терминах – PIN-код);
• вещественный код – код, записанный на физическом носителе (идентификаторе);
• индивидуальный биометрический признак.

А теперь сравните процессы подтверждения подлинности в сфере ИБ и СКУД – не правда ли, много общего?!

Парольная аутентификация в системах ИБ и PIN-код в СКУД


Любой сотрудник службы безопасности знает, что теоретически при соблюдении ряда требований доступ по паролю – это надежный способ аутентификации, и его главное достоинство – простота и привычность! При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Пароли давно встроены в операционные системы и иные сервисы. Однако по совокупности характеристик их следует признать самым слабым средством проверки подлинности.

На практике пароль надежен ровно настолько, насколько этого захочет сам пользователь. Системный администратор или сотрудник отдела информационной безопасности не в состоянии контролировать правильность употребления пользователями своих паролей, поскольку такие средства и возможности изначально не предусмотрены парольной технологией. Ввод пароля можно также подсмотреть, причем для этого могут использоваться простые и доступные технические средства. В подавляющем большинстве случаев рядовые сотрудники компании не желают думать о проблемах информационной безопасности предприятия, так как решение этой задачи не входит в круг их прямых обязанностей. Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля. Теоретически в подобных случаях правильнее задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна. Если специально не выстроить технических барьеров, сотрудники будут использовать короткие и легко запоминающиеся пароли, сообщать или передавать их друг другу, записывать на бумажках, приклеивать на мониторы и т.п.

Существуют определенные меры, обеспечивающие повышение надежности парольной защиты, например:
• длина пароля регулируется политикой безопасности (составляет 8 и более символов);
• пароли регулярно меняются (управление сроком действия);
• пароль составляется не только из цифр, но из всего возможного списка допустимых символов;
• пароль не является часто употребляемым словом;
• ограничено число неудачных попыток набора пароля;
• при смене пароля новое значение не повторяет предыдущие;
• пароль для одной системы не используется в другой;
• пароль не сообщается другому сотруднику, жене, попугаю и т.п.;
• пароль не хранится в открытом виде в местах, где к нему может получить доступ другой сотрудник.

Если говорить о СКУД, то аналогом парольной аутентификации в системах ИБ для них являются цифровые клавиатуры для ввода PIN-кода. Цифровые клавиатуры наиболее часто используются в СКУД в дополнение к считывателям различного типа. Поскольку идентификатор (кроме биометрического) можно украсть или потерять, для СКУД с повышенными требованиями к безопасности возникает необходимость дополнительного рубежа опознавания. В таких случаях часто применяют клавиатуры, позволяющие вводить персональный идентификационный номер (PIN-код). Многие производители считывателей (разных технологий) встраивают клавиатуры в свои устройства, повышая таким образом степень безопасности своих систем. Основной принцип прост – клиент должен точно набрать код на клавиатуре, соответствующий введенному им со считывателя идентификатора. Применение клавиатур в "чистом" виде удешевляет стоимость системы, но это представляется нецелесообразным, поскольку код можно подсмотреть.

Следует отдельно отметить специфические клавиатуры с динамическим изменением порядка цифр и поляризованными индикаторными клавишами. В этих устройствах при каждом нажатии на клавишу расположение цифр на панели произвольным образом изменяется (каждой клавише переназначается другая цифра). В дополнение к этому ограничен угол, под которым видна светящаяся на клавише цифра, что исключает подглядывание кода. Для объективности надо заметить, что данное техническое решение не является дешевым, по стоимости оно соперничает со считывателями и может с полным правом быть расценено как эксклюзивное.

Итак, говоря о достоинствах применения PIN-кода в СКУД, можно отметить:
• невысокую стоимость самого устройства ввода – клавиатур;
• отсутствие носимого идентификатора (и, как следствие, возможность его потери);
• возможность смены кода без дополнительных затрат;
• возможность выбора длины кода;
• возможность реализации специфических режимов доступа (вход под принуждением и пр.).

Недостатки применения PIN-кода в СКУД:
• невозможность использования в качестве простого удостоверения личности (как у карт);
• контактная технология;
• невысокая пропускная способность;
• нецелесообразность самостоятельного применения (имеют смысл в основном в комплекте с другими технологиями).

Есть еще также существенное отличие PIN-кода в СКУД от парольного доступа в сфере ИБ: PIN-код может быть только цифровым и не способен содержать дополнительные символы, что резко сужает количество возможных комбинаций и "упрощает" работу потенциальным нарушителям.

Итак, мы подошли в нашем разговоре к некоей общей точке. В идеале сотрудник вообще не должен знать пароля (или PIN-кода в СКУД), если он его не знает, следовательно, не может никому сообщить, записать где-то на бумажке, что существенно снижает риск несанкционированного информационного и/или физического проникновения. Решение лежит на поверхности – использование физических (носимых) идентификаторов или принципов биометрической идентификации. При этом данные идентификаторы могут одновременно применяться как в подсистеме ИБ, так и в СКУД, что обеспечивает начальный уровень интеграции на уровне самих идентификаторов. Про использование различных идентификаторов в СКУД было уже много публикаций, поэтому рассмотрим данный вопрос со стороны информационной безопасности.

Аппаратные и аппаратно-программные средства аутентификации

Современные решения позволяют отказаться от "парольной" схемы аутентификации и перейти к современным, более безопасным и удобным для пользователя аппаратным и аппаратно-программным способам аутентификации. Это может быть сканер отпечатков пальцев, RFID-метка, Smart-карта и множество других доступных сегодня устройств.
Наиболее продвинутые решения позволяют использовать сразу несколько устройств в самых разнообразных комбинациях. Аппаратные идентификаторы для таких систем могут успешно заимствоваться из классических СКУД, выступая одновременно универсальным ключом к информационной и физической системе доступа. Система типа MatchLogon избавляет компании от необходимости использовать пароли при доступе через персональные компьютеры в сеть, терминальную сессию, порталы и бизнес-приложения. Свобода в выборе устройств достигается за счет поддержки универсального протокола, регулирующего правила взаимодействия пары "устройство – система".

Примеры устройств аутентификации и идентификации

Приведем несколько примеров аппаратных устройств аутентификации и идентификации, в которых идентификаторы могут быть использованы одновременно в системах ИБ и СКУД.
Начнем с биометрии. Биометрический идентификатор обладает рядом уникальных преимуществ: его удобно использовать и нельзя забыть. Он является неотъемлемой принадлежностью субъекта, следовательно, дает наиболее ценные для идентификатора качества, связанные с безопасностью. В качестве аппаратных средств биометрической аутентификации наибольшее распространение в области ИБ получили дактилоскопические биометрические сканеры, такие сканеры могут быть выполнены в виде самостоятельного устройства или интегрироваться в различные компьютерные аксессуары (мышь, клавиатура и пр.). Другие устройства регистрации биометрических характеристик человека (распознавание по форме лица, геометрии ладони, радужке глаза и т.п.) распространены значительно меньше.

Примеры биометрических устройств:
• оптические дактилоскопические сканеры (Digent FD 1000, BioLink U-Match и пр.);
• полупроводниковые дактилоскопические сканеры (TARGUS® DEFCON® PA460 with USB Hub и пр.);
• клавиатуры со встроенным биометрическим сканером (Cherry G83-14300 и пр.), в них обычно применяются полупроводниковые сканеры в силу их более миниатюрных размеров;
• биометрические сканеры распознавания радужки глаза (Iridian с камерой Panasonic Iris camera и пр.).

Интересной разновидностью биометрической аутентификации является доступ по отпечатку пальца с применением запатентованной технологии fingerPIN™ (www.fingerpin.co.uk). Особенность данной технологии заключается в том,  что, помимо сканирования отпечатков пальцев, от пользователя требуется соблюдать очередность их прикладывания. Например, если пронумеровать пальцы рук от 0 до 9 и потребовать использовать комбинацию из 4 отпечатков, то при обучении будут получаться различные комбинации отпечатков (так называемый био-PIN): 0343, 1313, 6789 и т.п. Данную комбинацию сотрудник держит в секрете, что в сумме с его отпечатками позволяет считать данный тип аутентификации двухфакторным.

Биометрические и конкретно дактилоскопические методы в СКУД обычно используются для защиты отдельных, наиболее важных помещений и зон, для чего применяются дактилоскопические считыватели с наиболее распространенным форматом Виганда (например, считыватели компаний Bioscrypt, Identix и пр.).

К другим технологиям, которые широко распространены в СКУД и могут также применяться в сфере ИБ, относятся бесконтактные средства аутентификации (RFID-метки стандартов HID, MIFARE, EM-MARINE и пр.). В этом качестве наиболее интересны: с точки зрения широты применения – Proximity-карты HID, а в качестве перспективной технологии – Smart-карты iClass.

Следует заметить, что бесконтактный тип технологии актуален в основном для СКУД, тогда как для ИБ это не так важно (хотя тоже удобно). При этом считыватели для ИБ подключаются к защищаемому компьютеру обычно по USB- или по СОМ-порту, а считыватели СКУД по интерфейсу Виганда подключаются к управляемому контроллеру. Идентификаторы (аутентификаторы) при этом применяются в обоих случаях одинаковые, что не только очень удобно для пользователя, но и минимизирует расходы на безопасность. В качестве типового примера аппаратного средства защиты доступа к компьютеру можно привести считыватель PcProx  (RFIDeas Inc.),  способный  работать с картами HID, Indala, EM и пр., а "классикой жанра" в СКУД можно считать  считыватель ProxPoint (HID).

RFID-технология также достаточно часто используется в комбинации с PIN-кодом, обеспечивая двухфакторную аутентификацию/идентификацию в сфере ИБ/СКУД, что дополнительно повышает уровень безопасности.

Интеграция СКУД и систем ИБ сегодня и завтра

Современное предприятие, как правило, включает в себя несколько систем безопасности, раздельно контролирующих доступ к различным физическим и информационным объектам. Обеспечением физической и информационной безопасности часто занимаются разные и никак не взаимодействующие друг с другом службы или отделы предприятия. При этом контролируемые ими права сотрудников как на физический доступ (на территорию предприятия и в его помещения), так и на доступ к информационным ресурсам предприятия зависят только от личности сотрудника. Показывая пропуск на проходной, открывая бесконтактной картой офисную дверь, вводя сетевой пароль, сотрудник осуществляет одну и ту же процедуру – идентифицирует себя.

Очевидно, что каждый сотрудник должен обладать едиными, целостными, внутренне согласованными правами: получить доступ к компьютеру в офисе предприятия имеет право только тот сотрудник, который в этот офис вошел. То есть задача идентификации этого сотрудника в двух контурах безопасности может быть решена единым способом.
Интеграция систем безопасности на уровне единого идентификатора позволит качественно изменить политику безопасности предприятия и повысить эффективность управления правами сотрудников. Новые возможности обеспечат решение следующих задач:

• установка запрета или ограниченного доступа к информационным ресурсам предприятия, если пользователь физически не прошел электронную проходную, то есть вошел в корпоративную сеть не из помещений предприятия;
• установка запрета на выход из помещения в случае невыполнения правил компьютерной безопасности при покидании рабочего места (завершение запущенных приложений, закрытие конфиденциальных документов и т.п.);
• автоматическая блокировка ПК при выходе из кабинета;
• установка запрета или ограниченного доступа к информационным ресурсам при нарушении режима antipassback; речь идет только о тех вариантах работы данного режима, при которых человек пропускается в зону доступа: это "мягкий" режим контроля повторного входа, когда нарушение фиксируется, но человек пропускается или режим "ловушка" (когда человек пропускается в помещение и блокируется в  нем);
• блокирование доступа к информационным ресурсам при срабатывании режима СКУД  "доступ под принуждением";
• построение консолидированной отчетности по фактам физического и информационного доступов и основанного на ней комплексного учета рабочего времени;
• единое управление правами физического и информационного доступа для выделенных групп сотрудников (например, стандартные единые идентификаторы с заранее определенными правами доступа для временных сотрудников и гостей).

Современные системы в сфере ИБ предоставляют возможность одновременно использовать различные устройства как биометрической, так и двухфакторной аутентификации (карты доступа + код) в рамках единого защитного комплекса. Это позволяет добиться максимального уровня защищенности там, где это необходимо, и сохранить "бюджетные" карты СКУД для рядовых сотрудников: каждой группе сотрудников может быть предоставлено соответствующее устройство, оптимально сочетающее затраты на организацию одного рабочего места и требуемые на этом месте меры безопасности.

В заключение можно отметить, что интеграция СКУД и систем информационной безопасности – следующий неизбежный уровень взаимодействия этих подсистем, повышающий эффективность каждой из них.

Автор выражает признательность компании "АстроCофт" и лично руководителю отдела построения систем информационной безопасности Константину Гильбергу за предоставленные материалы и помощь в подготовке статьи.
В статье использованы также материалы с сайта ГОУВПО СГГА
(редактор В.В. Малинин)

Вернуться в список