- •Москва 2003
- •Оглавление
- •Список сокращений
- •Тк - телекамера
- •Предисловие
- •Введение
- •1.Методологические основы построения систем физической защиты объектов
- •1.1. Определение характеристик и особенностей объекта
- •1.2. Определение задач, которые должна решать сфз
- •1.3. Определение функций, которые должна выполнять сфз
- •1.4. Принципы построения систем физической защиты
- •1.5. Определение перечня угроз безопасности объекта
- •1.6. Определение модели нарушителя
- •1.7. Определение структуры сфз
- •1.8.Определение этапов проектирования сфз
- •1.9.Вопросы для самоконтроля
- •2. Особенности систем физической защиты ядерных объектов
- •2.1.Термины и определения
- •2.2.Специфика угроз безопасности яо
- •2.3. Особенности модели нарушителя для сфз яо
- •2.4. Типовые структуры сфз яо
- •2.5. Организационно-правовые основы обеспечения сфз яо
- •2.6. Вопросы для самоконтроля
- •3. Особенности систем физической защиты ядерных объектов
- •3.1.Стадии и этапы создания сфз яо
- •3.2.Процедура концептуального проектирования сфз яо
- •3.3.Основы анализа уязвимости яо
- •3.4. Вопросы для самоконтроля
- •4. Подсистема обнаружения
- •4.1. Периметровые средства обнаружения
- •4.1.1. Тактико-технические характеристики периметровых систем
- •4.1.2. Физические принципы действия периметровых средств
- •4.1.3. Описание периметровых средств обнаружения
- •4.2. Объектовые средства обнаружения
- •4.2.1. Вибрационные датчики
- •4.2.2. Электромеханические датчики
- •4.2.3. Инфразвуковые датчики
- •4.2.4. Емкостные датчики приближения
- •4.2.5. Пассивные акустические датчики
- •4.2.6. Активные инфракрасные датчики
- •4.2.7. Микроволновые датчики
- •4.2.8. Ультразвуковые датчики
- •4.2.9. Активные акустические датчики
- •4.2.10. Пассивные инфразвуковые датчики
- •4.2.11. Датчики двойного действия
- •4.3. Вопросы для самоконтроля
- •5. Подсистема контроля и управления доступом
- •5.1. Классификация средств и систем контроля и управления доступом
- •5.1.1. Классификация средств контроля и управления доступом
- •5.1.2. Классификация систем контроля и управления доступом
- •5.1.3. Классификация средств и систем куд по устойчивости к нсд
- •5.2. Назначение, структура и принципы функционирования подсистем контроля и управления доступом
- •5.3. Считыватели как элементы системы контроля и управления доступом
- •5.4. Методы и средства аутентификации
- •5.5. Биометрическая аутентификация
- •5.6. Вопросы для самоконтроля
- •6. Подсистема телевизионного наблюдения
- •6.1. Задачи и характерные особенности современных стн
- •6.2. Характеристики объектов, на которых создаются стн
- •6.3. Телекамеры и объективы
- •6.3.1. Современные тк
- •6.3.2. Объективы
- •6.3.3. Технические характеристики тк
- •6.3.4. Классификация тк
- •6.4. Устройства отображения видеоинформации - мониторы
- •6.5. Средства передачи видеосигнала
- •6.5.1. Коаксиальные кабели
- •6.5.2. Передача видеосигнала по «витой паре»
- •6.5.3. Микроволновая связь
- •6.5.4. Радиочастотная беспроводная передача видеосигнала
- •6.5.5. Инфракрасная беспроводная передача видеосигнала
- •6.5.6. Передача изображений по телефонной линии
- •Сотовая сеть
- •6.5.7. Волоконно-оптические линии связи
- •6.6. Устройства обработки видеоинформации
- •6.6.1. Видеокоммутаторы.
- •6.6.2. Квадраторы.
- •6.6.3. Матричные коммутаторы
- •6.6.4. Мультиплексоры
- •6.7. Устройства регистрации и хранения видеоинформации
- •6.7.1.Специальные видеомагнитофоны
- •6.7.2. Цифровые системы телевизионного наблюдения
- •6.7.3. Мультиплексор с цифровой записьюCaliburDvmRe-4eZTфирмыKalatel, сша.
- •6.8. Дополнительное оборудование в стн
- •6.8.1. Кожухи камер
- •6.8.2. Поворотные устройства камер
- •6.9. Особенности выбора и применения средств (компонентов) стн
- •6.10.Вопросы для самоконтроля
- •7. Подсистема сбора и обработки данных
- •7.1. Назначение подсистемы сбора и обработки данных
- •7.2. Аппаратура сбора информации со средств обнаружения – контрольные панели.
- •7.3. Технологии передачи данных от со
- •7.4. Контроль линии связи кп-со
- •7.5. Оборудование и выполняемые функции станции сбора и обработки данных
- •7.6. Дублирование / резервирование арм оператора сфз
- •7.7. Вопросы для самоконтроля
- •8. Подсистема задержки
- •8.1. Назначение подсистемы задержки
- •8.2. Заграждения периметра
- •8.3. Объектовые заграждения
- •8.4. Исполнительные устройства
- •8.5. Вопросы для самоконтроля
- •9.Подсистема ответного реагирования
- •9.1. Силы ответного реагирования
- •9.2. Связь сил ответного реагирования
- •9.3. Организация систем связи с использованием переносных радиостанций
- •9.4. Вопросы для самоконтроля
- •10. Подсистема связи
- •10.1.Современные системы радиосвязи
- •10.1.1. Основы радиосвязи
- •10.1.2. Традиционные (conventional) системы радиосвязи.
- •10.1.3. Транкинговые системы радиосвязи
- •10.2. Система связи сил ответного реагирования
- •10.3. Организация систем связи с использованием переносных радиостанций
- •10.4. Системы радиосвязи с распределенным спектром частот
- •10.5. Системы радиосвязи, используемые на предприятиях Минатома России
- •10.6. Вопросы для самоконтроля
- •11. Оценка уязвимости систем физической защиты ядерных объектов
- •11.1.Эффективность сфз яо
- •11.2.Показатели эффективности сфз яо
- •11.3.Компьютерные программы для оценки эффективности сфз яо
- •11.4. Вопросы для самоконтроля
- •12. Информационная безопасность систем физической защиты ядерных объектов
- •12.1. Основы методология обеспечения информационной безопасности объекта
- •12.2. Нормативные документы
- •12.3. Классификация информации в сфз яо с учетом требований к ее защите
- •12.4. Каналы утечки информации в сфз яо
- •12.5. Перечень и анализ угроз информационной безопасности сфз яо
- •12.6. Модель вероятного нарушителя иб сфз яо
- •12.7. Мероприятия по комплексной защите информации в сфз яо
- •Подсистема зи
- •Организационные
- •Программные
- •Технические
- •Криптографические
- •12.8. Требования по организации и проведении работ по защите информации в сфз яо
- •12.9. Требования и рекомендации по защите информации в сфз яо
- •12.9.1. Требования и рекомендации по защите речевой информации
- •12.9.2. Требования и рекомендации по защите информации от утечки за счет побочных электромагнитных излучений и наводок
- •12.9.3. Требования и рекомендации по защите информации от несанкционированного доступа
- •12.9.4. Требования и рекомендации по защите информации в сфз яо от фотографических и оптико-электронных средств разведки
- •12.9.5. Требования и рекомендации по физической защите пунктов управления сфз яо и других жизненно-важных объектов информатизации
- •12.9.6. Требования к персоналу
- •12.10. Классификация автоматизированных систем сфз яо с точки зрения безопасности информации
- •12.10.1. Общие принципы классификация
- •12.10.2. Общие требования, учитываемые при классификации
- •12.10.3.Требования к четвертой группе Требования к классу «4а»
- •Требования к классу «4п»
- •12.10.4. Требования к третьей группе Требования к классу «3а»
- •Требования к классу «3п»
- •12.10.4.Требования ко второй группе Требования к классу «2а»
- •Требования к классу «2п»
- •12.10.5. Требования к первой группе Требования к классу «1а»
- •Требования к классу «1п»
- •12.11. Информационная безопасность систем радиосвязи, используемых на яо
- •12.11.1 Обеспечение информационной безопасности в системах радиосвязи, используемых на предприятиях Минатома России
- •12.11.2. Классификация систем радиосвязи, используемых на яо, по требованиям безопасности информации
- •Требования ко второму классу
- •Требования к классу 2а
- •Требования к первому классу
- •Требования к классу 1б
- •Требования к классу 1а
- •12.12. Вопросы для самоконтроля
- •Список литературы
5.2. Назначение, структура и принципы функционирования подсистем контроля и управления доступом
Подсистема контроля и управления доступом (СКУД) представляет собой совокупность организационных мер, оборудования и приборов, инженерно-технических сооружений, алгоритмов и программ, которая автоматически выполняет в определенных точках объекта в заданные моменты времени следующие основные задачи:
разрешает проход уполномоченным субъектам (сотрудникам, посетителям, транспорту);
запрещает проход всем остальным.
На рис. 5.1 показана концептуальная модель управления доступом на объекте. Объект разбит на зоны доступа, в каждую из которых имеет право проходить строго определенные лица (субъекты). Для доступа в зоны субъекту необходимо пройти набор точек доступа (ТД). В каждой точке доступа установлены считыватели и преграждающие устройства (ПУ). Принимают решения об отказе/допуске и координируют работу всех устройств управляющие устройства (УУ).
Управляющие устройства получают со считывателей информацию «свой/чужой». После того, как личность человека определена и подтверждена, система принимает решение, имеет ли он право на «проход через данную дверь». Для этого система проводит авторизацию пользователя, проверяя уровень полномочий этого человека (иногда говорят уровень доступа или уровень привилегий).
Рис. 5.1. Модель управления доступом на объекте. |
В системах контроля и управления физическим доступом применяется так называемая дискреционная модель доступа. Для каждого пользователя системы подразумевается существование таблицы полномочий, в которой каждой «контрольной точке» объекта ставится в соответствие набор операций, которые пользователь в данной точке имеет право выполнять. Возможно, на объекте будет целесообразнее иметь таблицы для каждой контрольной точки, в которых каждому уполномоченному пользователю будут поставлены в соответствие разрешенные ему действия.
В управляющей подсистеме ведется также документирование работы СКУД, т. е. сбор, хранение и обработка информации о действиях субъектов и состояниях самой системы во времени.
Идентификация и аутентификация. Для выполнения основной задачи системе управления доступом необходимо определить, имеет ли право субъект выполнить запрашиваемое действие или нет. Для этого прежде всего надо ответить на два вопроса: «Кто этот человек?» и «Тот ли он, за кого себя выдает?». Точность, с которой можно ответить на эти вопросы, определяет надежность системы управления доступом. Существует мнение, что если нет возможности точно определить пользователя, то все другие средства безопасности не имеют смысла.
Идентификацией (identification) называется процесс отождествления объекта с одним из известных системе объектов. Другими словами, идентификация – выяснение того, кто есть человек, предъявивший системе некоторые данные (идентификатор).
Аутентификация (authentication) – проверка соответствия пользователя предъявляемому им идентификатору. Иначе говоря, аутентификация (употребляют термины верификация, отождествление) – это ответ на вопрос «Является ли человек тем, кем представился?» Предположим, что человек с предъявленным идентификатором зарегистрирован в СКУД. Аутентификация заключается в сравнении дополнительно вводимых признаков этого человека с хранящимися в базе данных (БД) эталонами (полученными во время контрольного заполнения БД).
Различие между идентификацией и аутентификацией на практике не всегда наблюдается – процедуры могут выполняться одновременно одним и тем же способом. Так, предъявляя пропуск охране, человек «представляется» и одновременно подтверждает личность (по фотографии). Применительно к аппаратно-программным средствам СКУД, разница между процедурами идентификации и аутентификации заключается в следующем: при идентификации система просматривает всю БД зарегистрированных пользователей, сравнивая имеющиеся записи с введенным идентификатором, и если подобная запись найдена, система определяет уровень привилегий и другую информацию о субъекте. При аутентификации уже известно имя (идентификатор) субъекта, и для подтверждения его личности системе достаточно выполнить единственное сравнение – сопоставить дополнительно вводимые данные с данными о пользователе в базе данных.
Часто в литературе смешивают понятия аутентификации и идентификации. В дальнейшем, если в контексте нет смысла различать эти термины, мы будем говорить об аутентификации субъекта.
Анализ литературы по системам контроля и управления доступом показывает, что можно выделить три парадигмы подтверждения личности человека.
Первая парадигма называется «Что Ты Имеешь». Человек может подтвердить личность, предъявив «уникальные» предметы (идентификаторы, жетоны). Известно много типов идентификаторов: от паспортов и водительских удостоверений до пропусков, карт с магнитной полосой или штрих - кодом, карт, изготовленных по Wiegand- и проксимити- технологиям, электронных ключей – «таблеток» и т. д. Обычные ключи от механического замка также можно считать идентификаторами.
Основные проблемы, связанные с применением идентификаторов в СКУД – вероятность их потери или кражи. Идентификаторы также можно забыть где-нибудь. Не исключена возможность изготовления злоумышленниками копии идентификатора.
Вторая парадигма аутентификации называется «Что Ты Знаешь». Для подтверждения своей личности человек может назвать «секретные» сведения. Широко распространены системы с использованием паролей, ключей шифрования и персональных идентификационных номеров (ПИН – кодов).
Парольные системы также имеют ряд недостатков. Пароль можно забыть, злоумышленник может подсмотреть пароль при вводе. Кроме того, пароли содержат относительно небольшое количество бит информации, что делает их неустойчивыми к подбору. Пароли часто выбирают, чтобы они легко запоминались, и злоумышленник в ряде случаев может угадать их.
Третья парадигма аутентификации человека – «Что Ты Есть» - подразумевает применение биометрических методов.
На практике почти всегда для увеличения безопасности систем применяют одновременно несколько способов аутентификации. Например, перед считыванием магнитной карты система может требовать ввода пароля, а перед сканированием отпечатков пальцев – предъявления смарт-карты.
Системы управления доступом, построенные с использованием биометрической аутентификации, имеют ряд преимуществ перед системами на основе паролей или идентификаторов и встречаются в последнее время все чаще. Для повышения уровня безопасности на практике биометрическая аутентификация часто дополняется вводом ПИН (пароля) и/или предъявлением идентификаторов.