Перейти на Sec.Ru
Рейтинг@Mail.ru

21 сентября 2012

СКУД в кампусах: российские реалии и европейский опыт

Статья опубликована в СКУД. АНТИТЕРРОРИЗМ • 2012

В прошлом году в России активно обсуждалась тема внедрения универсальных электронных карт (УЭК). На одном из совещаний президент Дмитрий Медведев предложил использовать их еще и как кампусные карты в российских вузах и университетах, после чего термин "кампусная карта" вдруг стал очень популярен в университетской среде. Вот тут-то и стало очевидно,что у нас в стране очень немногие имеют адекватное представление о том, что же это за зверь такой - "кампусная карта", зачем они нужны университетам и как их применять -в частности, в СКУД.

Несмотря на то что темой статьи у нас является СКУД, то есть система контроля и управления доступом, без понимания истории возникновения, терминологии и общей концепции применения кампусных карт и кампусных приложений будет достаточно сложно разобраться в тонкостях описываемых СКУД. Так что с этого и начнем...

Кампус в Европе и в России

Кампус (англ. campus) - университетский городок, включающий учебные помещения, научно-исследовательские институты, жилые помещения для студентов, библиотеки, аудитории, столовые и т.д. Слово campus имеет латинское происхождение. Впервые кампусом назвали территорию Принстонского университета в XVIII в. (по материалам открытой энциклопедии Wikipedia). Зачастую европейские университетские городки (особенно когда речь идет об университетах с многовековой историей) представляют собой практически полноценный "город в городе" - многие из них, помимо собственной территории, имеют даже обособленную от остального города управленческую и финансовую системы, а юрисдикция городской полиции не всегда распространяется на территорию кампуса!

Российские университеты и высшие учебные заведения, за крайне редкими исключениями, территориальной обособленностью "как в Европе" похвастать не могут, поэтому под кампусом у нас понимают скорее не территорию, а группу зданий и сооружений, относящихся к одному вузу. Чаще всего эти здания разбросаны на достаточно большой площади - не редкость, когда это даже не один город. Такая территориальная разрозненность очень важная особенность российских кампусов, особенно для систем контроля доступа.

Кампусная карта

С развитием карточных технологий в Европе и Северной Америке во второй половине прошлого века пластиковые карты достаточно быстро нашли свое применение в кампусах. Сначала в качестве удостоверения личности и пропуска на территорию, а затем и во множестве других сфер внутриуниверситетской (и не только) жизни. Благодаря специфике применения (а не технологии самой карты!) они получили название "кампусные карты", а системы, их использующие, соответственно стали называть "кампус-ными приложениями".

Из-за недостатка печатной площади на истории развития технологий, применяемых в кампусных картах, останавливаться не будем - перейдем сразу к описанию текущего положения дел.

Сегодня в качестве кампусных карт в подавляющем большинстве случаев используются Java-карты - это тип Smart-карт с достаточно значительным объемом перезаписываемой памяти (36 Кбайт и более), со встроенной поддержкой алгоритмов криптографической защиты (3DES, AES, RSA и т.д.), способных выполнять приложения, написанные на языке Java. Они полностью совместимы с международными стандартами EMV и ISO 7816. Помимо Smart-чипа с контактным интерфейсом, они имеют бесконтактный RFID-интерфейс (программно-аппаратная эмуляция карт Mifare Standard емкостью 1 или 4 Кбайт), а также магнитную полосу и зачастую еще и штрихкод. Такой "букет" интерфейсов позволяет максимально просто интегрировать массу приложений на одной карте при любых требованиях к простоте и универсальности считывания данных или, наоборот, их защиты от несанкционированного копирования (клонирования), чтения и/или записи.

Для университетов решающим фактором может оказаться даже не это. Упомянутая нами во вводной части статьи УЭК (универсальная электронная карта гражданина РФ) - это как раз Java-карта. А значит, кампусные системы, "обученные" работать с Java-картами, почти со 100%-ной уверенностью смогут быстро перейти на использование УЭК в качестве кампусных карт (как только УЭК реально заработает в нашей стране согласно имеющимся на сегодня планам правительства).

Стоит ли вузам ждать того дня, когда УЭК реально окажутся в кармане каждого гражданина? Не уверен.

Даже УЭК (как серьезный правительственный проект) реализуется при активном участии банков (в частности, Сбербанка), потому как УЭК обязательно будет еще и банковской картой.

Абсолютно аналогично поступают и университеты (как минимум в Европе и Северной Америке): они заключают соглашение с каким-нибудь банком на выпуск кампусных карт. В итоге университет получает карты бесплатно (за них платит банк), а банк получает новых клиентов (и за это он готов брать на себя финансирование кампусных проектов). Обе стороны в выгоде!

Иначе при стоимости Java-карты (порядка 500-800 руб.) и количестве таких карт на университет (от 10 000 и более) вузам пришлось бы платить только за сами карты порядка 5-10 млн!

Кампусные приложения

Перейдем к кампусным приложениям, основываясь опять-таки на европейском опыте.

Условно их можно разделить на 2 типа:

  • идентификационные;
  • платежные, транспортные и др.
К первым относятся всевозможные системы автоматизации (деканата, библиотеки, поликлиники), электронные удостоверения личности (студенческий и читательский билеты, зачетная книжка, карта университетской поликлиники и т.д.) и электронная подпись, а также системы логического доступа (к информационным ресурсам внутриуниверситет-ской сети). Основная часть таких систем -это "математика", то есть программное обеспечение и базы данных, и только для чтения кампусных карт (а они используются исключительно как идентификатор) требуется наличие совместимых считывателей.

Ко вторым относятся банковские приложения, системы безналичных платежей внутри и вне университета, "электронный кошелек", городские транспортные приложения. Они уже гораздо шире используют специализированное оборудование: считыватели с возможностью чтения/записи карт, терминалы, киоски и т.п., а карта работает в таких системах уже не как идентификатор, но зачастую как носитель информации, меняющейся по мере использования карты. Сюда же добавим и международные студенческие скидоч-ные системы (которые по технологии являются идентификационными приложениями, но область их действия находится скорее вне кампуса, чем внутри его, и по цели применения они также ближе к платежным).

Я намеренно не включил в это список СКУД, потому как она совсем не обязательно должна быть в списке идентификационных приложений.

Объяснить это будет проще всего на примере разработки общей концепции построения системы контроля доступа для кампуса гипотетического высшего учебного заведения.

На основании этой концепции уже можно будет создавать детальное техническое задание на СКУД, определять календарный план внедрения и порядок взаимодействия различных кампусных приложений и т.д. (в рамках данной статьи мы, конечно, до этапа разработки ТЗ или тем более проекта не дойдем, да это и не нужно).

Топология СКУД кампуса

Общая концепция СКУД в кампусах

В исходных данных мы имеем:

  1. СКУД должна быть частью единого кампусного проекта и использовать кампусные карты (это обязательное требование для системы, претендующей на название "Кампусная СКУД").
  2. В состав кампуса входят несколько учебных и лабораторных корпусов, столовые и точки питания, общежития, спорткомплекс, поликлиника, библиотека и дом культуры. Малая часть зданий объединена архитектурно и имеет общий периметр, в то время как остальные здания расположены на значительных расстояниях друг от друга. Плюс к этому вуз имеет филиальные подразделения в других городах.
  3. Количество пользователей порядка 15 000-20 000 человек.
Целью создания общей концепции СКУД являются:
  1. Определение порядка и технологии использования кампусных карт в СКУД.
  2. Определение задач, решаемых СКУД, а также глубины ее проникновения внутрь кампуса с проработкой перспективных планов расширения системы.
  3. Определение уровня и порядка взаимной интеграции различных кампусных приложений со СКУД.
Как видите, и в исходных данных и в целях создания концепции СКУД на первых местах находятся вопросы, связанные с кампусными картами. Это наиболее важная и принципиальная часть задачи, и от решений, принятых заказчиком по этому пункту, будет зависеть весь остальной ход проработки концепции.

Использование кампусных карт в СКУД

Чем же может отличаться технология использования кампусных карт в СКУД?

Понятно, что из всех имеющихся типов интерфейсов Java-карты в СКУД может использоваться только бесконтактный - иначе ни по удобству использования, ни по долговечности работы карт и считывателей такая система адекватными параметрами обладать не будет.

То есть у нас есть уникальный непе-резаписываемый (и при этом нешифруе-мый) ROM-код (серийный номер Mifare-карты) и некий объем доступной перезаписываемой памяти. Отсюда и 2 возможных варианта ее применения в СКУД:

  1. Используется только ROM-код карты. Карта выступает в роли чистого идентификатора, а СКУД вносим в список идентификационных приложений.
  2. СКУД использует перезаписываемую память карты для записи плана доступа пользователя и другой информации.
Вариант 1.
Классическая технология

По первой, классической технологии работают все СКУД российских разработчиков, да и импортных тоже более чем достаточно. Такая технология, как и системы, ее использующие, очень хорошо известна в России, поэтому на подробностях останавливаться не будем, сразу перейдем к преимуществам и недостаткам.

Преимущества

Основным преимуществом будет возможность свободного выбора поставщика СКУД из множества доступных вариантов. Более того, при такой технологии использования карт университет может приобрести исключительно "железо" -контроллеры доступа, считыватели, замки или турникеты, интерфейсные модули и т.д., а затем при помощи SDK (комплекта разработчика ПО) разработать собственную "математику", то есть создать свое ПО управления СКУД. И экономия, и опыт для собственного отдела разработки и сопровождения программных продуктов...

Интеграция СКУД с другими кампусными приложениями организовывается исключительно на программном уровне - за счет автоматической синхронизации различных баз данных, добавления к функционалу СКУД дополнительных функций, таких как учет рабочего времени и подсистемы видеоидентификации/верификации и т.д.

Недостатки

Минусы этого варианта также известны:

  • Все точки доступа должны иметь проводную связь с сервером БД СКУД. Даже если контроллер предусматривает автономный режим в случае проблем со связью - при указанных количествах пользователей и специфике университетов (база данных СКУД обновляется фактически ежедневно) любые сбои связи между контроллерами СКУД с БД крайне нежелательны.
  • Из-за проводной топологии стоимость системы получается достаточно высокой, причем она обусловлена не столько ценой оборудования, сколько затратами на организацию проводных каналов. Из-за этого подобные системы (за очень редким исключением) начинаются и заканчиваются "на турникете". СКУД, построенная по такой схеме, редко когда включает более десятка-другого точек доступа.
  • Специфика кампусов российских вузов, когда учебные корпуса разбросаны по всему городу, также значительно усложняет (и удорожает) СКУД, так как каналы связи должны отвечать достаточно жестким требованиям по надежности и пропускной способности.
  • При филиальной структуре требования к СКУД становятся еще более жесткими. Фактически единственным вариантом организации системы доступа в этом случае остается установка независимых СКУД на разных филиалах, но это означает соответствующие проблемы для тех пользователей, которые должны получить доступ как в здания основного кампуса, так и в филиалы. Их карту придется регистрировать в разных системах, а любые изменения в плане доступа как-то синхронизировать.
  • Использование карты как идентификатора таит в себе еще одну, и весьма серьезную угрозу: поскольку идентификатором выступает неперезаписываемый (и нешифруемый!) ROM-код карты, носитель сможет выполнять свои обязанности в СКУД ровно до тех пор, пока очередная "группа китайских товарищей" не научится выпускать карты, в которые можно будет записать любой "неперезаписываемый" серийный номер... То есть пока не научатся клонировать ROM-код карт. Учитывая, что рассматриваемые нами кампусные карты эмулируют RFID-карту Mifare Standard, можно утверждать, что такой момент уже настал. Первые образцы карт с возможностью перезаписи серийного номера появились на рынке уже в конце 2011 г., и можно смело предсказать, что к концу 2012 г. клонировать ROM-код карты Mifare можно будет уже практически в любом металлоре-монте... Для обеспечения более-менее приемлемого уровня безопасности СКУД придется комбинировать с дополнительной системой идентификации, например осуществлять двухфак-торный контроль доступа по схеме "карта + отпечаток пальца" или "карта + видеоидентификация по лицу". Подобный вариант серьезно влияет и на стоимость системы, и на ее надежность, как вы понимаете, далеко не в лучшую сторону.
Вариант 2.
Перезаписываемая память карты

Перейдем ко второму варианту: СКУД использует перезаписываемую память карты для записи плана доступа пользователя и другой информации.

Конфигурация

В этом случае назначенные пользователю права доступа записываются на кам-пусную карту, а контроллеру в точке доступа остается только считать их и самостоятельно принять решение о разрешении/запрете доступа. Хранить список идентификаторов в собственной памяти ему уже не нужно. Достаточно знать параметры той точки доступа, за которую отвечает контроллер, и реальное время/дату (для корректной работы расписаний доступа и аудита).

Благодаря такому подходу связь с базой данных контроллеру нужна далеко не во всех случаях и не на всех точках доступа. Безусловно, наиболее важные точки доступа - те же турникеты на входе или в наиболее важных зонах кампуса -должны работать в режиме реального времени для обеспечения контроля и управления ими в реальном времени.

Онлайн-точки доступа при такой технологии использования кампусных карт играют и еще одну очень важную роль: они выступают в роли промежуточных хабов, при проходе через которые происходит обновление данных на карте пользователей. Обновление работает в обе стороны: из БД СКУД на карту пишется обновление прав доступа (по необходимости), а с карты в БД - информация, записанная на нее в автономных точках доступа.

Автономными точками доступа (корректнее будет называть их беспроводными точками доступа) в данном случае могут выступать двери аудиторий, лабораторий, кафедр, служебных и технических помещений, двери комнат в общежитии и, наконец, замки на шкафчиках в спорткомплексе или бассейне. Такие точки разбросаны по всему кампусу, их количество на порядки превышает количество турникетов на входе, и прокладка кабелей к ним - либо абсолютно нере-шаемая задача, либо безумно дорогое удовольствие. Но если управление такими точками в режиме реального времени не является обязательной функцией (в абсолютном большинстве случаев так оно и есть), провода можно и не проводить! Права доступа считываются с карты (права эти, напомню, обновляются при каждом проходе через онлайн-точку доступа, то есть минимум дважды в день, при входе и выходе из кампуса), и далее контроллер самостоятельно принимает решение о доступе. Он также производит запись аудита (факта прохода) и другой информации как в свою собственную память, так и на карту для последующей передачи в БД СКУД через онлайн-точку доступа.

Такие точки доступа могут иметь самую разную аппаратную реализацию: это может быть как классическая связка "контроллер - считыватель - исполнительное устройство - блок питания", так и электронные замки и даже миниатюрные электронные цилиндры (у которых контроллер, считыватель и все остальные части объединены конструктивно). Широкий выбор типов оборудования СКУД позволяет достаточно просто включать в единую систему как новые, так и существующие двери помещений, различные устройства (турникеты и шлагбаумы, упомянутые выше шкафчики в бассейне или, например, специальные замки с ан-типаник-баром для эвакуационных выходов) и даже лабораторное оборудование, серверные шкафы и т.д.

При необходимости в таких точках можно решить проблему управления в режиме реального времени - за счет применения беспроводного радиомодуля, встраиваемого в электронный замок или цилиндр. Но даже для такого случая, несмотря на простоту развертывания инфраструктуры беспроводной сети (инфраструктура строится за счет применения шлюзов, соединяющих беспроводной канал с существующим сегментом локальной вычислительной сети кампуса и требует минимальных усилий), беспроводной онлайн-доступ далеко не для всех точек доступа является действительно необходимой функцией системы.

Описываемые системы позволяют абсолютно свободно смешивать в единой СКУД все перечисленные типы оборудования: проводные (IP) и беспроводные, онлайн и офлайн (автономные) точки доступа. Для каждой конкретной задачи можно свободно выбирать, какой тип оборудования СКУД наиболее адекватно отвечает поставленным задачам по соотношению "цена/функционал".

При использовании технологии записи данных на карты концепция построения СКУД, с которой мы начали рассмотрение этой темы, будет выглядеть следующим образом:

  1. Кампусная карта используется для записи плана доступа пользователей. При этом за защиту информации от несанкционированного чтения и/или записи отвечает сама СКУД, опираясь как на встроенные возможности криптозащиты карт, так и на программные возможности ПО управления СКУД.
  2. СКУД решает весьма широкий круг задач: начиная с "первой линии обороны", то есть организации пропускного режима на территорию кампуса или здания/зоны, заканчивая вопросами контроля преподавателей (благодаря фиксации аудита, то есть времени/даты открытия/закрытия замка на двери аудитории), лабораторий и лабораторного оборудования, шкафчиков бассейна, дверей комнат в общежитии и т.д. Соответственно глубина проникновения СКУД вглубь кампуса ничем не ограничена - ни по времени (так как большинство подобных систем разворачивается поэтапно, начиная с тех самых турникетов на входе), ни по типу/количеству оборудуемых помещений и контролируемых устройств.
  3. Благодаря технологии записи данных на карту появляется дополнительная возможность интеграции СКУД с другими кампусными приложениями. В профиль пользователей СКУД может вноситься дополнительная информация: номер читательского билета студента или его зачетной книжки, табельный номер сотрудника по системе учета рабочего времени и другие идентификаторы пользователя в различных кампусных приложениях. При инициализации (записи) карты доступа в ее памяти создаются дополнительные области - и в них записываются идентификаторы. После этого университету останется только установить в нужных точках (в читательском зале, на кафедре или на служебном входе) специальное оборудование, которое производит считывание и декодирование нужного идентификатора с дальнейшей его передачей в соответствующее кампусное приложение. То есть СКУД может взять на себя аппаратную составляющую различных идентификационных приложений, в то время как сами приложения (ПО и специализированные базы данных) могут быть разработаны самим университетом. Эта технология позволяет кампус -ным приложениям оперировать понятием "идентификатор пользователя", а не "идентификатор карты" - при поломке или утере карты она просто перевыпускается, и все ранее присвоенные пользователю идентификаторы на ней восстанавливаются (отпадает необходимость постоянной синхронизации базы данных идентификаторов карт для очень большого количества пользователей).
Недостатки

Минусы у систем, работающих по описываемой технологии использования кампусных карт, конечно же, тоже есть.

Во-первых, производятся они исключительно за пределами нашей страны. На данный момент ни об одной отечественной системе, которая могла бы записывать на карту если не информацию о плане доступа, то хотя бы уникальный идентификатор пользователя (не привязанный к нешифруемому серийному номеру карты), мне не известно. На Западе же подобные системы производятся и используются уже достаточно давно. И именно они используются как СКУД большинства европейских (и не только) кампусов. Среднее количество точек доступа в таких системах колеблется в районе 600-1500. Но есть системы, включающие 4-5 тыс., а иногда даже порядка 10 тыс. точек доступа. Количество пользователей в БД таких систем может превышать 100 тыс. человек.

Во-вторых, подобные системы требуют более глубокой проработки концепции и проекта на СКУД, а также оценки стоимости внедрения комплексной системы (с учетом этапности ее развертывания). Так как на начальном этапе в большинстве случаев требуется оборудовать только входные турникетные группы, не всегда просто объяснить заказчику разницу между стоимостью оборудования онлайн-точки доступа классической СКУД, оперирующей исключительно идентификатором карты, и стоимостью "такого же" комплекта, но уже способного считывать и записывать информацию на карты при каждом проходе через турникет (которая по определению будет выше). Ведь все преимущества подобного подхода появятся только на последующих этапах развертывания СКУД, вместе с появлением большого числа контролируемых точек прохода, не требующих прокладки проводов -именно тогда университет и начнет получать достаточно ощутимый выигрыш в цене.

В-третьих, приходится констатировать еще один "недостаток" - достаточно часто проработкой проекта и внедрением СКУД в университетах занимаются компании, имеющие опыт исключительно в сфере развертывания систем безопасности в офисах и на промышленных предприятиях. Стремление использовать типовые методы проектирования и распространенная практика, когда такие компании свой основной заработок делают именно "на проводах", значительно затрудняют продвижение данной концепции.

И только если заказчик (вуз или университет) опирается на опыт применения СКУД в европейских кампусах и имеет достаточно четко проработанную концепцию внедрения полноценного комплекса кампусных приложений, СКУД университета имеет шанс из "турникета на входе" превратиться в систему, отвечающую за решение принципиально большего спектра задач.

Европейский опыт в российских кампусах

При принятии решения о типе СКУД российским вузам вовсе не грех обратить внимание на европейский опыт, так как собственный опыт в данной сфере у нас отсутствует практически полностью и по вполне объективным причинам. Говорить об однозначности выбора той или иной технологии использования в СКУД кампусных карт (напомню - именно этот выбор будет определять тип и основные характеристики системы доступа) было бы некорректно. В той же Европе не так уж и мало кампусов, использующих классическую схему СКУД с картами-идентификаторами. Тем не менее системы, использующие технологию записи данных на кампусные карты, в Европе все же преобладают. В основном благодаря их принципиально меньшей зависимости от проводов и расстояний, а также практически неограниченным возможностям по развитию и расширению.

Кампусные приложения (и СКУД в их числе) успешно применяются и развиваются в Европе уже на протяжении пары десятков лет - там даже существует Ассоциация пользователей кампусных карт, благодаря которой европейские университеты постоянно обмениваются опытом и самостоятельными наработками в сфере кампусных приложений. Недавно университеты, состоящие в этой ассоциации, приступили к выработке единого стандарта кампусных карт. Цель этой работы - создать для студентов возможность свободно перемещаться между университетами в едином европейском образовательном пространстве, в том числе благодаря универсальной кампусной карте. Нам тоже не чужда данная стратегия, о чем говорит, например, подписание нашей страной Болонской конвенции. Однако ни один российский вуз в Ассоциации пользователей кампусных карт пока не состоит, а значит, и стандарты на кампусные карты и приложения будут приниматься без учета наших пожеланий в данной области. И чтобы исправить эту ситуацию, нам желательно не просто перенять имеющийся опыт, но и показать, что нашим университетам вполне по силам внести свой достаточно ощутимый вклад в общее дело.

Просмотров: 7167

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Автор

Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2017
Rambler's Top100 �������@Mail.ru