В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
Несмотря на то что темой статьи у нас является СКУД, то есть система контроля и управления доступом, без понимания истории возникновения, терминологии и общей концепции применения кампусных карт и кампусных приложений будет достаточно сложно разобраться в тонкостях описываемых СКУД. Так что с этого и начнем...
Кампус (англ. campus) – университетский городок, включающий учебные помещения, научно-исследовательские институты, жилые помещения для студентов, библиотеки, аудитории, столовые и т.д. Слово campus имеет латинское происхождение. Впервые кампусом назвали территорию Принстонского университета в XVIII в. (по материалам открытой энциклопедии Wikipedia). Зачастую европейские университетские городки (особенно когда речь идет об университетах с многовековой историей) представляют собой практически полноценный "город в городе" – многие из них, помимо собственной территории, имеют даже обособленную от остального города управленческую и финансовую системы, а юрисдикция городской полиции не всегда распространяется на территорию кампуса!
Российские университеты и высшие учебные заведения, за крайне редкими исключениями, территориальной обособленностью "как в Европе" похвастать не могут, поэтому под кампусом у нас понимают скорее не территорию, а группу зданий и сооружений, относящихся к одному вузу. Чаще всего эти здания разбросаны на достаточно большой площади – не редкость, когда это даже не один город. Такая территориальная разрозненность – очень важная особенность российских кампусов, особенно для систем контроля доступа.
С развитием карточных технологий в Европе и Северной Америке во второй половине прошлого века пластиковые карты достаточно быстро нашли свое применение в кампусах. Сначала в качестве удостоверения личности и пропуска на территорию, а затем и во множестве других сфер внутриуниверситетской (и не только) жизни. Благодаря специфике применения (а не технологии самой карты!) они получили название "кампусные карты", а системы, их использующие, соответственно стали называть "кампусными приложениями".
Из-за недостатка печатной площади на истории развития технологий, применяемых в кампусных картах, останавливаться не будем – перейдем сразу к описанию текущего положения дел.
Сегодня в качестве кампусных карт в подавляющем большинстве случаев используются Java-карты – это тип Smart-карт с достаточно значительным объемом перезаписываемой памяти (36 Кбайт и более), со встроенной поддержкой алгоритмов криптографической защиты (3DES, AES, RSA и т.д.), способных выполнять приложения, написанные на языке Java. Они полностью совместимы с международными стандартами EMV и ISO 7816. Помимо Smart-чипа с контактным интерфейсом, они имеют бесконтактный RFID-интерфейс (программно-аппаратная эмуляция карт Mifare Standard емкостью 1 или 4 Кбайт), а также магнитную полосу и зачастую еще и штрихкод. Такой "букет" интерфейсов позволяет максимально просто интегрировать массу приложений на одной карте при любых требованиях к простоте и универсальности считывания данных или, наоборот, их защиты от несанкционированного копирования (клонирования), чтения и/или записи.
Для университетов решающим фактором может оказаться даже не это. Упомянутая нами во вводной части статьи УЭК (универсальная электронная карта гражданина РФ) – это как раз Java-карта. А значит, кампусные системы, "обученные" работать с Java-картами, почти со 100%-ной уверенностью смогут быстро перейти на использование УЭК в качестве кампусных карт (как только УЭК реально заработает в нашей стране согласно имеющимся на сегодня планам правительства).
Стоит ли вузам ждать того дня, когда УЭК реально окажутся в кармане каждого гражданина? Не уверен.
Даже УЭК (как серьезный правительственный проект) реализуется при активном участии банков (в частности, Сбербанка), потому как УЭК обязательно будет еще и банковской картой.
Абсолютно аналогично поступают и университеты (как минимум в Европе и Северной Америке): они заключают соглашение с каким-нибудь банком на выпуск кампусных карт. В итоге университет получает карты бесплатно (за них платит банк), а банк получает новых клиентов (и за это он готов брать на себя финансирование кампусных проектов). Обе стороны в выгоде!
Иначе при стоимости Java-карты (порядка 500–800 руб.) и количестве таких карт на университет (от 10 000 и более) вузам пришлось бы платить только за сами карты порядка 5–10 млн!
Перейдем к кампусным приложениям, основываясь опять-таки на европейском опыте.
Условно их можно разделить на 2 типа:
К первым относятся всевозможные системы автоматизации (деканата, библиотеки, поликлиники), электронные удостоверения личности (студенческий и читательский билеты, зачетная книжка, карта университетской поликлиники и т.д.) и электронная подпись, а также системы логического доступа (к информационным ресурсам внутриуниверситетской сети). Основная часть таких систем – это "математика", то есть программное обеспечение и базы данных, и только для чтения кампусных карт (а они используются исключительно как идентификатор) требуется наличие совместимых считывателей.
Ко вторым относятся банковские приложения, системы безналичных платежей внутри и вне университета, "электронный кошелек", городские транспортные приложения. Они уже гораздо шире используют специализированное оборудование: считыватели с возможностью чтения/записи карт, терминалы, киоски и т.п., а карта работает в таких системах уже не как идентификатор, но зачастую как носитель информации, меняющейся по мере использования карты. Сюда же добавим и международные студенческие скидочные системы (которые по технологии являются идентификационными приложениями, но область их действия находится скорее вне кампуса, чем внутри его, и по цели применения они также ближе к платежным).
Я намеренно не включил в это список СКУД, потому как она совсем не обязательно должна быть в списке идентификационных приложений.
Объяснить это будет проще всего на примере разработки общей концепции построения системы контроля доступа для кампуса гипотетического высшего учебного заведения.
На основании этой концепции уже можно будет создавать детальное техническое задание на СКУД, определять календарный план внедрения и порядок взаимодействия различных кампусных приложений и т.д. (в рамках данной статьи мы, конечно, до этапа разработки ТЗ или тем более проекта не дойдем, да это и не нужно).
В исходных данных мы имеем:
Целью создания общей концепции СКУД являются:
Как видите, и в исходных данных и в целях создания концепции СКУД на первых местах находятся вопросы, связанные с кампусными картами. Это наиболее важная и принципиальная часть задачи, и от решений, принятых заказчиком по этому пункту, будет зависеть весь остальной ход проработки концепции.
Чем же может отличаться технология использования кампусных карт в СКУД?
Понятно, что из всех имеющихся типов интерфейсов Java-карты в СКУД может использоваться только бесконтактный – иначе ни по удобству использования, ни по долговечности работы карт и считывателей такая система адекватными параметрами обладать не будет.
То есть у нас есть уникальный неперезаписываемый (и при этом нешифруемый) ROM-код (серийный номер Mifare-карты) и некий объем доступной перезаписываемой памяти. Отсюда и 2 возможных варианта ее применения в СКУД:
По первой, классической технологии работают все СКУД российских разработчиков, да и импортных тоже более чем достаточно. Такая технология, как и системы, ее использующие, очень хорошо известна в России, поэтому на подробностях останавливаться не будем, сразу перейдем к преимуществам и недостаткам.
Преимущества
Основным преимуществом будет возможность свободного выбора поставщика СКУД из множества доступных вариантов. Более того, при такой технологии использования карт университет может приобрести исключительно "железо" – контроллеры доступа, считыватели, замки или турникеты, интерфейсные модули и т.д., а затем при помощи SDK (комплекта разработчика ПО) разработать собственную "математику", то есть создать свое ПО управления СКУД. И экономия, и опыт для собственного отдела разработки и сопровождения программных продуктов...
Интеграция СКУД с другими кампусными приложениями организовывается исключительно на программном уровне – за счет автоматической синхронизации различных баз данных, добавления к функционалу СКУД дополнительных функций, таких как учет рабочего времени и подсистемы видеоидентификации/верификации и т.д.
Недостатки
Минусы этого варианта также известны:
Перейдем ко второму варианту: СКУД использует перезаписываемую память карты для записи плана доступа пользователя и другой информации.
Конфигурация
В этом случае назначенные пользователю права доступа записываются на кампусную карту, а контроллеру в точке доступа остается только считать их и самостоятельно принять решение о разрешении/запрете доступа. Хранить список идентификаторов в собственной памяти ему уже не нужно. Достаточно знать параметры той точки доступа, за которую отвечает контроллер, и реальное время/дату (для корректной работы расписаний доступа и аудита).
Благодаря такому подходу связь с базой данных контроллеру нужна далеко не во всех случаях и не на всех точках доступа. Безусловно, наиболее важные точки доступа – те же турникеты на входе или в наиболее важных зонах кампуса – должны работать в режиме реального времени для обеспечения контроля и управления ими в реальном времени.
Онлайн-точки доступа при такой технологии использования кампусных карт играют и еще одну очень важную роль: они выступают в роли промежуточных хабов, при проходе через которые происходит обновление данных на карте пользователей. Обновление работает в обе стороны: из БД СКУД на карту пишется обновление прав доступа (по необходимости), а с карты в БД – информация, записанная на нее в автономных точках доступа.
Автономными точками доступа (корректнее будет называть их беспроводными точками доступа) в данном случае могут выступать двери аудиторий, лабораторий, кафедр, служебных и технических помещений, двери комнат в общежитии и, наконец, замки на шкафчиках в спорткомплексе или бассейне. Такие точки разбросаны по всему кампусу, их количество на порядки превышает количество турникетов на входе, и прокладка кабелей к ним – либо абсолютно нерешаемая задача, либо безумно дорогое удовольствие. Но если управление такими точками в режиме реального времени не является обязательной функцией (в абсолютном большинстве случаев так оно и есть), провода можно и не проводить! Права доступа считываются с карты (права эти, напомню, обновляются при каждом проходе через онлайн-точку доступа, то есть минимум дважды в день, при входе и выходе из кампуса), и далее контроллер самостоятельно принимает решение о доступе. Он также производит запись аудита (факта прохода) и другой информации как в свою собственную память, так и на карту для последующей передачи в БД СКУД через онлайн-точку доступа.
Такие точки доступа могут иметь самую разную аппаратную реализацию: это может быть как классическая связка "контроллер – считыватель – исполнительное устройство – блок питания", так и электронные замки и даже миниатюрные электронные цилиндры (у которых контроллер, считыватель и все остальные части объединены конструктивно). Широкий выбор типов оборудования СКУД позволяет достаточно просто включать в единую систему как новые, так и существующие двери помещений, различные устройства (турникеты и шлагбаумы, упомянутые выше шкафчики в бассейне или, например, специальные замки с антипаник-баром для эвакуационных выходов) и даже лабораторное оборудование, серверные шкафы и т.д.
При необходимости в таких точках можно решить проблему управления в режиме реального времени – за счет применения беспроводного радиомодуля, встраиваемого в электронный замок или цилиндр. Но даже для такого случая, несмотря на простоту развертывания инфраструктуры беспроводной сети (инфраструктура строится за счет применения шлюзов, соединяющих беспроводной канал с существующим сегментом локальной вычислительной сети кампуса и требует минимальных усилий), беспроводной онлайн-доступ далеко не для всех точек доступа является действительно необходимой функцией системы.
Описываемые системы позволяют абсолютно свободно смешивать в единой СКУД все перечисленные типы оборудования: проводные (IP) и беспроводные, онлайн и офлайн (автономные) точки доступа. Для каждой конкретной задачи можно свободно выбирать, какой тип оборудования СКУД наиболее адекватно отвечает поставленным задачам по соотношению "цена/функционал".
При использовании технологии записи данных на карты концепция построения СКУД, с которой мы начали рассмотрение этой темы, будет выглядеть следующим образом:
1. Кампусная карта используется для записи плана доступа пользователей. При этом за защиту информации от несанкционированного чтения и/или записи отвечает сама СКУД, опираясь как на встроенные возможности криптозащиты карт, так и на программные возможности ПО управления СКУД.
2. СКУД решает весьма широкий круг задач: начиная с "первой линии обороны", то есть организации пропускного режима на территорию кампуса или здания/зоны, заканчивая вопросами контроля преподавателей (благодаря фиксации аудита, то есть времени/даты открытия/закрытия замка на двери аудитории), лабораторий и лабораторного оборудования, шкафчиков бассейна, дверей комнат в общежитии и т.д. Соответственно глубина проникновения СКУД вглубь кампуса ничем не ограничена – ни по времени (так как большинство подобных систем разворачивается поэтапно, начиная с тех самых турникетов на входе), ни по типу/количеству оборудуемых помещений и контролируемых устройств.
3. Благодаря технологии записи данных на карту появляется дополнительная возможность интеграции СКУД с другими кампусными приложениями. В профиль пользователей СКУД может вноситься дополнительная информация: номер читательского билета студента или его зачетной книжки, табельный номер сотрудника по системе учета рабочего времени и другие идентификаторы пользователя в различных кампусных приложениях. При инициализации (записи) карты доступа в ее памяти создаются дополнительные области – и в них записываются идентификаторы. После этого университету останется только установить в нужных точках (в читательском зале, на кафедре или на служебном входе) специальное оборудование, которое производит считывание и декодирование нужного идентификатора с дальнейшей его передачей в соответствующее кампусное приложение. То есть СКУД может взять на себя аппаратную составляющую различных идентификационных приложений, в то время как сами приложения (ПО и специализированные базы данных) могут быть разработаны самим университетом. Эта технология позволяет кампусным приложениям оперировать понятием "идентификатор пользователя", а не "идентификатор карты" – при поломке или утере карты она просто перевыпускается, и все ранее присвоенные пользователю идентификаторы на ней восстанавливаются (отпадает необходимость постоянной синхронизации базы данных идентификаторов карт для очень большого количества пользователей).
Недостатки
Минусы у систем, работающих по описываемой технологии использования кампусных карт, конечно же, тоже есть.
Во-первых, производятся они исключительно за пределами нашей страны. На данный момент ни об одной отечественной системе, которая могла бы записывать на карту если не информацию о плане доступа, то хотя бы уникальный идентификатор пользователя (не привязанный к нешифруемому серийному номеру карты), мне не известно. На Западе же подобные системы производятся и используются уже достаточно давно. И именно они используются как СКУД большинства европейских (и не только) кампусов. Среднее количество точек доступа в таких системах колеблется в районе 600–1500. Но есть системы, включающие 4–5 тыс., а иногда даже порядка 10 тыс. точек доступа. Количество пользователей в БД таких систем может превышать 100 тыс. человек.
Во-вторых, подобные системы требуют более глубокой проработки концепции и проекта на СКУД, а также оценки стоимости внедрения комплексной системы (с учетом этапности ее развертывания). Так как на начальном этапе в большинстве случаев требуется оборудовать только входные турникетные группы, не всегда просто объяснить заказчику разницу между стоимостью оборудования онлайн-точки доступа классической СКУД, оперирующей исключительно идентификатором карты, и стоимостью "такого же" комплекта, но уже способного считывать и записывать информацию на карты при каждом проходе через турникет (которая по определению будет выше). Ведь все преимущества подобного подхода появятся только на последующих этапах развертывания СКУД, вместе с появлением большого числа контролируемых точек прохода, не требующих прокладки проводов, – именно тогда университет и начнет получать достаточно ощутимый выигрыш в цене.
В-третьих, приходится констатировать еще один "недостаток" – достаточно часто проработкой проекта и внедрением СКУД в университетах занимаются компании, имеющие опыт исключительно в сфере развертывания систем безопасности в офисах и на промышленных предприятиях. Стремление использовать типовые методы проектирования и распространенная практика, когда такие компании свой основной заработок делают именно "на проводах", значительно затрудняют продвижение данной концепции.
И только если заказчик (вуз или университет) опирается на опыт применения СКУД в европейских кампусах и имеет достаточно четко проработанную концепцию внедрения полноценного комплекса кампусных приложений, СКУД университета имеет шанс из "турникета на входе" превратиться в систему, отвечающую за решение принципиально большего спектра задач.
При принятии решения о типе СКУД российским вузам вовсе не грех обратить внимание на европейский опыт, так как собственный опыт в данной сфере у нас отсутствует практически полностью и по вполне объективным причинам. Говорить об однозначности выбора той или иной технологии использования в СКУД кампусных карт (напомню – именно этот выбор будет определять тип и основные характеристики системы доступа) было бы некорректно. В той же Европе не так уж и мало кампусов, использующих классическую схему СКУД с картами-идентификаторами. Тем не менее системы, использующие технологию записи данных на кампусные карты, в Европе все же преобладают. В основном благодаря их принципиально меньшей зависимости от проводов и расстояний, а также практически неограниченным возможностям по развитию и расширению.
Кампусные приложения (и СКУД в их числе) успешно применяются и развиваются в Европе уже на протяжении пары десятков лет – там даже существует Ассоциация пользователей кампусных карт, благодаря которой европейские университеты постоянно обмениваются опытом и самостоятельными наработками в сфере кампусных приложений. Недавно университеты, состоящие в этой ассоциации, приступили к выработке единого стандарта кампусных карт. Цель этой работы – создать для студентов возможность свободно перемещаться между университетами в едином европейском образовательном пространстве, в том числе благодаря универсальной кампусной карте. Нам тоже не чужда данная стратегия, о чем говорит, например, подписание нашей страной Болонской конвенции. Однако ни один российский вуз в Ассоциации пользователей кампусных карт пока не состоит, а значит, и стандарты на кампусные карты и приложения будут приниматься без учета наших пожеланий в данной области. И чтобы исправить эту ситуацию, нам желательно не просто перенять имеющийся опыт, но и показать, что нашим университетам вполне по силам внести свой достаточно ощутимый вклад в общее дело.
Опубликовано: Каталог "СКУД. Антитерроризм"-2012
Посещений: 14480
Автор
| |||
В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
