Внедрение системы контроля и управления доступом в ресторанной компании

Понятие, назначение, задачи и классификация системы контроля и управления доступом, ее основные компоненты. Устройство идентификации доступа (идентификаторы и считыватели). Протоколы обмена данными и управления. Дополнительные функции контроллеров.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 07.08.2018
Размер файла 2,9 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

Факультет Телекоммуникаций и радиотехники

Направление Информационная безопасность телекоммуникационных систем

Кафедра Мультисервисных сетей и информационной безопасности

Выпускная квалификационная работа (дипломная работа)

Внедрение системы контроля и управления доступом в ресторанной компании

Руководитель Ю.В.Татаринов

Н. контролер ассистент О.А. Караулова

Разработал ИБТС-12 В.А. Самсонов

Самара 2017

Введение

Охрана крупных корпораций, промышленных компаний, объектов стратегического назначения, метрополитена и других предприятий производится с помощью различных систем безопасности. Для контроля над перемещением физических лиц и транспорта по территории объекта используется система контроля и управления доступом. В таких системах применяются специальные контроллеры и идентификаторы, которые позволяют определить права субъекта на доступ в то или иное помещение. В нашей компании вы можете приобрести различные СКУД, которые отличаются высоким качеством и привлекательной ценой.

СКУД предполагает оснащение точек доступа (дверей, турникетов, ворот, шлагбаумов) электронным запорным механизмом и контроллером, который считывает информацию с идентификатора и при совпадении данных открывает электронный замок. В качестве идентификаторов могут выступать различные предметы: магнитный ключ, пластиковая карта, брелок и другие. Кроме того, контроллер может пропустить человека по биометрическим данным. Для доступа транспортных средств используется их видеоизображение, считывается регистрационный номер или применяется ввод специального пароля.

Автономные СКУД используются при наличии одной или двух точек доступа. В состав системы входит контроллер, считывающее устройство и электронный замок или турникет. К главным преимуществам таких систем относится низкая стоимость, простота установки и высокая надежность. Простейшим примером автономной СКУД является домофон с магнитным ключом.

Сетевые системы контроля доступа используются при наличии большого количества точек доступа. Все контроллеры, как правило, управляются одним компьютером, а информация хранится в общей базе данных. Это позволяет в любое время просматривать архив и анализировать произошедшие события. Сетевая СКУД находится под постоянным контролем оператора, благодаря чему можно менять настройки системы в режиме реального времени.

В последние годы одним из наиболее эффективных и цивилизованных подходов к решению задачи комплексной безопасности объектов различных форм собственности является использование систем контроля и управления доступом (СКУД). Правильное использование СКУД позволяет закрыть несанкционированный доступ на территорию, в здание, отдельные этажи и помещения. В то же время они не создают препятствий для прохода персонала и посетителей в разрешенные для них зоны. Интерес к СКУД неуклонно растет, что в недалеком будущем приведет к их широкому распространению. Следует помнить, что СКУД не устраняет необходимость контроля со стороны человека, но значительно повышает эффективность работы службы безопасности, особенно при наличии многочисленных зон риска. СКУД освобождает охранников от рутинной работы по идентификации, предоставляя им дополнительное время по выполнению основных функций: охране объекта и защите сотрудников и посетителей от преступных посягательств. Оптимальное соотношение людских и технических ресурсов выбирается в соответствии с поставленными задачами и допустимым уровнем возможных угроз.

контроллер идентификатор протокол данные

1. Описание систем информационной инфраструктуры

Система информационной инфраструктуры (КСИИ) - это информационно-управляющая или информационно-телекоммуникационная система, в которой сосредоточено управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация, или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.

К ключевым информационным системам можно отнести все действующие информационные системы транспорта, энергетики, связи, добычи полезных ископаемых, производства, государственного управления и средств массовой информации.

В дипломной работе подробно рассматриваются вопросы безопасности следующих систем:

1. Автоматизированные системы управления технологическим процессом;

2. Системы управления сетями связи

Такой выбор систем для анализа обусловлен тем, что в части систем энергетики, добычи полезных ископаемых и управления производством используются схожие системы управления технологическим процессом с одинаковыми протоколами передачи информации, что подразумевает схожие методы и подходы для их атаки и построения систем защиты информации.

С точки зрения информационных технологией, автоматические системы управления технологическим процессом (АСУ ТП) - многокомпонентная сетевая распределенная система, предназначенная для управления различными производственными процессами. С точки зрения хакеров эти системы интересны тем, что нарушив их работу можно вызвать сбой в работе производственной линии. В случае, если в процессе производства используются радиоактивные, токсические или взрывоопасные вещества подобный сбой может привести к катастрофе техногенного характера.

С точки зрения производства автоматизированная система управления технологическим процессом (АСУ ТП) - комплекс программных и технических средств, предназначенный для автоматизации управления технологическим оборудованием на предприятиях. Под АСУ ТП обычно понимается комплексное решение, обеспечивающее автоматизацию основных технологических операций на производстве в целом или каком-то его участке, выпускающем относительно завершенный продукт.

В английской литературе для обозначения АСУ ТП обычно используются термины, Industrial Control System, Process Control Systems или AutomaticControlSystems. В зарубежных источниках можно встретить следующую классификацию АСУ ТП, в соответствие с которой все АСУ ТП делятся на три класса: SCADA (Supervisory Controland Data Acquisition) - этот термин можно перевести как “система телемеханики”, “система телеметрии” или “ система диспетчерского управления”. Предназначение этой системы - контроль и мониторинг объектов с участием диспетчера. Термин SCADA часто используется в более узком смысле: часто так называется программный пакет визуализации технологического процесса. Однако в данном разделе под словом SCADA следует понимать целый класс систем управления. Для оценки уязвимости SCADA системы ведущие производители систем управления информационной безопасности (SIEM) даже выпускают отдельные продукты в своем составе.

Существует еще один термин в англоязычной литературе PLC (ProgrammableLogicController) - программируемый логический контроллер (или сокращенно ПЛК). Под термином ПЛК часто подразумевается аппаратный модуль для реализации алгоритмов автоматизированного управления. Тем не менее, термин ПЛК имеет и более общее значение и часто используется для обозначения целого класса систем.

Типовые задачи систем PLC:

1. Управление конвейерными производствами;

2. Управление робототехникой;

3. Высокоскоростное управление приводами,

4. Управление позиционирующими устройствами;

5. Сигнализация, оповещение;

6. Управление комплектными технологическими машинами.

DCS (DistributedControlSystem) - распределенная система управления (РСУ). РСУ, как правило, применяются для управления непрерывными технологическими процессами. Для РСУ отказ, а соответственно и останов технологического процесса, недопустим. Высокая отказоустойчивость достигается путем резервирования аппаратных и программных компонентов системы, использования компонентов повышенной надежности, внедрения развитых средств диагностики, а также за счет технического обслуживания и непрерывного контроля со стороны человека.

Специальные технические средства защиты информации (СТС) программные и программно-аппаратные комплексы, предназначенные для защиты информации в информационных системах.

Протокол передачи данных -- стандарт, описывающий правила взаимодействия функциональных блоков при передаче данных.

Уязвимость (англ. vulnerability) - могут появляться в результате ошибок программирования и проектирования, некорректных настроек приложений и общесистемного ПО (ОС, СУБД, средств виртуализации, сетевых компонентов), отсутствия, либо неправильной настройки дополнительных средств защиты (межсетевых экранов, антивирусов). Обычно уязвимость позволяет атакующему «обмануть» приложение -- заставить его совершить действие, на которое у того не должно быть прав. Это делается путем внедрения каким-либо образом в программу данных или кода в такие места, что программа воспримет их как «свои». Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в интерпретируемый код произвольные команды (SQL-инъекция, XSS, SiXSS). Другие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ (переполнение буфера).

Оценка защищенности объектов в критических инфраструктурах осуществляется на основе действующих стандартов по безопасности в системах управления безопасностью с поддержкой архитектуры SCADA, более того за рубежом такие стандарты устанавливаются регулятором в этой области - TheNorthAmericanElectricReliabilityCorporation (NERC) . В нашей стране действующего единого отраслевого стандарта по безопасности объектов в архитектуре SCADA пока нет как такового. За рубежом таким примером настроек оборудования является стандарт NERC CIP-007 R8.

Оценка защищенности - это процесс идентификации уязвимостей в исследуемой системе, проводимый как SIEM системой так отдельно стоящим рабочим местом со сканером безопасности. Поиск уязвимостей - часть мероприятий по анализу защищенности информационной структуры, еще необходимо вести сбор логов с промышленных систем и оценивать аномальные события доступа в систему - ведь такие ошибки несанкционированного доступа могут быть следствием ошибок проектирования, реализации или настройки. Как правило, в ходе оценки защищенности сверяются данные с результатами сбора логов в подсистемах авторизации к объектам инфраструктуры и предлагаются варианты устранения найденных уязвимостей путем, повторной проверки системы в целях снижения вероятности успешных атак в дальнейшем. Такие SIEM системы в настоящее время существуют только у потенциального противника и необходимо вести направление в разработке данных систем в России.

Рис. 1.1 - Типовая схема АСУ ТП

В общем виде АСУ ТП (ICS) содержит следующие ключевые компоненты:

Контур контроля - состоит из измерительных датчиков, средств управления, таких как PLC, и механизмов, таких как распределительные клапаны, прерыватели, выключатели, двигатели и соединения с вариаторами. Управляемые значения переменных передаются от датчиков диспетчеру. Диспетчер интерпретирует сигналы в переменные, оценивает их и корректирует.

Человеко-машинный интерфейс (HMI) - операторы и инженеры используют эти интерфейсы для мониторинга, конфигурирования, установки параметров контроллеров и контроля алгоритмов. Интерфейсы способны отображать как текущую информацию о процессах, так и историческую информацию.

Утилиты диагностики и технической поддержки - используются для предотвращения, идентификации, восстановления после неправильных операций и сбоев.

Сервер контроля - на сервер контроля устанавливается ПО администратора PLC или DSC, которое взаимодействует с устройствами нижнего уровня. Этим серверам подчиняются модули контроля, при помощи сети ICS.

SCADA ServerorMasterTerminalUnit (MTU) - устройство, которое выступает в роли главного в сети SCADA, ему подчиняются остальные устройства и контроллеры PLC.

RemoteTerminalUnit (RTU). Удаленный узел телеметрии предназначен для получения и накопления данных для системы SCADA. Как правило, имеет радио интерфейс и устанавливается в тех случаях, когда нет возможности подключиться при помощи кабеля. Иногда контроллеры PLC в полевом варианте способном работать в качестве RTU.

ProgrammableLogicController (PLC) - программируемые логические контроллеры маленький индустриальный компьютер первоначально разработанные, чтобы выполнять логические функции, реализованные в виде устройств (реле, выключатели, и механические таймеры/счетчики). В ходе развития контроллеры научились работать со сложными комплексными процессами и сейчас являются частью систем SCADA и DCS. Часть контроллеров были разработаны в «полевом» варианте как контроллеры процессов и RTU. Контроллеры PLC часто используются в окружении SCADA так как дешевы, удобны в конфигурации и очень гибки, в отличии от специально разработанных RTU.

IntelligentElectronicDevices (IED) - «умный» датчик способный собирать данные от окружающих устройств и производить первичную обработку. IED объединяет аналоговый вход, аналоговый выход, может контролировать низкоуровневые устройства, имеет систему связи и программируемую память на одном устройстве. Датчики IEDs используются в SCADA и DCS на локальном уровне.

Хранилище данных - централизованная база данных регистрирующая все события в пределах АСУ ТП (ICS). Информация в нем доступна для получения и анализа.

Сервер ввода/вывода Input/Output (IO) Server - компонент подсистемы контроля, ответственный за сбор, буферизацию и обеспечения доступа к информации, обрабатывает информацию от всех типов датчиков. Может быть расположен на сервере управления или на отдельной аппаратной платформе, этот сервер предназначен для интеграции с человеко-машинным интерфейсом.

1.1 Сетевые компоненты

Сети АСУ ТП очень сильно различаются по архитектуре, структуре и протоколам передачи данных, но основное их направление развития - это широкое использование сетей Ethernet, протокола TCP/IP и интеграция с внешними сетями и интернет. Это вызвано необходимостью оперативного управления и оперативной отчетности перед руководством компаний. Ниже приведены сетевые компоненты одинаковые для всех типов сетей АСУ ТП.

Сеть «полевая шина» (FieldbusNetwork ) - этот тип сетей позволяет подключать датчики и различные устройства к контроллерам PLC и другим типам контроллеров. Позволяет избегать двухточечной проводки от сенсора к контроллеру, который может использовать набор разных протоколов. Сенсоры посылают пакеты в сеть, с уникальным идентификатором сенсора используя его контроллер, производит сортировку пакетов и управляет сенсорами.

Контрольная сеть (ControlNetwork) - позволяет управлять устройствами на низком уровне.

Маршрутизатор - коммуникационное устройство, которое передает сообщения между двумя сетями. Использование для маршрутизаторов включает соединение LAN к WAN и подключение MTUs и RTUsк интернет для связи со SCADA.

Межсетевой экран - защищает устройства, в сети контролируя и управляя передачей пакетов. Использует для этого предопределенную политику фильтрации.

Модемы - устройства для модуляции и демодуляции сигнала ИТ - сетей в сигнал телефонной сети и обратно. Часто используются для связи с удаленными компонентами SCADA.

Точки удаленного доступа - позволяют получить удаленный доступ через интернет для управления и контроля АСУ ТП.

1.2 Протоколы обмена данными и управления в АСУ ТП

DistributedNetworkProtocol (DNP3) -- (стандарт IEEE Std 1815-2010) это протокол передачи данных, используемый для связи между компонентами АСУ ТП. Был разработан для удобного взаимодействия между различными типами устройств и систем управления. Может применяться на различных уровнях АСУ ТП.

Протокол DNP3 работает на трех уровнях сетевой модели OSI: прикладном (оперирует объектами основных типов данных), канальном (предоставляет несколько способов извлечения данных) и физическом (в большинстве случаев используются интерфейсы RS-232 и RS-485).

Каждое устройство имеет свой уникальный адрес для данной сети, представленный в виде целого числа от 1 до 65520.

Протокол EtherCAT -- стандарт промышленной сети, относимый к семейству IndustrialEthernet и технологиям, используемым для распределенного управления в режиме реального времени. Стандарт протокола EtherCAT разработан компанией Beckhoff, целью разработки протокола было использование технологии Ethernet для автоматизации приложений, которые требуют частого обновления времени, также называемым временем цикла, с низким дрожанием связи и низкими затратами на аппаратное обеспечение. Пакеты EtherCAT пропускаются внутри стандартного фрейма Ethernet.

Управляемые EtherCAT устройства не занимаются приёмом и отправкой пакетов в классическом смысле слова. Вместо этого, каждая полученная дейтаграмма считывается «на лету» одновременно с отправкой дальше. Вставка данных происходит сходным образом. За счёт такого подхода удается добиться малого времени обработки дейтаграммы. Все устройства в сети адресуется одной дейтаграммой, которая последовательно обрабатывается каждым устройством.

Спецификация протокола EtherCAT доступна только членам организации, что значительно удорожает введение устройств EtherCAT в системы диспетчеризации. Протокол EtherCAT оперирует пакетами, передаваемыми непосредственно внутри стандартного фрейма IEEE 802.3 Ethernet (с применением Ethertype 0x88a4) или внутри датаграммы UDP/IP.

FL-net
Протокол FL-net (OPCN-2) - это результат инициативы по стандартизации JEMA (JapanElectricalManufacturersAsscociation и прочих органов по стандартизации Японии.FL-net - сеть уровня контроллеров, которая дополняется на уровне оборудования сетью OPCN-1.FL-net основывается на Industrial Ethernet, разработана для связи между контроллерами PLC, CNC или роботизированными контроллерами от различных производителей на базе единого открытого стандарта. Его базовая спецификация является обязательной для участников Japan Automobile Manufacturers Association (JAMA) для построения систем высокой надежности. Устройства сети FL-net сертифицируются на предмет поддержки стандарта FL-net в независимом комитете Japanesecer tification committee.

Рис. 1.2 Схема работы сети FL-net

Протокол FL-net позволяет объединять в единую сеть компьютеры, контролеры FA, программируемые логические контроллеры (PLC) или компьютеризированные числовые контроллеры (CNC). Данный протокол является открытым, что позволяет использовать оборудование от разных производителей.

Рис. 1.3 Соотношение уровней взаимодействия протокола FL-net

В сети FL-net связь между узлами сети устанавливается с использованием номера узла в качестве адреса устройства и общей памяти называемой регистрами связи. Пакеты передаются в сети циклически от узла к узлу, что не требует установки на узлах дополнительного ПО. Таким образом, передаются команды управления между всеми типами контроллеров и компьютером, дополнительное ПО требуется только в случае передачи данных в этой сети. К сети FL-net можно подключать обычные компьютеры для взаимодействия с контроллерами различных типов, единственное ограничение, для этого необходима сетевая плата, оснащенная интеллектуальным процессором, в этой роли может выступать обычная сетевая плата для Ethernet, но рекомендуется применение специальных плат для сетей FL-net.

Для сети FL-net обычно устанавливается обычный IP адрес 192.168.250. X, где X меняется в диапазоне от 1 до 250.

Команды управления устройствами сети отличаются от таковых команд в Ethernet и специфицированы в стандарте. Доступ к памяти устройств является открытым и не требует процедуры аутентификации на устройствах, данные передаются в открытом виде, процедур шифрования в протоколе не применяется. Каждый запрос к устройству имеет максимальные привилегии, так как разделения прав доступа не осуществляется.

Технология FoundationFieldbus является цифровым, последовательным, двусторонним протоколом связи, которая служит в качестве базового уровня сети в заводских или фабричных системах автоматизации. Это открытая архитектура, разрабатываются и осуществляются организацией FoundationFieldbus. Консорциум FieldbusFoundation является некоммерческой организацией, которая была образована в результате слияния двух других консорциумов, продвигавших протоколы полевых шин, -- WorldFIP (NorthAmerica) и InterOperableSystemsProject. В работе FieldbusFoundation, штаб-квартира которой расположена в городе Остин (штат Техас), участвуют порядка 90% поставщиков аппаратно-программных средств АСУТП на мировой рынок.

Данный интерфейс предназначен для приложений, использующих базовые (контроль) и расширенные (регулирование) возможности дискретного управления, связанные с этими функциями. FoundationFieldbus технология в основном используется в обрабатывающей промышленности, но в настоящее время она реализуется в электроэнергетике тоже.

Различают две связанные между собой реализации интерфейса FoundationFieldbus. Они были введены для удовлетворения различных потребностей в среде автоматизированных систем. Эти две реализации используют различные физические среды и скорости передачи и обмена данными.

· FoundationFieldbus H1 работает на скорости 31,25 кбит/с и обычно соединяется напрямую с полевыми устройствами. Данный интерфейс обеспечивает связь и управление по стандартной витой паре проводов. FoundationFieldbus H1 в настоящее время является наиболее распространенной в реализации интерфейса.

· FoundationFieldbus HSE (High-speedEthernet) работает на скорости 100 Мбит/с и, как правило, соединяет входы/выходы подсистем, узлов сети, шлюзов, и полевых устройств с помощью стандартного кабеля Ethernet. Данная реализация этого интерфейса в настоящее время не обеспечивает питание по кабелю, хотя ведутся работы, чтобы решить эту проблему.

Modbus -- открытый коммуникационный протокол, основанный на архитектуре «клиент-сервер». Широко применяется в промышленности для организации связи между электронными устройствами. Может использоваться для передачи данных через последовательные линии связи RS-485, RS-422, RS-232, а также сети TCP/IP (Modbus TCP).

Не следует путать MODBUS и MODBUS Plus. MODBUS Plus -- проприетарный протокол принадлежащий SchneiderElectric. Физический уровень уникальный, похож на Ethernet 10BASE-T, полудуплекс по одной витой паре, скорость 1 Мбит/с. Транспортный протокол -- HDLC, поверх которого специфицировано расширение для передачи MODBUS PDU.

В настоящее время развитием Modbus занимается некоммерческая организация Modbus-IDA.

Стандарты MODBUS состоят из 3 частей:

· Документ ModbusApplicationProtocol содержит спецификацию прикладного уровня сетевой модели OSI:

o Элементарный пакет протокола, так называемый PDU (ProtocolDataUnit), он един для всех физических уровней. PDU упаковывается в индивидуальный пакет для каждого транспорта applicationdataunit (ADU).

o Коды функций и состав PDU для каждого кода.

· Документ Modbusoverserialline содержит спецификацию канального и физического уровней сетевой модели OSI для физических уровней RS-485 и RS-232. В принципе, может использоваться любой физический уровень, основанный на асинхронном приемопередатчике.

· ДокументMODBUS Messaging on TCP/IP Implementation Guide содержит спецификацию ADU для транспорта через TCP/IP стек.

Протокол MODBUS TCP/IP базируется на стеке протоколов TCP/IP и прежде всего, предназначен для работы на базе сетей Ethernet. Этот протокол детально описан в спецификациях MODBUS-IDA, согласно которым, коммуникационная система MODBUS TCP/IP может включать в себя различные типы устройств:

· MODBUS TCP/IP Клиенты и Серверы, подключенные к TCP/IP сети;

· межсетевые устройства типа мостов, маршрутизаторов или шлюзов для соединения TCP/IP сети с последовательными линиями подсетей, что позволяет обмениваться данными с MODBUS Serial серверными устройствами.

Таким образом, коммуникационная система MODBUS TCP/IP позволяет обмениваться устройствам не только на сетях со стеком TCP/IP, а также с устройствами на последовательных линиях связи (MODBUS RTU/ASCII или MODBUS+).

OPCUnifiedArchitecture (англ. Унифицированная архитектура OPC) -- спецификация, определяющая передачу данных и взаимодействие устройств в промышленных сетях.Разработана промышленным консорциумом OPC Foundation и значительно отличается от его предшествующих спецификаций. Этот вариант архитектуры обладает объединённым механизмом адресации и доступа к данным. Получение текущих и архивных значений происходит единообразно, от одного источника. В OPCUA был изменен механизм взаимодействия сервера и клиента, произошел отказ от использования DCOM в пользу XML, что положительно повлияло на безопасность этого протокола, так как сообщения XML проще фильтровать при помощи межсетевых экранов. Протокол использует авторизацию пользователей на базе сертификатов PKI и шифрование передаваемой информации.

Протокол OPCUA состоит из двух подпротоколов, которые с точки зрения приложений и программистов будут отличаться лишь URL:

1. Двоичный протокол

· обеспечивает лучшую производительность, минимальные накладные расходы;

· потребляет минимум ресурсов (не требуются парсер XML, SOAP и HTTP, что важно для встраиваемых устройств);

· наилучшая совместимость (двоичный код определён явно и допускает меньшую степень свободы в процессе исполнения в отличие от XML);

· всего один порт TCP (4840) используется для коммуникации и легко может быть туннелирован или пропущен через межсетевой экран.

2. Веб-службы (SOAP)

· легко могут быть использованы, например, из окружения Java или .Net;

· применимы с межсетевыми экранами. Порты 80 (http) и 443 (https) обычно будут использоваться без дополнительных настроек.

Так как имеющийся стек ANSI C поддерживает оба протокола, то ожидается, что большинство конечных продуктов смогут обмениваться информацией по более эффективному двоичному протоколу.

Безопасность унифицированной архитектуры основывается на применении процедур аутентификации и авторизации, шифрования и обеспечения целостности данных при помощи сигнатур. Для этого OPC Foundation ориентировалась на спецификации WebServiceSecurity. Для веб-служб используются WS SecureConversation и, следовательно, они совместимы с .NET и другими реализациями SOAP. Для двоичного протокола реализованы алгоритмы WS SecureConversation, которые конвертируются в двоичный эквивалент, в этом случае они называются UA SecureConversation. Также существует смешанная версия протокола, где код двоичен, но транспортным уровнем является SOAP. Двоичное кодирование всегда требует UA SecureConversation. При аутентификации используются исключительно сертификаты x509. В результате, можно использовать PublicKeyInfrastructure (PKI) из ActiveDirectory.

Протокол OPCUnifiedArchitecture позволяет использовать PKI инфраструктуру и протоколы TLS, Kerberos для установления защищенных соединений между всеми узлами сети. Контроллеры, использующие данных протокол способны использовать сертификаты открытых ключей для установления защищенных соединений. В протоколе, также, предусмотрена интеграция с LDAP, что позволяет использовать механизм разделения прав доступа.

Протокол PROFINET -- является открытым промышленным стандартом для автоматизации EthernetPROFIBUS&PROFINETInternational (PI). PROFINET использует TCP / IP и режим реального времени Ethernet.

Концепция протокола PROFINET основана на модульной структуре, так что пользователи могут использовать каскадирование функций. Функции этого протокола существенно отличаются в зависимости от типа обмена данными для выполнения очень высоких требований к скорости.

В PROFINET, существует две спецификации протокола - PROFINET CBA и PROFINET IO. PROFINET CBA подходит для компонентов на основе связи через TCP / IP, а PROFINET IO используется для общения в режиме реального времени в модульных инженерных системах. Обе спецификации можно использовать в сети параллельно.

PROFINET IO была разработана для связи реального времени (RT) и изохронного реального времени (IRT) с децентрализованной периферией.

PROFINET CBA и PROFINET IO могут работать в одно и то же время на одной и той же системной шине. Они могут работать по отдельности или в сочетании, так что подсистема ввода-вывода PROFINET выступает как система PROFINET CBA с точки зрения системы.

Модель протокола

В этом протоколе определены три подпротокола разного уровня:

- TCP / IP для PROFINET CBA - включение оборудования с временем реакции в диапазоне от 100 мс.

- RT (Real-Time) протокол PROFINET CBA и PROFINET IO приложений с циклом до 10мс

- IRT (IsochronousReal-Time) для PROFINET IO приложений в приводных системах с циклами меньше, чем 1 мс

Протокол PROFINET может быть записан и отображен с помощью любого анализирующего устройства Ethernet. В текущей версии программы перехвата сетевых пакетов Wireshark / Ethereal способны декодировать части сообщения PROFINET.

Компоненты

Cистема PROFINET CBA состоит из различных частей, одна часть охватывает все механические, электрические и IT переменные. Компонент может быть создан с помощью стандартных средств программирования. Компонент описывается с помощью PROFINET ComponentDescription (PCD) , файлом в формате XML. Инструмент планирования загружает эти описания и активирует логические взаимосвязи между отдельными компонентами, которые будут созданы для осуществления установки.

Эта модель была в значительной степени основана на стандарте IEC 61499.

Основная идея в том, что CBA всей системы автоматизации во многих случаях может быть разделена на автономные операционные подсистемы, тем самым упростив архитектуру сети. Дизайн и функции могут на самом деле оказаться в идентичных или в слегка измененной форме в нескольких системах. Эти компоненты PROFINET, как правило, контролируются управляемым числом входных сигналов. В рамках компонента, программа управления, написанная пользователем выполняет требуемые функции в рамках компонента и передает соответствующие выходные сигналы на другой контроллер. Разработка, ведущаяся производителем - независима. Связи на основе компонентов системы только настраиваются, а не программируются. PROFINET CBA (без реального времени) подходит для шин с цикличностью примерно 50 ... 100 мс. Параллельная работа RT канала позволяет для данных циклов быть похожими на PROFINET IO (несколько мс).

AS-Interface (англ. ActuatorSensorInterface) -- интерфейс датчиков и исполнительных устройств.

Промышленная сеть, предназначенная для передачи преимущественно дискретных сигналов, используется обычно в машиностроении. Является «открытой» технологией. Спецификация разработана и поддерживается ведущими производителями систем автоматизации (в настоящий момент свыше 100 фирм-участниц). Топология сети -- любая. Для подключения датчиков разработан специальный плоский кабель с подключением под прокол изоляции (ножевые клеммы предусмотрены в конструкции модулей ввода-вывода). Версия AS-i 2.11 позволяет передавать аналоговые сигналы. Новейшей версией спецификации является AS-i 3.0.

Существует профиль протокола для систем повышенной безопасности ASi-Safe. Устройства повышенной безопасности подключаются по тому же кабелю и поддерживают уровень безопасности вплоть до SIL (SafetyIntegrityLevel) 3 согласно IEC 61508 и вплоть до SafetyCategory 4 согласно EN 954-1.

Обобщая все вышеизложенное, следует отметить, что все рассмотренные протоколы, так или иначе работают с использованием IndustrialEthernet или взаимодействуют с другими сегментами сетей, основанными на использовании TCP/IP. Такой подход в построении промышленных сетей привел к тому, что многие угрозы, характерные для ИТ сетей стали актуальными и для промышленных сетей. Промышленные сети, в свою очередь, оказались к ним не готовы, так как их протоколы, очень часто, не предусматривают использования процедур шифрования, аутентификации, разделения прав доступа и прочих механизмов обеспечения безопасности вычислительных сетей. Такое положение дел возникло исторически, и связано с несколькими причинами:

1. Промышленные сети, до последнего времени, всегда были локальными.

2. Промышленные сети использовали свои, не связанные с TCP/IP протоколы.

3. Промышленные сети ориентированы на взаимодействие в реальном режиме времени, а любые процедуры безопасности вносят задержку в передачу информации.

Этого достаточно для того, чтобы обеспечить безопасность промышленных сетей на промышленных объектах под управлением АСУ ТП. Но, со временем, подход к построению промышленных сетей изменился. В настоящий момент мы получили большое количество угроз в АСУ ТП, которые крайне сложно парировать без модификации протоколов промышленных сетей производителями.

2. Объект исследования - Системы контроля и управления доступом (СКУД и СКД)

Системы контроля доступаявляются обязательным элементом комплексных систем безопасности. Cистема контроля и управления доступом позволяет автоматически контролировать не только вход людей в здание или помещение, но и выход из него, являясь эффективным средством защиты от проникновения посторонних лиц на территорию объекта. В результате этого контроль доступа помогает обеспечивать не только сохранность материальных ценностей, но и безопасность персонала организации. Помимо предотвращения доступа посторонних на территорию офиса, позволяет разграничить проход сотрудников и посетителей в ответственные помещения организации. Также установка системы контроля доступа на проходной предприятия позволяет автоматизировать работу пункта охраны в бюро пропусков, исключая влияние человеческого фактора. Тем самым контроль управления доступом позволяет упорядочить проход посетителей в приемную организации.

Чаще всего, система контроля доступа для большей эффективности интегрируется с другими системами безопасности: с системой видеонаблюдения или с охранной сигнализацией.

Отличие СКУД от СКД заключается в возможности последующего перепрограммирования системы безопасности в отношении конкретных параметров доступа. Таким образом, СКУД представляет из себя более гибкую систему безопасности по сравнению с СКД.

2.1 Основные элементы системы контроля доступа

Сегодня на Российском рынке можно найти СКУД самых разных производителей. Основные элементы систем безопасности неизменны: контроллер управления, считыватели персональных идентификаторов, персональные идентификаторы - бесконтактные карты, различные жетоны или брелоки, устройства согласования и блокирующие устройства.

Персональные идентификаторы выдаются персоналу организации и используются в дальнейшем в качестве пропусков по территории офиса или предприятия. Каждый такой идентификатор содержит в себе уникальный код, который извлекается считывателем. Персональные идентификаторы различаются по протоколам связи со считывателями, поэтому при проектировании СКУД необходимо, чтобы считыватель и идентификатор поддерживали один и тот же протокол связи. В России наиболее распространены протоколыEm-mаrine, Mifаre.

Считыватели СКУД отвечают за извлечение информации с кодоносителя и её дальнейшую передачу контроллеру системы.

Контроллеры СКД - наиболее важный элемент в контроле доступа. Надежность и производительность контроллеров СКУД сильно сказывается на дальнейшей работе всей системы. Следует уделять внимание таким характеристикам как: максимальное число пользователей (идентификаторов), наличие внутренних часов, количество регистрируемых событий, поддержка программируемых правил. Устройства согласования используются для подключения одного или нескольких контроллеров системы к офисному компьютеру или серверу. В некоторых случаях устройство согласования уже встроено в контроллер доступа. Блокирующие устройства - шлагбаумы, турникеты, электро-механические и электромагнитные замки, калитки и шлюзы. Выбор блокирующего устройства выполняется исходя из требований конкретного объекта.

2.2 Принцип работы системы контроля и управления доступом

Существуют различные конфигурации систем контроля управления доступом: самые простые из них рассчитаны всего на одну входную дверь, а самые сложные предназначены для контроля доступа на крупных объектах - предприятиях, заводах и банках.Работа системы контроля и управления доступом выстроена следующим образом: на проходной предприятия, при входе в ответственные помещения устанавливаются средства контроля доступа: электромеханические турникеты, электромеханические или электромагнитные замки, считыватели бесконтактных карт. Устройства подключаются к контроллерам СКУД. Каждому сотруднику предприятия выдается персональный идентификатор, чаще всего это оказывается бесконтактная карта доступа - пластиковая карточка с уникальным электронным кодом (proximity карта). Но возможно и применение магнитных карт (touch memory устройств). Этот идентификатор одновременно является пропуском на проходной организации и ключом от тех помещений, куда сотруднику разрешен доступ.

К контроллеру СКУД отдельноподключется охранная сигнализация, в состав которой входят охранные датчики. Все события о проходах через контрольные пункты фиксируются в памяти системы управления доступом и могут использоваться для автоматизированного учета рабочего времени, а также для получения отчетов по дисциплине труда или для возможных служебных расследований на предприятии.

Функционал систем и уровень их отчетности на 90% зависит от качества и возможностей используемого в СКУД программного обеспечения.

2.3 Основные возможности системы контроля и управления доступом

Контроль и управление доступом - это основная функция системы.С помощью данной функции производится разделение прав доступа сотрудников в определенные помещения, а также отказ в доступе нежелательным лицам. Кроме того, возможно дистанционное управление блокирующими устройствами (замки, турникеты и пр.). СКУД позволяет запретить проход для сотрудников в праздничные и выходные дни, а также после окончания рабочего дня.

СКУД собирает информацию о лицах, которые прошли через определенные точки контроля доступа. По каждому сотруднику возможно получение информации о времени входа и выхода, попытке доступа в запрещенные для него помещения и зоны, а также попытке прохода в неразрешенное время. Следуя информации о последней точке прохода, СКУД позволяет определить местонахождение сотрудника в любой момент времени.

Автономность работы системы - оснащенность системой бесперебойного питания, что позволяет не прерывать работу в случае отключения электричества в здании. Также система контроля доступом благодаря функционалу контроллера имеет возможность продолжать работу, например, при выходе управляющего компьютера из строя.

Охрана объекта в реальном времени - возможность ставить определенные помещения на охрану и снимать их с охраны. Кроме того, в реальном времени можно получать сведения о всевозможных внештатных и тревожных ситуациях через специальные оповещения ответственных лиц. Помимо этого в базе данных системы регистрируются все тревожные события и происшествия, что дает возможность доступа к этой информации в дальнейшем при необходимости. Благодаря имеющимся у СКУД средствам, сотрудник охраны со своего рабочего места при помощи компьютера имеет возможность не только управлять дверьми и турникетами, но и подавать сигналы тревоги. В компьютер СКУД у сотрудника охраны могут быть занесены все поэтажные планы здания со схемой расположения контроллеров ограничения доступа.

Удаленное управление системой через интернет или с мобильного телефона - возможность вести удаленное управление и контроль за работой системы.

Интеграция СКУД и СКД с другими системами безопасности и охраны - системой видеонаблюдения, охранной и пожарной сигнализацией. Так, например, контроль доступом вместе с видеонаблюдением обеспечивают абсолютный контроль над охраняемыми помещениями. При возникновении внештатной ситуации такая система в кратчайшие сроки позволит выявить и заблокировать нарушителя.

При интеграции СКУД и охранной сигнализации имеется возможность настроить совместную реакцию системы на несанкционированное проникновение в то или иное помещение. Например, включить сирену на пункте охраны, тревожную лампу или же и вовсе заблокировать все двери в требуемой части здания.

Интеграция СКУД с системой пожарной сигнализации позволяет автоматически разблокировать двери, турникеты и проходные в случае пожара. Все эти меры значительно упрощают эвакуацию персонала.

3. Проектирование систем контроля доступа

При проектировании системы контроля доступа необходимо учитывать накладываемые ей ограничения на количество обслуживаемых пользователей. Это ограничение также должно удовлетворять условиям перспективного развития компании, в противном случае при достижении определенного количества сотрудников и посетителей возможны проблемы замены оборудования на более ёмкое. Наиболее оптимальным решением на этапе проектирования СКУД выглядит установка модульной системы, допускающей при необходимости довольно быстрое и удобное расширение или модернизацию. В условиях ограниченного бюджета также нелишним будет заложить возможность дальнейшей интеграции СКД с другими системами безопасности (видеонаблюдение, охранная и пожарная сигнализация).

· Разработка технического задания и решения с выездом на объект;

· Расчет стоимости проекта СКУД на основе данных технического задания;

Монтаж и установка СКУД и СКД на объекте:

· Монтаж устройств: считыватели, контроллеры, блокирующие устройства, мониторы и компьютеры управления;

· Установка и настройкаПОдля управления СКУД: программирование работы контроллеров и настройка компьютеров управления;

· Комплекс пуско-наладочных работ и предварительное тестирование работы системы;

· Выдача сотрудникам собственных идентификаторов и инструктаж службы охраны по использованию системы безопасности.

3.1 Основные компоненты скуд

Системы контроля и управления доступом позволяют осуществлять:

- ограничение доступа сотрудников и посетителей объекта в охраняемые помещения;

- временной контроль перемещений сотрудников и посетителей по объекту;

- контроль за действиями охраны во время дежурства;

- табельный учет рабочего времени каждого сотрудника;

- фиксацию времени прихода и ухода посетителей;

-временной и персональный контроль открытия внутренних помещений (когда и кем открыты);

- совместную работу с системами охранно-пожарной сигнализации и телевизионного видеоконтроля (при срабатывании извещателей блокируются или наоборот, например, при пожаре разблокируютсядвери охраняемого помещения или включается видеокамера);

- регистрацию и выдачу информации о попытках несанкционированного проникновения в охраняемое помещение.

СКУД состоит из следующих компонент:

- устройства идентификации (идентификаторы и считыватели);

- устройства контроля и управления доступом (контроллеры);

- устройства центрального управления (компьютеры).

- устройства исполнительного (замки, приводы дверей, шлагбаумов, турникетов и т.).

В зависимости от применяемой СКУД на объекте, отдельные ее устройства могут быть объединены в один блок (контроллер со считывателем) или вообще отсутствовать (персональный компьютер).

3.2 Устройства идентификации доступа

Устройство идентификации доступа (идентификаторы и считыватели) считывает и расшифровывает информацию, записанную на идентификаторах разного типа и устанавливает права людей, имущества, транспорта на перемещение в охраняемой зоне (объекте).

Контролируемые места, где непосредственно осуществляется контроль доступа, например, дверь, турникет, кабина прохода, оборудуются считывателем, устройством исполнительным и другими необходимыми средствами.

В СКУД существует порядка десяти видов идентификаторов и считывателей, использующих различные способы записи, хранения и считывания кодовой информации, обеспечивающие разный уровень секретности и имеющие существенно отличающиеся цены.

Наиболее широкое распространение получили карточки: перфорированные, со штриховым кодом, магнитные, виганд-карточки, бесконтактные (proximity), электронные ключи "TouchMemory".

3.3 Устройства контроля и управления доступам

Контроллеры - электронные устройства, контролирующие работу считывателей и управляющие устройствами исполнительными.

Основное назначение - хранение баз данных кодов пользователей, программирование режимов работы, прием и обработка информации от считывателя, принятие решений о доступе на основании поступившей информации, управление исполнительными устройствами и средствами оповещения.

Дополнительные функции контроллеров:

- защита от повторного использования карточки;

- наличие и возможности программирования временных зон;

- наличие релейных выходов для подключения средств оповещения, телевизионного оборудования и т.д.;

-возможность подключения охранной сигнализации;

- возможность установки двух и более считывателей на одну дверь для организации двухстороннего прохода или многоуровневого контроля.

На практике применяются контроллеры рассчитанные на управление 1-8 считывателями. Все контроллеры, используемые на объекте, могут быть объединены в единую систему и подключаться к ведущему контроллеру, либо к компьютеру, управляющему работой всех контроллеров.

3.4 Устройства центрального управления

Персональный компьютер предназначен для программирования СКУД, получения информации о пользователях системы, дате и времени прохода пользователей через контрольные устройства, срабатывании средств охранно-пожарной сигнализации, видеоконтроля, попыток, несанкционированного прохода, аварийных ситуациям и т.п.

Для работы в СКУД может использоваться любой персональный IBM- совместимый компьютер. Русифицированное программное обеспечение под Windows позволяет осуществлять автоматическую запись данных по всем операциям входа/выхода. Текущее состояние СКУД отображается в графической форме. В компьютер вводится план охраняемого объекта, на котором стандартными значками указываются считыватели, замки, технические средства охранно-пожарной сигнализации, видеоконтроля и т.п.

3.5 Устройства исполнительные

Устройства исполнительные принимают команды управления с контроллеров и обеспечивают блокировку возможных путей несанкционированного проникновения через устройства заграждения (двери, ворота, турникеты, кабины прохода и т.п.) людей, имущества, транспорта в помещения, здания и на территорию.

В устройствах исполнительных применяются исполнительные механизмы электромеханического и электромагнитного принципа действия.

Электромеханический принцип действия исполнительного механизма основан на перемещении закрывающих элементов (запоров, ригелей замков и т.п.) с помощью включения на время их передвижения электромотора или электромагнита.

Часто в устройствах исполнительных применяется электромагнитная блокировка (магнитные защелки, задвижки и т.п.) закрывающих элементов с возможностью перемещения их вручную при открывании или закрывании в экстремальных условиях.

4. Классификация СКУД

4.1 Критерии оценки системы

Критериями оценки СКУД являются основные технические характеристики и функциональные возможности.

К основным техническим характеристикам относятся:

уровень идентификации;

- количество контролируемых мест;

- пропускная способность;

- количество пользователей;

- условия эксплуатации.

По уровню идентификации доступа СКУД могут быть:

- одноуровневые - идентификация осуществляется по одному признаку, например, по считыванию кода карточки;

- многоуровневые - идентификация осуществляется по нескольким признакам, например, по считыванию кода карточки и биометрическим данным.

Но количеству контролируемых мест СКУД может быть:

- малой емкости (до 16);

- средней емкости (от 16 до 64);

- большой емкости (более 64).

По условиям эксплуатации различают системы (части систем) для работы:

- в закрытых отапливаемых помещениях;

- в закрытых неотапливаемых помещениях;

- под навесом на улице в условиях умеренно-холодного климата;

- на улице в условиях умеренно-холодного климата;

- в особых условиях (повышенная влажность, запыленность, вибрации и т. п.).

К основным функциональным возможностям относятся:

- возможность оперативного перепрограммирования;

- схемно-техническая и программная защита от вандализма и саботажа;

- высокий уровень секретности;

- автоматическая идентификация;

- разграничения полномочий сотрудников и посетителей по доступу в помещения и на объект в целом;

- надежное механическое запирание контролируемых мест с возможностью аварийного ручного открытия;

- автоматический сбор и анализ данных;

- выборочная распечатка данных.

Таблица 4.1

Класс системы

Степень защиты от несанкционированного доступа

Выполняемые функция

Применение

1

Недостаточная

Одноуровневые СКУД малой емкости, работающие в автономном режиме и обеспечивающие:

- допуск в охраняемую зону всех лиц, имеющих соответствующий идентификатор;

- встроенную световую/звуковую индикацию режимов работы;

-управление (автомати-ческое или ручное) открытием/закрытием устройства заграждения (например, двери).

На объектах, где требуется только ограничение доступа посторонних лиц (функция замка)

2

Средняя

Одноуровневые и многоуровневые СКУД малой и средней емкости, работающие в автономном или сетевых режимах и обеспечивающие:

- ограничение допуска в охраняемую зону конкретного лица, группы лиц по дате и временным интервалам в соответствии с имеющимся идентификатором;

- автоматическую

То же, что для СКУД 1-го класса.

На объектах, где требуется учет и контроль присутствия сотрудников в разрешенной зоне.

В качестве дополнения к имеющимся на объекте системам охраны и защиты.

регистрацию событий в собственном буфере памяти, выдачу тревожных извещений (при несанкционированном проникновении, неправильном наборе кода или взломе заграждающего устройства или его элементов) на внешние оповещатели или внутренний пост охраны;

-автоматическое управление открытием/закрытием устройства заграждения

3

Высокая

Одноуровневые и многоуровневые СКУД средней емкости, работающие в сетевом режиме и обеспечивающие:

- функции СКУД 2 класса;

- контроль перемещений лиц и имущества по охраняемым зонам (объекту);

- ведение табельного учета и баз данных по каждому служащему, непрерывный автоматический контроль исправности составных частей системы;

- интеграцию с системами и средствами ОПС и ТСВ на релейном уровне.

То же, что для СКУД 2-го класса.

На объектах, где требуется табельный учет и контроль перемещений сотрудников по объекту.

Для совместной работы с системами ОПС и ТСВ.

4

Очень высокая

Многоуровневые СКУД средней и большой

То же, что для СКУД 3-го класса.

емкости, работающие в сетевом режиме и обеспечивающие:

- функции СКУД 3 класса;


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.