Відкритий протокол контрольованих пристроїв OSDP - що потрібно знати про перспективи розвитку СКУД
На абсолютно любом предприятии или в любой организации существует своя политика безопасности. И одной из её основных целей является недопущение несанкционированного доступа посторонних людей в те или иные места, куда им попадать не положено. Принцип един для всех – от сверхтехнологичных лабораторий и производств, защищающих стерильные помещения и технологические секреты стоимостью в миллионы, до банальных забегаловок общественного питания, закрывающих туалеты от посещения людьми с улицы. Есть у тебя разрешение – ты можешь войти, нет – значит тебе туда не нужно. А вот методы защиты могут отличаться, и значительно – от установки самых простых вариантов, таких как замки и ключи, до систем, основанных на многофакторной идентификации с помощью биометрии. Все зависит от толщины кошелька организации и требований к уровню защищенности. Но знаете ли Вы, что даже наличие супер-пупер биометрических считывателей не дает Вам 100% гарантии, что Вашу защиту будет невозможно обойти злоумышленнику? Почему? Потому что огромную роль в построении современной СКУД играет наличие надежной и защищенной связи между устройствами, из которых она состоит. И вот как раз этому вопросу и посвящена наша сегодняшняя статья.
Актуальность проблемы защиты данных СКУД
Контроль доступа и наличие надежных идентификаторов пользователей являются основными строительными блоками политик безопасности для любого предприятия или организации. На их базе строится любая СКУД. И, в принципе, рынок предлагает массу интересных и технологически продвинутых решений, которые можно применить при конструировании своей собственной, не похожей ни на какую другую, системы контроля доступа. Хочешь – и идентификация пользователей будет проводиться с помощью простых магнитных карт, а хочешь – и с помощью их биометрических данных. Все зависит от бюджета и наличия фантазии. Как правило, считается, что чем более экзотичные способы идентификации пользователей используются – тем надежнее сама система. Внес лица пользователей в базу и всё - «враг не пройдет!». Лицо ведь не сдублируешь, как карту. И ведь вроде все так и есть, но вот только есть один интересный нюанс, о котором большая часть проектировщиков СКУД либо не знает, либо сознательно упускает его из виду. И этот нюанс заключается в том, что различные компоненты СКУД должны каким-то образом связываться между собой, передавая данные пользователей и команды от устройства к устройству. И вот как раз эти линии связи являются наиболее уязвимыми для потенциального злоумышленника, желающего обойти Вашу, любовно спроектированную и собранную СКУД. Почему так происходит и есть ли способы каким-то образом обезопасить себя от такого способа взлома – давайте разбираться вместе.
Если смотреть глобально – основная проблема с безопасностью в СКУД заключается в том, что риски, как и технологии, непрерывно развиваются. То, что было безопасным, удобным и эффективным несколько лет назад, часто оказывается нежелательным по мере того, как ранее казавшиеся невозможными вещи становятся реальными.
Как Вам, наверное, известно – большая часть современных СКУД построены с использованием определенных протоколов связи. И ноги этих протоколов растут из уже весьма далекого прошлого.
В начале 80-х годов прошлого столетия наблюдалась интересная тенденция: уверенно росло число субъектов предпринимательства, которые проявляли интерес к организации СКУД с центральным управлением. Такие комплексы, предположительно, должны были стать лучшей альтернативой использования привычных для большинства замков и ключей. Также велись поиски идей организации беспрерывной защиты объектов от всевозможных угроз, исходящих извне. В результате был разработан протокол Clock-and-Data и Wiegand, на тот момент казавшиеся весьма годным вариантом. Сразу же после разработки протокол и стал стандартом, обеспечивающим неразрывное эффективное взаимодействие между двумя ключевыми элементами СКУД – считывателями и контроллерами. Так, Clock-and-Data и Wiegand, протоколы в 90х годах стали стандартами, согласно нормам Ассоциации индустрии безопасности.
Clock-and-Data: что это такое в СКУД?
Clock-and-Data – уже очень редко используемый в наши дни протокол. Свое название получил из-за использования 2 одноименных линий (проводов). «Data» используется для отправки двоичных данных на панель управления, а «Clock» информирует панель о необходимости отправки запроса на линию данных. При отправке информационных битов по линии данных по линии тактового сигнала отправляется импульс. Последний генерирует команду панели управления для «опроса» линии данных и записи данного бита. Clock-and-Data на сегодняшний день является устаревшим протоколом. Это объясняется его низким уровнем безопасности. Все дело в том, что карточки, оснащенные магнитной полосой, легко поддаются дублированию.
Протокол Wiegand: особенности
Более 90% используемых СКУД работают по протоколу Wiegand. За счет этого он становится популярным каналом связи, предназначенным для технических составляющих контроля доступа для отправки данных со считывателя на контроллер. Это важный момент, означающий, что предполагаемые «слабые места» протокола могут серьезно влиять на сохранность отправляемых данных.
В свое время казавшийся весьма продвинутым, Wiegand протокол разрабатывался без учета требований безопасности компаний, работающих в современных реалиях, и все более серьезных угроз, которые являются своеобразными вызовами для субъектов предпринимательства с точки зрения обеспечения безопасности передачи данных. Wiegand как протокол имеет не ту степень безопасности, которая нужна системам контроля доступа. Причина заключается в отсутствии шифрования, наличии ограничений, связанных с дистанцией, и низкой эффективности. Кроме этого, протокол не может обеспечить связь контроллеров со считывающими устройствами для апгрейда прошивки, изменения конфигурации и состояния, а также других ключевых обновлений. Каждый юзер, которому хорошо известна специфика функционирования протокола Wiegand, может воспользоваться «слабыми сторонами» интерфейса, что создаст значительные проблемы для охраняемого объекта. И дело даже не в возможном проникновении туда, куда проникать нельзя. Данные, использующиеся в современных системах контроля доступа, содержат не только информацию о том, кто может или не может использовать определенные двери. Современные системы включают в себя широкий спектр личных данных, начиная от квалификации и сертификатов физических лиц, домашних контактных данных и даже данных о состоянии здоровья или информации о кадрах и занятости. И кража этой информации может нанести значительно больший ущерб как компании, так и лицам, которых она касается.
«Ну всё, приехали…» - возможно скажете Вы, дочитав до данного места. Если всё так плохо, то о какой надежности СКУД мы вообще говорим? Но не расстраивайтесь. На самом деле – описываемые проблемы протоколов связи стали очевидны уже достаточно давно и поставили перед производителями оборудования задачу разработать альтернативный протокол связи, соответствующий современным требованиям к уровню безопасности. И вот, чуть более 10 лет назад, в качестве альтернативы протоколам Clock-and-Data и Wiegand, имеющим немало недостатков с точки зрения обеспечения безопасной передачи данных, был представлен OSDP - Open Supervised Device Protocol или Открытый протокол контролируемых устройств, разработанный Mercury Security (теперь входит в HID Global) и HID Global в 2008 году и переданный Ассоциации индустрии безопасности (SIA) для оптимизации взаимодействия между техническими составляющими контроля доступа и безопасности. С тех пор протокол OSDP был принят в качестве стандарта SIA, став первым безопасным двунаправленным протоколом считывателя/контроллера, который регулируется крупным органом по стандартизации в индустрии безопасности. А вот в 2020 году произошло достаточно знаковое событие - OSDP достиг еще одной вехи, став стандартом Международной электротехнической комиссии (МЭК). И вот тут все и завертелось, и устройства с поддержкой этого протокола стали появляться, как грибы после дождя.
Все, что нужно знать о Open Supervised Device Protocol
Какие же достоинства имеет OSDP в сравнении с предшественниками, в частности протоколом Wiegand и протоколом Clock-and-Data?
- Усиленная безопасность
Применение в СКУД стандартов OSDP способствует повышению уровня безопасности, поскольку OSDP с использованием защищенного протокола SCP (Secure Channel Protocol) поддерживает шифрование AES-128, во многих государственных структурах уже являющимся обязательным. OSDPможет беспрерывно мониторить потенциальные угрозы вмешательства извне, одновременно избавляя от необходимость принимать решения без реальной оценки ситуации, поскольку шифрование и аутентификация используются по умолчанию. OSDP – эффективная мера для предотвращения и устранения угрозу, которая может исходить от постороннего человека, находящегося внутри объекта и попавшего в помещения после взлома канала связи между компонентами СКУД.
- Передача данных в двухстороннем порядке
Стандарты OSDP поддерживают двустороннюю связь между техническими компонентами СКУД. До этого протоколы, например тот же Wiegand, были односторонними: внешние устройства для считывания информации с карт в одностороннем порядке отправляли информацию на централизованную платформу системы контроля и управления доступом. Но протокол OSDP изменил возможности управления информацией с помощью технологии двусторонней связи. За счет этого в СКУД и считыватели могут взаимодействовать с централизованным управлением, и сама система может устанавливать взаимосвязь со считывающим устройством. Такая связь, характерная для обладает многочисленными плюсами. В результате такая двусторонняя связь Open Supervised Device Protocol обладает следующими плюсами:
- Конфигурацию считывающего устройства можно задать в ПО СКУД и через контроллер отправить на считыватель;
- Онлайн в режиме 24/7 мониторинг рабочего статуса считывателя, генерирование опросов и запросов;
- Моментальная идентификация несанкционированного доступа и неисправностей без физической проверки считывающего устройства;
- Расширенный интерфейс пользователя считывателя, включающий сообщения-приветствия и инструкции.
- Открытость и совместимость
Протоколы с открытой платформой имеют много достоинств, включая возможность увеличения гибкости системы для конечных юзеров по даже при добавлении все большего количества периферийных устройств. При этом техника может быть предложена разными изготовителями. OSDP поддерживает IP-связь и двухточечные последовательные интерфейсы, обеспечивая клиентам возможность со временем расширять функциональные возможности СКУД, что актуально при изменении характера внешних угроз. Используя OSDP, организация получает новые возможности в сфере использования инновационных технологий. Это, в свою очередь, позволяет использовать все эффективные методы для предотвращения как внешних, так и внутренних угроз, а также защиты персонала, клиентов, имущества.
- Экономия на установке
В Open Supervised Device Protocol используется 2, а не 11, как в Wiegand, проводов, что дает возможности для прокладывания многоточечной линии связи, а также контроля соединения для обнаружения ошибок считывающего устройства. Также создает условия для интеграции большего количества устройств. Суть многоточечной линии заключается в том, что к одному отрезку двухжильного кабеля последовательно подсоединяют много считывающих устройств, подключенных к центральному контроллеру. За счет этого не нужно подводить провода к каждому считывателю отдельно. Поскольку стандарт OSDP имеет 2 линии передачи, можно применять 4-жильный кабель. Он позволяет разместить контроллеры и считыватели на расстоянии, которое в 10 раз больше, нежели при использовании протокола Wiegand. Кабель сочетает 2 функции: подводит питание к считывателям и создает возможности для отправки и получения данных. Экономия средств, которые были бы потрачены на проводку, позволяет оптимизировать расходы на установку новых устройств системы контроля и управления доступом. Компания также получает преимущества от снижения затрат на прокладку кабелей по площади объекта. А это, согласитесь, уменьшает затраты времени на проектировку и монтаж целой системы.
- Удобное использование
Для пользователей СКУД стандарт OSDP считается удобным за счет возможности аудио и визуальной обратной связи, Примеры: светодиодная индикация, звуковые сигналы и отображение уведомлений на дисплее считывателей. Получают преимущества и администраторы служб безопасности, поскольку само управление считывающими устройствами с поддержкой OSDP и их обслуживание осуществляется дистанционно без прямого контактна с устройствами СКУД. Юзеры имеют возможность могут выполнять опросы и запросы считывателей из централизованного местоположения без непосредственного контакта неисправными устройствами. Таким образом можно снизить затрату времени на диагностику.
- Неограниченные возможности для апгрейда приложений
OSDP поддерживает инновационные технологии смарт-карт, в том числе PKI/FICAM, а также идентификацию по уникальным биометрическим параметрам. Также стоит упомянуть усовершенствованные протоколы аутентификации, используемые в софте, требующие строгого соответствия американским стандартам обработки информации (FIPS) и наличия опций интерактивных терминалов. Аудио и визуальные механизмы обратной связи с пользователем делают систему контроля и управления доступом максимально ориентированной на обеспечение комплексной безопасности.
Согласитесь, имеющиеся возможности OSDP весьма привлекательны и выгодно отличают данный протокол от, например, протокола Wiegand. OSDP предлагает преимущества как пользователям и администраторам, так и интеграторам. Он значительно повышает безопасность системы в целом, а также - её реальную эффективность, а его функциональная совместимость гарантирует, что организации могут использовать системы от многочисленных производителей, вкладывая средства в инфраструктуру, которая обеспечивает максимальную защиту критически важных данных.
Если в результате прочтения этой статьи у Вас сразу же загорелись глаза и Вам захотелось обновить свою систему СКУД для работы с протоколом OSDP – особых проблем у Вас с этим не возникнет, даже в нашей стране этот протокол экзотикой уже не является. Достаточно обратить внимание на оборудование от уже хорошо знакомого нам и прекрасно зарекомендовавшего себя бренда ZKTeco. В частности – контроллеры серий Atlas Prox и Atlas Bio уже поддерживают, а серий InBio и InBio Pro – планируют поддержку данного протокола. Также поддерживают данный протокол считыватели моделей KR613 и KR614. В ближайшее время обещает реализовать поддержку OSDP в своих устройствах известный украинский производитель оборудования для СКУД компания ITV (также хорошо зарекомендовавшая себя устройствами серии U-Prox). Так что – чем дальше, тем всё большее количество устройств с поддержкой OSDP будет появляться на рынке и тем доступнее они будут становиться. Не упустите шанс быть в авангарде прогресса и первым вывести свою СКУД на новый, значительно более высокий, технологический уровень, дав своим пользователям новые возможности, а также обезопасив свою компанию от действий злоумышленников.
Хотите знать актуальные новости из мира технологий для безопасности? ПОДПИСЫВАЙТЕСЬ на наши TELEGRAM и YOUTUBE КАНАЛЫ!
Внимание! Перепечатка материалов допускается только при наличии ссылки на наш блог.