Sistemas de gestión y control de acceso: ¿hacia dónde vamos? .
Sistemas de control y control de acceso: ¿Adónde vamos?
MERCADO RUSO DE ACS EN GENERAL
Actualmente, la mayoría de los especialistas en las áreas de desarrollo, producción, venta e instalación de sistemas de gestión y control de acceso (ACS) notan, aunque no de manera significativa, un aumento constante en los volúmenes de consumo. Incluso durante la crisis, la caída en este segmento del mercado no fue catastrófica y se expresó principalmente en una ligera desaceleración en la implementación de grandes proyectos, mientras que la dinámica de las instalaciones compactas se mantuvo prácticamente sin cambios. Al parecer, los clientes son cada vez más conscientes de que ACS es una de esas pocas herramientas de seguridad que no sólo aumentan el nivel de resistencia del objeto ante posibles amenazas, sino que también aportan un efecto económico directo y significativo.
Las tendencias positivas en el desarrollo de la economía del país en 2011 permiten predecir un mayor aumento en la demanda de sistemas de control de acceso. A los principales consumidores tradicionales (organizaciones de seguridad del Estado, grandes empresas industriales, bancos, centros de negocios) se están sumando otros relativamente nuevos: instituciones educativas, culturales y médicas.
El aumento generalizado del consumo de sistemas de control de acceso también se deberá probablemente a la ampliación de la funcionalidad de los propios sistemas, a la tendencia hacia mayores requisitos de equipamiento de las instalaciones con medios técnicos de seguridad debido a la intensificación de acciones ilegales, así como a la necesidad de modernización de los sistemas instalados hace más de 5 años.
FUNCIONAL
En los últimos años, se ha formado un conjunto estable de funciones básicas de los sistemas de control de acceso como medio para regular el acceso y automatizar el registro de tiempos. Hoy en día es casi imposible encontrar un sistema de red sin un módulo incorporado o suministrado por separado para generar e imprimir diversos informes sobre seguimiento del tiempo y control de la disciplina laboral. Un mayor desarrollo de esta área es la integración con los sistemas de gestión empresarial (ERP, sistemas de recursos humanos) y la contabilidad a nivel de intercambio de información sobre cambios de personal, datos personales, poderes y reglas para el paso por los puntos de acceso. Muchos sistemas de control de acceso, especialmente aquellos destinados a equipar instalaciones pequeñas y medianas, están integrados con la popular familia de programas de control 1C. La mayoría de los sistemas de control de acceso a la red modernos están equipados con interfaces abiertas para la integración en un sistema de gestión empresarial. Se están implementando proyectos que implican la integración de ACS con sistemas SAP, Boss, etc. En un futuro próximo, la apertura de ACS (así como cualquier sistema de control automatizado) a la integración aparentemente se convertirá en un estándar para la gama de sistemas de control; apoyan, el nivel de automatización y la profundidad de la interacción crecerán. Lo mismo se aplica a la integración de sistemas de control de acceso con otros subsistemas de seguridad.
La competencia entre las características cuantitativas de los sistemas de control de acceso se ha desplazado hacia indicadores más “sutiles”. Si anteriormente los principales indicadores eran el número de usuarios en el sistema y los eventos almacenados de forma autónoma en él, entonces el cliente moderno requiere un número significativo (cientos y miles) de niveles de acceso, horarios y sus intervalos componentes, altos tipos de cambio en la información. autopista, rapidez en la toma de decisiones, el número y flexibilidad de programación de las entradas y salidas principales y adicionales, la disponibilidad y número de configuraciones estándar para controlar puntos de acceso de varios tipos (puertas, torniquetes, portales, portones, etc.).
En los sistemas avanzados de control de acceso, han aparecido funciones necesarias para objetos grandes, como la automatización de la introducción de datos personales de los usuarios y la emisión de pases, implementadas sobre la base del reconocimiento automático del contenido de los documentos de identidad: pasaportes, licencias de conducir. Para evitar la necesidad de instalar demasiados programas especializados, en el sistema de control de acceso se integran servicios web para procesar y aprobar solicitudes de pases, permitiendo el uso de navegadores normales para ello. Las interfaces de usuario de ACS se están desarrollando, en particular, es posible asignar derechos de acceso grupal a los empleados del departamento y trabajar con estructuras de árbol de empresas de varios niveles. La función antipassback se implementa en sistemas avanzados de control de acceso en hardware y permite la creación de varias docenas de niveles de anidamiento de zonas de control. Recientemente, funciones de potentes sistemas de control de acceso, como contar el número de usuarios en el área controlada y en la empresa en su conjunto (lo cual es especialmente importante en situaciones de emergencia), buscar empleados en el lugar donde se presentó la tarjeta por última vez, monitorear el movimiento de los usuarios por la empresa y el seguimiento del desempeño del personal de servicio han tenido una gran demanda últimamente, seguridad al patrullar las instalaciones, etc.
Los sistemas de control de acceso modernos brindan control y gestión efectivos no solo del acceso del personal, sino que también permiten controlar el movimiento de vehículos en todo el territorio de las empresas, creando subsistemas logísticos de los sistemas de gestión empresarial. Esto es especialmente importante en situaciones en las que varias empresas están ubicadas en un área protegida común, se permite el transporte de contratistas y clientes al territorio y permite evitar desviaciones significativas de la ruta y el horario establecidos y, por lo tanto, reducir los riesgos de acciones ilegales.
NUEVAS TECNOLOGÍAS NO ESPECÍFICAS
Al ser sistemas de información electrónicos, los sistemas de control de acceso se mejoran constantemente, incorporando los logros de la electrónica y la informática. La creciente potencia informática de los microprocesadores, el aumento del volumen y la confiabilidad de los elementos de memoria son la base para garantizar que las capacidades de los sistemas de control de acceso satisfagan los crecientes requisitos de los clientes. La aparición de potentes microprocesadores con memoria reprogramable incorporada ha permitido actualizar y desarrollar de forma remota el hardware ACS sin desmontar sus elementos, lo que permite mantener la relevancia del sistema durante toda su vida útil sin costes económicos adicionales. Desde el punto de vista del fabricante, este enfoque proporciona ventajas competitivas adicionales y permite que el sistema se desarrolle mediante la introducción de nuevos equipos en el mercado y manteniendo la compatibilidad con versiones de hardware más antiguas.
Entre las tendencias en el desarrollo de sistemas de control de acceso cabe destacar el interés general por la implantación de tecnologías IP. La capacidad de utilizar redes de área local (LAN) para transferir información ha estado presente en algunos sistemas desde hace más de 10 años. Su estructura implica el uso de interfaces seriales RS 485 o similares para combinar controladores de línea y gateways especiales o controladores centrales para combinar equipos en una única red de información a través de canales Ethernet. La principal diferencia entre los equipos de nueva generación es el abandono total del uso de interfaces en serie. Casi todos los fabricantes líderes han lanzado o anunciado controladores de acceso con la capacidad de conectarse directamente a una red Ethernet. Las nuevas tecnologías brindan oportunidades adicionales, que incluyen la facilidad de uso de los equipos y un menor costo de implementación de sistemas de control de acceso en instalaciones con una infraestructura de TI desarrollada. Los fabricantes tienen la oportunidad de organizar el intercambio directo de información entre controladores y dispositivos de alimentación desde una red Ethernet utilizando la tecnología PoE (Power over Ethernet).
Sin embargo, cabe señalar que no en todas partes existe el equipo necesario con canales Ethernet, y la compra de equipos adicionales y el establecimiento de las comunicaciones correspondientes pueden no ser rentables si no se planea colocar otros dispositivos IP o computadoras en las áreas donde hay puntos de acceso. están organizados. La capacidad de carga limitada no permite el uso de tecnología PoE para alimentar controladores y actuadores con una potencia total de más de 13 W, y su estructura complica la implementación de un respaldo de energía del sistema a largo plazo y aumenta el costo total de los equipos LAN. También requieren una cuidadosa consideración las cuestiones relativas a la protección de la red contra el acceso no autorizado, la garantía de un ancho de banda suficiente y la organización adecuada del enrutamiento de los paquetes de datos. Teniendo en cuenta estos puntos, podemos suponer que los más populares serán los sistemas universales que brindan la posibilidad de utilizar equipos con interfaces clásicas y Ethernet, tanto individualmente como en las combinaciones necesarias. Algunos fabricantes ya tienen soluciones similares en su arsenal y, en algunos casos, para seleccionar uno u otro tipo de interfaz, basta con adquirir los módulos de expansión adecuados para los controladores ACS.
IDENTIFICACIÓN DEL USUARIO
Los métodos para identificar a los usuarios de ACS se pueden dividir en dos grupos. El primero de ellos está formado por métodos basados en el uso de identificadores externos al usuario: claves electrónicas que contienen un código único que es reconocido por el sistema de control de acceso y al que se asignan los datos personales del usuario en su base de datos. El segundo grupo está formado por métodos de identificación basados en el uso de características biométricas del propio usuario.
La identificación biométrica es muy atractiva porque la característica de identificación es integral para el usuario, no se puede perder, olvidar, transferir, es muy difícil o imposible de falsificar, no necesita ser preparada, emitida, actualizada, etc. Es por eso que La identificación biométrica es actualmente el área de más rápido crecimiento en el mercado de sistemas de seguridad. Incluso las tecnologías de identificación biométrica, históricamente primeras, basadas en el contorno de la palma de la mano y las huellas dactilares, se mejoran constantemente. Así, con la ayuda de dispositivos de televisión se han creado lectores sin contacto de estos carteles (Fig. 1). A diferencia de los tradicionales, son más higiénicos, ya que no requieren contacto de los dedos con ninguna superficie, y por tanto son mucho más fáciles de mantener.
 |
| Fig. 1.Lectores de patrones papilares digitales sin contacto |
Los dispositivos de televisión son la base de las tecnologías de identificación y reconocimiento facial 2D y 3D (Fig. 2), así como de identificadores bien conocidos basados en el patrón del iris y otros relativamente nuevos basados en la estructura interna de los vasos sanguíneos del dedo (Fig. 3).
 |
 |
| Fig. 2.Lector de geometría facial 3D | Fig. 3.Lector de estructura vascular del dedo |
Sin embargo, a pesar del gran atractivo, el rápido desarrollo y, aparentemente, las buenas perspectivas para la identificación biométrica, la velocidad y confiabilidad generales El reconocimiento de indicadores en estos dispositivos sigue siendo significativamente inferior al de los dispositivos con claves externas, la inmensa mayoría de los cuales se basan en tecnologías RFID (identificación por radiofrecuencia).
Los lectores e identificadores de los formatos EMMarine y HID Proxcard II siguen siendo los más populares. A pesar de la falta de protección contra copia, su participación en el volumen total de herramientas de identificación no disminuye. Esto se debe no sólo al bajo costo de las soluciones establecidas y al soporte de la mayoría de los fabricantes, sino también a la presencia de una gran cantidad de sistemas ya instalados. Al ampliar e incluso sustituir el sistema por uno más avanzado, el consumidor busca preservar las tarjetas en circulación para eliminar los procesos de recogida de las existentes y emisión de nuevos identificadores. Para las grandes empresas con varios miles de empleados, esto puede generar importantes costes de material y tiempo, especialmente al imprimir información sobre el propietario y la empresa en tarjetas. Para reducir la probabilidad de acceso no autorizado utilizando una copia del identificador, se suele utilizar un conjunto de medidas de seguridad adicionales: verificación por foto y vídeo, acceso con confirmación, acceso con tarjeta y código PIN, acceso con dos tarjetas, etc.
Sin embargo, casi todos los participantes en el mercado del control de acceso comprenden la necesidad de utilizar tecnologías de identificación más protegidas contra copia. Estos mecanismos se implementan en tarjetas inteligentes sin contacto de formato Mifare, iCLASS, etc. En los últimos años su coste se ha reducido varias veces y se ha acercado mucho al coste de las tarjetas de formato EMMarine y HID. Las tarjetas en formato Mifare de diversos diseños se utilizan ampliamente en aplicaciones de transporte y como tarjetas sociales en muchas ciudades rusas.
El uso de la memoria incorporada de las tarjetas inteligentes y su creciente capacidad permiten almacenar en ellas no solo un signo de identificación, sino también datos sobre el propietario, incluidos datos biométricos, lugar de trabajo, puesto, número de personal, etc. así como sus derechos de acceso. Al aumentar el volumen total de información de identificación, se elimina por completo la situación de su coincidencia en diferentes tarjetas. Al mismo tiempo, la funcionalidad cambia significativamente y el costo de los equipos ACS estacionarios disminuye. La capacidad de almacenar datos biométricos en una tarjeta facilita la implementación de puntos de acceso de alta fiabilidad y alta velocidad, reduciendo la tarea de reconocimiento (seleccionar uno de todos) a la tarea de identificación (comparación con una única muestra).
Sin embargo, existen varios argumentos a favor de la construcción tradicional de sistemas de control de acceso. En dichos sistemas, los datos personales y los derechos de acceso se almacenan en bases de datos del sistema; pueden controlarse y ajustarse de forma centralizada y rápida en caso de pérdida o robo de una tarjeta, cambios en los datos personales, el horario de trabajo, etc. Usar tarjetas de organizaciones de terceros (por ejemplo, de nivel superior) para ahorrar dinero en la compra de identificadores es difícil, ya que esto está asociado con la necesidad de revelar información sobre la estructura del almacenamiento de datos en las tarjetas y coordinar la colocación de información adicional. información.
Para leer información protegida, es necesario asegurarse de que se almacene una clave de acceso a datos única en el lector. Para ello, se utiliza un intercambio bidireccional de información entre el controlador y el lector o el registro de las claves de acceso a los datos con una tarjeta maestra especialmente preparada cuando se presenta a los lectores. La primera solución es más conveniente, pero requiere el uso de lectores y controladores especiales. La segunda solución permite el uso de controladores estándar con interfaz Wiegand, pero complica la configuración y modificación de los parámetros del sistema.
La introducción de tecnologías de lectura segura de códigos es una cuestión de tiempo y está limitada únicamente por la inercia técnica general de los sistemas. En cuanto a la división de la funcionalidad de la información entre la tarjeta y el equipo estacionario, los sistemas más prometedores parecen ser los sistemas con almacenamiento de características de identificación en la tarjeta y almacenamiento centralizado de los derechos de acceso (incluidos los horarios) y los datos personales de los usuarios.
Una opción intermedia para el uso de tarjetas inteligentes, que le permite cambiar gradualmente a identificadores modernos sin reemplazar el equipo ACS estacionario, es utilizar sus números de serie para la identificación. Algunos fabricantes suministran al mercado lectores correspondientes con interfaz Wiegand. Este mecanismo no utiliza modos protegidos y está sujeto al riesgo de copia, como los identificadores tradicionales EMMarine y ProxCard.
Los sistemas de identificación RFID de largo alcance con distancias de lectura de varios metros se utilizan cada vez más en la creación de sistemas de control de acceso de vehículos. El principal problema que resuelven estos sistemas es el procesamiento de colisiones cuando varios identificadores se encuentran simultáneamente en el área de cobertura del lector.
Además de la identificación del usuario, la determinación y la implementación de los derechos de acceso del usuario, los sistemas de control de acceso modernos también incluyen funciones adicionales como la identificación de las condiciones de acceso. A las ya utilizadas restricciones sobre el número de usuarios simultáneamente en la zona de acceso, restricciones sobre sus características biológicas (peso, altura), se suman restricciones de entrada de personas con equipaje, así como sistemas antitailgating que impiden el paso simultáneo de dos o más personas utilizando el mismo identificador. El principio de funcionamiento de este tipo de sistemas se basa en analizar la zona antes de acceder al punto de acceso mediante detectores de televisión (Fig. 4) o infrarrojos (Fig. 5) y bloquear la posibilidad de entrada si se detecta más de una persona en una zona que permita paso durante el estado abierto del actuador. En las zonas de acceso más críticas, así como en zonas de tamaño limitado frente al punto de acceso, dicho análisis se combina con la organización de la entrada según la lógica de la puerta de enlace.
ACTUORES
El mercado proporciona al diseñador moderno una gran variedad de actuadores que implementan automáticamente la decisión del ACS de conceder o denegar el acceso. Las cerraduras, pestillos y accionamientos electromecánicos, electromotores y magnéticos requieren la instalación en todo tipo de puertas, portones y portones, desde vidrio hasta puertas de relleno de bóvedas de efectivo. Los torniquetes trípodes de bastidor y pedestal, los torniquetes semirrotores y de altura completa, las cabinas de esclusa de aire y las puertas giratorias y corredizas brindan amplias oportunidades para organizar varios pasillos. Cabe destacar las soluciones originales para estadios, que permiten cerrar herméticamente el acceso a las instalaciones durante los descansos entre eventos (Fig.6, 7), así como un torniquete con una puerta adicional para bicicletas, que se abre cuando se permite el acceso. para el usuario y la presencia de una masa importante de metal en la zona de sensibilidad del sensor correspondiente (Fig. 8).
Recientemente, se han utilizado como actuadores varios dispositivos anti-embestida, especialmente eficaces cuando se utilizan en pares y se activan según la lógica de la puerta de enlace.
 |
 |
| Fig. 6.Torniquete del estadio en estado abierto | Fig. 7.Torniquete para estadios en estado cerrado |
Una clase relativamente joven de actuadores Son instalaciones de almacenamiento automatizadas con acceso restringido al contenido de las celdas. Además de varios diseños de “porta llaves”, los elementos de almacenamiento incluyen radios personales (Fig. 9), computadoras portátiles (Fig. 10), armas, etc.
 |
| Fig. 8.Torniquete con portón para bicicleta |
CAMBIOS EN EL MARCO REGULATORIO
Durante los últimos cinco años, ha habido una serie de cambios en las regulaciones que de una forma u otra se relacionan con el mercado de control de acceso. Me gustaría destacar especialmente dos documentos nuevos, sobre todo porque la reacción del mercado ante la aparición de estos documentos es diferente.
Promulgación de la norma estatal — GOST R 512412008 “Medios y sistemas para el control y gestión del acceso. Clasificación. Requisitos técnicos generales. Test Methods”, que finalmente legalizó la transición a términos y definiciones realmente utilizados en el mercado de control de acceso, fue evaluado en general positivamente por el mercado. En realidad, la sustitución del aparato conceptual en la nueva norma es su principal diferencia con respecto al GOST R 5124198 anteriormente válido.
Pero la adopción de la Ley Federal No. 152 «Sobre Datos Personales» por parte del mercado de control de acceso fue prácticamente ignorada, pero en vano. Como dato único inherente al sujeto de acceso, el sistema de control de acceso opera con información sobre el apellido, nombre, patronímico, cargo, número de teléfono de la oficina, dirección de registro, hora de entrada/salida, etc. Según la definición de la ley (Ley Federal No. 152 “Sobre Datos Personales”), ACS es un sistema de información de datos personales (PD), y los PD en sí procesados por ACS están sujetos a protección mediante los métodos y medios determinados por los reguladores en esta área (FSB, FSTEC y Roskomnadzor de la Federación de Rusia).
La responsabilidad de proteger los datos personales recae en el operador de datos personales (la entidad jurídica que procesa los datos personales). Además de las medidas organizativas para proteger los datos personales (política de seguridad, reglamentos, reglamentos, órdenes, descripciones de puestos), la ley también prevé medidas técnicas para proteger los datos personales. Se materializan en la implantación de medios certificados de protección de datos personales.
Lamentablemente, la mayoría de fabricantes, instaladores y usuarios de sistemas de control de acceso están lejos del tema de la protección de la información y, en particular, de los datos personales. Por lo tanto, en el proceso de creación de un sistema de control de acceso, el cliente, un potencial operador de datos personales, a menudo no está informado sobre la necesidad de crear un sistema de protección de datos personales, y la funcionalidad de la mayoría de los sistemas de control de acceso es insuficiente para implementar los requisitos. de la ley.
La gravedad de la situación probablemente será evaluada por el mercado una vez que finalice el tiempo asignado para que los sistemas de procesamiento de datos personales cumplan con los requisitos de la ley determinados por el gobierno y entren en vigor las sanciones por su violación.
El diseño de un sistema de protección de datos personales debe realizarse simultáneamente con el diseño de un sistema de control de acceso, que permita optimizar la configuración del sistema de control de acceso en términos del coste del correspondiente sistema de seguridad de la información y asegurar un importante ahorro de costes. Además, el diseño simultáneo de un sistema de control de acceso y un sistema de control de acceso es un requisito de los actos jurídicos reglamentarios en el ámbito de la seguridad. La puesta en servicio y funcionamiento de un sistema de control de acceso que procesa datos personales, pero que no está equipado con un sistema de protección de datos personales, constituye una violación por parte del operador (propietario del sistema de control de acceso) de la legislación vigente.
Las herramientas de protección de la información (IPF) implementan las funciones de gestionar el acceso a los datos personales, el registro y la contabilidad, garantizar la integridad, garantizar la interacción segura entre redes, la protección antivirus, la detección de intrusiones, y análisis de seguridad.
Además del sistema de seguridad de la información «construido sobre» el sistema de control de acceso, el propio sistema de control de acceso debe implementar un conjunto de funciones definidas por los documentos reglamentarios para monitorear y gestionar las manipulaciones con la base de datos de usuarios.
La confirmación del cumplimiento del sistema de control de acceso con los requisitos de la legislación en materia de protección de datos personales es la certificación del sistema de control de acceso para el cumplimiento de los requisitos de seguridad de la información. Para realizar trabajos de protección técnica de datos personales (implementación de medios de protección), así como la certificación del sistema de protección, solo las organizaciones que tengan la licencia correspondiente del FSTEC de Rusia están autorizadas.
Sin pretender que esté completo o sea la verdad última, esperamos que los puntos y tendencias señalados en el artículo sirvan como alimento para pensamientos y conclusiones útiles para todos los participantes en el mercado de control de acceso.
_________________________________
I. Rakov
Ph.D., Director General,
P. Shmelev
director de desarrollo,
Yu. Sukonshchikov
Jefe del Departamento,
O. Batmanov
Diseñador jefe,
Centro de investigación «Force»