Математическая модель функции «антипасбэк» в системах контроля и управления доступом.
Воронцов Кирилл Борисович,
Королев Владимир Сергеевич,
Лебедев Леонид Павлович
Математическая модель функции «антипасбэк» в системах контроля и управления доступом
При создании систем физической защиты (СФЗ) ставится задача защиты жизненно важных зон и систем охраняемого объекта от ошибочных, некомпетентных или преднамеренных действий субъектов, находящихся на его территории, которые по характеру возможного ущерба приближаются к несанкционированным действиям внешних или внутренних нарушителей. Одной из эффективных мер по предотвращению такого рода действий является запрет повторного прохода, реализуемый системой контроля и управления доступом (СКУД), входящей в состав СФЗ. Эта функция предназначена для того, чтобы исключить или существенно затруднить возможность доступа в зону посредством передачи своего ключа-идентификатора другому лицу, а также обеспечить дисциплину перемещения персонала по территории объекта.
Статья посвящена построению математической модели для функции запрета повторного прохода на основе анализа взаимосвязей между зонами объекта и текущего положения субъекта. Реализация этой функции на базе модели обеспечивает единый механизм управления правами доступа субъектов для охраняемого объекта с любой топологической структурой зон.
Термины и определения
Система физической защиты представляет собой совокупность правовых норм, организационных мер и технических решений, направленных на защиту жизненно-важных интересов и ресурсов охраняемого объекта от угроз, источниками которых являются несанкционированные воздействия физических лиц [5].
СФЗ строятся на базе широкого применения инженерно-технических решений и программно-аппаратных средств и содержат следующие основные составные части:
- система контроля и управления доступом персонала,
- система охранной и тревожной сигнализации,
- система телевизионного наблюдения,
- система оперативной связи и оповещения,
- вспомогательные системы (электропитание, освещение и др.).
Функционирование СФЗ осуществляется в рамках разработанной на этапе проектирования математической модели объекта, которая описывает его структуру, количественный и качественный состав технических средств охраны (ТСО), средств управления доступом и внешних системных устройств.
Модель объекта целесообразно представить в виде двух частей — логической и физической. Такое разделение на верхнем уровне обработки информации позволит абстрагироваться от физической природы источника события и оперировать только логическими элементами.
Математическая модель строится, исходя из объектов контроля. Объект контроля — обобщенное название любого функционального элемента системы, имеющего фиксированный набор состояний и способного генерировать системное событие при изменении своего состояния [2,4].
В логической части модели описываются территории и зоны, которые являются контейнерами для других объектов контроля, а также точки доступа и точки контроля. Физически точка доступа (ТД) представляет собой устройство, непосредственно осуществляющее контроль доступа и препятствующее бесконтрольному пропуску людей. Точка контроля — исполнительное устройство или сигнализационный датчик любого типа (охранный, пожарный и т.д.), зарегистрированный в системе [3,8].
ТД, которые исключают пропуск более, чем одного субъекта за один акт прохода, и при этом позволяют идентифицировать проходящего, есть точки доступа шлюзового типа. Точки, которые не гарантируют пропуск только одного субъекта за акт прохода, есть точки доступа калиточного типа [4].
Зона доступа — часть территории объекта, представляющая собой ограниченное замкнутое пространство, имеющая физические границы и защищенная совокупностью точек доступа и точек контроля. В нее можно попасть только пересекая ТД. Зона доступа, защищенная точками доступа только шлюзового типа, называется рубежом.
Существуют также зоны, которые представляют собой ограниченное, но незамкнутое пространство с одной или более физической границей — зоны блокирования. Обычно это проходные, контролирующие единый периметр, но, в силу некоторых причин, управляемые разными контроллерами.
Каждой точке логической части модели объекта соответствует один или несколько элементов физической части, которые описывают конкретные физические устройства. Так, например, одна точка доступа может быть связана с электромагнитным замком, считывателем идентификационных карт, весовой платформой, кодонаборным устройством, датчиком радиационного контроля.
Системой контроля и управления доступом называется совокупность организационно-методических мероприятий и программно-технических средств, с помощью которых решается задача контроля и управления посещением отдельных зон, а также оперативный контроль перемещения персонала и времени его нахождения на территории объекта [5].
Каждая точка доступа работает под управлением специализированного контроллера. При этом в зависимости от способа построения системы контроллер может управлять одной или несколькими точками доступа, хранить данные субъектов в своей внутренней базе данных и/или в базе данных системного сервера. Принципиальным моментом (при любом способе построения) является то, что каждый субъект, зарегистрированный в системе, имеет свой «личный» уникальный идентификатор, по которому однозначно определяется его владелец. В качестве идентификатора могут выступать магнитные и смарт — карты, бесконтактные проксимити — карты, изображение радужной оболочки глаза, отпечаток пальца, рисунок вен ладони и т.п. [6]. Каждый идентификатор характеризуются определенным уникальным вещественным кодом, которому ставится в соответствие информация о правах и привилегиях субъекта — владельца идентификатора [8].
Во время работы системы при помощи считывателя, установленного в точке доступа, этот идентификатор передается в контроллер. На основе сопоставления считанного идентификатора и образцового, хранящегося в базе данных, контроллер принимает решение о дальнейших действиях: допуск субъекта, отказ в допуске, блокировка, тревога и т.д. Все факты предъявления идентификаторов и связанные с ними действия (проходы, тревоги и т.д.) фиксируются в контроллере и сохраняются на системном сервере. Эта информация, как правило, используется в дальнейшем для получения отчетов по учету рабочего времени, контроля над перемещениями по объекту и др. [1].
«Антипасбэк» (англ. anti passback) или запрет повторного прохода – это запрет на доступ в зону по идентификатору субъекта, уже зарегистрированного и находящегося в данной зоне. Дополнительно к этой функции СКУД относят также «зональный» контроль, запрещающий доступ в зону, если субъект в данный момент находится в другой зоне. Реализация функции «антипасбэк» позволяет исключить повторное использование одной и той же карты разными людьми [7].
Очевидно, что эта возможность существует только для зон, доступ в которые осуществляется через ТД шлюзового типа с обязательной фиксацией субъектов на вход и выход. Необходимым условием реализации функции «антипасбэк» является наличие в системе механизма принудительной синхронизации положения субъектов, при котором информация о факте пересечения точки доступа рассылается во все контроллеры, управляющие точками доступа. В случае возникновения нештатной ситуации, например, обрыве связи, контроллер работает в режиме локального «антипасбэка», когда блокируется повторный проход по одному и тому же идентификатору через точки доступа, обслуживаемые этим контроллером.
Связи между зонами объекта
Как уже отмечалось, функционирование СФЗ осуществляется в рамках разработанной (на этапе проектирования) математической модели охраняемого объекта, которая описывает топологию, зонную структуру, количественный и качественный состав технических средств охраны, средств управления доступом и т.д. При проектировании системы в первую очередь разрабатывается логическая модель, где охраняемый объект разбивается на территории, зоны ответственности, доступа и блокирования. В зоны добавляются точки доступа и точки контроля. Следующим шагом созданная логическая модель ассоциируется с физической моделью, где каждой точке доступа или контроля ставится в соответствие конкретное физическое устройство: техническое средство охраны, устройство контроля доступа и т.д. При этом каждому зарегистрированному элементу системы присваивается его уникальный идентификатор.
Для наглядности и упрощения понимания взаимосвязи между объектами контроля, модель охраняемого объекта обычно представляют иерархически в виде дерева, в котором зоны состоят в отношении «родитель-потомок». Дополнительно такой подход позволяет упростить задачу построения математической модели, описывающую реализацию функции «антипасбэк».
Математическая модель этой функции строится на основе анализа топологии охраняемого объекта и учета факторов, существенных только для этой задачи. Существенными факторами в данном случае являются ТД шлюзового типа и зоны доступа — рубежи. Всеми остальными объектами контроля подсистемы СУД можно пренебречь, т.к. в них невозможно однозначно определить ни положение, ни смену положения субъекта относительно зоны доступа.
Математическая модель функции «антипасбэк»
Существует четыре типа взаимосвязей c, p, b, n между двумя зонами u и v, которые описываются следующими характеристическими функциями:
Без доказательства отметим, что для любой пары из приведенных выше характеристических функций f и g (f ¹ g) справедливо утверждение: f(u,v) x g(u,v) = 0. То есть пара зон может состоять только в одном из отношений. Для того, чтобы контроллер мог определить права субъекта на пересечение контролируемых ТД, достаточно знать разрешенное направление движения в каждую из этих зон доступа. Введем обозначения для действий субъекта: a –разрешен вход в зону; b – разрешен выход из зоны; g – запрещено пересекать границы зоны. Обозначим как d направления движения субъекта: h – внутрь; m – наружу.
На основании вышесказанного строится математическая модель функции «антипасбэк», которая определяет разрешенное направление движения субъекта для зоны v при пересечении субъектом зоны u в направлении d:
Реализация
Обозначенная выше функция П реализуется с помощью программного обеспечения СКУД. В зависимости от способа построения системы программное обеспечение может быть распределенным или сосредоточенным — как правило, на системном сервере. Важно лишь, чтобы узлы, на которых вычисляется результат функции, в совокупности обеспечивали передачу значимой информации между всеми контроллерами управления доступом.
При пересечении точки доступа, контроллер фиксирует новое положение субъекта и сообщает аргументы u и d. На основе этих данных, подставляя в П в качестве третьего аргумента v все остальные зоны, производится вычисление разрешенного направления движения субъекта. Далее эта информация передается соответствующим контроллерам СКУД. Последние, получив уведомление о смене разрешенного направления движения субъекта, изменяют его права доступа в контролируемых ими ТД.
Реализация разработанной математической модели в программно-аппаратном комплексе «Кедр» (ГУП «Дедал», г. Дубна) показала адекватное управление правами доступа, при перемещении субъектов по территории охраняемого объекта.
Заключение
На основе описанной классификации компонентов системы контроля и управления доступом, анализа взаимосвязей между зонами объекта и текущего положения субъекта построена и реализована математическая модель функции запрета повторного прохода. Математическая модель обеспечивает единый механизм управления правами доступа для объекта с любой топологической структурой зон и не зависит от программно-аппаратной реализации СКУД.
Список литературы
- Федяев С.Л. и др. Программно-аппаратный комплекс для построения интегрированных систем безопасности – ССОИ «Кедр». Архитектура и основные принципы функционирования / Науч.- мет. сб. Проблемы и перспективы разработки, совершенствования и применения технических средств охраны границы. Науч.- мет. сб. — Калининград: Калининградский пограничный институт, 2005. — Вып.16, Ч.1.
-
Королев В.С. Некоторые аспекты построения интегрированных систем безопасности объектов / Технические средства и системы физической защиты ядерно-опасных объектов. Современный уровень разработок и перспективы повышения безопасности ЯОО. Матер. отрасл. семинара. — М.: ФГУП «СНПО «Элерон», 2004.
-
Документация ССОИ «Кедр». Термины и определения. — Дубна: ГУП «Дедал», 2001.
-
Документация ССОИ «Кедр». Классификация объектов контроля. — Дубна: ГУП «Дедал», 2003.
-
Алаухов С.Ф., Коцеруба В.Я. Концепция безопасности и принципы создания систем физической защиты важных промышленных объектов. — Заречный: ФГУП «НИКИРЭТ», 2005.
-
Гинце А.А. Новые технологии в СКУД // Системы безопасности, 2005. — № 6.
-
Омельянчук А.М. Усиленные алгоритмы в системах доступа особо важных объектов // Системы безопасности,2005. — № 2.
-
ГОСТ Р 51241-98. Средства и системы управления доступом. Классификация. Общие технические требования. Методы испытаний.