Скуд

Особенности мандатной схемы доступа

Проблемой модели становится необходимость объемной подготовительной работы, включающей присвоение меток всем пользователям и объектам, находящимся в периметре информационной безопасности организации. 

При внедрении этого механизма требуется:

  • разработка системы и дальнейшее присвоение классификационных меток, определяющих уровень конфиденциальности и уровень доступа;
  • готовность системы защиты доступа проводить классификацию и открывать доступ, при этом при внедрении схемы необходимо добиться строгого соответствия внутренних и внешних меток;
  • система защиты от несанкционированного доступа должна активизироваться при любой попытке доступа, явной или скрытой. Субъект вправе взаимодействовать с объектом только тогда, когда его уровень во внутренней классификации равен его рангу или ниже. То же относится к записи и чтению.

Использование мандатной схемы дискреционного контроля доступа предполагает, что общие принципы классификации останутся неизменными, а уровни пользователей и информационных объектов будут меняться. В ИТ-подразделении должны быть выделены сотрудники, обладающие полномочиями на изменение мандатов.

Преимущества:

  • снижение объема нагрузки на персонал, упрощение задач администрирования, в итоге – экономия средств компании;
  • минимизация возможностей пользователя для управления даже информационными ресурсами, которые он создал сам;
  • высокий уровень защиты конфиденциальности информации.

Недостаток один, но он существенен – права пользователя остаются неизменными для одного уровня конфиденциальности информации, это исключает возможность ограничить доступ к данным по функциональному признаку, например, инженеру – к файлам бухгалтерии. Таким образом, возможность организовать утечку конфиденциальной информации, владельцем которой является другое подразделение, сохраняется.

Состав СКУД

Как и любое предприятие, состоит из отдельных единиц людей, так и система управления доступом состоит из отдельных единиц «точек прохода».

«Точка прохода» — это основа всей СКУД. Так что рассмотрение данной системы начнем с самой маленькой единицы.

Что же такое «точка прохода»? Это дверь, турникет, шлагбаум, а может быть шлюзовая кабина, то есть физическое препятствие, которое ограничивает перемещение человека, техники, автомобилей в какое-то определённое место. Разберемся что же может быть использовано для ограничения доступа.

Дверь. Это может быть металлическая или любая другая дверь, которая может закрываться как на ключ, так и для запирания могут использоваться специальные устройства, управляемые дистанционно.

Турникет. наверное, мало тех кто не сталкивался с таким чудом инженерной мысли, как турникет. Они могут быть, как обычные триподы то есть перекрывать перекладинами проход, так и могут быть полноростовыми металлическими конструкциями, которые затрудняют проникновение через верх или низ. Ниже можете видеть фотографии данных устройств.

Шлюзовая кабина — это специальное устройство, которое пропускает посетителей по одному человеку и на момент проведение проверки доступа изолирует его от внешней среды. Так же особенностью шлюзовых кабин является, то что одновременно может быть открыта только одна дверь либо вход, либо выход.

Шлагбаум достаточно распространенное устройство, которое с помощью перекладины ограничивает движение транспорта в ту или иную зону.

Ворота. На рынке представлено множество вариантов ворот с электрическими приводами, с помощью которых можно организовать работу системы контроля доступа.

Противотаранные устройства — это специальные препятствия, которые с помощью механических приводов и электрических сигналов выдвигаются для остановки движущегося транспорта. Бывают как щитки, которые поднимаются с помощью гидравлических или электрических приводов, так и более эстетичные решения в виде столбиков, которые устанавливаются на въезде перед охраняемой территорией.

Естественно выбор не ограничивается только подобными устройствами, но упомянутые выше решения являются наиболее популярными. На этом обзор по механической части пока завершим.

Что собой представляет СКУД

Практически каждому современному человеку известно, что такое СКУД, поскольку с подобными системами мы сталкиваемся ежедневно. Например, домофон на входной двери в подъезд, доступ к автомобилю посредством электронного ключа, персональный идентификационный номер (PIN) банковской или SIM-карты.

Главная задача системы контроля и управления доступом — обеспечение санкционированного проникновения на территорию, допуск к которой ограничен.

Сотрудники службы безопасности используют программное обеспечение со звуковым оповещением о вторжении. В специально оборудованных местах на защищенных серверах хранятся видеозаписи и другие данные обо всех перемещениях в охраняемой зоне. По первому требованию архив можно расшифровать.

Поставщик ролей ASP.NET

другой возможностью ASP.NET является возможность управлять авторизацией с помощью ролей. поставщик ролей ASP.NET позволяет разработчику создавать роли для пользователей и назначать каждому пользователю роль или роли. как и в случае с поставщиком членства, роли и назначения хранятся в базе данных и могут быть заполнены с помощью средств, предоставляемых определенной реализацией поставщика ролей ASP.NET. Как и в случае с членством, разработчики WCF могут использовать сведения в базе данных для авторизации пользователей службы по ролям. Они могут, например, использовать поставщик ролей совместно с описанным выше механизмом контроля доступа .

вы также можете использовать поставщик ролей ASP.NET, если у вас есть база данных поставщика ролей ASP.NET и вы хотите использовать тот же набор правил и назначений пользователей в службе WCF.

дополнительные сведения об использовании функции поставщика ролей см. в разделе инструкции. использование поставщика ролей ASP.NET со службой.

Ролевое управление

По мере роста размеров информационной системы и количества сотрудников компании решение задачи организации дискреционного управления доступом к данным для сотрудников разного уровня становится все более сложным. Число связей на уровне «пользователь – файл» возрастает практически в геометрической прогрессии, это создает нагрузку на систему и персонал. Решить задачу призвана модель ролевого управления доступом (РУД). Основа этой системы является создание промежуточной сущности – роли, при администрировании она занимает место между пользователем и объектом. Роль прямо не связана с пользователем, но она предоставляет права доступа к определенному классу объектов. Для одного пользователя одновременно может быть открыто несколько ролей с различными правами доступа, это позволяет управлять доступом к информационным ресурсам более гибко.

Ролей всегда создается меньше, чем пользователей, это упрощает управление системой. Для модели управления доступом характерна возможность для одного пользователя активизировать несколько ролей и несколько сеансов работы, причем все процессы запускаются параллельно с одного устройства. Иерархическое взаимодействие ролей осуществляется по принципу наследования, роли более высшего порядка включают все полномочия, имеющиеся у ролей низшего. При назначении ролей с различными вариантами доступа к данным обязательно следовать принципу минимизации полномочий, никто не должен получить больше прав, чем требуется для выполнения служебных обязанностей.

Двухфакторная авторизация

Дополнительная безопасность может быть обеспечена за счет использования двухфакторной авторизации. В этом случае доступ к критической области, такой как серверная комната или хранилище, требует предоставления нескольких авторизованных учетных данных. Система контроля доступа в течение короткого периода времени должна получить несколько кодов. Чаще всего один от сотрудника и один от менеджера.

Другая схема двухфакторной авторизации создается, когда одному пользователю нужно предоставить пару взаимодополняющих идентификационных данных. Это может быть карта и код ключа или карта и биометрические учетные данные. Угрозы эволюционировали так, что для многих учреждений или баз данных должна быть предложена двухфакторная аутентификация.

Принцип работы технических средств СКУД

Совместная работа вышеупомянутых технических средств контроля доступа показана на изображении:

Согласно схеме, стандартный порядок работы системы начинает работать, когда сотрудник или посетитель сообщает читателю свой идентификатор. Владелец, получив информацию от читателя, обрабатывает ее и дает разрешение / не разрешение на прохождение. Информация о прохождении / отказе хранится в базе данных.

Центральный блок управления (на схеме «Рабочее место администратора СКУД») может изменять стандартный порядок работы системы. Так, например, вводятся ограничения на переход в другую зону до тех пор, пока сотрудник или посетитель не покинет первую, могут пройти одновременно несколько сотрудников и множество других алгоритмов работы СКУД согласно требованиям безопасности объекта, защищаемого системой.

Что придется изменить

Админка

Собственно, все вышесказанное нужно применить к админке. Она должна показывать нам список видимых объектов, разрешая и запрещая их добавлять, редактировать или удалять в зависимости от установленных прав.

Для того, чтобы поменять поведение уже существующих админок, придется сделать так, чтобы вместо (или дополнительно к) части из их методов, вызывался код, учитывающий ограничения и разрешения, накладываемые новой системой управления доступом. Лучше всего это делается с применением шаблона программирования Mixin, определяя класс, который находясь в начале списка базовых классов, перехватывает вызов метода у других базовых классов.

Традиционная система Permission

Мы все равно должны определять права не только над подмножествами, определяемыми , но и над множеством всех объектов данного типа, определяемым моделью как таковой. Поэтому мы определим «традиционную» модель прав Джанги, основанную на объектах Permission, как одну из возможных, которая может быть использована (а может и не быть использована) в проекте.

Зачем нужно применять СКУД и как она работает

Установленная система контроля позволяет задавать удобный режим доступа и учета графика работников, ограничить доступ в нерабочие дни. Получаемую информацию можно использовать для того, чтобы начислить зарплату. Полный контроль за территорией фирмы сводит до нуля несанкционированное проникновение.

Сотрудникам или клиентам выдают электронный ключ (идентификатор), который выполняется в виде брелка или карты из пластика, и обладает специальным кодом. Выдают ключи после того, как данные лица будут зарегистрированы системой. Вся полученная информация, включая фото, будет занесена в личную электронную карту. Карта и код ключа взаимосвязаны и внесены в базу данных.

В контролируемых помещениях установлены считывающие устройства, которые передают информацию о разрешении доступа в системный контроллер. Если система разрешает данному лицу войти, замок открывается контроллером. Если вход не дозволен, кабинет переводится в охранный режим со включением сирены.

Контроллер фиксирует каждое применение карты и последующие действия. Информация хранится в компьютере и может использоваться для учета времени и дисциплины.

Составляющие компоненты системы контролирования

СКУД по основным компонентам делится на следующие части:

  • Идентификатор;
  • Контроллер;
  • Считыватель;
  • Программное обеспечение.

Идентификатор может быть представлен в виде пластиковой карты либо специальной таблетки для выявления статуса посетителя. Карты подразделяются на контактные и бесконтактные. По своим функциональным возможностям большей популярностью пользуются бесконтактные карты, они позволяют быстрее пройти ее владельцу, а также увеличивают время эксплуатации оборудования.

Контроллеры производят пропуск посетителя. Практически контроллеры являются основной составляющей СКУД. По функциям они различаются на автономные контроллеры и сетевые. Автономные работают самостоятельно без команды компьютера и не имеют связи с центральным сервером через локальную сеть. Такие устройства самостоятельно принимают решения согласно той информации, которая заложена внутрь изделия. Сетевые контроллеры свои действия согласовывают с главным компьютером и после поданной команды открывают проход.

На картинке – комплектующие системы защиты здания

Считыватели являются связующим звеном между идентификатором и контроллером. Они производят сбор данных с карты либо чипа и затем отправляют информацию контролирующему устройству. Расшифровка информации с карты производится с помощью специальных индикаторов и датчиков. Считыватели бывают магнитные, бесконтактные и сенсорные.

Все системы контроля делятся на две группы:

  • Сетевые;
  • Автономные.

В сетевых системах происходит объединение нескольких проходных с контроллерами в одно целое через локальную сеть. Главным преимуществом таких комплексов является удобство управления. Весь контроль осуществляется с одного центра. Программное обеспечение, на котором работает вся линия, помогает отслеживать и собирать данные со всех контроллеров одновременно.

На видео подробно описано, как работает СКУД:

Использование программного обеспечения

Благодаря программному обеспечению осуществляются и другие дополнительные функции:

  1. Учет времени работы;
  2. Сбор и хранение данных о посетителях;
  3. Начисление вознаграждения сотрудникам;
  4. Распечатка и чертеж графиков;
  5. Объединение всех компонентов охраны здания воедино;
  6. Разработка сценария рабочего дня.

Автономные системы намного проще в управлении и установке. Для монтажа этого оборудования не требуется прокладывать кабель и подключать его к компьютеру. В автономных и сетевых устройствах могут применяться одни и те же виды запорных механизмов.

СКУД стала незаменимой в защите зданий и в комплексном регулировании и наблюдении за процессом работы любого помещения.

Распространение централизованных политик доступа

административных шаблоновGPSIсуществующие параметры«Конфигурация Windows»административные шаблоныпредпочтениями групповой политики«Динамический контроль доступа»

  1. Для начала нужно открыть оснастку «Управление групповой политикой» (Group Policy Management), где следует в подразделении с целевыми файловыми серверами создать новый объект групповой политики, скажем «Dynamic Access Control 01», а затем открыть для такого объекта редактор управления групповыми политиками;
  2. В отобразившейся оснастке требуемое расширение CSE можно локализовать в параметрах безопасности. То есть следует перейти к узлу Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Файловая система (Computer Configuration\Policies\Windows Settings\Security Settings\File System). Как вы помните по предыдущим серверным операционным системам от Microsoft, в этом узле вы можете настроить разрешения доступа для пользователей или групп к объектам, расположенным на определенном компьютере, о чем уже шла речь в моей статье «Локальная политика безопасности. Часть 6: группы с ограниченным доступом, системные службы, реестр и файловая система». Сейчас же, начиная с Windows Server 2012, в данном узле можно обнаружить еще один вложенный узел, который называется «Централизованная политика доступа» (Central Access Policy) и который как раз предназначен для распространения созданных ранее централизованных политик доступа. Чтобы настроить параметр политики, вам нужно перейти к данному узлу, а затем, как показано на следующей иллюстрации, из контекстного меню выбрать команду «Управление централизованными политиками доступа» (Manage Central Access Policies…):Рис. 8. Создание параметра политики в редакторе GPME
  3. Должно отобразиться диалоговое окно «Конфигурация централизованных политик доступа» (Central Access Policies Configuration), благодаря которому вы и можете распространить сгенерированные заранее политики доступа на свои целевые файловые сервера. Для этого, как можно увидеть ниже, нужно из списка «Доступные центрованные политики доступа» (Available Central Access Policies) выбрать все распространяемые политики доступа (в случае необходимости, вы можете зажать клавишу CTRL и выбрать требуемые политики), а затем, по нажатию на кнопку «Добавить» (Add), переместить таковые в список «Примененные централизованные политики доступа» (Applicable Central Access Policies):Рис. 9. Конфигурация централизованных политик доступа
  4. После того как у вас будут добавлены все требуемые централизованные правила доступа, можете смело закрывать редактор управления групповыми политиками и выполнять на целевых серверах обновление параметров политики.

C:\Windows\SYSVOL\domain\Policies\{6DF180BA-22E3-4D52-A34F-158633E56956}\Machine\Microsoft\Windows NT\CapC:\Windows\SYSVOL\domain\Policies{6DF180BA-22E3-4D52-A34F-158633E56956}Machine\Microsoft\Windows NT\CapSignature=»$Windows NT$»«CN=Test CAP,CN=Central Access Policies,CN=Claims Configuration,CN=Services,CN=Configuration,DC=biopharmaceutic,DC=local»«CN=Маркетологи Лос-Анджелеса,CN=Central Access Policies,CN=Claims Configuration,CN=Services,CN=Configuration,DC=biopharmaceutic,DC=local»NameDescriptionРис. 10. Раздел реестра с определенными параметрами централизованных политик и правил доступа

Множества, над которыми определены права

Нам требуется регулирование разрешений на некоторые действия над подмножествами объектов. Наиболее естественный и эффективный способ манипулировать конкретными подмножествами объектов в Джанге — это использовать . Мы будем использовать его везде, где нам потребуется иметь дело с конкретным подмножеством объектов.

Тем не менее, не описывает один из вариантов множеств, который нам потребуется: множество всех объектов данной модели, включая все прошлые и будущие объекты. Фактически, это множество определяется самой моделью, и это единственная разновидность множеств, над которой определены «традиционные» права Джанго. В самом деле: допустим, что мы проверяем права доступа на основе . Получив пустой , мы не можем быть уверены, нет ли в нем объектов из за того, что у нас недостаточно прав, чтобы видеть хоть какие-нибудь объекты, или из за того, что в базе пока не образовалось таких объектов, которые мы могли бы увидеть.

Таким образом, мы будем определять множество объектов, над которыми определены права, либо с помощью , определяя конкретное множество объектов, либо с помощью модели, имея в виду все объекты этой модели, когда-либо существовавшие, или созданные в будущем.

Процесс идентификации

В основу работы СКУД заложен процесс идентификации. Он подразумевает процедуру сравнения идентификационной информации с шаблонами, которые уже хранятся в памяти системы. Данные функции выполняет специальное оборудование – считыватели, а те передают информацию блоку управления.

Идентификация осуществляется следующими способами:

  • По кодовому слову (паролю), которое запоминает пользователь и вводит вручную на клавиатуре, кодовом устройстве или, используя другое оборудование. Преимуществом способа выступает отсутствие материального носителя и денежных трат на него.
    Однако секретность доступа очень низкая, ведь нередко код записывают на бумажном носителе и хранят на видных местах. Другой проблемой являются ошибки при наборе кодового слова, что снижает скорость прохода сотрудников на предприятие.
  • По коду, который хранится на физическом носителе. В качестве идентификатора используются электронные ключи, брелоки или карты, на которые записан код.
  • Биометрическая идентификация – в качестве кода здесь используются биометрические данные конкретного человека – отпечаток пальца, рисунок вен ладони, лицо, рисунок радужной оболочки глаза.

Автоматизация

Чтобы связать NFC-метки с нашим умным домом, потребуется создать 5 автоматизаций:

  • Срабатывание сигнализации (запускается, когда мы заходим в квартиру)

  • Включение режима охраны (прикладываем метку и уходим из дома)

  • Отключение режима охраны (прикладываем метку, когда пришли домой)

  • Включение сирены

  • Отключение сирены

Срабатывание сигнализации

В качестве триггера используется датчик открытия двери. Когда дверь открывается при условии, что включен режим охраны, запускается наша автоматизация. В блоке с действиями я задал мигание шлюзом Xiaomi и диодом на ESP-32. Вы можете использовать любые другие действия.

Включение режима охраны

Триггер — чтение метки с заданным на этапе настройки ESP uid. Пока мы выходим из квартиры, шлюз мигает оранжевым светом. После того, как включился режим охраны, загорается диод на ESP, а шлюз включает статичный красный свет на 3 секунды и гаснет.

Отключение режима охраны

В этой автоматизации в качестве триггера снова используется RFID-метка. Условием является включенный или включающийся режим охраны. Последний предусмотрен на случай, если собрались уходить из дома, приложили карточку и вспомнили про включенный утюг. При валидной метке коротко включается диод на ESP и зелёная подсветка на шлюзе.

Включение сирены

Пока что я не особо заморачивался с индикацией, поэтому в автоматизации только сирена из встроенных звуков шлюза. В будущем планирую дополнительно выводить звук на умную колонку и мигать люстрой.

Отключение сирены

От «отключения режима охраны» отличается лишь условием по статусу alarm_control_panel.ha_alarm (здесь triggered) и отключением сирены или другой индикации.

Какие права нужно распределять

Первоначально, наша система была ориентирована только на определение видимости объектов, разделяя их множество «по горизонтали». Права управления объектами, попавшими в зону видимости, распределялись согласно традиционной системе прав в Джанге, в соответствие с их моделями (типами) — «по вертикали».

Такое разделение работало до определенного момента вполне приемлемо, однако когда потребовалось распределять доступ «перекрестно», обнаружилось, что наша система слишком груба. Действительно. Пусть мы распределяем доступ к объектам пользователей. Пользователь — админ своей группы, вполне может отредактировать и даже удалить запись о пользователе из этой группы. С другой стороны, мы бы хотели, чтобы пользователи, которые являются админами своих групп, могли быть рядовыми пользователями других групп

Однако, админ имеет одинаковый доступ к записям, как только видит их, не важно, в какой группе

Таким образом, стало ясно, что «по горизонтали» нужно управлять не только видимостью объектов, но и всем спектром операций, производимых над ними. Традиционно, определено 4 вида наиболее популярных и общеупотребительных действий над объектами, объединенных иногда аббревиатурой CRUD (Create, Read, Update, Delete):

  • создавать
  • видеть
  • изменять
  • удалять

Как расшифровать классификацию систем СКУД

По техническим параметрам и потенциалу все можно разделить на две группы. Давайте рассмотрим подробнее.

Если классифицировать по техническим компонентам, то категории будут следующими:

  • степень идентификации;
  • количество регулируемых мест;
  • объемы передвижения людей по почте;
  • сколько людей может обработать память;
  • как окружающая среда влияет на это.

Функциональные критерии:

  • насколько эффективна защита от разрушения;
  • уровень секретности;
  • вы можете своевременно вносить изменения в программное обеспечение;
  • автоматическая идентификационная работа;
  • определение карточек разного уровня для сотрудников в зависимости от инстанции;
  • бухгалтерский учет и анализ данных;
  • надежность срабатывания замков на местах;
  • печать любой информации, запрошенной пользователем.

Программное обеспечение

Не является обязательным элементом системы контроля доступа, используется в случае, когда требуется обработка информации о проходах, построение отчетов, либо когда для начального программирования, управления и сбора информации в процессе работы системы необходимо сетевое программное обеспечение, устанавливаемое на один или несколько ПК, соединенных в сеть.

Все СКУД можно отнести к двум большим классам или категориям: сетевые системы и автономные системы.

Популярные компании производители программного обеспечения систем контроля и управления доступа: ZkTeco, PERCo, ControlGate, Hikvision, Bosh, Parsec, Bolid, RusGuard, HID Global, IronLogic.

Автономные системы

Автономные системы дешевле, проще в эксплуатации, не требуют прокладки сотен метров кабеля, использования устройств сопряжения с компьютером, самого компьютера.
При этом к минусам таких систем относится невозможность создавать отчеты, вести учёт рабочего времени, передавать и обобщать информацию о событиях, управляться дистанционно.
При выборе автономной системы с высокими требованиями по безопасности рекомендуется обратить внимание на следующее:

  • Считыватель должен быть отделен от контроллера, чтобы провода, по которым возможно открывание замка, были недоступны снаружи.
  • Контроллер должен иметь резервный источник питания на случай отключения электропитания.
  • Предпочтительно использовать считыватель в вандалозащищенном корпусе.

В составе автономной системы контроля доступа используются также электронные замки, передающие информацию по беспроводным каналам связи: в двери устанавливается механический замок с электронным управлением и встроенным считывателем. Замок по радиоканалу связан с хабом, который уже по проводам обменивается информацией с рабочей станцией, на которой установлено программное обеспечение.

Для автономной системы возможно использовать «обратный метод», когда на контрольных точках устанавливаются идентификаторы, а сотрудники отмечаются считывателем-контроллером, впоследствии данные передаются при первой возможности — появление связи у считывателя. Этот метод удобно использовать, например, в местах где отсутствует связь, возможность прокладки электропитания или других коммуникаций. Также «обратный метод» может использоваться для контроля патрулирования больших периметров: после обхода территории или по окончании смены охранник сдаёт на проверку контроллер, в котором записаны все пройденные контрольные точки с указанием последовательности прохода и времени прохода каждой точки.

Модель меток

Этот вариант разграничения прав доступа пользователей предполагает идентификацию субъектов (пользователей) и объектов (файлов, информационных баз, программ, аппаратных средств) путем присвоения им меток конфиденциальности

Выстраивается система доступа, в которой метки для субъекта дифференцируются в соответствии с уровнем доступа, определенного внутренней документацией, а для объекта – исходя из степени конфиденциальности информации, например, «Коммерческая тайна», «Общедоступно», «Секретно», «Совершенно секретно», «Особой важности». . Подобная модель реализована в «СёрчИнформ FileAuditor»

Программа для автоматизированного аудита чувствительных файлов устанавливает метки на документы, что помогает администратору понять, сколько в компании конфиденциальных сведений и где они хранятся.    

Подобная модель реализована в «СёрчИнформ FileAuditor». Программа для автоматизированного аудита чувствительных файлов устанавливает метки на документы, что помогает администратору понять, сколько в компании конфиденциальных сведений и где они хранятся.    

Метка представляет собой код. Получив его, программа реализует следующий механизм:

  • сравнение характеристик меток субъекта и объекта, нахождение их идентичности;
  • предоставление разрешения на доступ на основе принятых регламентов, призванных снизить риски утраты конфиденциальности информации.

Выдача гостевых идентификаторов

Выдача гостевых идентификаторов производится по разному в зависимости от вендора:

  • Выдача идентификаторов на определённое время (ESMART)
  • Выдача одноразовых идентификаторов (HID, Suprema)
  • Выдача QR-кода (Nedap), QR-код присылается на Е-mail, считывается с экрана телефона Мне этот вариант представляется особенно удобным т.к. не требует установки приложения на смартфон для прохождения идентификации, но есть и минус — QR-код можно легко передать.
  • Выдача бессрочного идентификатора с последующим удалением его из системы СКУД вручную (все остальные), по сути ничем не отличается от гостевых бесконтактных карт которые выдаются в классических СКУД

Виды

По типу управления

  1. Автономные – проход без контроля оператором и доклада на центральный пульт.
  2. Централизованные – доступ разрешает центральный пульт.
  3. Универсальные – возможность перехода на автономную работу при неисправности сетевого оборудования обрыве связи, выходе из строя центрального пульта.

По классу функциональных возможностей

1. Первый – ограниченный функционал.

Автономные системы с простейшим набором функций на небольших объектах без необходимости объединения контролируемых объектов в единый комплекс с централизованным управлением. Комплектация включает исполнительный элемент, считыватель и контроллер. Пример – бюджетные замки со считывателями носителей электронного ключа или встроенными кодонаборниками. Возможно подключение кнопок выхода, герконов открывания, ИК-датчиков.

2. Второй – расширенные функции.

Недорогие комплексы на базе нескольких контроллеров с увеличением количества обрабатываемой информации и числа пользователей, а также обязательным использованием компьютера для программирования всех контроллеров, сбора и анализа информации, составления отчётов и сводок, эффективного отслеживания ситуации на объекте.

3. Третий – многофункциональные системы.

Самые хорошие многоуровневые сетевые комплексы для большого числа пользователей с контроллерами, объединёнными в локальные сети, которые предлагают лучшие производители. Используются при необходимости контроля времени прохода с применением сложных электронных идентификаторов.

Программное обеспечение

Эксперты оценили востребованность 16 функций программного обеспечения.

  1. Учет рабочего времени.
  2. Контроль времени нахождения на объекте посетителей.
  3. Поиск сотрудников на объекте.
  4. Регистрация и протоколирование тревожных событий СКУД (вскрытие двери силой, удержание двери открытой, ошибка уровня доступа и пр.).
  5. Интерактивное управление средствами СКУД по изображению на плане объекта.
  6. Управление работой УПУ1 в точках доступа по командам оператора (в том числе блокировка прохода в случае нападения).
  7. Установка режима свободного доступа командой оператора при аварийных ситуациях.
  8. Приоритетное отображение тревожных событий на плане объекта.
  9. Защита технических и программных средств от несанкционированного доступа к элементам управления, установки режимов и к информации.
  10. Управление объектами с распределенной филиальной структурой.
  11. Web-клиент.
  12. Возможность программной интеграции, регистрация и протоколирование событий в подсистемах ОПС и CCTV.
  13. Привязка видео к событиям в системе.
  14. Программная автоматизация – задание реакций на сложные комбинации событий.
  15. Наличие SDK (Software Development Kit) для самостоятельной доработки функционала.
  16. Аудит действий операторов (протоколирование действий).

Django-Guardian

Первая из систем, Django-Guardian, требует создания нетипизированных отношений (то есть записей в БД) между пользователем и объектом, с которым пользователь может взаимодействовать. Каждая пара пользователя и объекта требует такой отдельной записи о правах. Количество этих записей в базе будет исчисляться, как произведение количества пользователей и объектов, права доступа к которым регулируются в такой системе.

Легко понять, что в случае неограниченно большого количества пользователей и объектов управления в базе проекта, количество записей о правах будет расти довольно быстро. Также, управление удалением этих записей при удалении пользователей, групповое изменение записей о правах в случае изменения области доступа пользователя или перемещения объекта из области видимости одного пользователя в область видимости другого, сделало использование Django-Guardian в нашем проекте маловероятным.