Журнал ТЗ № 6 2025 |
  бюро находок  
  Где искать        
наши издания
главная
наши анонсы






2025
№ 6
№ 5
№ 3-4
№ 2
№ 1
2024
№ 6
№ 5
№ 3-4
№ 2
№ 1
2023
№ 6
№ 4-5
№ 3
№ 2
2022
№ 1-2023| 6
№ 5
№ 4
№ 2-3
№ 1
2021
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2020
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2019
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2018
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2017
№ 6
№ 5
№ 4
№3
№2
№1
2016
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2015
№6
№ 5
№ 4
№ 3
№ 2
№ 1
2014
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2013
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2012
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2011
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2010
Фоторепортаж с конференции \"Samsung Vision Day 2010\"
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2009
№ 6
№ 5
№ 4
№ 3
№2
№ 1
2008
№6
№5
№ 4
№ 3
№2
№1
2007
№ 6
№ 5
№ 4
статьи
Журнал ТЗ № 6 2025



Раздел: КОНТРОЛЬ ДОСТУПА
Тема: СКУД (системы контроля и управления доступом)
Автор: Дмитрий БЕЛОВ, руководитель группы проектирования систем безопасности STEP LOGIC

Особенности построения и выбора СКУД в ЦОД


Рассмотрим особенности построения СКУД в ЦОД: технологии, которые обеспечивают безопасность физического доступа персонала, оборудования, предотвращают несанкционированное проникновение и защищают конфиденциальные данные.

Как правильно спланировать СКУД

Планирование и проработка СКУД начинается с предпроектных работ, сбора исходных данных, обследования объекта и эскизного проектирования. В результате чего определяются основные параметры системы и формируется техническое задание. Как правило, именно техническое задание определяет, какие помещения подлежат защите СКУД. По нашему опыту это большинство зон ЦОД. Связано это в первую очередь с тем, что ЦОД в основном состоит из технических помещений, где нахождение посторонних людей недопустимо.

Какие помещения в ЦОД защищаются СКУД:
• въезды и выезды на прилегающую территорию, входы через КПП;
• служебные и технические помещения КПП;
• наружные двери зданий ЦОД, ведущие на прилегающую территорию;
• помещения ЦОД – машинные залы, электрощитовые (локальные, в том числе помещения для ИБП и АКБ), хладоцентр, насосные, вентиляционные камеры, зоны для сетевой и кабельной инфраструктуры (MMR, MDA, HAD, EDA), тестировочные и прочие зоны, за исключением разве что санузлов и помещений уборочного инвентаря (ПУИ);
• выходы на кровлю;
• лифтовые холлы, технические, служебные и офисные помещения административно-бытового корпуса, исключение составляет главная входная группа, если там предусмотрена клиентская зона;
• входы в контейнеры дизельных генераторных установок (ДГУ), трансформаторные и прочие технологические постройки;
• отдельные ряды изолированных коридоров или даже стойки в машинных залах.

После определения помещений происходит зонирование объекта, определение сценариев и уровней доступа на основе типов пользователей и их маршрутов.

Уровни доступа помогают организовать эффективную систему контроля доступа, минимизируя риски утечки данных и повреждения оборудования. Каждый сотрудник получает доступ только к тем зонам, которые необходимы для выполнения его должностных обязанностей, обеспечивая тем самым высокую степень безопасности и конфиденциальности. Уровни определяют права доступа сотрудников и подрядчиков к различным зонам и оборудованию ЦОД. Например, при наличии услуг colocation (аренды стойкомест) таким способом можно разграничить доступ для персонала или арендаторов к телекоммуникационным стойкам внутри машинного зала.

Обычно выделяют следующие основные уровни доступа в ЦОД:

• Общий. Предназначен для общего пользования всеми сотрудниками и посетителями. Сюда входят приемные, холлы, клиентские зоны, переговорные комнаты и коридоры. Сотрудники, имеющие этот уровень доступа, могут свободно передвигаться по указанным зонам, но не имеют права входить в закрытые помещения, а также в техническую зону.

• Ограниченный. Предусматривает ограничение доступа в офисные, служебные и технические помещения отдельных подразделений. Для входа в эти зоны потребуется идентификация сотрудника с использованием карт-пропусков или других методов аутентификации. Это помогает предотвратить случайное попадание посторонних лиц в важные зоны ЦОД.

• Специальный. Предназначенный исключительно для уполномоченных сотрудников, имеющих право на работу с особо важными ресурсами, такими как серверные комнаты, телекоммуникационные шкафы и другое оборудование. Доступ предоставляется только после прохождения специальной процедуры проверки и подтверждения полномочий. Этот уровень обеспечивает максимальную степень защиты и предотвращает несанкционированный доступ к наиболее чувствительым данным и ресурсам.

Чем больше и сложнее объект, тем больше будет таких уровней.

Следующим этапом мы определяем сценарии доступа в помещения. Это правила, определяющие логику принятия решения о разрешении или запрете доступа. Например, базовый сценарий «по расписанию» учитывает рабочие часы и смены персонала. Кроме правил, мы прописываем, какие технические устройства участвуют в процессе предоставления доступа. При этом уровни доступа с более высоким приоритетом должны иметь более сложные алгоритмы и сценарии. Просто наличие разных градаций допуска недостаточно для защиты критически важных данных.

Вот самые распространенные сценарии, встречающиеся в ЦОД:

• Запрет повторного прохода (antipassback) . Используется для того, чтобы одним идентификатором нельзя было воспользоваться повторно для входа в зону доступа, предварительно не покинув её. Такое правило имеет два режима: «жесткий» — когда система запрещает повторный проход, или «мягкий» — если она разрешает проход, но сообщает об этом оператору. Например, если на объекте применяются электронные ключницы, в ЦОД так могут храниться ключи от серверных или технологических шкафов, то можно по такому принципу настроить контроль за сданными ключами. Если сотрудник не сдал ключ, то система его не выпустит с территории объекта.

• Доступ по принципу нескольких лиц. Используется, когда требуется сопровождающий в зону с более высоким доступом. Посетитель не сможет попасть в зону, пока к считывателю не будет приложена его карта и карта сопровождающего. Это может быть обслуживающий персонал на разовые работы, сотрудник без доступа в конкретную зону либо посетитель, для которого проводят экскурсию в ЦОД.

• Доступ с подтверждением. Принцип похож на описанный выше, удаленно подтверждать доступ может сотрудник службы безопасности, который убедится по изображению с видеокамер, что доступ запросил пользователь из списка заявок на проведение работ в помещении.

• Двойная или тройная идентификация. Это доступ с предъявлением нескольких идентификаторов, что повышает надежность и исключает фактор применения чужой карты. Как правило, в таких зонах доступ начинается с предъявления основного идентификатора (карты) и после предъявления второго идентификатора (пин-кода или биометрии). Тройная идентификация встречается в ЦОД банковского или финансового сектора.

• «Кабинет директора». Применяется, когда войти в помещение возможно только, если в нем присутствует определенный пользователь. Речь не обязательно про кабинет руководителя, это может быть склад, куда можно попасть только при наличии там материально ответственного лица.

• «Доступ по принуждению». При таком сценарии пользователь может специально ввести неверный код, чтобы сработала «тихая» тревога у службы безопасности.

Пропускная система должна быть готова к работе с разными сценариями доступа, в том числе и для проезда автотранспорта. Варианты сценариев зависят от уровня объекта и категории пользователей. Они могут быть постоянными, разовыми или для посетителей по временной схеме (обслуживающие организации, транспортные компании, доставщики топлива для ДГУ, подрядчики, экстренные службы).

Задуматься о доступе транспорта необходимо на начальном этапе проектирования, чтобы проработать и учесть не только организацию движения на территории, подъездные пути к ней, но и парковочные зоны с необходимыми заградительными устройствами. Если вопросы доступа решать позже, придется пожертвовать местом, удобством пользователей, безопасностью, либо выйти за пределы отведенного участка.

Парковочные зоны для посетителей лучше вынести за территорию ЦОД или организовать их внутри комплекса таким образом, чтобы исключить свободный проезд автотранспорта по территории, где будут находиться и элементы критической инфраструктуры.



Выбор технических элементов и системы

Выбор СКУД зависит от множества факторов, включая требования безопасности, бюджет и масштаб объекта, особенности инфраструктуры. Необходимо учесть, что система закладывается как минимум на следующие 10 лет и она должна быть готова к расширениям и модернизациям. Часто ЦОД строят этапами или очередями, что предполагает постепенное увеличение мощности. Проектирование СКУД должно учитывать этот фактор. Если в ЦОД сдаются в аренду залы или стойки, то система должна быть готова к требованиям со стороны будущих клиентов, хотя не исключены случаи, когда они приходят со своей СКУД.

На рынке сегодня представлено достаточно систем. На мой взгляд, ключевым фактором в выборе СКУД является ее гибкость. Да, система должна быть надежной и удобной, но именно гибкость делает ее универсальной для решения множества задач, в том числе нетиповых. И это касается не только ЦОД.

Выше мы говорили о разных сценариях доступа. При запуске объекта они могут быть типовыми, но в процессе эксплуатации ситуация меняется, система должна быть к этому готова. Также ценно, когда СКУД поддерживает реализацию нестандартной логики работы — использование макросов и скриптов, возможность свободно программировать выходы и входы у контроллеров.


В настоящее время большинство систем работают на основе IP-технологий. СКУД не является исключением и строится именно на базе сетевых контроллеров. Это удобно для удаленного и централизованного администрирования через единый интерфейс и облегчает масштабирование системы. Но и тут, несмотря на это удобство и стандарт для текущего времени, нелишним будет возможность подключения «старым добрым способом» через интерфейс RS-485. Вполне возможно, что в будущем на объекте возникнет потребность в перепланировке, а свободных портов Ethernet уже нет. Такую проблему можно решить, если у сетевого контроллера СКУД есть возможность перехода на RS-485. Или бывают случаи, когда на периметре территории не предусмотрена сеть и возможность для прокладки пучка сетевых кабелей ограничена размерами закладных.

Кроме этого, СКУД является комплексной системой и состоит из большого количества элементов. Ни одна система безопасности не является такой обширной по числу входящих в нее компонентов. И при выборе СКУД необходимо учитывать возможность работы с этим многообразием компонентов и технологий, что также указывает на гибкость и универсальность системы.

На выбор каких компонентов и технологий нужно обратить внимание:

• Считыватели доступа и идентификаторы. Выбор должен быть в пользу «всеядности». Использование мультиформатных считывателей устранит зависимость от определенного формата карт доступа и позволит решить проблему при использовании собственных карт арендаторами.

• Применение устройств, работающих по протоколу OSPD. Он более безопасен и надежен, т. к. между устройством и контроллером есть двухсторонняя связь и шифрование трафика. Как правило, по протоколу OSPD работают считыватели, но появляются и другие устройства, например, замки и OSPD-модули для подключения устройств. Протокол поддерживает работу на больших расстояниях, а поскольку он основан на интерфейсе RS-485, то позволяет подключать в одну кабельную линию много устройств. В случае размещения контроллеров СКУД в одном помещении это позволит сэкономить количество кабеля и место в кабельных лотках.

• Шифрование карт. Еще один способ — повысить уровень безопасности и защитить карты от копирования. Например, на уровне SL3, в котором применяется шифрование закрытых секторов по алгоритму AES. Для этой реализации необходимо выбрать карту и считыватель карт доступа, поддерживающие данный уровень защиты.

• Устройства распознавания лиц. Начнем с того, что распознавание лиц возможно при соблюдении требований федерального закона о биометрических персональных данных №572-ФЗ. Очень востребованная технология. Терминалы распознавания лиц можно устанавливать в зонах, через которые сотрудники проходят с занятыми руками, где неудобно прикладывать карту к считывателю. Например, при входе в изолированный коридор или помещение тестировки. Видеокамеры с аналитическими детекторами распознавания лиц могут использоваться в составе виртуальной точки доступа. В этом случае подключенный на видеоканал детектор будет распознавать людей, вошедших в контролируемую зону. Таким образом можно обеспечить уведомление оператора о несанкционированном нахождении в зоне лиц, не имеющих туда доступа или пропущенных кем-то из сотрудников без соответствующего разрешения.

• Биометрические считыватели. Биометрический способ идентификации позволяет практически безошибочно идентифицировать человека за счет уникальности физиологических характеристик, исключить передачу идентификатора другому лицу или потерять, как карту.
При выборе такого устройства нужно удостовериться, что оно полноценно поддерживается в СКУД, чтобы не пришлось по отдельности администрировать несколько систем. Существуют разные способы идентификации, которые не попадают под действие Федерального закона №572-ФЗ — это идентификация по отпечаткам пальцев и по рисунку вен ладони. Считыватели отпечатков пальцев более доступные, но по статистике примерно у 3% людей не могут быть распознаны отпечатки пальцев. Считыватели отпечатков пальцев плохо работают на холоде, что ограничивает их использование на внешних дверях в ЦОД и в контейнеры ДГУ. Определение рисунка вен ладо- ней — более надежный и дорогой способ идентификации.

• Электронный замок-ручка со встроенным считывателем для серверных шкафов. Это современное решение для повышения уровня безопасности доступа к серверным шкафам. Пользователь подходит к нужному шкафу, прикладывает карту или вводит пин-код и получает доступ. Хорошее решение для разграничения доступа, если в машинном зале арендуют шкафы разные компании и нет требования по ограничению подхода к стойке, наличия сеток или прочих физических барьеров.



• Электронные ключницы. Решение для хранения и выдачи ключей в ЦОД будет актуально для обеспечения доступа к разнообразным технологическим шкафам и нишам. Сотрудник эксплуатации прикладывает карту или другой идентификатор и получает доступ только к тем ключам, которые ему предназначены. Он не сможет покинуть зону или территорию объекта, пока не сдаст ключ обратно в ключницу.

• Шлюзовые кабины. Представляют собой барьер, отделяющий особо важную зону от зон с более мягким уровнем доступа. Шлюзовая кабина позволяет осуществлять поэтапный контроль входа сотрудников или посетителей. Человек проходит сначала первую дверь, она закрывается, вторая открывается только после подтверждения права доступа. Это предотвращает одновременный проход двух лиц и повышает уровень безопасности объекта. Кабины также помогают предотвратить вынос ценных предметов и оборудования (серверов или жестких дисков) благодаря наличию в них встроенного металлодетектора, весовой платформы и видеокамеры.

• Полноростовые турникеты. Еще один способ предотвращения прохода двух лиц. Это полноценный физический барьер, имеет высокую пропускную способность, может размещаться как внутри здания (как альтернатива шлюзовой кабины), так и на улице. Поскольку ЦОД функционируют круглосуточно, то при помощи полноростового турникета можно организовать КПП без постоянного присутствия персонала.


• Раздвижные турникеты. Применяются в ЦОД, в которых есть отдельный административный корпус и клиентская зона. Основные преимущества раздвижных турникетов – эстетичный вид, комфортный и безопасный проход. Такие турникеты можно оснастить практически любыми устройствами идентификации. Если их оборудовать считывателями QR-кодов, то посетителям можно будет отправлять код в качестве разового пропуска и предъявлять его с мобильного телефона.

• Терминалы саморегистрации. Еще один способ комфортного получения разового пропуска. Не нужно организовывать на КПП бюро пропусков, а совместно с автоматизированной системой работы с пропусками обеспечить процесс подачи и согласования заявок на пропуска от разных служб и арендаторов ЦОД.

• Терминалы хранения ценностей. Прежде чем зайти на территорию ЦОД, посетителям необходимо сдать личные вещи, а терминал саморегистрации напомнит им об этом.

• Электронные замки. Управляемые СКУД замки необходимо выбирать с учетом эстетики, ресурса и типа дверей. Если двери противопожарные, то установка замков не должна нарушать их целостности. Замки могут быть с функцией «антипаники» или свободного прохода на путях эвакуации. В связи с тем, что в ЦОД обычно расположены технические помещения, то часто выбор падает на накладные электромагнитные замки, как более бюджетный и практичный вариант. Мы рекомендуем в помещениях, где через двери будут проносить габаритное оборудование (машинные залы, помещения с ИБП и кондиционерами), применять врезные замки, чтобы избежать их повреждения.

• Охранная сигнализация. Дополнительное преимущество СКУД – возможность объединить ее с системой охранной сигнализации. Для этого можно использовать универсальные или совместимые со СКУД контроллеры, либо СКУД может быть интегрирована с одной из адресных систем охранной сигнализации. Тогда обе системы смогут обмениваться событиями и совместно контролировать охраняемые зоны. Например, можно будет применять считыватели СКУД для постановки и снятия с охраны защищаемых помещений.

• Доступ автотранспорта. Для этого могут применяться системы распознавания государственных автомобильных номеров на базе видеоаналитических детекторов, ANPR-камер, а также считыватели дальней идентификации.

• Преградительные устройства. Шлагбаумы или автоматические ворота, управляемые службой безопасности вручную или при помощи СКУД. Противотаранные устройства или болларды дополнительно защищают въезд на территорию. При комбинации этих устройств может быть организован шлюз для досмотра автомобиля и водителя, в дополнение можно применить автоматизированную систему досмотра днища.

• Интеграция. Для синхронизации событий и обеспечения комплексной безопасности объекта СКУД должна работать в комплексе с другими системами безопасности ЦОД.

• Программное обеспечение. ПО СКУД должно поддерживать работу с различными операционными системами. А для хранения данных поддерживать работу с разными СУБД, в том числе с открытыми Firebird и PostreSQL. Для объектов КИИ, к которым также может относиться ЦОД, в ближайшем будущем планируется полный переход на ПО российского производства.

В заключение

Использование СКУД является необходимым условием обеспечения комплексной безопасности ЦОД и соответствует международным стандартам организации защищённых инфраструктур хранения и обработки данных. Таким образом, внедрение современных решений СКУД позволяет повысить не только уровень физической, но и информационной безопасности, обеспечить эффективное управление доступом сотрудников и минимизировать риски несанкционированного проникновения. Дальнейшее развитие технологий биометрической идентификации, интеграция с системами видеонаблюдения и анализа поведения пользователей, например, выявление аномалий в поведении, открывает новые горизонты повышения надежности и удобства эксплуатации данных систем.


Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru

Рады сообщить нашим читателям, что теперь нашем сайте работает модуль обратной связи. Нам важна ваша оценка наших публикаций! Также вы можете задавать свои вопросы.Наши авторы обязательно ответят на них.
Ждем ваших оценок, вопросов и комментариев!
Добавить комментарий или задать вопрос

Правила комментирования статей

Версия для печати

Средняя оценка этой статьи: 5  (голосов: 2)
Ваша оценка:

назад
|
Реклама
Подписка на новости
Имя
E-mail
Анти-спам код
Copyright © 2008 —2022 «Технологии защиты».