Show content

12 слабых мест в СКУД

Форум Системы безопасности / Форум Системы контроля доступа /

29.07.2014 21:42:04

Бухарову.

Если про Desfire, вот: http://www.smartcardreader.ru/_shop/items_/idit_143/ к примеру, вариант. А вот: http://www.cardcity.ru/text/priesebc.htm на Em Marine.

Это первое же, что нашлось через Google.ru. Причём в 1-м случае опт, во-втором розница. Всякие Classic'и подешевле ессно.

-----

Avk.

Здравствуйте, коллега! Был я как-то на Урале, примерно в это же время. Красиво, чёрт возьми, хотя не везде :-). А у нас в Москве жара и духота, как в бане. Все попрятались, под кондеями сидят, боятся и потеют ;-).

А отставание ГОСТ-а от реалий точно не трагедия - но только если в проффесиональном сообществе есть стремление его ликвидировать.

Тут не так просто: профсообщество к ГОСТам никаким каком, его другие люди делают, и им на сообщество положить безо всякого прибора. Ну, можно и без ГОСТа обходиться, что и происходит. Плохо? Ну, что есть.

система контроля доступа" абсолютно не то же самое, что "система контроля И УПРАВЛЕНИЯ доступом"...

Русский язык довольно-таки сложен, и, в силу ограниченности терминов, преимущественно заимствованных, крайне многозначен. Вот, например, "контроль" - что это? Ой-ёй.

В EmMarine и HID PROX картах их ФИЗИЧЕСКИЕ свойства, заложенные на заводе - изготовителе и есть сам идентификационный признак.

Мне кажется, вы ошибаетесь, хотя... Меня учили, что в качестве признака там число, а карточка только его носитель. Потом, есть же перезаписываемые карты, не смарт-, а просто болванки. С ними как же? Всё-таки считаю, что любой вещественный предмет в СКУД может быть только носителем - и ведь необязательно это число, может быть что угодно, картинка, допустим, или штрих-код.

Насчёт смарт-карт и их приложений всё ясно, не думайте, что я не понимаю вашу мысль, просто её формулировка кажется мне неточной, именно в части разделения физики и смысла.

А жизни людей как в рамки статистики впишите??? Которые, не приведи господь, не долетят до места назначения?...

Если без патетики, то жизнь авиапассажира сугубо расчётная величина - для того есть страховка и компенсация. А вы думаете, авиакомпании на бога надеются? Щас! И всё это в статистике авиапроисшествий есть, раздельчик "потери при перевозке". Его тоже считаем, суммируя с прочими. Так и рассчитываются те же страховые платежи, тот же инвестмент в авиа и дивиденд с него. Всё в колонках бухгалтерии, всё.

Вы, например, криптографию используете каждый день - когда почту снимаете или на сайты по https заходите... Вас перед этим заставляли сдавать экзамены по криптографии?

Я не разрабатываю почтовых клиентов, криптобиблиотек и иных приложений шифрования. А вот разработчикам приложений и, особенно, криптопротоколов - тем приходится эту область знать! Иногда (нередко) знают плоховато, оттого программное обеспечение сплошь в дырках, которые затыкают патчами. И всё равно то и дело скандалы с утечками персональных данных - то номеров кредиток, то паспортных данных, то кредитных историй. Вы не следите за новостями такими? А всё именно потому, что, где есть интерес сломать - обязательно сломают криво шифруемые массивы.

Мы с вами тут о защите от клонирования, сиречь взломе и реинжиниринге. Так вот, чтобы не сломали, протокол шифрования должен быть стойким - ну, это NXP должна обеспечить, её вотчина, но ещё - КЛЮЧИ должны быть стойкими, а это не раз-два, а целая отрасль криптографии. И - их обязательно время от времени, которое тоже рассчитывается, причём для разных условий различное - менять! А чтобы и при смене не утекали через ненадёжные кадры (не нахаляву, кэшна) - нужны и процедуры специальные, множественный доступ к компонентам ключей, индивидуальное паролирование, любимая вами аутентификация во взаимном варианте. Это всё люди, люди. причём образованные, зайчиков не посадишь. И денежки им немалые. А то продадут!

И о двух вузах - их выпускники в нашем деле не светятся.

Не знаю, откуда у Вас такая уверенность в "рейдовом" способе перехода прав собственности.... Может мне просто повезло и это только я о таком уже лет десять не слышал?

Думаю, вы старательно затыкали уши.

Так что мое мнение остается обратным Вашему: персонал "снаружи" сокращать до минимума (где возможно - тут тоже никаких уравниловок, есть объекты где без этого не откажутся никогда - и это абсолютно оправдано) - а персонал "внурти" вооружать

А вот тут я не пойму: если персонал "снаружи" заставить работать (сличать личности), то внутри его можно не юзать вообще - там и автоматика справится, причём примитивная, безо всякой крипты. А проходных на любом объекте всегда меньше, чем внутренних дверей. Если только не стрельбище, но там автоматизированный СКУД не при делах ;-).

Говоря проще (как в советские времена) - "я против слесарей первого разряда, я за операторов станков с ЧПУ"

Был такой подходец, был. Результат: ни ЧПУ, ни слесарей - унитаз сменить при нужде не найдёшь спеца. А ЧПУ, даже если б был - не потянет, ой, нет %-(.

30.07.2014 06:45:58

2 Troll

Эти цифры (стоимость болванок с транспортными кодами) известны.

avk отмечал, что они поставляют уже запрограммированные карты.

Вот их цена меня и интересует: стоимость уже запрограммированных карт (туда ведь закладываются стоимость услуг по программированию карты, по хранению ключей и т.п.).

04.08.2014 13:36:32

Всем привет, вопрос по СКУД,

Интересует система интеграции и синхронизации с 1С, и системой биометрии типа отпечаток: http://wisol.ru/solutions/SCD/biometrical-scd/ Хотелось видеть счетчик посещений, количество заходов и выходов (1с) - возможно ли это? Еще интересует вопрос по биометрии - стоит ли внедрение такого способа или лучше оставить стандартно - типа карты. Важна как безопасность, так и удобство.

Спасибо

04.08.2014 14:18:47

Насчёт интеграции спросите в 1С, у них программеры круче всех :-).

А насчёт внедрения: сколько у вас ТД и сколько пользователей - всего и 1/ТД?

04.08.2014 18:14:40

Важна как безопасность, так и удобство.

Безопасность и "удобство" в системах контроля за управлением доступом - вещи диаметрально противоположные и самое главное - не совместимые!

Безопасность - это как раз неудобный многоуровневый доступ по логике "И": - предъявил отпечаток и радужку показал и голос подал и код вел и карточку приложил - вот только после того "сим-сим" и открылся и отдался.

А вот "удобство" (да еще в его Российском понимании) это когда - сунул грязный палец в щель в которую даже собака свой стеклянный не сует и после этого всё тут же само должно вам прямо-таки отдаться, тьфу-ты - открыться-расстелиться.

Так что Вы в начале семь раз отрежьте, по поводу: - вам шашечки, или всё же ехать?

04.08.2014 18:46:38

store2

Вам действительно надо или это себя рекламируете?

Биометрия в целом работает нормально, но есть небольшой % людей, у которых пальцы не читаются вообще.

Делать выбор между био и картой смысла нет: сканер отпечатка пальца содержит и встроенный считыватель (обычно EM-Marine). Так что можно использовать любую комбинацию.

1С - штука дорогая. На деньги, потраченные на внедрение, запросто доработаете готовую систему "под себя".

В области статиски возможно все (главное данные собрать. тут проблемы кроются). Формулируйте задачу.

04.08.2014 20:58:49

Всем привет - по возвращении в офис готов снова в бой.

профсообщество к ГОСТам никаким каком, его другие люди делают, и им на сообщество положить безо всякого прибора. Ну, можно и без ГОСТа обходиться, что и происходит. Плохо? Ну, что есть.

очень не хочется верить в то, что все именно так и происходит... А вдруг люди, которые ГОСТ делают - тоже ЛЮДИ и им не чужды наши с Вами метания??? Мы без ГОСТ-а уже слишком давно обходимся. Не то, чтобы меня это напрягало (привык, знаете ли...) - но все еще хочется верить, что нужды людей "на земле" и ГОСТ-о писателям не чужды...

Меня учили, что в качестве признака там число, а карточка только его носитель. Потом, есть же перезаписываемые карты, не смарт-, а просто болванки. С ними как же? Всё-таки считаю, что любой вещественный предмет в СКУД может быть только носителем - и ведь необязательно это число, может быть что угодно, картинка, допустим, или штрих-код.

Да, терминология тут действительно тонкая и грани, различающие целые классы систем, тоже не всегда резкие. Но для меня (лично) деление идет по следующему принципу: если уникальность носителя считается "головной болью" производителя карт - то именно карта и есть "физический носитель идентификационного признака". Потому что разработчик СКУД-а говорит: "карта есть УНИКАЛЬНЫЙ признак - потому что так сказал производитель, и мы ему ВЕРИМ"...

И упомянутые Вами "болванки" как раз и есть тот самый момент краха постулата "уникальности носителя идентификационного признака", когда все постулаты построения систем, основанные на "уникальности идентификатора", ПРЕВРАЩАЮТСЯ В ПЫЛЬ...

Принципиально другой подход исповедуется в верификационных системах, когда утверждается следующее: "карта есть всего лишь носитель данных - но сами данные формируем МЫ (независимо от производителя карт) и за их уникальность и сохранность (не-клонируемость) тоже отвечаем МЫ, а не производитель карт".

"Момент перехода ответственности за уникальность и не-клонируемость" и является рубиконом систем.

Если без патетики, то жизнь авиапассажира сугубо расчётная величина - для того есть страховка и компенсация.

Скажу Вам честно.... При моих командировках в расчете на единицу времени все труднее летать "на трезвую" как раз из-за подобных рассуждений. Как подумаешь, что твоя жизнь всего лишь "рассчетная величина" - так сразу хочется к очередному перелету (которого не избежать) перейти в состояние "багажа" и проспаться уже на месте (если повезет)... Вот только этика не позволяет, так что приходится терпеть...

Мы с вами тут о защите от клонирования, сиречь взломе и реинжиниринге. Так вот, чтобы не сломали, протокол шифрования должен быть стойким - ну, это NXP должна обеспечить, её вотчина, но ещё - КЛЮЧИ должны быть стойкими, а это не раз-два, а целая отрасль криптографии. И - их обязательно время от времени, которое тоже рассчитывается, причём для разных условий различное - менять! А чтобы и при смене не утекали через ненадёжные кадры (не нахаляву, кэшна) - нужны и процедуры специальные, множественный доступ к компонентам ключей, индивидуальное паролирование, любимая вами аутентификация во взаимном варианте. Это всё люди, люди. причём образованные, зайчиков не посадишь. И денежки им немалые. А то продадут!
Потому поставщик, с которым я работаю, давно уже не тешит себя иллюзиями - и в большинстве случаев готов взять эти проблемы на себя. Они ГОТОВЫ отвечать за стойкость ключей и не отдавать их "конечникам". Они берут на себя ОТВЕТСТВЕННОСТЬ - а это нонче очень неблагодарное занятие. Остальные спокойно себе говорят: "карты - это другой поставщик, вот пусть он и отвечает за взлом, реинжениринг, поломку протоколов и т.п. Мы только математику СКУД считаеми, а карты и их уникальность- это не к нам!!! Но наша система супер защищенная - при условии, что карты (см. выше) тоже защищенные..."
А вот тут я не пойму: если персонал "снаружи" заставить работать (сличать личности), то внутри его можно не юзать вообще - там и автоматика справится, причём примитивная, безо всякой крипты. А проходных на любом объекте всегда меньше, чем внутренних дверей.

"сличать личности", как Вы говорите, вполне себе автоматизируемая процедура. Именно это и может делать автоматика - точнее, ДОЛЖНА делать. C гораздо большей эффективностью, чем это делают простые смертные.

А персонал "внутри" (немногочисленный и подготовленный) просто контролирует процесс "сличения" и при возникновении коллизий или подозрений вмешивается.

Все остальное (выписка разовых пропусков для посетителей или там пропуск контролирующих органов) вполне могут взять на себя симпатичные девушки на Reception. Или бабушки в Бюро пропусков... (лучше первое)

Был такой подходец, был. Результат: ни ЧПУ, ни слесарей - унитаз сменить при нужде не найдёшь спеца.
Вот в том то и беда - своих ЧПУ мы так и не научились делать ("цивилизованный мир" всячески нас уверял, что делать их самим бесполезно - лучше у "друзей" купить), вот мы и купились на увещевания "цивилизованных" собратьев, поверив в их непререкаемую приверженность к "правде".

И в итоге у нас теперь ни своих станков с ЧПУ - ни слесарей 5-6-7 разрядов... Зато вера в "европейский" путь развития экономики - непререкаемая!....

04.08.2014 21:40:37

Простите, что вмешиваюсь, но не подать реплику в данном случае просто не могу :-)

Вот, оказывается, в чем наша беда - в доверчивости! Вот так все хотели работать слесарями - куда там! Так не дали, зарубежные гады: позакрывали нам все ПТУ и заоставили в Турцию за шмотками мотаться или бомбить хозяев бизнеса, или крышевать притоны, или, в конце концов, становится всем менеджерами (продажниками). А ведь так хотелось целый день стоять у станка... (имею право на ерничание: дядька 30 лет отстоят у фрезерного станка, двоюрный брат работал токарем, да и я сам обучался и слесарному делу и станочному - в школе, потом в техникуме).

Если честно, меня поражает, когда люди, прекрасно разбирающиеся в технике, напрочь отключают причинно-следственные связи в обыденной жизни, в экономике, в политике. Вот зачем это посыпание головы пеплом:

мы и купились на увещевания "цивилизованных" собратьев, поверив в их непререкаемую приверженность к "правде"

Кто "мы"?

Кто лично принимал решение о разработке и производстве станков с ЧПУ? Что мешало их производству?

К тому же: что - раньше делали все станки самостоятельно? В 60-е годы я видел на "Светлане" немецкие станки аж 1914 года.

Извините, что не в тему.

04.08.2014 22:47:53

Так, ну, двинулась дискуссия с места, это хорошо... отчасти :-).

Тюрину.

Добрый вечер, Вадим. Мне кажется, вы излишне категоричны во мнении, что

Безопасность и "удобство" в системах контроля за управлением доступом - вещи диаметрально противоположные и самое главное - не совместимые!

Ведь что такое "удобство"? Это ж более психологическое ощущение, нежели какая-то конкретика процедур СКД. Вы, может быть, замечали, что некоторые военнослужащие, привыкшие к жёсткому режиму, испытывают реальный дискомфорт, оказавшись в мягких условиях гражданского быта? Лично я с таким встречался не раз, по молодости это было для меня дичью, а ныне лучше понимаю, в чём тут дело - именно, в силе привычки. Так вот удобство в СКД может быть обусловлено "простотой" привычной процедуры, доведённой до автоматизма.

А вот эта самая кажущаяся "простота", в свою очередь, может быть обеспечена продвинутой технологией СКУД, за что так ратует коллега Avk, современностью технических решений, квалификацией их пользователей.

Imho, никакой принципиальной противоречивости в этих понятиях нет. Другое дело, что есть трудности реализаций, недостаток понимания особенностей работы технических решений СКУД, иногда примешивается и элементарный "синдром вахтёра" со стороны организаторов пропускных систем. Но - это всё решаемо, и в принципе, и в реальной практике объектов, хотя и обходится зачастую недёшево. Ну-с, кому что нравится, не так ли.

-----

А.Бухарову.

Здравствуйте, Андрей. У вас всегда узнАешь что-нить интересное.

Биометрия в целом работает нормально, но есть небольшой % людей, у которых пальцы не читаются вообще.

Вот о таком, т.е. принципиальной нечитаемости, не слыхал, хотя всё возможно; но, может быть, дело не в принципе, а в несовершенстве считывателей? Спрашиваю потому, что криминалистика ухитряется снимать отпечатки даже у бывших в воде месяцами утопленников, а вы, должно быть, знаете, какова трудность такой задачи.

Кроме того, по моему собственному опыту, биометрика не очень подходит для реализации массового пропуска. А в остальных случаях почему бы нет?

1С - штука дорогая. На деньги, потраченные на внедрение, запросто доработаете готовую систему "под себя".

Ну, дорогая или нет, а есть она практически везде, где организован бухучёт. Так что это не вопрос, а вот её интеграция с чем бы то ни было - это вот тема, но, слава б-гу, не для этого форума %-). Кто сталкивался с такой интеграцией, меня поймёт, а кто нет - тому желаю и не столкнуться ;-(. Можно попробовать самих 1С'овцев напрячь, но у них есть целый инструментарий отмаз и направленчества to known adress для таких попытательств ^-))).

-----

Гедзбергу.

Кто лично принимал решение о разработке и производстве станков с ЧПУ? Что мешало их производству?

Для производства нужна хоть какая-то перспектива сбыта, а откуда ей было взяться в 90-е, когда производства, которым могли бы пригодиться такие станки, закрывались пачками, перепрофилируясь в офисные центры? Ну и, кроме того, для разработки и начала выпуска нужны денежки, которых не было и неоткуда было их взять - никто не кредитовал разработчиков станочного оборудования. Так что не надо тут.

В 60-е годы я видел на "Светлане" немецкие станки аж 1914 года.

Ха, в 60-е. Станков 14-го года я не встречал, но вот изделия станочные 1916-го - вполне в подшиниковом производстве дослуживали своё в 1994-м от Р.Х.

-----

Avk'у отдельный пост.

04.08.2014 23:15:40

Привет, коллега Avk! Да пребудет с вами отдохновение (от перездов) и сила.

все еще хочется верить, что нужды людей "на земле" и ГОСТ-о писателям не чужды...

Да вряд ли, особенно, если судить по документам смежных направлений, ОПС, телевидения и т.п..

Потому что разработчик СКУД-а говорит: "карта есть УНИКАЛЬНЫЙ признак - потому что так сказал производитель, и мы ему ВЕРИМ"...

Ну, это проблемы разработчика, а не системного СКУД-интегратора, если он рубит в своей теме. Опять-таки, доверие в технике - величина расчётная :-).

И упомянутые Вами "болванки" как раз и есть тот самый момент краха постулата "уникальности носителя идентификационного признака", когда все постулаты построения систем, основанные на "уникальности идентификатора", ПРЕВРАЩАЮТСЯ В ПЫЛЬ...

Опять-таки, кто авторы этих т.н. "постулатов"? Кто постулирует? Разработчики носителей или контроллеров? Много берут на себя, если так. А потом надо бы ответить "за базар": "Гоп-стоп, мы подошли из-за угла" :-))).

Скажу Вам честно.... При моих командировках в расчете на единицу времени все труднее летать "на трезвую" как раз из-за подобных рассуждений. Как подумаешь, что твоя жизнь всего лишь "рассчетная величина"

А вот это вы зря - потому что бизнес, чем дороже для него расчётные величины, тем аккуратнее к ним относится. Поэтому следует всемерно поддерживать максимизацию денежных компенсаций пострадавшим в авиапроисшествиях. Впрочем, это не гарантия - как бы Malaysia Airlines уже близка к банкротству, а что толку?.. Попробуйте ездить поездами - лично я так и делаю, здорово помогает от командировок ;-).

Потому поставщик, с которым я работаю, давно уже не тешит себя иллюзиями - и в большинстве случаев готов взять эти проблемы на себя. Они ГОТОВЫ отвечать за стойкость ключей и не отдавать их "конечникам". Они берут на себя ОТВЕТСТВЕННОСТЬ - а это нонче очень неблагодарное занятие.

Надо полагать, за соответствующее вознаграждение?

Андрей тут спрашивал,

Так сколько же стоит карта? У меня тут проект похожий есть (защита от клонов нужна). Дык давайте согласуем цены на карты хотя бы... Чтобы рынок не ломать.

- прокомментируйте, мне ж тоже интересно.

"сличать личности", как Вы говорите, вполне себе автоматизируемая процедура. Именно это и может делать автоматика - точнее, ДОЛЖНА делать. C гораздо большей эффективностью, чем это делают простые смертные.

Сомневаюсь в большей эффективности, человеческие способности опознавания личности проверены историей, а возможности техники в этом направлении пока имеют более рекламный характер, нежели практический. Кроме того, покажите мне прибор, способный опознать человека по словесному портрету - а люди могут, проверено.

Да и не дешевле, скорее всего, такое аппаратное решение, и не функционирует, опять-таки, совсем без людей - кто-то же должен вести БД фотографий, настраивать видеоаппаратуру, ремонтить её, чистить оптику. И всё это - вместо одного бойца вахты, гм.

А персонал "внутри" (немногочисленный и подготовленный) просто контролирует процесс "сличения" и при возникновении коллизий или подозрений вмешивается.

Вот видите, ещё и без этих работников не обойтись. Как бы их больше не получилось, в итоге, чем без техники :-))).

се остальное (выписка разовых пропусков для посетителей или там пропуск контролирующих органов) вполне могут взять на себя симпатичные девушки на Reception.

Ну, это-то не вопрос ;-).

-----

PS. Через день-два отъеду (на неделю-две), и будет не до дискуссий. Просто, чтоб не гадали, куда запропал.