アクセス制御システム

劇場はハンガーから始まるため、情報セキュリティシステムは、タイプ、サイズ、コストに関係なく、情報システム自体の物理的なセキュリティを確保することから始まります。

導入の代わりに、本質についてのいくつかの言葉。

物理的セキュリティでは、「アクセス制御」という用語は、財産、建物、または施設へのアクセスを制限する慣行を指し、許可された人だけがアクセスを許可されます。 物理的なアクセス制御は、人（警備員、警備員、受付係）を使用して、ドアのロックやキーなどの機械的方法、またはアクセスカードや生体認証に基づくアクセスシステムなどの技術的手段によって実現できます。

明らかに、ホーム情報システムのセキュリティを確保するためには、少なくとも、出発する前にドアを鍵でロックする必要があります。 それ以外の場合、失われたデータの回復と、あなたにとって価値のある情報が暗号化されているという希望の2つの娯楽しかありません...







仕事のために情報システムを使用するほとんどの企業では、入り口、ワークルームではない場合、建物への入り口には、バッジまたは背面に「セキュリティ」または「セキュリティサービス」という碑文を持つ特別な訓練を受けた人がいます。この建物で働いて日記を書く人は、この建物/前提では働いていないが、いくつかのビジネス上の問題については中に入るべきだ。 伝説によると、彼はこれを行うので、財産を失った場合に、部外者からこれを行うことができる人をすぐに見つけることができます。 原則として、現代のオフィス施設にはビデオ監視カメラが装備されているため、訪問者の違法行為の場合、それらは簡単に識別できます。 理想的には、特別に訓練された警備員が部屋の各ドアの近くに座って、パスをチェックし、いつ、出入りするログブックに書き込む必要があります（警備員の1人がしばらく離れたい場合は2人が望ましい）。

警備員に加えて、部屋へのドアをロックする必要があります（少なくとも同じ警備員から:)）。







ロックですべてが多かれ少なかれ明確になっている場合（すべての家の正面ドアがロックされているか、複数のドアがある場合）、ログのすべてのドアの開口部を慎重に記録する警備員は、問題を解決する時間さえありません。会社の直接的な作業プロセスに従事していない人々のこのようなブレークスルーは、主な利益をもたらします。

セキュリティ担当者のコストを削減し、物理的セキュリティのレベルを上げるために、アクセス制御および管理システム（建物および敷地内）が使用されます。 個人のセキュリティの存在がまだ必要であることを直ちに予約してください。したがって、この問題はトピックの範囲を超えているため、これ以上触れません。



アクセス制御システムは、誰が入場または退場を許可され、どこで出場または退場を許可され、どこで出退場を許可され、いつ入場または退場を許可されるかを決定します。 この場合、パス（アクセス権）を持っている人、パスを持っていない人、どこで、どこで、いつ出入りするかについての質問は心配する必要はありません。

電子アクセス制御は、コンピュータの力を使用して、機械的なロックとキーによって課せられる制限に関連する問題を解決します（セキュリティガードによって上記の範囲で）。 電子システムは、許可された許可（パス）に基づいて、保護されたエリアにアクセスできるかどうかを判断します。 アクセスが取得されると、特定の期間ドアが開き、このアクションがシステムに記録されます。 アクセスが拒否された場合、ドアは閉じたままになり、アクセスの試みも記録されます。 また、システムはドアを監視し、ブルートフォースを使用してドアが開かれた場合、または長時間開いたままになった場合（突然誰かが意図的にドアを開いたままにして、部外者が内部に入ることができるようになった場合）にアラームを発します。







アクセス制御ポイントは、ドア、回転式改札口、ゲート、障壁、駐車場、エレベーター、またはアクセスを電子的に制御できる他の物理的な障壁にすることができます。 通常、アクセス制御ポイントはドアであり、アクセスは磁気ロックとカードリーダーによって制御されます。







アクセス制御システムのメインユーザーインターフェイスは、スマートカードリーダーです。 リーダーはスマートカード技術に依存しています。 磁気ストリップ、バーコード、またはWeigandカードのリーダーは通常、連絡先リーダーと呼ばれ、ほとんどの場合、店舗やATMで使用されます。 一部の連絡先リーダーでは、データを適切に読み取るために、カードを一定の距離で描画する必要があります。 近接または非接触型スマートカードのリーダーは、実際には無線送信機です。 リーダーのブロードキャストフィールドがカードをアクティブにし、カードがリーダーとの無線送信を開始します。 カードの前面に金メッキの接点が見えるスマートカードは、接触スマートカードと呼ばれ、データを転送するためにカードの接点に物理的に触れるには、リーダーに同じ金メッキの接点が必要です。 バイオメトリックリーダーは技術的な使用においてユニークですが、ユーザーが指紋や手の形状を表示するためにリーダーに触れたり、顔認識のためにカメラを見たり、虹彩や網膜をスキャンしたり、発音したりするかどうかにかかわらず、常にユーザーに体の一部を提示する必要があります音声認識のためのマイクへのフレーズ。

簡単に言えば、施設にアクセスする権利（パス）を持つ人がシステムへのパスを作成し（リーダーに近づける）、ドアが開くか開かないかのいずれかですが、いずれにしても、そのようなイベントはシステムに自動的に記録されます。

自明でない実装事例。

もちろん、3人が座っている15平方メートルの部屋にアクセスコントロールシステムを設置するのは、大忙しの価値はありません。



しかし、さまざまな都市に複数の建物があるかなり大きな企業では、情報セキュリティを含むセキュリティの全体的なレベルを高めるために、本格的なアクセス制御システムの導入を検討する価値があります。



「その名前は私たちにとってあまり重要ではない」会社にいくつかの地域支店があると仮定します。 さらに、これらの領域は互いに十分に削除されています。 一部の地域では、図に示すように、適切な帯域幅と信号伝搬の時間遅延に関連するその他の設備を備えた衛星通信チャネルのみが通信に使用できます。







各支店には、主要都市にいくつかの大きな建物があります。 建物間では、通信回線は非常に高品質であるため、次の図には表示されていません。







この図は、スマートカードリーダーの数も示しています。 実際、アクセス制御システムのコントローラーは、近接リーダーの数に基づいてインストールされます（つまり、実際には、コントローラーの電力とその価格はカードリーダーの数に依存します）。 アクセス制御システムで物理的な保護を提供する最小限の構成の建物の場合、正面玄関および非常口にリーダーを設置する必要があります。倉庫、サーバールーム、ディレクターオフィス、情報セキュリティキャビネット（ドアの両側に1つずつ、つまりドアごとに2リーダー）。 平均で12人のリーダーをインストールする必要がある建物の合計 これらの部屋には、建物自体の内部を制限することが望ましいバリエーションがあります（クリーンルーム、実験室、秘密の会議室、変電所、ガレージなど）。 さらに、各建物には、セキュリティおよび火災警報システム（関連当局の要件による）およびビデオ監視システムがあり、必要に応じて管理を容易にするためにアクセス制御システムにリンクする必要があるという事実を考慮する必要があります。



このような大規模なシステムの場合、要件を定式化します。 「システムは近接リーダーとスマートカードをサポートし、入室および退室のイベントをログに記録する必要があります」などの詳細は、それらの証拠を考慮してここでは記述されません。



そのようなシステムを使用した結果として得たい主なポイントと利点について説明します。

•アクセス制御

•勤務時間の会計

•保護の質の向上

•セキュリティおよびメンテナンス担当者が常にいない自律施設の制御（自動電話交換およびエネルギーセンター）

•盗難による物的損害の可能性を減らす。

•施設への入場/退場に関するすべてのイベントの回顧記録と文書化の可能性

•現在のITインフラストラクチャとの統合

•すでにインストールされているセキュリティ、火災警報、およびビデオ監視システムとの統合。

•職場への不正アクセスの排除（AWP）。

•従業員のさまざまなグループの差別化された管理

•アクセス制御および管理システムを地域間レベルに無制限に拡張する機能



アクセス制御システムプラットフォームを選択する初期段階で避けるべきことについて説明します。

•産業用以外のデータベースの使用（この場合、このデータベースを操作できる専門家には問題があります。また、データベース/データベースとの間でデータを転送する問題があります。 「個人データに関する」法律の要件も）

•会社の全従業員の記録がすでに存在するActive Directoryとの統合の欠如（ACSデータベースの情報を複製する必要があり、さまざまなITシステム内でデータの一貫性を保証するのが困難になります）

•会社のすべての支店に拡張できない（システムが最初にそのような拡張の可能性をサポートしていない場合、このタスクが発生すると、主要なACS機器を完全に変更しない限りそのソリューションは不可能になる）

•単一のシステム管理ポイントの欠如（システムを管理するポイントの欠如。また、システムが一元管理されていない場合、オブジェクトへのアクセスで何が起こるかを言うことも不可能です）



システムのスケーリングに関連する追加要件：

•システムには、他のコンポーネントを簡単に統合できるオープンアーキテクチャが必要です。

•システムのスケーリングを地域間レベルで簡素化するため

•シンTCP / IPチャネル（56 kbps）を介したリモートスタンドアロンオブジェクトのサポートを提供する

•産業用DBMS（OracleまたはMS SQL）を使用する

•Active Directoryと統合する

•施設へのアクセスだけでなく、2段階のユーザー認証にもカードを使用する機能を提供します。



上記の要件のほとんどすべてがOnGuardシステムによって満たされます。

下の画像に示されているLenel Systemsの企業価格。







このシステムのパンフレットには、より良い画像と有用な情報が記載されています 。



このシステムで注目すべきことは（広告の場合は考慮しないでください。一度に国内と海外の両方の開発の約50の異なるアクセス制御システムを見なければならなかったということです）：



機能的な特徴と機能：

•オープンアーキテクチャ

•既製の標準ソフトウェア製品の使用

•統合セキュリティシステムの集中管理

•ローカルシステムの独立性の維持

•集中型データベース（顧客の選択に関係するもの）

•1枚の身分証明書の使用

•大規模な地域間システムのレベルへのスケーラビリティ

•HRシステムのデータベースを操作するためのインターフェイス

•LAN / WANを介した複数のデータベース間のデータ同期

•1つのワークステーションから複数の地域のイベントとアラームを同時に監視

•セグメント化されたデータベースアーキテクチャ

組み込みインターフェースがあるシステム：

•パスシステム

•デジタルビデオ監視システム

•セキュリティアラーム

•ビジター管理

•情報セキュリティ

•プロパティ管理

•メール

•人事管理

•勤務時間の会計



サポートが定量的に制限されていない統合セキュリティシステムの要素：

•地域サーバー

•アクセスカード

•タイムゾーン

•監視ステーション

•アクセスレベル

•リレー出力

+ OpenITと呼ばれる独自のソフトウェアを介したActive Directoryおよびその他のITシステムとの統合。



最後の項目が最も重要です。なぜなら、 これらのシステムのほとんどは、Active Directoryとの統合はありませんが、大企業にとって大きなプラスであるため、無駄です。 多くのシステムは、ビデオ監視システムとアラームシステムをうまく統合しています。OnGuardは、セキュリティおよび火災警報システムとビデオ監視システムと組み合わせることもできます。

2つのシステムを比較してみましょう。

Lenel Systemsのシステムを、いくつかの基準で国内生産の最も人気のあるPercoアクセス制御システムと比較しましょう。 両メーカーの最新バージョンを比較します。







比較結果から何が言えるか。 Perco開発者はシステムで作業する必要があります。 300人以上の従業員がいる実際に働く企業の複数のドアまたは回転式改札口を閉じるためにPercoのアクセス制御システムを使用したい人は、クローズドプロプライエタリシステムの喜びと国内ソフトウェアの技術サポートの品質を体験することができます。メーカー。

これは否定的なレビューにこだわる。





次に、産業用DBMSシステム（OracleまたはMS SQL）の使用とActive Directoryとの統合がもたらす利点を見てみましょう。 まず、このようなシステムは、既存のHRシステムと簡単に統合できます。 次に、わずかに変更されたアクセスカードを使用して、ワークステーション上のユーザーの2要素認証を整理することができます。そのため、数分でも部屋を出る前にユーザーがワークステーションをブロックするように強制できます。 第三に、システムはActive Directoryと対話するため、同じカードを使用して、たとえば、カフェテリアでの夕食の支払いに使用でき、ポケットにささいなことをすくいません。 この場合は通常の銀行カードを使用することになりますが、会計プログラムと組み合わせて給与の支払いをすることはさらに興味深いです（企業は税控除をわずかに削減できるため、なおさらです）。

育種。

一般に、アクセス制御システムをインストールすることにした場合、労働者の到着時間と出発時間を正確に記録する監視員である祖母が労働時間の簡単な監視を提供できることに注意してください。 そして、個々のスキームに応じて各従業員に自動アクセス制御を提供する使いやすい管理システムを作成し、機器を変更せずに複数の建物にさらに拡張できるビデオ監視のセキュリティアラームシステムと組み合わせて、オープンアーキテクチャの何かを見つけることをお勧めします。産業用DBMSとActive Directoryの統合。 そして最も重要なことは、人事部にこのシステムを操作する権限を与えすぎないことです。さもなければ、彼らは遅刻して職場を欠席する従業員を脅迫する手段になります。