В полях физическая безопасность и защита информации, контроль доступа(AC) - выборочное ограничение доступа к месту или другому ресурсу при управлением доступом описание процесса. Акт доступа может означать потребление, вход или использование. Разрешение на доступ к ресурсу называется авторизацией.
Блокировки и учетные данные для входа - два аналогичных механизма управления доступом.
Контроль географического доступа может осуществляться персоналом (например, пограничник, вышибала, билетик проверка) или с помощью такого устройства, как турникет. Могут быть ограждения, чтобы избежать обхода этого контроля доступа. Альтернативой контроля доступа в строгом смысле слова (физический контроль доступа) является система проверки авторизованного присутствия, см., Например, Билетный кассир (транспорт). Вариант - контроль выхода, например магазина (кассы) или страны.
Термин «контроль» применяется к практике ограничения входа в собственность, здание или комнату для уполномоченных лиц. Физический контроль доступа может быть достигнут человеком (охранником, вышибалой или секретарем) с помощью механических средств, таких как системы контроля доступа, такие как мантрап. В этих средах управления физическими ключами заграницей как средство управления и контроля доступа к областям с механическими ключами или доступа к определенным небольшим активам.
Контроль физического доступа - это вопрос того, кто, где и когда. Система контроля доступа определяет, кому разрешено входить или выходить, где им разрешено выходить или входить, и когда им разрешено входить или выходить. Исторически это частично достигалось с помощью ключей и замков. Когда дверь заперта, только тот, у кого есть ключ, может войти через дверь, в зависимости от конфигурации замка. Механические замки и ключи не позволяют ограничивать владельца ключа определенным временем или датой. Механические замки и ключи не содержат записей о ключах, используются на какой-либо конкретные двери, и ключи можно легко скопировать или передать неуполномоченному лицу. Если механический ключ утерян или держатель ключа больше не имеет права использовать защищенную зону, замки должны быть повторно заперты.
Электронный контроль доступа (EAC) использует компьютеры для решения ограничений механических замков и ключей. Для механических замен ключей можно использовать диапазон учетных данных. Электронная система контроля доступа к доступу на основе представленных учетных данных. Когда доступ предоставляется, дверь разблокируется на заданное время и записывается транзакция. При отказе в доступе дверь остается заблокированной, и попытка доступа записывается. Система также будет контролировать дверь и сигнализировать, если дверь будет открыта с помощью силы или удерживается открытой слишком долго после разблокировки.
Когда учетные данные представлены читателю, считыватель отправляет учетную информацию, обычно это число, к панели управления - высоконадежный процессор. Панель управления сравнивает номер удостоверения со списком управления доступом, разрешает или отклоняет представленный запрос и отправляет журнал транзакций в базу данных. Когда доступ запрещен на основании списка управления доступом , дверь остается заблокированной. Если есть совпадение между учетными данными и списком контроля доступа, контрольная панель управляет реле, в свою очередь, открывает дверь. Панель управления также игнорирует сигнал открытия двери, чтобы предотвратить срабатывание сигнализации. Часто считыватель обеспечивает обратную связь, например, мигающий красный светодиод для отказа в доступе и мигающий зеленый светодиод для разрешения доступа.
Приведенное выше описание иллюстрирует однофакторную транзакцию. Учетные данные могут быть переданы, таким образом нарушая список контроля доступа. Например, Алиса имеет права доступа к серверной серверной, а Боб - нет. Алиса либо дает Бобу свои учетные данные, либо Боб берет их; Теперь у него есть доступ к серверной. Чтобы предотвратить это, можно использовать двухфакторную аутентификацию. В двухфакторной транзакции для предоставления доступа необходимы представленные учетные данные и второй фактор; другим фактором может быть ПИН-код, вторые учетные данные, вмешательство оператора или биометрический ввод.
Существует три типа (факторов) аутентификационной информации:
пароли являются обычным средством проверки личности пользователя перед предоставлением доступа к информационным системам. Кроме того, теперь распознается четвертый фактор аутентификации: кто-то, кого вы знаете, через чего другой человек, который знает, может быть человеческий элемент аутентификации в ситуациях, когда системы были настроены для таких ситуаций. Например, у пользователя есть пароль, но он забыл смарт-карту. В таком сценарии, если пользователь предоставлен назначенным когортам, когорты могут предоставить два фактора пользователя с существующими учетными данными, давая три общих фактора, позволяющих получить доступ.
Учетные данные - это физический / материальный объект, часть знаний или аспект физического существа человека, обеспечивающий индивидуальный доступ к данному физическому объекту или компьютерная информационная система. Как правило, учетные данные могут быть чем-то известным человеком (например, номером или PIN-кодом), чем-то, что у него есть (например, значок доступа ), чем-то, что они есть (например, биометрической функции), чем-то, что они делают (измеримые поведенческие модели) или некоторую комбинацию этих элементов. Это известно как многофакторная аутентификация. Типичными учетными данными являются карта доступа или брелок, а более новое программное обеспечение также может превращать смартфоны пользователей в устройства доступа.
Существует множество технологий карт, включая магнитную полосу, штрих-код, Wiegand, Бесконтактные 125 кГц, 26-битные карты, контактные смарт-карты и бесконтактные смарт-карты. Также доступны брелки для ключей, которые более компактны, чем идентификационные карты, и прикрепляются к кольцу для ключей. Биометрические технологии включают отпечатки пальцев, распознавание лиц, радужную оболочку глаза, сканирование сетчатки глаза, голос и геометрию руки. Встроенные биометрические технологии, в новых смартфонах, также включенные в качестве учетных данных в сочетании с программным обеспечением доступа, работающим на мобильных устройствах. В дополнение к более старым, более традиционным технологиям доступа к картам, новым технологиям, таким как ближнего поля (NFC), Bluetooth с низким энергопотреблением или сверхширокополосная связь (UWB), могут также передаваемые учетные данные пользователя считывающим устройствам для доступа к системе или зданию.
Компоненты системы контроля доступа включают:
Решения контроля доступа путем сравнения учетных данных со списком контроля доступа. Этот поиск может быть хостом или сервером, панелью управления доступом или считывателем. При разработке систем контроля доступа наблюдалось постоянное продвижение поиска от центрального хоста к краю системы или считывающее устройство. Преобладающая топология около 2009 г. - концентратор и «спица» с панелью управления в качестве концентратора, а считыватели - в качестве спиц. Функции поиска и управления находятся на панели управления. Спицы общаются через последовательное соединение; обычно RS-485. Производители некоторые доводят процесс решения до крайности, размещая контроллер у двери. Контроллеры имеют IP и подключаются к хосту и базе данных по стандартным сетям.
Считыватели контроля доступа можно классифицировать по функциям, которые они могут выполнять. выполнить:
Некоторые считыватели имеют дополнительные функции, такие как ЖК-дисплей и кнопки для сбора данных (т. / События отключения отчетов о посещаемости), камера / динамик / микрофон для внутренней связи и поддержка чтения / смарт-записи-карт.
1. Последовательные контроллеры.Контроллеры подключаются к главному компьютеру через последовательную линию связи RS-485 (или через токовую петлю 20 мА в некоторых старых системах). Необходимо установить внешние преобразователи RS-232/485 или внутренние карты RS-485, так как стандартные ПК не имеют портов связи RS-485.
Преимущества:
Недостатки:
2. Последовательные основные и вспомогательные контроллеры.Все дверное оборудование подключено к вспомогательным контроллерам (также известным как дверные контроллеры или дверные интерфейсы). Подконтроллеры обычно не принимают решения о доступе, а вместо этого пересылают все запросы контроллерам. Главные контроллеры обычно от 16 до 32 субконтроллеров.
Преимущества:
Недостатки:
3. Последовательные главные контроллеры и интеллектуальные считыватели.Все дверное оборудование подключается напрямую к интеллектуальным или полуинтеллектуальным считывателям. Читатели обычно не принимают решения о доступе и перенаправляют все запросы на главный контроллер. Только если соединение с главным контроллером недоступно, считыватели будут использовать свою внутреннюю базу данных для принятия решений о доступе и записи событий. Полуинтеллектуальный считыватель, который не имеет базы данных и не может работать без главного контроллера, должен использоваться только в областях, не требующих высокой безопасности. Основные контроллеры обычно поддерживают от 16 до 64 считывателей. Все преимущества и недостатки такие же, как перечисленные во втором абзаце.
Системы контроля доступа с использованием последовательных контроллеров и терминальных серверов4. Последовательные контроллеры с терминальными серверами.Несмотря на быстрое развитие и все более широкое использование компьютерных сетей, производители средств контроля доступа оставались консервативными и не торопились с внедрением сетевых продуктов. Когда требовались решения с возможностью подключения к сети, многие выбрали вариант, требующий меньших усилий: добавление терминального сервера, устройства, которое преобразует последовательные данные для передачи через LAN или WAN.
Преимущества:
Недостатки:
Также действуют все преимущества и недостатки, связанные с RS-485.
Система контроля доступа с использованием основных сетевых контроллеров5. Основные контроллеры, подключенные к сети.Топология почти такая же, как описано во втором и третьем абзацах. Имеются те же преимущества и недостатки, но встроенный сетевой интерфейс предлагает несколько ценных улучшений. Передача конфигурации и пользовательских данных на главные контроллеры происходит быстрее и может осуществляться параллельно. Это делает систему более отзывчивой и не прерывает нормальную работу. Для обеспечения резервной настройки главного ПК не требуется никакого специального оборудования: в случае выхода из строя основного хост-ПК, дополнительный хост-ПК может начать опрос сетевых