проблемы обеспечения безопасности банковских учреждений техническими средствами охраны
В настоящее время структура и состав интегрированных систем технических средств охраны (ИС ТСО) банковских учреждений тщательно разработаны и активно применяются на практике. Использование многоуровневой системы охранной сигнализации (извещатели с разными принципами обработки сигнала: ИК, радиоволновой, сейсмический/вибрационный, акустический и др.) позволяет обеспечить относительно гарантированный уровень безопасности (имущества/защиты информации) от преступных посягательств. Однако следует отметить, что в функциональной и аппаратной организации таких систем имеется ряд недостатков, не позволяющих в полной мере, с учетом мировых тенденций развития ИС ТСО, реализовать концепцию гарантированной безопасности.
Проведем краткий анализ существующих проблем в этой области и рассмотрим варианты их решения.
каналы связи
Как правило, вся информация о состоянии объектов охраны обрабатывается единым центром информационной обработки с принятием мер реагирования специализированными подразделениями в случае попытки совершения преступных посягательств на объект охраны. Физическая удаленность центра и охраняемых объектов создает ряд технических проблем, а именно:
а) Используемые для информационного обмена медные линии связи АТС на участках между объектами охраны, АТС и центром обработки не позволяют использовать линии с длиной более 2 км, так как физическая линия имеет большое количество контактных соединений через кросс и используются кабели разных марок и разных диаметров жил. В результате несогласованности параметров различных типов кабелей происходит дополнительное затухание передаваемого сигнала до 25 и более дБ. Полученные параметры прямых связей имеют критические значения.
Решением проблемы служит введение оптоволоконных линий связи и аппаратно-программного комплекса сопряжения ПО центра обработки с применением IT- технологий: оптические мультиплексоры, маршрутизаторы, xDSL-связь.
б) Используемая АМ-модуляция информационного сигнала на частоте 18 КГц не обеспечивает достаточной информационной скорости передачи данных и их помехоустойчивости. Существует также проблема частотного наложения служебного информационного сигнала на поток АDSL-связи. Таким образом, для исключения конфликта требуется введение частотной или фазово-частотной модуляции служебного сигнала.
алгоритмы формирования сигнала, шифрование
Статический алгоритм реализации и обработки информационного сигнала без дополнительных мер обеспечения криптостойкости (шифрование
одно/двухкомпонентными алгоритмами) не позволяет обеспечить гарантированную конфиденциальность служебной информации.
В целях массового внедрения охранных услуг среди предприятий и населения (снижение вероятности совершения имущественных преступлений) предпринимаются меры по удешевлению (упрощению) электронно-технических схем охранной сигнализации объектового уровня категории «обычный», при соблюдении специализированной многорубежной тактики на объектах категории «особо важный». В обоих случаях протокол формирования и передачи служебного информационного сигнала по критериям помехоустойчивости, криптостойкости, а также сложность базового алгоритма формирования сигнала остаются одинаковыми. Однако, как известно, имущественная безопасность банковского учреждения и обычного предприятия или помещения с личным имуществом граждан – не сопоставима по уровню предполагаемых потерь в случае преступного проникновения на объект. При варианте обеспечения гарантированной безопасности объектов категории «особо важный» необходимо применение именно специализированных алгоритмов формирования сигнала, динамической системы шифрования сигнала.
Для создания выделенных каналов обеспечения охраны банка можно использовать сеть VPN.
программное обеспечение
Использование в центре обработки в качестве базовых ОС семейства Windows (98/2000/XP) также создает определенные проблемы, поскольку эти ОС:
- не предназначены для создания закрытых/защищенных систем обработки информации (международный сертификат безопасности выдан ОС Unix CX/SX, HP- UX BLS и др.);
- не используются для создания сетевых многозадачных/многопотоковых резидентных приложений;
- не позволяют обеспечить защиту центра обработки от атак, как на уровне приложений, так и от несанкционированного удаленного доступа к ресурсам базовых хостов/файл-серверов.
Учитывая стоимость защищенных ОС и сомнительную возможность их поставки, компромиссным решением может быть использование в центрах обработки 64 разрядной ОС MS Windows Server-2003 EE/DE с комплексом приложений по кодированию информации (3DES, AES), аутентификации пользователей (EAP, PAP) и обеспечению целостности данных (Microsoft Internet and Acceleration (ISA) Server 2004, Symantec Enterprise Security Manager (ESM) 6.0 из состава системы Symantec Security Management System).
передача видеопотока
Внедрив описанные выше технологии и решения и увеличив таким образом пропускную способность и надежность каналов связи между объектами охраны и центром, мы можем позволить себе организовать дополнительный канал дистанционного контроля целостности объекта охраны категории «особо важный» - сигнал видеоизображения (MPEG-поток), который может использоваться в качестве:
- отдельного независимого источника физической целостности объектов с передачей информации по независимому служебному каналу. Необходимость и периодичность разового/постоянного наличия видеосигнала определяется администратором самостоятельно;
- интегрированного в общий служебный информационный сигнал с привязкой к статусу состояния интегрированных систем технических средств охраны банка: охрана/тревога, в режиме системного теста состояния объектов охраны автоматически.
Интересна возможность заданной адресной активизации видеосигнала при использовании тревожной сигнализации при преступном нападении на объекты. До прибытия нарядов специализированных подразделений реагирования ситуация может контролироваться администратором дистанционно, могут приниматься решения о привлечении дополнительных сил СПО, МЧС, скорой помощи.
Структурная и аппаратная реализация систем видеонаблюдения может быть различной, в зависимости от уровня решаемых задач по защите. Оптимальный вариант: видео-файл-сервер объекта (автономное дублирование видео, дистанционный реальный/архивный доступ администратора, возможность опроса камер без обращения к серверу), IP-камеры с доступом через веб (уличной и внутренней установки).
Администратор может контролировать видеосигнал в режиме Future Parc – технология дополнительной реальности, позволяющая формировать трехмерное изображение на основе информации всех видеокамер с разных сторон.
защита электропитания
В связи с применением в банковских учреждениях сложных технических систем (охранная/пожарная/видео/доступ) реально возникает проблема применения одного специализированного источника обеспечения/защиты электропитания (фильтр напряжения в лини локальной сети, защита от грозовых разрядов и скачков напряжения и др.). Действенным вариантом решения проблемы является резервированная модульная система. В качестве примера можно привести APС InfraStruXure (комплексное обеспечение электропитания) с резервированием по схеме N+1. Используемые на данный момент в некоторых банках простые, «пользовательские» ИБП не позволяют обеспечить комплексное гарантированное электропитание системы охраны.
биометрия
Интересными для применения в составе интегрированной системы охраны являются сетевые системы управления доступом на основе биометрической информации сотрудников. В качестве хорошего примера стоит упомянуть систему BIOCODE-NET. Отсутствие специализированных карточек/пропусков позволяет минимизировать риск несанкционированного физического доступа на объекты банка, позволяет гарантировать то, что зарегистрированный в системе вход/выход из помещения персонально осуществил сам сотрудник.
Существенно повышает уровень гарантированной безопасности банковского учреждения совместное применение биометрии с другими методами: например, использование кодов сдачи системы охраны на центре обработки и биометрическое подтверждение по системе управления доступом.
Учитывая все возрастающую актуальность вопросов обеспечения безопасности деятельности банковских учреждений, практическое применение вышеописанных алгоритмов позволит существенно повысить уровень гарантированной безопасности.
Владимир Маликов
Проведем краткий анализ существующих проблем в этой области и рассмотрим варианты их решения.
каналы связи
Как правило, вся информация о состоянии объектов охраны обрабатывается единым центром информационной обработки с принятием мер реагирования специализированными подразделениями в случае попытки совершения преступных посягательств на объект охраны. Физическая удаленность центра и охраняемых объектов создает ряд технических проблем, а именно:
а) Используемые для информационного обмена медные линии связи АТС на участках между объектами охраны, АТС и центром обработки не позволяют использовать линии с длиной более 2 км, так как физическая линия имеет большое количество контактных соединений через кросс и используются кабели разных марок и разных диаметров жил. В результате несогласованности параметров различных типов кабелей происходит дополнительное затухание передаваемого сигнала до 25 и более дБ. Полученные параметры прямых связей имеют критические значения.
Решением проблемы служит введение оптоволоконных линий связи и аппаратно-программного комплекса сопряжения ПО центра обработки с применением IT- технологий: оптические мультиплексоры, маршрутизаторы, xDSL-связь.
б) Используемая АМ-модуляция информационного сигнала на частоте 18 КГц не обеспечивает достаточной информационной скорости передачи данных и их помехоустойчивости. Существует также проблема частотного наложения служебного информационного сигнала на поток АDSL-связи. Таким образом, для исключения конфликта требуется введение частотной или фазово-частотной модуляции служебного сигнала.
алгоритмы формирования сигнала, шифрование
Статический алгоритм реализации и обработки информационного сигнала без дополнительных мер обеспечения криптостойкости (шифрование
одно/двухкомпонентными алгоритмами) не позволяет обеспечить гарантированную конфиденциальность служебной информации.
В целях массового внедрения охранных услуг среди предприятий и населения (снижение вероятности совершения имущественных преступлений) предпринимаются меры по удешевлению (упрощению) электронно-технических схем охранной сигнализации объектового уровня категории «обычный», при соблюдении специализированной многорубежной тактики на объектах категории «особо важный». В обоих случаях протокол формирования и передачи служебного информационного сигнала по критериям помехоустойчивости, криптостойкости, а также сложность базового алгоритма формирования сигнала остаются одинаковыми. Однако, как известно, имущественная безопасность банковского учреждения и обычного предприятия или помещения с личным имуществом граждан – не сопоставима по уровню предполагаемых потерь в случае преступного проникновения на объект. При варианте обеспечения гарантированной безопасности объектов категории «особо важный» необходимо применение именно специализированных алгоритмов формирования сигнала, динамической системы шифрования сигнала.
Для создания выделенных каналов обеспечения охраны банка можно использовать сеть VPN.
программное обеспечение
Использование в центре обработки в качестве базовых ОС семейства Windows (98/2000/XP) также создает определенные проблемы, поскольку эти ОС:
- не предназначены для создания закрытых/защищенных систем обработки информации (международный сертификат безопасности выдан ОС Unix CX/SX, HP- UX BLS и др.);
- не используются для создания сетевых многозадачных/многопотоковых резидентных приложений;
- не позволяют обеспечить защиту центра обработки от атак, как на уровне приложений, так и от несанкционированного удаленного доступа к ресурсам базовых хостов/файл-серверов.
Учитывая стоимость защищенных ОС и сомнительную возможность их поставки, компромиссным решением может быть использование в центрах обработки 64 разрядной ОС MS Windows Server-2003 EE/DE с комплексом приложений по кодированию информации (3DES, AES), аутентификации пользователей (EAP, PAP) и обеспечению целостности данных (Microsoft Internet and Acceleration (ISA) Server 2004, Symantec Enterprise Security Manager (ESM) 6.0 из состава системы Symantec Security Management System).
передача видеопотока
Внедрив описанные выше технологии и решения и увеличив таким образом пропускную способность и надежность каналов связи между объектами охраны и центром, мы можем позволить себе организовать дополнительный канал дистанционного контроля целостности объекта охраны категории «особо важный» - сигнал видеоизображения (MPEG-поток), который может использоваться в качестве:
- отдельного независимого источника физической целостности объектов с передачей информации по независимому служебному каналу. Необходимость и периодичность разового/постоянного наличия видеосигнала определяется администратором самостоятельно;
- интегрированного в общий служебный информационный сигнал с привязкой к статусу состояния интегрированных систем технических средств охраны банка: охрана/тревога, в режиме системного теста состояния объектов охраны автоматически.
Интересна возможность заданной адресной активизации видеосигнала при использовании тревожной сигнализации при преступном нападении на объекты. До прибытия нарядов специализированных подразделений реагирования ситуация может контролироваться администратором дистанционно, могут приниматься решения о привлечении дополнительных сил СПО, МЧС, скорой помощи.
Структурная и аппаратная реализация систем видеонаблюдения может быть различной, в зависимости от уровня решаемых задач по защите. Оптимальный вариант: видео-файл-сервер объекта (автономное дублирование видео, дистанционный реальный/архивный доступ администратора, возможность опроса камер без обращения к серверу), IP-камеры с доступом через веб (уличной и внутренней установки).
Администратор может контролировать видеосигнал в режиме Future Parc – технология дополнительной реальности, позволяющая формировать трехмерное изображение на основе информации всех видеокамер с разных сторон.
защита электропитания
В связи с применением в банковских учреждениях сложных технических систем (охранная/пожарная/видео/доступ) реально возникает проблема применения одного специализированного источника обеспечения/защиты электропитания (фильтр напряжения в лини локальной сети, защита от грозовых разрядов и скачков напряжения и др.). Действенным вариантом решения проблемы является резервированная модульная система. В качестве примера можно привести APС InfraStruXure (комплексное обеспечение электропитания) с резервированием по схеме N+1. Используемые на данный момент в некоторых банках простые, «пользовательские» ИБП не позволяют обеспечить комплексное гарантированное электропитание системы охраны.
биометрия
Интересными для применения в составе интегрированной системы охраны являются сетевые системы управления доступом на основе биометрической информации сотрудников. В качестве хорошего примера стоит упомянуть систему BIOCODE-NET. Отсутствие специализированных карточек/пропусков позволяет минимизировать риск несанкционированного физического доступа на объекты банка, позволяет гарантировать то, что зарегистрированный в системе вход/выход из помещения персонально осуществил сам сотрудник.
Существенно повышает уровень гарантированной безопасности банковского учреждения совместное применение биометрии с другими методами: например, использование кодов сдачи системы охраны на центре обработки и биометрическое подтверждение по системе управления доступом.
Учитывая все возрастающую актуальность вопросов обеспечения безопасности деятельности банковских учреждений, практическое применение вышеописанных алгоритмов позволит существенно повысить уровень гарантированной безопасности.
Владимир Маликов
Сетевые решения. Статья была опубликована в номере 07 за 2006 год в рубрике мнение
