Лабораторная работа: Организация управления и контроля доступа на объекты защиты. Программно-аппаратный комплекс Менуэт 2000
Защита от несанкционированного доступа к системе Менуэт 2000 . Защита от несанкционированного доступа к управляющим и контролирующим функциям системы управления доступом Менуэт 2000 основывается на следующих положениях:
· Все обращения к сети замков оцениваются согласно базе данных регистрации, являющейся составной частью базы данных объекта контроля.
· БД регистрации регламентирует права по доступу как для каждого АРМ'М, так и для каждого оператора системы управления доступом. При этом права АРМ'М выше прав оператора.
· БД регистрации открыта для изменения только тем АРМ'М и операторам, которые имеют на это право. Первоначальный допуск к созданию и изменению БД регистрации имеет администратор безопасности на своем АРМ'М только с помощью карты администратора комплекса, который затем может предоставить такие права другим включаемым в СУД рабочим станциям (новым АРМ'М) и операторам этих станций.
· Каждый зарегистрированный АРМ'М и оператор имеет определенный набор полномочий по работе с СУД – от простого просмотра журналов до регистрации новых операторов. При входе пользователя в оболочку модуля Управляющий Центр с какого-либо АРМ'М и попытке соединения с объектом контроля оцениваются их права на такие попытки и при отсутствии оснований отклоняются.
· Работа каждого оператора системы протоколируется начиная с момента подключения его АРМ'М к базе данных объекта контроля и включает обязательную запись всех действий данного оператора по управлению системой. Возможности для какого-либо редактирования записей в любом из журналов системой не предоставляются.
База данных объекта контроля . Для каждого объекта контроля (офиса, отдельного здания, этажа здания и т.п.) на сервере сети или на одном из компьютеров одноранговой сети должна быть сформирована база данных объекта контроля. База данных (БД) создается в указанном администратором безопасности сетевом (или локальном – при установке комплекса на одном компьютере) каталоге при развертывании комплекса. В состав базы данных входят следующие папки (подкаталоги) и файлы:
1. DataBase – непосредственно БД, содержащая следующие файлы: Locks.dat (список замков, точнее - охраняемых помещений); Users.dat (список зарегистрированных пользователей); Posts.dat (список штатных должностей); Departs.dat (список подразделений); Ttab_00.dat - Ttab_15.dat (общие блоки расписаний для данного объекта контроля); Access_b.dat (матрица доступа, устанавливающая определенные взаимосвязи между субъектами списков замков, пользователей и расписаний).
2. Exchange – каталог, через который осуществляется обмен информацией между управляющей станцией и контроллерами замков данного объекта контроля.
3. Image – база данных для хранения фотографий сотрудников (например, 00000003.bmp - файл изображения третьего зарегистрированного с фотографией сотрудника).
4. Logs – каталог, содержащий файлы: Work.dat (журнал работы операторов); Test.dat (журнал тестирования замков); группу журналов проходов персонала (например, Pass0327.dat - журнал проходов за 27 марта); группу протоков работы сети замков (например, Prot0331.dat - протокол за 31 марта).
5. Map – список этажей объекта контроля с их наименованиями (Levels.dat) и карты самих этажей (например, 00000007.dat - план седьмого этажа).
6. Reg – список зарегистрированных рабочих станций, имеющих доступ к данной базе данных (Stations.dat) и список операторов этих станций с их полномочиями по управлению СУД Менуэт (Opers.dat).
7. Каталог с номером зарегистрированной станции содержит следующие файлы: Event.dat – буфер событий, поступающих от контроллеров замков; In.dat – файл для получения квитанций от контроллеров замков на выданные в них команды; Out.dat – файл для передачи команд на контроллеры замков; WorkBuf.dat – файл для временного хранения записей журнала работы операторов данной рабочей станции, если основной журнал работы данного объекта контроля занят другой программой. Внимание! С базой данных объекта контроля на запись в данный момент времени может работать только один оператор на какой-либо одной рабочей станции сети. Все остальные рабочие станции, зарегистрированные в базе данных объекта контроля для работы с ней, имеют возможность обращаться к этой базе данных только для чтения информации.
Журналы и протоколы . Система управления доступом Менуэт 2000 использует для фиксации и документирования всех событий по управлению СУД со стороны операторов и проходов сотрудников в охраняемые помещения систему журналов и протоколов.
Модуль Управляющий Центр поддерживает функцию анализа этих журналов, в которых фиксируются события, происходящие в СУД в течение определенного промежутка времени – с момента последней очистки журнала и до текущего момента. В журналы заносится информация о событиях, связанных с замками (и состоянием дверей), подключенными к СУД Менуэт. Если на сервере сети замков не запущен Менеджер сети замков системы Менуэт 2000 (или вообще – выключен компьютер), то данные по событиям с дверьми и замками накапливаются в памяти блоков электроники замков. После запуска Менеджера данные из памяти опрашиваемых контроллеров замков переписываются в журналы баз данных, откуда по запросу любого АРМ'М, допущенного к данной операции, переписываются в память этого АРМ'М для анализа допущенным к этой операции оператором. Объем памяти контроллеров замков позволяет фиксировать в ней до 2000 записей о различных событиях. СУД Менуэт 2000 поддерживает ведение следующих журналов:
журнал работы операторов;
журнал тестирования замков;
протокол работы сети замков;
журнал проходов.
Журналы построены по одинаковому принципу, и работа с ними включает один и тот же набор операций:
просмотр журнала;
очистка журнала;
сортировка и фильтрация записей;
создание отчетов.
Журнал прохода пользователей и протокол работы сети замков ведутся в оболочке особым образом – ввиду потенциальной возможности наличия в них большого количества записей, они представляют собой отдельные файлы за каждый рабочий день.
Управление сетью замков объекта контроля . Модуль Работа с сетью замков предназначен для дистанционного контроля и управления работой любого выбранного замка из текущего объекта контроля и предоставляет оператору СУД Менуэт 2000 возможности дистанционного управления исполнительными механизмами системы управления доступом – электромагнитными замками и электромеханическими замками и защелками. Предусмотрена возможность выдачи широкого спектра управляющих команд на контроллер замка, проведения тестирования работоспособности канала связи до контроллера замка (включая правильность настройки основных функций самого контроллера) и проверки установленного режима работы контроллера замка и состояния управляемой им двери (открыта – закрыта). Примечание. Процесс тестирования носит активный характер (не только производится пассивный опрос работоспособности систем, но и устраняются все доступные для исправления программными средствами их отклонения от нормы).
Редактирование планов помещений . Редактор планов помещений позволяет построить наглядную схематическую модель объекта контроля (отдельного его этажа) из основных элементов строительных конструкций, несущих в себе функцию доступа (в том числе – и потенциальную) в режимные помещения.
Основными элементами для построения плана выбраны следующие: стена; окно; дверь незащищенная; дверь защищенная; лестница . Используя набор таких элементов, можно построить план любого этажа здания. Число этажей – не более 2 16. Размеры поля для построения плана 200x224 элементов. Предусмотрена возможность изменения масштаба плана от 100% до 20% (с дискретностью 10 единиц). При установке масштаба 100% выводятся линии координатной сетки, облегчающие построение и редактирование планов. План помещений имеет вид группы файлов, каждый их которых соответствует одному из этажей плана, и располагается на том ПК, где находятся базы данных системы управления доступом. Процесс составления плана этажа объекта контроля не составляет особого труда и выполнен в интуитивно-понятном стиле: Выбор типа элемента для установки производится из ряда соответствующих пиктограмм в панели инструментов редактора планов. Перенос выбранного элемента на место и его установка осуществляется посредством левой кнопки мыши. Ориентация элементов устанавливается автоматически. Настройка элементов-дверей и элементов-надписей производится в соответствующих диалоговых окнах, автоматически раскрываемых при установке данных элементов в поле плана. Перемещая редактируемую часть поля по всей площади поля использованием вертикальных и горизонтальных полос прокрутки можно строить достаточно большие и сложные планы.