Giriş kontrolu - Access control

Bir denizci, bir aracın askeri bir kuruma girmesine izin vermeden önce kimlik kartını (ID) kontrol eder.

Alanlarında fiziksel güvenlik ve bilgi Güvenliği, giriş kontrolu (AC) bir yere veya başka bir yere erişimin seçici olarak kısıtlanmasıdır. kaynak[1] süre erişim yönetimi süreci açıklar. Eylemi erişim tüketmek, girmek veya kullanmak anlamına gelebilir. Bir kaynağa erişim izni denir yetki.

Kilitler ve Giriş kimlik erişim kontrolünün iki analog mekanizmasıdır.

Fiziksel güvenlik

Ana makale: Fiziksel güvenlik
Q-Lane Turnikeler LLc Tarafından Üretilen Düşen Kollu Optik Turnikeler
Yeraltı girişi New York City Metrosu sistemi
El geometri tarayıcısı ile fiziksel güvenlik erişim kontrolü
ACT okuyucu kullanan fob tabanlı erişim kontrolü örneği

Coğrafi erişim kontrolü personel tarafından uygulanabilir (ör. sınır koruması, fedai, bilet denetleyicisi) veya gibi bir cihazla turnike. Olabilir çitler bu erişim kontrolünü atlatmaktan kaçınmak için. Kesin anlamda erişim kontrolünün bir alternatifi (erişimin kendisini fiziksel olarak kontrol etmek), yetkili mevcudiyeti kontrol etmek için bir sistemdir, bkz. Bilet kontrolörü (ulaşım). Bir varyant, çıkış kontrolüdür, ör. bir mağazanın (ödeme) veya bir ülkenin.[2]

Erişim kontrolü terimi, bir mülke girişi kısıtlama uygulamasını ifade eder, bina veya yetkili kişilere bir oda. Fiziksel erişim kontrolü, kilitler ve anahtarlar gibi mekanik araçlarla veya aşağıdakiler gibi teknolojik araçlarla bir insan (bir koruma, fedai veya resepsiyonist) tarafından sağlanabilir. erişim kontrol sistemleri gibi mantrap. Bu ortamlarda, fiziksel anahtar yönetimi, mekanik olarak anahtarlanmış alanlara erişimi veya belirli küçük varlıklara erişimi daha fazla yönetmenin ve izlemenin bir yolu olarak da kullanılabilir.[2]

Fiziksel erişim kontrolü, kimin, nerede ve ne zaman olduğu ile ilgilidir. Bir erişim kontrol sistemi, kimlerin girip çıkmalarına izin verildiğini, nereye çıkmalarına veya girmelerine izin verileceğini ve ne zaman girip çıkmalarına izin verileceğini belirler. Tarihsel olarak, bu kısmen anahtarlar ve kilitlerle başarıldı. Bir kapı kilitlendiğinde, kilidin nasıl yapılandırıldığına bağlı olarak, yalnızca anahtarı olan biri kapıdan girebilir. Mekanik kilitler ve anahtarlar, anahtar sahibinin belirli saat veya tarihlerle kısıtlanmasına izin vermez. Mekanik kilitler ve anahtarlar, herhangi bir kapıda kullanılan anahtarın kayıtlarını sağlamaz ve anahtarlar kolayca kopyalanabilir veya yetkisiz bir kişiye aktarılabilir. Mekanik bir anahtar kaybolduğunda veya anahtar sahibinin artık korumalı alanı kullanma yetkisi olmadığında, kilitler yeniden anahtarlanmalıdır.[3]

Elektronik erişim kontrolü

Elektronik erişim kontrolü (EAC), mekanik kilitlerin ve anahtarların sınırlamalarını çözmek için bilgisayarları kullanır. Geniş bir yelpazede kimlik bilgileri mekanik anahtarları değiştirmek için kullanılabilir. Elektronik erişim kontrol sistemi, sunulan kimlik bilgilerine göre erişim sağlar. Erişim izni verildiğinde, kapı önceden belirlenen bir süre için açılır ve işlem kaydedilir. Erişim reddedildiğinde kapı kilitli kalır ve giriş yapılan erişim kaydedilir. Sistem ayrıca, kapı açıldıktan sonra çok uzun süre zorla açık tutulursa veya açık tutulursa kapıyı ve alarmı izleyecektir.[2]

Bir okuyucuya bir kimlik bilgisi sunulduğunda, okuyucu kimlik bilgilerinin bilgilerini, genellikle bir sayı olan, oldukça güvenilir bir işlemci olan bir kontrol paneline gönderir. Kontrol paneli, kimlik bilgilerinin numarasını bir erişim kontrol listesiyle karşılaştırır, sunulan isteği onaylar veya reddeder ve bir işlem günlüğünü bir veri tabanı. Erişim reddedildiğinde erişim kontrol Listesi kapı kilitli kalır. Kimlik bilgisi ve erişim kontrol listesi arasında bir eşleşme varsa, kontrol paneli, kapının kilidini açan bir röle çalıştırır. Kontrol paneli ayrıca bir alarmı önlemek için kapı açık sinyalini de yok sayar. Genellikle okuyucu, yanıp sönen bir kırmızı gibi geri bildirim sağlar LED erişim reddedildi ve erişim için yanıp sönen yeşil LED.[4]

Yukarıdaki açıklama, tek faktörlü bir işlemi göstermektedir. Kimlik bilgileri aktarılabilir, böylece erişim kontrol listesi altüst edilebilir. Örneğin, Alice'in sunucu odası ama Bob yapmaz. Alice ya Bob'a kimlik bilgilerini verir ya da Bob onu alır; artık sunucu odasına erişimi var. Bunu önlemek için, iki faktörlü kimlik doğrulama kullanılabilir. İki faktörlü bir işlemde, erişimin verilmesi için sunulan kimlik bilgisi ve ikinci bir faktör gereklidir; başka bir faktör bir PIN, ikinci bir kimlik bilgisi, operatör müdahalesi veya biyometrik girdi.[4]

Kimlik doğrulama bilgilerinin üç türü (faktör) vardır:[5]

  • kullanıcının bildiği bir şey, ör. bir parola, parola veya PIN
  • akıllı kart gibi kullanıcının sahip olduğu bir şey veya anahtarlık
  • biyometrik ölçümle doğrulanan parmak izi gibi kullanıcının olduğu bir şey

Şifreler, bilgi sistemlerine erişim verilmeden önce bir kullanıcının kimliğini doğrulamanın yaygın bir yoludur. Buna ek olarak, artık dördüncü bir kimlik doğrulama faktörü kabul edilmektedir: tanıdığınız biri, bu sayede sistemlerin bu tür senaryolara izin verecek şekilde kurulduğu durumlarda, sizi tanıyan başka bir kişi kimlik doğrulama için insan öğesi sağlayabilir. Örneğin, bir kullanıcının parolası olabilir, ancak akıllı kartını unutmuş olabilir. Böyle bir senaryoda, kullanıcının atanmış kohortlar olduğu biliniyorsa, kohortlar söz konusu kullanıcının mevcut faktörü ile birlikte akıllı kartını ve şifresini sağlayabilir ve böylece kullanıcı için eksik kimlik bilgisine sahip iki faktör sağlayabilir. Erişime izin vermek için genel olarak üç faktör.[kaynak belirtilmeli ]

Kimlik

Kimlik bilgisi, belirli bir fiziksel tesise veya bilgisayar tabanlı bilgi sistemine bireysel erişim sağlayan fiziksel / somut bir nesne, bir bilgi parçası veya bir kişinin fiziksel varlığının bir yönüdür. Tipik olarak kimlik bilgileri, bir kişinin bildiği bir şey (bir numara veya PIN gibi), sahip olduğu bir şey olabilir (ör. erişim rozeti ), oldukları bir şey (biyometrik özellik gibi), yaptıkları bir şey (ölçülebilir davranış kalıpları) veya bu öğelerin bazı kombinasyonları. Bu olarak bilinir çok faktörlü kimlik doğrulama. Tipik kimlik bilgisi bir erişim kartı veya anahtarlıktır ve daha yeni yazılımlar ayrıca kullanıcıların akıllı telefonlarını erişim cihazlarına dönüştürebilir.[6]

Manyetik şerit, barkod gibi birçok kart teknolojisi vardır. Wiegand, 125 kHz yakınlık, 26 bitlik kart kaydırma, akıllı kartlarla temas ve temassız akıllı kartlar. Ayrıca kimlik kartlarından daha kompakt olan ve bir anahtarlığa takılan anahtarlıklar da mevcuttur. Biyometrik teknolojiler parmak izi, yüz tanıma, iris tanıma, retina taraması, ses ve el geometrisini içerir. Yeni akıllı telefonlarda bulunan yerleşik biyometrik teknolojiler, mobil cihazlarda çalışan erişim yazılımı ile birlikte kimlik bilgileri olarak da kullanılabilir.[7] Daha eski daha geleneksel kart erişim teknolojilerine ek olarak, Yakın Alan İletişimi (NFC), Bluetooth düşük enerji veya Ultra geniş bant (UWB) ayrıca sistem veya bina erişimi için kullanıcı kimlik bilgilerini okuyuculara iletebilir.[8][9][10]

Erişim kontrol sistemi bileşenleri

Çeşitli kontrol sistemi bileşenleri

Bir erişim kontrol sisteminin bileşenleri şunları içerir:

  • Erişim kontrol paneli (aynı zamanda kontrolör )
  • Gibi erişim kontrollü bir giriş kapı, turnike park kapısı asansör veya başka bir fiziksel engel
  • Bir okuyucu girişin yakınında kurulu. (Çıkışın da kontrol edildiği durumlarda, girişin karşı tarafında ikinci bir okuyucu kullanılır.)
  • Gibi kilit donanımı elektrikli kapı tokmakları ve elektromanyetik kilitler
  • Manyetik kapı değiştirmek kapı konumunu izlemek için
  • Çıkışa izin vermek için çıkış isteği (RTE) cihazları. Bir RTE düğmesine basıldığında veya hareket dedektörü kapıda hareket algıladığında, kapı açıkken kapı alarmı geçici olarak yok sayılır. Kapıyı elektriksel olarak açmak zorunda kalmadan bir kapıdan çıkmaya mekanik serbest çıkış denir. Bu önemli bir güvenlik özelliğidir. Kilidin çıkışta elektriksel olarak açılması gerektiği durumlarda, çıkış talebi cihazı da kapının kilidini açar.[11]

Erişim denetimi topolojisi

Tipik erişim kontrol kapısı kablolaması
Akıllı okuyucular kullanırken erişim kontrolü kapı kabloları

Erişim kontrol kararları, kimlik bilgilerinin bir erişim kontrol listesiyle karşılaştırılmasıyla alınır. Bu arama, bir ana bilgisayar veya sunucu, bir erişim kontrol paneli veya bir okuyucu tarafından yapılabilir. Erişim kontrol sistemlerinin gelişimi, aramanın merkezi bir ana bilgisayardan sistemin veya okuyucunun kenarına doğru sürekli bir itişini gözlemledi. 2009 dolaylarında baskın topoloji hub'tır ve hub olarak bir kontrol paneli ve konuşmacılar olarak okuyucularla konuşulur. Arama ve kontrol işlevleri kontrol panelindedir. Konuşmacılar bir seri bağlantı aracılığıyla iletişim kurar; genellikle RS-485. Bazı üreticiler, kapıya bir kontrolör yerleştirerek karar verme sürecini sınıra getiriyor. Kontrolörler IP etkinleştirildi ve standart ağları kullanarak bir ana bilgisayara ve veritabanına bağlan[12]

Okuyucu türleri

Erişim kontrolü okuyucuları gerçekleştirebilecekleri işlevlere göre sınıflandırılabilir:[13]

  • Temel (akıllı olmayan) okuyucular: sadece kart numarasını veya PIN kodunu okuyun ve bir kontrol paneline iletin. Biyometrik tanımlama durumunda, bu tür okuyucular bir kullanıcının kimlik numarasını verir. Tipik, Wiegand protokolü kontrol paneline veri iletmek için kullanılır, ancak RS-232, RS-485 ve Saat / Veri gibi diğer seçenekler nadir değildir. Bu, en popüler erişim kontrolü okuyucuları türüdür. Bu tür okuyucuların örnekleri RFLOGICS tarafından RF Tiny, HID tarafından ProxPoint ve Farpointe Data tarafından P300'dür.
  • Yarı akıllı okuyucular: kapı donanımını (kilit, kapı kontağı, çıkış düğmesi) kontrol etmek için gerekli tüm giriş ve çıkışlara sahiptir, ancak herhangi bir erişim kararı vermez. Bir kullanıcı bir kart sunduğunda veya bir PIN girdiğinde, okuyucu ana denetleyiciye bilgi gönderir ve yanıtını bekler. Ana denetleyiciye bağlantı kesilirse, bu tür okuyucular çalışmayı durdurur veya düşük modda çalışır. Genellikle yarı akıllı okuyucular bir kontrol paneline bir RS-485 otobüs. Bu tür okuyucuların örnekleri, CEM Systems tarafından InfoProx Lite IPL200 ve Apollo tarafından sunulan AP-510'dur.
  • Akıllı okuyucular: kapı donanımını kontrol etmek için gerekli tüm giriş ve çıkışlara sahiptir; ayrıca erişim kararlarını bağımsız olarak almak için gerekli hafıza ve işlem gücüne sahiptirler. Yarı akıllı okuyucular gibi, bir RS-485 veriyolu üzerinden bir kontrol paneline bağlanırlar. Kontrol paneli, konfigürasyon güncellemelerini gönderir ve okuyuculardan olayları alır. Bu tür okuyucuların örnekleri, CEM Systems tarafından InfoProx IPO200 ve Apollo tarafından sunulan AP-500 olabilir. Ayrıca "" olarak adlandırılan yeni nesil akıllı okuyucular da var.IP okuyucular ". IP okuyuculara sahip sistemler genellikle geleneksel kontrol panellerine sahip değildir ve okuyucular, bir ana bilgisayar görevi gören bir PC ile doğrudan iletişim kurar.

Bazı okuyucular, veri toplama amaçlı bir LCD ve işlev düğmeleri (örneğin, katılım raporları için saat giriş / çıkış etkinlikleri), dahili telefon için kamera / hoparlör / mikrofon ve akıllı kart okuma / yazma desteği gibi ek özelliklere sahip olabilir.[kaynak belirtilmeli ]

Erişim kontrol sistemi topolojileri

Seri denetleyicileri kullanan erişim kontrol sistemi

1. Seri denetleyiciler. Kontrolörler bir seri bağlantı yoluyla bir ana bilgisayara bağlanır. RS-485 iletişim hattı (veya 20mA üzerinden akım döngüsü bazı eski sistemlerde). Standart PC'lerde RS-485 iletişim portları bulunmadığından, harici RS-232/485 dönüştürücüler veya dahili RS-485 kartları takılmalıdır.[kaynak belirtilmeli ]

Avantajlar:[kaynak belirtilmeli ]

  • RS-485 standardı, 4000 fit (1200 m) 'ye kadar uzun kablo geçişlerine izin verir
  • Nispeten kısa tepki süresi. Bir RS-485 hattındaki maksimum cihaz sayısı 32 ile sınırlıdır; bu, ana bilgisayarın her cihazdan sık sık durum güncellemeleri talep edebileceği ve olayları neredeyse gerçek zamanlı olarak görüntüleyebileceği anlamına gelir.
  • İletişim hattı başka hiçbir sistemle paylaşılmadığı için yüksek güvenilirlik ve güvenlik.

Dezavantajları:[kaynak belirtilmeli ]

  • RS-485, ayırıcılar kullanılmadıkça Yıldız tipi kablolamaya izin vermez
  • RS-485, büyük miktarda veriyi (yani yapılandırma ve kullanıcılar) aktarmak için pek uygun değildir. Mümkün olan en yüksek verim 115,2 kbit / sn'dir, ancak çoğu sistemde güvenilirliği artırmak için 56,2 kbit / sn'ye veya daha azına düşürülür.
  • RS-485, ana bilgisayarın aynı bağlantı noktasına aynı anda bağlı birkaç denetleyici ile iletişim kurmasına izin vermez. Bu nedenle, büyük sistemlerde, yapılandırma aktarımları ve kullanıcıların denetleyicilere aktarılması çok uzun sürebilir ve normal işlemlere müdahale edebilir.
  • Kontrolörler, bir alarm durumunda iletişimi başlatamazlar. Ana bilgisayar, RS-485 iletişim hattında bir ana bilgisayar görevi görür ve denetleyiciler, sorgulanana kadar beklemek zorundadır.
  • Yedek bir ana bilgisayar kurulumu oluşturmak için özel seri anahtarlar gereklidir.
  • Halihazırda mevcut bir ağ altyapısı kullanmak yerine ayrı RS-485 hatları kurulmalıdır.
  • RS-485 standartlarını karşılayan kablo, normal Kategori 5 UTP ağ kablosundan önemli ölçüde daha pahalıdır.
  • Sistemin çalışması büyük ölçüde ana bilgisayara bağlıdır. Ana bilgisayarın arızalanması durumunda, denetleyicilerden gelen olaylar alınmaz ve denetleyiciler arasında etkileşim gerektiren işlevler (yani geri dönüş önleme) çalışmayı durdurur.
Seri ana ve alt denetleyicileri kullanarak erişim kontrol sistemi

2. Seri ana ve alt denetleyiciler. Tüm kapı donanımı alt denetleyicilere (a.k.a. kapı denetleyicileri veya kapı arabirimleri) bağlıdır. Alt denetleyiciler genellikle erişim kararları vermezler ve bunun yerine tüm istekleri ana denetleyicilere iletirler. Ana denetleyiciler genellikle 16 ila 32 alt denetleyiciyi destekler.

Avantajlar:[kaynak belirtilmeli ]

  • Ana bilgisayardaki iş yükü, yalnızca birkaç ana denetleyiciyle iletişim kurması gerektiğinden önemli ölçüde azaltılır.
  • Alt kontrolörler genellikle basit ve ucuz cihazlar olduğu için sistemin genel maliyeti daha düşüktür.
  • İlk paragrafta listelenen diğer tüm avantajlar geçerlidir.

Dezavantajları:[kaynak belirtilmeli ]

  • Sistemin çalışması büyük ölçüde ana kontrolörlere bağlıdır. Ana denetleyicilerden birinin arızalanması durumunda, alt denetleyicilerinden gelen olaylar alınmaz ve alt denetleyiciler arasında etkileşim gerektiren işlevler (yani geri alma önleme) çalışmayı durdurur.
  • Bazı alt denetleyici modelleri (genellikle daha düşük maliyetlidir), erişim kararlarını bağımsız olarak almak için bellek veya işlem gücüne sahip değildir. Ana kontrolör arızalanırsa, alt kontrolörler, kapıların tamamen kilitlendiği veya kilidinin açıldığı ve hiçbir olayın kaydedilmediği bozulmuş moda geçer. Bu tür alt kontrolörlerden kaçınılmalı veya sadece yüksek güvenlik gerektirmeyen alanlarda kullanılmalıdır.
  • Ana kontrolörler pahalı olma eğilimindedir, bu nedenle böyle bir topoloji, yalnızca birkaç kapısı olan çok sayıda uzak konuma sahip sistemler için pek uygun değildir.
  • İlk paragrafta listelenen diğer tüm RS-485 ile ilgili dezavantajlar geçerlidir.
Seri ana denetleyici ve akıllı okuyucular kullanan erişim kontrol sistemi

3. Seri ana kontrolörler ve akıllı okuyucular. Tüm kapı donanımı doğrudan akıllı veya yarı akıllı okuyuculara bağlıdır. Okuyucular genellikle erişim kararları vermezler ve tüm talepleri ana denetleyiciye iletirler. Yalnızca ana denetleyiciye bağlantı yoksa, okuyucular erişim kararları almak ve olayları kaydetmek için dahili veritabanlarını kullanırlar. Veritabanı bulunmayan ve ana denetleyici olmadan çalışamayan yarı akıllı okuyucu, yalnızca yüksek güvenlik gerektirmeyen alanlarda kullanılmalıdır. Ana denetleyiciler genellikle 16 ila 64 okuyucuyu destekler. Tüm avantajlar ve dezavantajlar, ikinci paragrafta listelenenlerle aynıdır.

Seri denetleyicileri ve terminal sunucularını kullanan erişim kontrol sistemleri

4. Terminal sunucuları olan seri denetleyiciler. Bilgisayar ağlarının hızla gelişmesine ve artan kullanımına rağmen, erişim denetimi üreticileri ihtiyatlı kaldılar ve ağ özellikli ürünler sunmak için acele etmediler. Ağ bağlantılı çözümler için basıldığında, çoğu kişi daha az çaba gerektiren seçeneği tercih etti: Terminal sunucusu LAN veya WAN üzerinden aktarım için seri verileri dönüştüren bir cihaz.

Avantajlar:[kaynak belirtilmeli ]

  • Sistemin farklı segmentlerini bağlamak için mevcut ağ altyapısının kullanılmasına izin verir.
  • Bir RS-485 hattının kurulumunun zor veya imkansız olduğu durumlarda uygun bir çözüm sunar.

Dezavantajları:[kaynak belirtilmeli ]

  • Sistemin karmaşıklığını artırır.
  • Kurulumcular için ek çalışma yaratır: genellikle terminal sunucularının erişim kontrol yazılımının arayüzü üzerinden değil bağımsız olarak yapılandırılması gerekir.
  • Denetleyici ve terminal sunucusu arasındaki seri iletişim bağlantısı bir darboğaz görevi görür: ana bilgisayar ile terminal sunucusu arasındaki veriler 10/100 / 1000Mbit / sn ağ hızında seyahat etse bile, 112.5 seri hızına yavaşlaması gerekir. kbit / sn veya daha az. Seri ve ağ verileri arasındaki dönüştürme sürecinde ek gecikmeler de vardır.

RS-485 ile ilgili tüm avantajlar ve dezavantajlar da geçerlidir.

Ağ özellikli ana denetleyicileri kullanan erişim kontrol sistemi

5. Ağ özellikli ana denetleyiciler. Topoloji, ikinci ve üçüncü paragraflarda anlatılanla hemen hemen aynıdır. Aynı avantajlar ve dezavantajlar da geçerlidir, ancak yerleşik ağ arabirimi birkaç değerli iyileştirme sunar. Yapılandırma ve kullanıcı verilerinin ana denetleyicilere iletimi daha hızlıdır ve paralel olarak yapılabilir. Bu, sistemi daha duyarlı hale getirir ve normal işlemleri kesintiye uğratmaz. Yedek ana bilgisayar kurulumu elde etmek için özel bir donanıma gerek yoktur: birincil ana bilgisayarın arızalanması durumunda ikincil ana bilgisayar ağ denetleyicilerini sorgulamaya başlayabilir. Terminal sunucularının (dördüncü paragrafta listelenen) getirdiği dezavantajlar da ortadan kalkar.

IP denetleyicileri kullanan erişim kontrol sistemi

6. IP denetleyicileri. Kontrolörler, Ethernet LAN veya WAN aracılığıyla bir ana bilgisayara bağlanır.

Avantajlar:[kaynak belirtilmeli ]

  • Mevcut bir ağ altyapısı tam olarak kullanılır ve yeni iletişim hatları kurmaya gerek yoktur.
  • Kontrolör sayısıyla ilgili herhangi bir sınırlama yoktur (RS-485 durumunda hat başına 32 gibi).
  • Özel RS-485 kurulumu, sonlandırma, topraklama ve sorun giderme bilgisi gerekli değildir.
  • Denetleyicilerle iletişim, çok fazla veri aktarılıyorsa önemli olan tam ağ hızında yapılabilir (muhtemelen biyometrik kayıtlar dahil binlerce kullanıcılı veritabanları).
  • Bir alarm durumunda, kontrolörler ana bilgisayara bağlantı başlatabilir. Bu yetenek, büyük sistemlerde önemlidir, çünkü gereksiz yoklamanın neden olduğu ağ trafiğini azaltmaya hizmet eder.
  • Büyük mesafelerle ayrılmış çok sayıda siteden oluşan sistemlerin kurulumunu kolaylaştırır. Uzak konumlara bağlantı kurmak için temel bir İnternet bağlantısı yeterlidir.
  • Çeşitli durumlarda (fiber, kablosuz, VPN, çift yol, PoE) bağlantı sağlamak için geniş standart ağ ekipmanı seçeneği mevcuttur

Dezavantajları:[kaynak belirtilmeli ]

  • Sistem, yoğun trafik durumunda gecikmeler ve ağ ekipmanı arızaları gibi ağla ilgili sorunlara duyarlı hale gelir.
  • Kuruluşun ağı iyi korunmuyorsa, erişim denetleyicileri ve iş istasyonları bilgisayar korsanları tarafından erişilebilir hale gelebilir. Bu tehdit, erişim kontrol ağını kuruluşun ağından fiziksel olarak ayırarak ortadan kaldırılabilir. Çoğu IP denetleyicisi, Linux platformunu veya tescilli işletim sistemlerini kullanır, bu da onları hacklemeyi zorlaştırır. Endüstri standardı veri şifreleme de kullanılmaktadır.
  • Bir hub veya anahtardan denetleyiciye (bakır kablo kullanılıyorsa) maksimum mesafe 100 metredir (330 ft).
  • Sistemin çalışması ana bilgisayara bağlıdır. Ana bilgisayarın arızalanması durumunda, denetleyicilerden gelen olaylar alınmaz ve denetleyiciler arasında etkileşim gerektiren işlevler (yani geri dönüş önleme) çalışmayı durdurur. Bununla birlikte, bazı denetleyiciler, ana bilgisayara bağımlılığı azaltmak için eşler arası bir iletişim seçeneğine sahiptir.
IP okuyucular kullanan erişim kontrol sistemi

7. IP okuyucular. Okuyucular, Ethernet LAN veya WAN aracılığıyla bir ana bilgisayara bağlanır.

Avantajlar:[kaynak belirtilmeli ]

  • Çoğu IP okuyucusu PoE özelliğine sahiptir. Bu özellik, kilitler ve çeşitli dedektör türleri (kullanılıyorsa) dahil olmak üzere tüm sisteme pil destekli güç sağlamayı çok kolaylaştırır.
  • IP okuyucular, denetleyici muhafazalarına olan ihtiyacı ortadan kaldırır.
  • IP okuyucular kullanılırken boşa harcanan kapasite yoktur (örneğin, 4 kapılı bir kontrolör, yalnızca 3 kapıyı kontrol ediyor olsaydı, kullanılmayan kapasitenin% 25'ine sahip olurdu).
  • IP okuyucu sistemleri kolayca ölçeklenir: Yeni ana veya alt denetleyiciler kurmaya gerek yoktur.
  • Bir IP okuyucunun arızalanması, sistemdeki diğer okuyucuları etkilemez.

Dezavantajları:[kaynak belirtilmeli ]

  • IP okuyucular, yüksek güvenlikli alanlarda kullanılmak üzere, kilit ve / veya çıkış düğmesi kablolarına erişerek izinsiz giriş olasılığını ortadan kaldırmak için özel giriş / çıkış modüllerine ihtiyaç duyar. Tüm IP okuyucu üreticilerinde bu tür modüller bulunmaz.
  • Temel okuyuculardan daha karmaşık olan IP okuyucular, aynı zamanda daha pahalı ve hassastır, bu nedenle, özellikle dış kurulum için tasarlanmadıkça, sert hava koşulları veya yüksek vandalizm olasılığı olan alanlarda dış mekanlara kurulmamalıdırlar. Birkaç üretici bu tür modeller yapıyor.

IP kontrol cihazlarının avantajları ve dezavantajları IP okuyucular için de geçerlidir.

Güvenlik riskleri

Akıllı okuyucular ve IO modülü kullanırken erişim kontrolü kapı kabloları

Bir erişim kontrol sistemi yoluyla izinsiz girişin en yaygın güvenlik riski, basitçe meşru bir kullanıcıyı bir kapıdan takip etmektir ve buna arka kapı. Genellikle meşru kullanıcı, davetsiz misafir için kapıyı tutacaktır. Bu risk, kullanıcı nüfusunun güvenlik bilinci eğitimi veya turnike gibi daha aktif araçlar yoluyla en aza indirilebilir. Çok yüksek güvenlikli uygulamalarda bu risk, bir Sally limanı, bazen bir güvenlik girişi veya manto kapanı olarak da adlandırılır, burada muhtemelen geçerli bir kimlik sağlamak için operatör müdahalesi gerekir.[kaynak belirtilmeli ]

İkinci en yaygın risk, bir kapıyı kaldırarak açmaktır. Bu, çarpmalara veya yüksek tutma kuvvetine sahip manyetik kilitlere sahip düzgün şekilde sabitlenmiş kapılarda nispeten zordur. Tam olarak uygulanan erişim kontrol sistemleri, zorunlu kapı izleme alarmlarını içerir. Bunlar etkinlik açısından farklılık gösterir, genellikle yüksek yanlış pozitif alarmlar, zayıf veritabanı yapılandırması veya etkin izinsiz giriş izleme eksikliğinden dolayı başarısız olur. Yeni erişim kontrol sistemlerinin çoğu, sistem yöneticilerine belirli bir süreden daha uzun süre açık kalan bir kapıyı bildirmek için bir tür kapı destek alarmı içerir.[kaynak belirtilmeli ]

Üçüncü en yaygın güvenlik riski doğal afetlerdir. Doğal afetlerden kaynaklanan riski azaltmak için, binanın yapısı, ağın kalitesi ve bilgisayar ekipmanı hayati önem taşımaktadır. Organizasyonel bir bakış açısından, liderliğin bir Tüm Tehlikeler Planı veya Olay Müdahale Planı benimsemesi ve uygulaması gerekecektir. Tarafından belirlenen herhangi bir olay planının önemli noktaları Ulusal Olay Yönetim Sistemi Olay öncesi planlamayı, olay eylemleri sırasında, olağanüstü durumdan kurtarmayı ve eylem sonrası incelemeyi içermelidir.[14]

Kaldırmaya benzer şekilde, ucuz bölme duvarlarından geçiliyor. Paylaşılan kiracı alanlarında, bölme duvarı bir güvenlik açığıdır. Aynı çizgideki bir güvenlik açığı, yan fenerlerin kırılmasıdır.[kaynak belirtilmeli ]

Sahte kilitleme donanımı, kaldıraçtan oldukça basit ve daha zariftir. Güçlü bir mıknatıs, elektrikli kilitleme donanımındaki solenoid kontrol cıvatalarını çalıştırabilir. Avrupa'da ABD'den daha yaygın olan motor kilitleri de halka şeklinde bir mıknatıs kullanılarak bu saldırıya karşı hassastır. Çoğu Erişim Kontrol sistemi batarya yedekleme sistemlerine sahip olmasına ve kilitler hemen hemen her zaman kapının güvenli tarafında yer almasına rağmen, kilidin gücünü ya akımı keserek ya da ekleyerek değiştirmek de mümkündür.[kaynak belirtilmeli ]

Erişim kartlarının karmaşık saldırılara karşı savunmasız olduğu kanıtlanmıştır. Girişimci bilgisayar korsanları, bir kullanıcının yakınlık kartından kart numarasını alan taşınabilir okuyucular oluşturdu. Bilgisayar korsanı, kullanıcının yanından geçer, kartı okur ve ardından numarayı kapıyı sabitleyen bir okuyucuya sunar. Bu mümkündür çünkü kart numaraları açık olarak gönderilir, şifreleme kullanılmaz. Buna karşı koymak için, kart artı PIN gibi ikili kimlik doğrulama yöntemleri her zaman kullanılmalıdır.

Üretim sırasında birçok erişim kontrolü kimlik bilgisi benzersiz seri numarası sırayla programlanır. Sıralı saldırı olarak bilinen saldırgan, sistemde kullanıldıktan sonra bir kimlik bilgisine sahipse, sistemde şu anda yetkilendirilmiş bir kimlik bilgisi bulana kadar seri numarasını basitçe artırabilir veya azaltabilir. Bu tehdide karşı koymak için kimlik bilgilerinin rastgele benzersiz seri numaraları ile sipariş edilmesi önerilir.[15]

Son olarak, çoğu elektrikli kilitleme donanımı, yük devretme olarak hala mekanik anahtarlara sahiptir. Mekanik anahtar kilitleri şunlara karşı savunmasızdır: çarpma.[16]

Bilmesi gereken ilkesi

Daha fazla bilgi: En az ayrıcalık ilkesi

Bilme ihtiyacı ilkesi, kullanıcı erişim kontrolleri ve yetkilendirme prosedürleri ile uygulanabilir ve amacı, yalnızca yetkili kişilerin görevlerini yerine getirmek için gerekli bilgi veya sistemlere erişimini sağlamaktır.[kaynak belirtilmeli ]

Bilgisayar Güvenliği

Daha fazla bilgi: Bilgisayar erişim kontrolü

İçinde bilgisayar Güvenliği, genel erişim kontrolü şunları içerir: kimlik doğrulama, yetki ve denetim. Erişim kontrolünün daha dar bir tanımı, yalnızca erişim onayını kapsayacaktır; bu sayede sistem, öznenin neye erişme yetkisine sahip olduğuna bağlı olarak, önceden doğrulanmış bir özneden bir erişim talebini kabul etme veya reddetme kararı alır. Kimlik doğrulama ve erişim kontrolü genellikle tek bir işlemde birleştirilir, böylece erişim başarılı kimlik doğrulamaya veya anonim erişim belirtecine dayalı olarak onaylanır. Kimlik doğrulama yöntemleri ve belirteçleri arasında parolalar, biyometrik analizler, fiziksel anahtarlar, elektronik anahtarlar ve cihazlar, gizli yollar, sosyal engeller ve insanlar ve otomatik sistemler tarafından izlenme bulunur.[17]

Herhangi bir erişim kontrol modelinde, sistem üzerinde eylemler gerçekleştirebilen varlıklar denir konularve erişimin kontrol edilmesi gerekebilecek kaynakları temsil eden varlıklar nesneler (Ayrıca bakınız Erişim Kontrol Matrisi ). Hem özneler hem de nesneler, insan kullanıcılar yerine yazılım varlıkları olarak düşünülmelidir: herhangi bir insan kullanıcı, sistem üzerinde yalnızca kontrol ettikleri yazılım varlıkları aracılığıyla bir etkiye sahip olabilir.[kaynak belirtilmeli ]

Bazı sistemler konuları eşitlese de kullanıcı kimlikleri, böylece varsayılan olarak bir kullanıcı tarafından başlatılan tüm işlemlerin aynı yetkiye sahip olması için, bu denetim düzeyi, en az ayrıcalık ilkesi ve tartışmalı bir şekilde yaygınlığından sorumludur kötü amaçlı yazılım bu tür sistemlerde (bkz. bilgisayar güvensizliği ).[kaynak belirtilmeli ]

Bazı modellerde, örneğin nesne yetenek modeli herhangi bir yazılım varlığı potansiyel olarak hem özne hem de nesne olarak hareket edebilir.[kaynak belirtilmeli ]

2014 itibariyle, erişim kontrol modelleri iki sınıftan birine girme eğilimindedir: yetenekler ve dayalı olanlar erişim kontrol listeleri (ACL'ler).

  • Yeteneğe dayalı bir modelde, değiştirilemez bir referans veya kabiliyet bir nesneye, nesneye erişim sağlar (kabaca kişinin ev anahtarına sahip olmanın bir kişinin evine erişimini sağladığına benzer); erişim, böyle bir yeteneği güvenli bir kanal üzerinden ileterek başka bir tarafa aktarılır
  • ACL tabanlı bir modelde, bir öznenin bir nesneye erişimi, kimliğinin nesneyle ilişkili bir listede görünüp görünmediğine bağlıdır (kabaca, özel bir partideki fedai bir kişinin bir adın konukta görünüp görünmediğini görmek için bir kimliği kontrol etmesine benzer. liste); erişim, liste düzenlenerek aktarılır. (Farklı ACL sistemleri, listeyi düzenlemekten kimin veya neyin sorumlu olduğuna ve nasıl düzenlendiğine ilişkin çeşitli farklı kurallara sahiptir.)[kaynak belirtilmeli ]

Hem yetenek tabanlı hem de ACL tabanlı modellerde, erişim haklarının tüm üyelere verilmesine izin veren mekanizmalar vardır. grup (genellikle grubun kendisi bir özne olarak modellenir).[kaynak belirtilmeli ]

Erişim kontrol sistemleri, aşağıdaki temel hizmetleri sağlar: yetki, tanımlama ve doğrulama (I&A), erişim onayı, ve Hesap verebilirlik nerede:[kaynak belirtilmeli ]

  • yetkilendirme, bir konunun ne yapabileceğini belirtir
  • tanımlama ve kimlik doğrulama, bir sistemde yalnızca meşru kişilerin oturum açabilmesini sağlar
  • erişim onayı, yetkilendirme politikasına bağlı olarak, kullanıcıların erişmelerine izin verilen kaynaklarla ilişkilendirilmesi yoluyla işlemler sırasında erişim izni verir
  • hesap verebilirlik, bir konunun (veya bir kullanıcıyla ilişkili tüm konuların) ne yaptığını tanımlar

Erişim kontrol modelleri

Hesaplara erişim, birçok denetim türü aracılığıyla sağlanabilir.[18]

  1. Nitelik Tabanlı Erişim Kontrolü (ABAC)
    Erişim haklarının, öznitelikleri (kullanıcı öznitelikleri, kaynak öznitelikleri ve ortam koşulları) değerlendiren ilkelerin kullanılması yoluyla kullanıcılara verildiği bir erişim kontrol paradigması[19]
  2. İsteğe Bağlı Erişim Kontrolü (DAC)
    DAC'de veri sahibi, belirli kaynaklara kimin erişebileceğini belirler. Örneğin, bir sistem yöneticisi, belirli izinlere göre erişilecek bir dosya hiyerarşisi oluşturabilir.
  3. Grafik Tabanlı Erişim Kontrolü (GBAC)
    RBAC veya ABAC gibi diğer yaklaşımlarla karşılaştırıldığında, temel fark, GBAC erişim haklarının toplam numaralandırma yerine bir organizasyonel sorgu dili kullanılarak tanımlanmasıdır.
  4. Geçmişe Dayalı Erişim Kontrolü (HBAC)
    Erişim, sorgulayan tarafın faaliyetlerinin geçmişinin gerçek zamanlı değerlendirmesine dayalı olarak verilir veya reddedilir, örn. davranış, istekler arasındaki süre, isteklerin içeriği.[20] Örneğin, belirli bir hizmete veya veri kaynağına erişim kişisel davranışa göre verilebilir veya reddedilebilir, örn. istek aralığı saniyede bir sorguyu aşıyor.
  5. Varlık Tarihine Dayalı Erişim Kontrolü (HPBAC)
    Kaynaklara erişim kontrolü, talep eden tarafından saklanan mevcudiyet kayıtları tarafından karşılanması gereken mevcudiyet politikaları açısından tanımlanır. Politikalar genellikle sıklık, yaygınlık ve düzenlilik açısından yazılır. Örnek bir politika "İstek sahibi, tümü geçen hafta içinde olmak üzere k ayrı ziyaret gerçekleştirmiştir ve birbirini izleyen iki ziyaret T saatten fazla ayrı değildir."[21]
  6. Kimlik Tabanlı Erişim Kontrolü (IBAC)
    Bu ağı kullanarak yöneticiler, bireysel ihtiyaçlara göre etkinliği ve erişimi daha etkili bir şekilde yönetebilir.[22]
  7. Kafes Tabanlı Erişim Kontrolü (LBAC)
    Kafes, bir nesnenin sahip olabileceği ve bir öznenin erişebileceği güvenlik seviyelerini tanımlamak için kullanılır. Öznenin bir nesneye erişmesine yalnızca öznenin güvenlik seviyesi nesneninkinden büyük veya ona eşitse izin verilir.
  8. Zorunlu Erişim Kontrolü (MAC)
    MAC'da, kullanıcıların dosyalarına kimlerin erişebileceğini belirleme konusunda fazla özgürlükleri yoktur. Örneğin, kullanıcıların güvenlik açıklığı ve verilerin sınıflandırılması (gizli, gizli veya çok gizli olarak), güven düzeyini tanımlamak için güvenlik etiketleri olarak kullanılır.
  9. Organizasyon Tabanlı Erişim kontrolü (OrBAC)
    OrBAC modeli, politika tasarımcısının uygulamadan bağımsız olarak bir güvenlik politikası tanımlamasına izin verir[23]
  10. Rol Tabanlı Erişim Kontrolü (RBAC)
    RBAC, iş unvanına göre erişime izin verir. RBAC, nesnelere erişim sağlarken takdir yetkisini büyük ölçüde ortadan kaldırır. Örneğin, bir insan kaynakları uzmanının ağ hesapları oluşturma izni olmamalıdır; bu, ağ yöneticilerine ayrılmış bir rol olmalıdır.
  11. Kural Tabanlı Erişim Kontrolü (RAC)
    Kural Tabanlı Rol Tabanlı Erişim Kontrolü (RB-RBAC) olarak da anılan RAC yöntemi, büyük ölçüde bağlama dayalıdır. Bunun örneği, öğrencilerin laboratuarları yalnızca günün belirli bir saatinde kullanmalarına izin vermek olabilir; öğrencilerin RBAC tabanlı bilgi sistemi erişim kontrolü ile zamana dayalı laboratuar erişim kurallarının birleşimidir.
  12. Sorumluluk Tabanlı Erişim kontrolü
    Bir aktöre veya iş rolüne atanan sorumluluklara göre bilgilere erişilir[24]

Telekomünikasyon

İçinde telekomünikasyon, dönem giriş kontrolu ABD'de tanımlanmıştır Federal Standart 1037C[25] aşağıdaki anlamlarla:

  1. Bir servis özelliği veya bir iletişim bileşenlerinin kullanımına izin vermek veya reddetmek için kullanılan teknik sistemi.
  2. Bireylerin veya uygulama programlarının edinme haklarını tanımlamak veya kısıtlamak için kullanılan bir teknik veri veya veri yerleştirme depolama aygıtı.
  3. Bireylerin veya uygulama programlarının veri alma veya veri yerleştirme haklarının tanımlanması veya kısıtlanması depolama aygıtı.
  4. Bir kişinin kaynaklarına erişimi sınırlama süreci AIS (Otomatik Bilgi Sistemi) yetkili kullanıcılara, programlara, süreçlere veya diğer sistemlere.
  5. Sistem kaynaklarını tatmin etmek için tahsis eden kaynak denetleyicisi tarafından gerçekleştirilen bu işlev kullanıcı istekleri.

Bu tanım, Federal Standart 1037C'deki birkaç diğer teknik terime dayanmaktadır.

Öznitelik erişimcileri

Özel halka açık üye yöntemleri - erişimciler (diğer adıyla alıcılar) ve mutatör yöntemler (genellikle denir ayarlayıcılar) yetkisiz erişimi ve veri bozulmasını önlemek için sınıf değişkenlerindeki değişiklikleri kontrol etmek için kullanılır.

Kamu politikası

İçinde kamu politikası, sistemlere erişimi kısıtlamak için erişim kontrolü ("yetki ") veya sistemler içindeki davranışı izlemek veya izlemek için ("Hesap verebilirlik ") kullanmanın bir uygulama özelliğidir güvenilir sistemler için güvenlik veya sosyal kontrol.

Ayrıca bakınız

Referanslar

  1. ^ RFC  4949
  2. ^ a b c Eugene Schultz, E. (2007). "Fiziksel güvenlik sistemleri ve bilgi teknolojisi ortamlarının yakınsamasından kaynaklanan riskler". Bilgi Güvenliği Teknik Raporu. 12 (2): 80–84. doi:10.1016 / j.istr.2007.06.001.
  3. ^ Niemelä, Harri (2011). "İş fırsatlarının incelenmesi ve güvenlikte NFC uygulamalarının katma değeri". theseus.fi. Alındı 22 Mart 2019.
  4. ^ a b Newman, Robert. (2010). Biyometrik teknolojileri kullanan güvenlik ve [https://allaroundsecurityny.com/access-control-systems erişim kontrolü]. Boston, Mass .: Course Technology. ISBN  978-1-4354-9667-5. OCLC  535966830. İçindeki harici bağlantı | title = (Yardım)
  5. ^ Federal Finansal Kurumlar İnceleme Konseyi (2008). "İnternet Bankacılığı Ortamında Kimlik Doğrulama" (PDF). Arşivlendi (PDF) 5 Mayıs 2010 tarihinde orjinalinden. Alındı 31 Aralık 2009.
  6. ^ "MicroStrategy'nin geleceğin ofisi, mobil kimlik ve siber güvenlik içerir". Washington Post. 14 Nisan 2014. Arşivlendi 16 Şubat 2014 tarihinde orjinalinden. Alındı 30 Mart 2014.
  7. ^ "iPhone 5S: Biyometri Dönüm Noktası mı?". BankInfoSecurity.com. 16 Eylül 2013. Arşivlendi 11 Eylül 2015 tarihinde orjinalinden. Alındı 30 Mart 2014.
  8. ^ "NFC erişim kontrolü: harika ve geliyor, ancak yakın değil". Güvenlik Sistemleri Haberleri. 25 Eylül 2013. Arşivlendi 6 Nisan 2014 tarihinde orjinalinden. Alındı 30 Mart 2014.
  9. ^ "Bu Yapışkan Anahtar Zincirlerinden Kurtulun: EC Anahtarıyla Kolay Erişim". Kablosuz Tasarım ve Geliştirme. 11 Haziran 2012. Arşivlenen orijinal 7 Nisan 2014. Alındı 31 Mart 2014.
  10. ^ "Kisi ve KeyMe, İki Akıllı Telefon Uygulaması, Ev Anahtarlarını Eski Hale Getirebilir". The Huffington Post. 26 Kasım 2013. Arşivlendi 11 Mart 2015 tarihinde orjinalinden.
  11. ^ Rodos, Brian (2019). "Erişim Kontrol Kılavuzu Tasarlama". ipvm.com. Alındı 1 Ekim 2019.
  12. ^ "IP erişim kontrolü ile yeni kapılar açılıyor - Secure Insights". Güvenli İçgörüler. 16 Mart 2018. Alındı 20 Haziran 2018.
  13. ^ "Erişim Kontrolünün Evrimi". isonas.com. Alındı 26 Eylül 2019.
  14. ^ "Olay Komuta Sistemi :: NIMS Online :: Ulusal Olay Yönetim Sistemi (NIMS) Topluluğuna Hizmet Vermek". 18 Mart 2007. Arşivlenen orijinal 18 Mart 2007. Alındı 6 Mart 2016.
  15. ^ "Konutlar ve ticari binalar için akıllı erişim kontrol politikaları". Arşivlendi 4 Temmuz 2017'deki orjinalinden. Alındı 11 Eylül 2017.
  16. ^ Graham Pulford (17 Ekim 2007). Yüksek Güvenlikli Mekanik Kilitler: Ansiklopedik Bir Referans. Butterworth-Heinemann. s. 76–. ISBN  978-0-08-055586-7.
  17. ^ Yazar, Misafir (7 Şubat 2020). "İhlali Önlemek için Kullanıcı Kimlik Doğrulama Yöntemleri ve Teknolojileri". ID R&D. Alındı 8 Kasım 2020.
  18. ^ "Siber Güvenlik: Erişim Kontrolü". 4 Şubat 2014. Alındı 11 Eylül 2017.
  19. ^ "SP 800-162, Nitelik Tabanlı Erişim Denetimi (ABAC) Tanımı ve Dikkat Edilmesi Gerekenler Kılavuzu" (PDF). NIST. 2014. Arşivlenen orijinal (PDF) 5 Mart 2016 tarihinde. Alındı 8 Aralık 2015.
  20. ^ Schapranow, Matthieu-P. (2014). EPCglobal Ağları için Gerçek Zamanlı Güvenlik Uzantıları. Springer. ISBN  978-3-642-36342-9.
  21. ^ Pereira, Henrique G. G .; Fong, Philip W.L. (2019). "SEPD: Bir IoT Ortamında Kaynak Paylaşımı İçin Bir Erişim Kontrol Modeli". Bilgisayar Güvenliği - ESORICS 2019. Bilgisayar Bilimlerinde Ders Notları. Springer Uluslararası Yayıncılık. 11736: 195–216. doi:10.1007/978-3-030-29962-0_10. ISBN  978-3-030-29961-3.
  22. ^ Sonwane, Abhilash Vijay; Mahadevia, Jimit Hareshkumau; Malek, Sarfaraz Mohammedhanif; Pandya, Sumit; Şah, Nishit Shantibhai; Modhwadiya, Rajesh Hardasbhai (17 Mart 2015), Kimlik ve politika tabanlı ağ güvenliği ve yönetim sistemi ve yöntemi, USPTO Patent Tam Metin ve Görüntü Veritabanı
  23. ^ "OrBAC: Organizasyon Tabanlı Erişim Kontrolü - Resmi OrBAC model web sitesi". orbac.org. Arşivlenen orijinal 10 Haziran 2017'de. Alındı 11 Eylül 2017.
  24. ^ "Arşivlenmiş kopya" (PDF). Arşivlendi (PDF) 4 Mart 2016'daki orjinalinden. Alındı 18 Temmuz 2014.CS1 Maint: başlık olarak arşivlenmiş kopya (bağlantı)
  25. ^ "Arşivlenmiş kopya" (PDF). Arşivlenen orijinal (PDF) 8 Mayıs 2007. Alındı 23 Ocak 2007.CS1 Maint: başlık olarak arşivlenmiş kopya (bağlantı)

Dış bağlantılar