Защита доступа к прибору

Поведение охранного прибора напрямую задается его конфигурацией. Задача защиты доступа состоит в том, чтобы неавторизованный персонал не мог получить доступ к изменению конфигурации прибора.

В решений Си-Норда у защиты доступа к прибору есть несколько уровней.

  1. Пароль при подключении прибора по USB.
  1. Сброс на заводские настройки:
    • пароль сбрасывается вместе с настройками прибора, нужно перенастраивать весь объект,
    • можно настроить прибор так, чтобы сброс происходил не сразу, а через сутки;
    • прибор отправляет в Центр охраны сообщение, что его настройки сброшены.
  1. Запрет сброса на заводские настройки.
  1. Доступ из «Панели инженера» без пароля для авторизованных инженеров/
  2. «Защита от угона» прибора.

1. Пароль при подключении по USB

Главная задача, которую мы решали: нужно сделать так, чтобы неавторизованный персонал не мог подключиться к прибору по USB. То есть у инженера есть прибор, есть ноутбук, он скачал с сайта конфигуратор Хаббл, подсоединил к прибору USB, а прибор говорит: «Нельзя, введите пароль». Поддерживается пароль длиной до 16 символов — с высоким уровнем безопасности. Отключить запрос на ввод пароля нельзя.

Ввод неверного пароля. Если ввести неверный пароль, прибор формирует событие с кодом E750. Таким образом прибор информирует дежурного оператора Центра Охраны о возможном несанкционированном доступе. Кроме того, при вводе неверного пароля происходит задержка ответа — это уменьшает скорость перебора паролей и затрудняет взлом.

Контроль подключения USB. Прибор контролирует подключение по USB и присылает на пульт события: с кодом Е627 при подключении и Е628 при отключении от прибора. События отправляются независимо от того, запущен на подключаемом компьютере конфигуратор Хаббл или нет. Оператор Центра Охраны может заподозрить несанкционированный доступ к прибору, если события о подключении по USB пришло, а доступ к объекту для инженера запланирован не был.

Смена пароля при подключении по USB. Если вы знаете текущий пароль, подключитесь к прибору, запустите конфигуратор «Хаббл» и перейдите в меню: «Разное» → раздел «Защита конфигурации» → «Изменить пароль для доступа к прибору.

Но пароль можно забыть, потерять или перепутать. Что делать, если инженер авторизован, а пароля у него нет?

2. Сброс на заводские настройки

При подключении прибора по USB в окне ввода пароля есть кнопка «Сброс на заводские настройки». Если её нажать, то пароль вернется к значению по умолчанию — «0000». Но чтобы возможность вернуться к исходному паролю не стала уязвимостью, у сброса настроек есть несколько нюансов.

Сбросится вся конфигурация. После сброса программировать прибор придется заново, как будто это новый объект — вводить данные для подключения к пульту, подключать датчики, настраивать разделы. С другой стороны, это помогает в случае, если прибор давно лежит на складе и пароль к нему потерян.

Казалось бы, можно в любой момент сбросить конфигурацию и зайти с паролем по умолчанию. Придется, конечно, полностью перепрограммировать объект, но что ж, это неизбежное неудобство. Но что если проделать эту операцию решат конкуренты на объекте с вашим прибором? Вы сразу потеряете к нему доступ? Конечно, нет, и вот почему.

Задержка при сбросе. Сброс настроек у наших приборов срабатывает не мгновенно — период до сброса настраивается от 30 секунд до 24 часов. Например, если выставить задержку на 24 часа, прибор сбросится только через сутки реального времени при подключенном питании прибора. Если нажать «Сброс», подождать 1 час, потом снять питание прибора и включить его хоть через день, хоть через месяц — до сброса все ещё будет оставаться 23 часа.

Сообщение на пульт. В момент нажатия кнопки «Сброс» прибор отправит на пульт сообщение с кодом E752, что его пытаются сбросить на заводские настройки. Рекомендуем выставлять максимальное значение задержки до сброса, чтобы при попытке сбросить ваш прибор у вас было достаточно времени, чтобы разобраться в ситуации. Более того, в течение этих суток можно нажать кнопку «Отмена» и прибор не сбросится. При отмене сброса конфигурации прибор формирует событие с кодом R752.

3. Запрет сброса на заводские настройки

В ситуации, когда охранное предприятие хочет полностью исключить вероятность угона оборудования, можно включить запрет на сброс прибора. Кнопка «Сброс» при подключении прибора по USB больше не будет отображаться. Никто не подключится к этому прибору без пароля.

4. Доступ через «Панель инженера»

Всё, о чем мы говорили выше, имеет отношение к подключению по USB. А у нас ещё есть облачное решение — «Панель инженера». В «Панели инженера» персонал авторизуется по своему адресу электронной почты, а доступ к прибору инженеру выдает оператор Центра Охраны.

Это означает, что при подключении из «Панели инженера» пароль к прибору не нужен, ведь инженер уже авторизован. Какой бы пароль ни стоял на приборе, инженер подключается из «Панели инженера» и спокойно конфигурирует прибор. В том числе, он может сменить пароль.

Облачное (или удаленное) конфигурирование позволяет изящно решить проблему с безопасностью доступа, когда пароль на приборе может быть какой угодно — это не становится для инженера препятствием. Если прибор на связи с Облаком, пароль всегда можно поменять, потому что для подключения к прибору через Облако пароль не требуется.

5. Защита от угона

Самое кардинальное решение. Суть защиты в том, что адрес для подключения к пульту охраны вообще изменить нельзя. Охранное предприятие вводит данные Центра Охраны, ставит галочку «Защита от угона» и всё — прибор нельзя будет перенастроить на другой пульт без обращения в Си-Норд.

***

Нужно ли пользоваться всеми этими уровнями безопасности одновременно — вопрос, который охранное предприятие решает самостоятельно. Главное же в том, что вы можете сами выбрать тот уровень защиты, который считаете для себя необходимым.