Управление информационными системами Information systems management
УДК 608 DOI 10.29141/2782-4934-2022-1-3-8 EDN YZLXPE
С. Талу1, В. А. Плотников2
1 Технический университет Клуж-Напока, г. Клуж-Напока, Румыния 2 Санкт-Петербургский государственный экономический университет, г. Санкт-Петербург, Российская Федерация
Мобильный модуль обеспечения безопасности процессов идентификации и аккумулирования данных посетителей образовательного учреждения
Аннотация. Статья посвящена вопросам проектирования модуля обеспечения безопасности процессов идентификации и аккумулирования данных посетителей образовательного учреждения, разработке и внедрению его в защищенную цифровую платформу, обеспечивающую накопление и обработку данных с соблюдением требований их конфиденциальности.
Ключевые слова: модуль; идентификация; данные; система контроля и управления доступом; СКУД; информационная безопасность; управление информационными системами.
Дата поступления статьи: 14 ноября 2022 г.
Для цитирования: Талу С., Плотников В. А. Мобильный модуль обеспечения безопасности процессов идентификации и аккумулирования данных посетителей образовательного учреждения // Цифровые модели и решения. 2022. Т. 1, № 3. DOI: 10.29141/2782-4934-2022-1-3-8. EDN: YZLXPE.
S. Talu1, V A. Plotnikov2
1 Technical University of Cluj-Napoca, Cluj-Napoca, Romania 2 St. Petersburg State University of Economics, St. Petersburg, Russia
Mobile module for ensuring the security of the identification and accumulation of data of visitors to an educational institution
Abstract. The article is devoted to the issues of designing a module for ensuring the security of the identification and accumulation of data of visitors to an educational institution, developing and implementing it into a secure digital platform that ensures the accumulation and processing of data in compliance with the requirements of their confidentiality.
ЦИФРОВЫЕ МОДЕЛИ И РЕШЕНИЯ
X1 №3 2022 VoU N0.3 м nigitn| mndpfcnnd solutions_ISSN 2782-4934 (online)
Управление информационными системами Information systems management
Key words: module, identification, data, ACS, information security, management of information systems.
Paper submitted: November 14, 2022
For citation: Talu S., Plotnikov V. A. Mobile module for ensuring the security of the identification and accumulation of data of visitors to an educational institution. Digital models and solutions. 2022. Vol. 1, no. 3. DOI: 10.29141/2782-4934-2022-1-3-8. EDN: YZLXPE.
Введение
Актуальность выбранной темы связана с необходимостью автоматизации и интеллектуализации процессов идентификации и учета посетителей образовательного учреждения, а также снижения рисков несанкционированного доступа на территорию образовательного учреждения в пределах контролируемой зоны. Обеспечение безопас-
/" ' ' и и и и
ности любого объекта представляет собой сложный непрерывный процесс, который имеет системный характер и подразумевает выполнение комплекса мероприятий, в том числе направленных на выявление фактов несанкционированного проникновения нарушителей на территорию охраняемого объекта.
Образовательное учреждение - это социальный объект повышенной опасности, на котором сосредотачивается значительное число людей, в том числе детей и молодежи. Такой объект должен быть надежно защищен от проникновения нарушителей. Ни законным представителям обучающихся, ни администрации, ни работникам образовательного учреждения не хотелось бы, чтобы на территорию образовательного учреждения имели доступ посторонние лица, среди которых могут оказаться злоумышленники, поэтому ограничение доступа с помощью системы контроля и управления доступом (СКУД) выглядит вполне логичным и эффективным решением.
Основная задача СКУД, как следует из самого названия этих систем, это управление доступом на объект. СКУД могут быть одноуровневыми, когда идентификация осуществляется по одному признаку (например, по считыванию кода смарт-карты), либо многоуровневыми, когда идентификация осуществляется по нескольким признакам (например, по считыванию кода смарт-карты карточки и биометрическим данным) [1-3].
Согласно ранее проведенным исследованиям [4-6], а также требованиям ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний», к основным техническим характеристикам СКУД относят следующие:
• уровень идентификации;
• количество контролируемых мест;
• пропускная способность;
• количество пользователей;
• условия эксплуатации.
Управление информационными системами Information systems management
СКУД в образовательных учреждениях, как правило, имеет типичную функциональность, поэтому в целом можно говорить только об ограничении доступа. Типичный функционал такой предполагает возможность оперативного перепрограммирования, содержит техническую и программную защиту от вандализма и саботажа, протоколы разграничения полномочий сотрудников и посетителей по доступу в помещения и на объект в целом; имеет модуль автоматической идентификация и достаточно высокий уровень секретности.
В условиях процесса цифровой трансформации типичную СКУД образовательного учреждения можно дополнить модулями автоматического сбора и анализа данных, полученных в процессе идентификации посетителей образовательного учреждения.
Целью настоящей статьи является разработка мобильного модуля обеспечения безопасности, которая позволит обеспечить требуемый уровень автоматизации и защищенности процесса идентификации и учета посетителей образовательного учреждения.
Концептуальная модель цикла передачи данных в процессе идентификации и учета посетителей образовательного учреждения
Разрабатываемый мобильный модуль должен обеспечить взаимодействие серверной и клиентской части программного обеспечения, а также между субъектом процесса идентификации и системой контроля и управления доступом (рис. 1). Технические характеристики СКУД позволяют реализовать такое решение, поскольку допускают возможность оперативного перепрограммирования и внедрения дополнительных стандартных модулей.
Рис. 1. Концептуальная модель цикла передачи данных с использованием модуля
Управление информационными системами Information systems management
Процедура регистрации пользователя мобильного клиента представлена на рис. 2 и состоит из следующих операций:
1) мобильный клиент отправляет запрос на открытие сессии;
2) сервер возвращает токен сессии;
3) мобильный клиент отправляет запрос на авторизацию с указанием номера мобильного телефона;
4) сервер проверяет правильность введенных данных (номера телефона) и отправляет СМС с паролем на данный номер;
5) мобильный клиент выполняет аутентификацию с использованием ранее полученного токена сессии, номера телефона и пароля.
смс-шлюз
Рис. 2. Процедура регистрации пользователя мобильного клиента
Процедура аутентификации пользователя мобильного клиента представлена на рис. 3 и состоит из следующих операций:
1) мобильный клиент отправляет запрос на открытие сессии;
2) сервер возвращает токен сессии;
3) мобильный клиент отправляет запрос на авторизацию с указанием номера мобильного телефона и пароля пользователя, зарегистрированного на сервере;
4) сервер проверяет правильность введенных данных и возвращает результат проверки [7];
5) мобильный клиент выполняет необходимые запросы, предварительно проверяя состояние текущей сессии и обновляя ее, если это необходимо.
CLIENT АРР СЕРВЕР
Рис. S. Процедура аутентификации пользователя мобильного клиента
Управление информационными системами Information systems management
Для передачи данных между серверным и мобильным компонентом системы используется протокол HTTPS. Этот протокол использует шифрование передаваемой информации на основе сертификата сервера, таким образом обеспечивая дополнительную защиту от атак, основанных на прослушивании сетевого соединения [7].
Также в мобильном клиенте пользователь может вводить информацию только через специальные формы, при этом на некоторые поля установлены ограничения по типу данных. К вводимой пользователем информации относятся данные авторизации, а также данные для обратной связи с разработчиками.
Чтобы исключить возможность перехвата по видовому каналу утечки информации с экрана мобильного устройства, все пароли представлены в закрытом виде. Формы ввода паролей представлены на рис. 4. Система позволяет подобрать достаточно надежный пароль, поскольку содержит программу проверки вводимых паролей, основанную на определенных алгоритмических процедурах, в частности, пароль проверяется на количество, регистр и видовое разнообразие символов [8; 9].
Номер телефона +7 (999) 999 99 99
ES Запомнить пароль
ВОЙТИ
<1 О □
Рис. 4. Окно авторизации мобильного клиента
Реализация мобильного модуля процессов идентификации и учета посетителей образовательного учреждения
Типичная СКУД образовательного учреждения по уровню сложности должна соответствовать размерам образовательного учреждения и иметь по крайней мере четыре основные точки прохода (на территорию, в здание, для автотранспорта, вход в серверную), девять дополнительных точек прохода (для разграничения доступа по блокам), включать в себя автономные и сетевые контроллеры, обеспечивать совместимость с техническими системами обнаружения и пожарной сигнализации, управления основным и резервным освещением, средствами связи и тревожной сигнализации, системами видеоконтроля.
Управление информационными системами Information systems management
Разрабатываемый модуль позволит не только осуществлять идентификацию и аккумуляцию данных о посетителях образовательного учреждения, но и обеспечит формирование временного графика прохода посетителей и учащихся; ведение базы данных, анализ данных и выдачу отчетов. Такой подход позволит по накопленным данным проводить интеллектуальный анализ с помощью различных инструментальных средств и получать понятные интерпретации создаваемых отчетов.
Для разработки мобильного клиента под операционную систему Android был использован комплект средств разработки Android Studio v3.1.2, содержащий все необходимые инструменты и библиотеки для создания мобильного приложения, в том числе средства для эмуляции работы реальных устройств [10; 11].
Языком программирования, используемым при разработке для данной операционной системы, является Java, в связи с чем также необходим Java Development Kit, содержащий необходимые библиотеки и утилиты. В качестве базы данных мобильного клиента использовалась SQLite - встраиваемая реляционная база данных, широко распространенная как на iOS, так и на Android. Доступ к ней осуществляется с помощью Room-ORM, входящей в коллекцию библиотек Android Architecture Components от Google (выпущена в 2017 г.).
Взаимодействие компонентов системы осуществляется посредством метода REST, при котором вызовы удаленной процедуры представляют собой HTTP-запросы (в данном случае - POST-запросы), а необходимые данные передаются в виде параметров запроса. Преимуществами данного метода являются его простота, надежность и прозрачность системы взаимодействия.
Модуль идентификации и учета посетителей СКУД образовательного учреждения состоит из серверной и клиентской частей.
Серверная часть включающей включает в себя следующие компоненты:
1) базу данных SQL Server, содержащую информацию о событиях доступа к объектам защиты и имеющую структуру, представленную на рис. 5;
2) сервис на платформе ASP.NET, реализующий отправку уведомлений о событиях доступа законным представителям учащихся;
3) мобильное приложение с двухфакторной авторизацией по номеру телефона и отображением уведомлений о событиях доступа к объектам защиты.
В представленной базе данных содержатся следующие реляционные таблицы и информация:
а) users:
1) user_id - уникальный идентификатор пользователя;
2) name - имя субъекта;
3) surname - фамилия субъекта;
4) patronymic - отчество субъекта;
5) phone - номер мобильного телефона законного представителя субъекта;
6) access_code - идентификатор смарт-карты (код доступа);
1од
Имя ™л6щ Т»л дгннъя Ршреллпъ —
9 tog.nl Ыд>п! в
||1(с(№г
кСН^.к! п
"1.« столбца Тяп дгнида Ра}р(илгп.
ииг.и Ьфп!
гнтс
риплупж
7
ОД&Ц 17.
Нин ?тс,1бц1
<за
Т^1 п ¿¡ьиои Ыд1г!
■пЕ
О
<х>—
Имя столбца Тнпденнсы Рз^ргщчть
V ¡ПЕ Е
ПЛГПС П
Г!
Рис. 5. Структура базы данных СКУД
Управление информационными системами Information systems management
7) notification_token - токен устройства в системе уведомлений Firebase Cloud Messaging;
б) access_list:
1) access_id - уникальный идентификатор записи о возможности доступа к объекту;
2) user_id - идентификатор субъекта;
3) object_id - идентификатор объекта;
в) objects:
1) object_id - уникальный идентификатор объекта;
2) name - имя объекта;
г) log:
1) log_id - уникальный идентификатор записи о событии доступа;
2) date - дата доступа;
3) access_id - идентификатор записи о возможности доступа к объекту. Описание цикла передачи уведомления представлено следующей последовательностью действий:
субъект совершает событие доступа к объекту защиты; СКУД создает запись в базе данных о данном событии;
сервис ASP.NET, развернутый на сервере, проводит проверку с периодичностью раз в минуту на новые записи в базе данных;
для каждой появившиеся записи сервис отправляет запрос на сервера Firebase Cloud Messaging;
сервера в автоматическом режиме отправляют уведомления на устройства конечных пользователей;
мобильное приложение отображает push-уведомление на устройстве законного представителя учащегося, а также хранит данные в списке самого мобильного приложения.
В мобильном клиенте количество неуспешных попыток входа в систему не может превышать пяти. После пятой неудачной попытки возможность аутентификации блокируется на две минуты. Эта функция может быть реализована с использованием следующего программного кода. String lastdate = ""; BufferedReader reader = null; try {
InputStream in = Authorization.this
.openFileInput("worstTryEver.json") ; reader = new BufferedReader(new InputStreamReader( in));
StringBuilder jsonString = new StringBuilder(); String line = null;
while ((line = reader.readLine()) != null) { jsonString.append(line);
}
Управление информационными системами Information systems management
JSONArray array = (JSONArray) new JSONTokener(
jsonString.toString()).nextValue(); for (int j = 0; j < array.length(); j++) {
lastdate = array.getJSONObject(j).getString( "lastdate");
}
} catch (FileNotFoundException e) { } catch (JSONException e) { } catch (IOException e) { } finally {
if (reader != null) try {
reader.close() ; } catch (IOException e) { e.printStackTrace();
}
}
Date d = new Date(); long diffInMin = 666; if (lastdate.compareTo("") != 0) { Date d1 = null; try {
d1 = format.parse(lastdate); } catch (ParseException e) { e.printStackTrace();
}
long diffInMill isec = d.getTime() - d1.getTime(); diffInMin = TimeUnit.MILLISECONDS
.toSeconds(diffInMillisec) / 60;
}
if (diffInMin >= 2) { }else{
runOnUiThread((new Runnable() { @Override
public void run() { Toast.makeText(
getApplicationContext(), "Превышено число попыток авторизации", Toast.LENGTH_LONG) .show();
Управление информационными системами Information systems management
}
}));
}
При авторизации пароли не передаются в открытом виде. Вместо этого используется хеш, полученный по схеме:
h(RK + h(P)),
где P - значение пароля; RK - RandomKey, полученный при создании сессии.
Заключение
Таким образом, в рамках исследовательской работы была разработана концептуальная модель модуля мобильного приложения, позволяющая автоматизировать процесс контроля доступа, идентификации и учета посетителей на территории образовательного учреждения, существенно ограничить вероятность несанкционированного доступа к защищаемой информации, а также значительно снизить риски потери активов.
Источники
1. Волхонский В. В. Системы контроля и управления доступом. СПб.: Университет ИТМО, 2015. 253 с.
2. Ворона В. А., Тихонов В. А. Системы контроля и управления доступом. М.: Горячая линия - Телеком, 2010. 271 с. ISBN 978-5-9912-0059-2.
3. Выбор и применение систем контроля и управления доступом: рекомендации Р 78.36.005-99. М.: НИЦ «Охрана», 1999. 29 с.
4. Алексеев А. В. Основы проектирования систем защиты информации: метод. указания. СПб.: Изд-во СПбГМТУ, 2008. 71 с.
5. Бугаков В. П., Тельный А. В. Технические средства охраны, системы контроля и управления доступом / под ред. М. Ю. Монахова. - Владимир: Владимирский гос. ун-т, 2017. 147 с. ISBN 5-89368-713-2.
6. Чекалин А. А., Стрельцов А. А., Никитин М. М. Комплексный технический контроль эффективности мер безопасности систем управления: в 2 ч. М.: Горячая линия - Телеком, 2017. Ч. 1. 296 с.; Ч. 2. 232 с.
7. Назаров Д. М. Методика создания надежного пароля для обеспечения экономической безопасности в условиях цифровизации // Известия Санкт-Петербургского государственного экономического университета. 2022. № 1(133). С. 155-160. EDN: JNFFUE.
8. Пирогов В. Ю. Информационные системы и базы данных: организация и проектирование. СПб.: БХВ-Петербург, 2009. 528 c. ISBN 978-5-9775-0399-0.
9. Назаров Д. М., Рыжкина Д. А. Интеллектуальные средства бизнес-аналитики. М.: КноРус, 2022. 242 с. ISBN 978-5-406-08423-6. EDN: IBKKWR.
10. Рыкунов В. А. Охранные системы и технические средства физической защиты объектов. 3-е изд. М.: Security Focus, 2022. 284 с. ISBN 978-5-9901176-3-1.
Управление информационными системами Information systems management
11. Rogers R. et al. Android application development: Programming with the Google SDK.
Sebastopol: O'Reilly Media, 2009. 318 p. ISBN 978-0-59652-147-9.
Информация об авторах
Талу Стефан, PhD, профессор. Технический университет Клуж-Напока, Румыния, г. Клуж-Напока, ул. К. Дайковичиу, 15. E-mail: stefan.talu@auto.utcluj.ro
Плотников Владимир Александрович, доктор экономических наук, профессор, профессор кафедры общей экономической теории и истории экономической мысли. Санкт-Петербургский государственный экономический университет, 191023, РФ, г. Санкт-Петербург, наб. канала Грибоедова, 30-32, литер А. E-mail: plotnikov.v@unecon. ru
Information about the authors
Stefan Talu, PhD., Professor, Technical University of Cluj-Napoca, Romania, Cluj-Na-poca, K. Daikoviciu str., 15. E-mail: stefan.talu@auto.utcluj.ro
Vladimir A. Plotnikov, Doctor of Economics, Professor Professor of the Department of General Economic Theory and History of Economic Thought. St. Petersburg State University of Economics, Russian Federation, St. Petersburg, nab. Griboyedov Canal, 30-32, letter A. E-mail: plotnikov.v@unecon.ru