Современные
информационные технологии/4.Информационная безопасность
Магистрант Токарев Е.
В., к.т.н. Вихман В. В.
Новосибирский
государственный технический университет, Россия
Интегрированные
системы безопасности на основе IP-сетей
В статье рассмотрен механизм интеграции системы безопасности
и вычислительной сети
Интегрированные системы
безопасности, такие как системы закрытой трансляции телевидения (Closed-circuit
television) и системы контроля и управления доступом (Access control), могут
строиться на основе IP-сетей, предоставляя тем самым конечному пользователю ряд
преимуществ.
ПОЧЕМУ ИНТЕГРИРОВАННЫЕ?
Термин интеграции широко
используется в сфере безопасности для определения систем, в которых разные по
функционалу и производителю устройства работают вместе. Например, в системе
закрытой трансляции функционируют камеры видеонаблюдения от разных вендоров.
Однако может ли система обнаружения нарушителя, интерфейс которой состоит из
сторонних сенсоров, считаться интегрированной? Да, как и в первом случае,
может, но обе они (системы) обретают это свойство на компонентном уровне – это
не то, что большинство людей рассматривает как интегрированное решение.
Действительно, интеграция заключается в возможности, на основе интерфейса,
собранного из разных дисциплин, создать общее решение, определяющее для
пользователя обширный спектр преимуществ, исходя из свойств его конечной
системы. Иными словами, интегрируемая система создана под конкретные нужды, и
ее адаптивная часть направлено развивает ее под эти нужды.
Гибкость и масштабируемость систем
безопасности на основе IP-сетей дают пользователю ряд преимуществ в сравнении с
традиционными проводными системами. Эти преимущества весьма значительны, и
позволяют, запуская процессы на одном сегменте, порождать события на другом.
Для успешного осуществления такого уровня интеграции требуется качественная
проработка всех подсистем.
РЕШЕНИЕ НА ОДНОЙ СТАНЦИИ
В ситуации, близкой к идеальной, производитель
поставляет решение с проинтегрированными модулями – закрытая трансляция,
контроль доступа, обнаружение нарушителя, защита периметра, автоматическое
распознавание и т. д.
Однако на практике такая тенденция
никатируется. Клиент для использования новых возможностей с учетом особенностей
своей системы вынужден использовать сервисы интеграторов.
Пользователи интегрированной системы
- не важно, сидят ли они за одной рабочей станцией или контролируют систему в
целом - не задумываются о том, что решение, которое они используют, зачастую
создано усилиями разных организаций, и что это решение работает на базе
программного обеспечения так же от разных вендоров.
Программное обеспечение для разных
подсистем (закрытая трансляция, контроль доступа и т. д.) должно позволять
пользователю выбирать с какими модулями работать в приложении, при условии
совместимости этого приложения с другими модулями системы.
ОДИН ЦЕНТР ТРЕВОГИ
Типичными для сигналов тревоги
являются три источника: CCTV-системы, системы обнаружения нарушителей и системы
контроля и управления доступом.
Хотя для обработки сигналов
используются разные приложения, пользователю охранной системы не захочется
видеть эти приложения на дисплеях трех разных персональных компьютеров,
расположенных в трех разных местах. Вероятнее, что пользователю будет удобнее в
случае, когда за всю систему тревоги будет отвечать одно приложение с
интерактивной картой, на которой будет нанесена легенда с обозначением всех
трех источников.
Если каждое управляющее тревогой
приложение будет работать с IP, то реализовать передачу информации между такими
приложениями будут несложно.
Однако, многие ситуации на таком
едином приложении будут связаны с операторами CCTV-системы. Поэтому логично
присутствие IP видеосистем в приложении управления аварийным сигналом. Ведущие
производители таких систем поставляют комплекты фирменного программного
обеспечения с расширенными возможностями, в числе которых обеспечение сложных
причинно-следственных операций.
ПРИЧИНА И СЛЕДСТВИЕ
Тревоги и события централизованы в
одном месте – зачастую IP видеосистеме – и они могут вызывать действия,
попадающие в категорию причинно-следственных. Такое случается в действительно
мощных охранных системах, и не может быть легко достижимым в проводных
stand-alone системах. Тревоги и события из не охранной системы свободно
интегрируются в систему пожарной безопасности или в систему домоуправления. Вот
перечень примеров как концепция “причина-следствие” может быть реализована в
интегрируемых системах:
Причина – детектор дыма создал пожарную
тревогу в комнате предварительного задержания;
Следствие – камеры в комнате передают
картинку на монитор безопасности, в комнате выключается свет, открываются замки
дверей.
Причина – зафиксирована попытка входа с недействительной смарт-картой;
Следствие – ближайшая PTZ-камера фиксирует
объектив на турникет, картинка с нее транслируется на мониторы контрольной
комнаты и видео записывается.
Причина – датчик движения создал сигнал тревоги;
Следствие – свет в зоне датчика включен,
картинка с ближайшей камеры видеонаблюдения поступает на монитор, создается
уведомление до ответственного лица.
Причина – зафиксирована попытка проникновения с вводом неверного кода;
Следствие – CCTV-камера транслирует
изображение на монитор, двунаправленный аудиоканал активирован между
контрольной комнатой и проблемным местом, которое выделено на интерактивной
карте.
·
Производственное
“чистое помещение”
·
Причина – сработала тревога;
Следствие – видеопоток из комнаты поможет
определить проблему до того, как кто-нибудь войдет в чувствительную зону.
IP видео-системы заменили
традиционную видео-коммутационную матрицу на виртуальную матрицу, более
эффективную в контексте сети. Это позволяет многим устройствам (камеры,
мониторы) быть частью сети вкупе с используемым программным обеспечением,
взаимодействовать с датчиками тревоги и событий. Гибкость виртуальных матриц
является одной из причин становления концепции “причина-следствие” важной
особенностью интегрированных систем.
Однако даже при том, что IP-CCTV
является логическим местом для консолидации тревоги, оно так же должно
управляться со стороны напрямую, например, начинать запись, предоставлять
информацию о камерах и т. д.
КАК СИСТЕМЫ ИНТЕГРИРУЮТСЯ В IP-СЕТИ
Системы безопасности на основе IP
используют стандартный сетевой интерфейс, однако протоколы, которые они
используют для передачи сообщений между устройствами, разные. Сообщения из
разных сетей вполне могут существовать в одной системе, однако понять друг
друга они не могут. Таким образом, чтобы конкретная IP видеосистема могла
управляться посредством сетевого доступа конкретной системой управления, должен
быть проработан единый интерфейс. В связи с этим производители видеосистем
создали набор интерфейсов, определяющий широкий спектр совместно интегрируемых
систем.
Этот набор отлично работает в
системах на основе IP. Однако, многие охранные системы таковыми не являются,
поэтому в этом случае интеграторы прибегают к цифровому интерфейсу
ввода-вывода. Как правило, это устройство, имеющее сетевое соединение с одной
стороны и серии входов-выходов с другой.
ОТКРЫТЫЕ СТАНДАРТЫ
Совсем недавно потребность в
открытых стандартах была признана важнейшим фактором в облегчении
взаимодействия IP-устройств и систем. Стандарт ONVIF был первоначально
разработан как общий протокол для IP-видео систем для того, чтобы предоставить
клиентам свободу выбора IP-камер и программного обеспечения для управления. Он
также расширяет систему контроля доступа, и в будущем может использоваться в
охранной сигнализации. Однако при проектировании такой открытой системы стоит
проявлять осторожность, так как функционал некоторых компонентов может быть не
использован полностью, и использование интеграционных модулей вполне окажется
лучшим решением в обозримом будущем.
ОТЧЕТЫ, СИСТЕМНОЕ УПРАВЛЕНИЕ И
АУТЕНТИФИКАЦИЯ
Информационные модули охранных
систем ведут лог в базу данных любой пользовательской активности. Конечный
пользователь должен будет составлять отчеты по этой деятельности, но не хочет
создавать отдельные отчеты по каждой подсистеме и, затем, собирать их в один
отчет о всей системе. Многие системы имеют свои собственные встроенные
генераторы отчетов, которые не могут просто так быть интегрированы друг с
другом. Решение этой проблемы — использование общего интерфейса базы данных
(например, ODBC) и публикация структур баз. Таким образом, конечный
пользователь может использовать одно приложение для работы с разными базами
данных.
Управление сетевой системой —
сложная задача для IT-менеджеров, особенно если в качестве основы используется
корпоративная локальная сеть с множеством сторонних устройств. Тем не менее
большинство систем безопасности на основе IP поддерживают SNMP — промышленный
стандарт для управления сетевым оборудованием. Этот простой протокол
используется для управления сетью и мониторинга подключенных к сети устройств,
предоставляя менеджерам возможность менеджмента сети через один инструментарий.
Аутентификация — еще одна проблема
при создании интегрированной системы. Одним из ведущих решений является
использование аккаунтов Windows в Active Directory. Пока все программное
обеспечение в системе использует этот механизм, конечный пользователь может
получить к нему (ПО) доступ используя один логин.
ЗАКЛЮЧЕНИЕ
Преимущества интегрированных систем
на основе IP-сетей должны быть очевидны. Она предлагает пользователю набор
возможностей, каких нет в традиционных проводных системах или автономных.
Несмотря на разношерстность подсистем, пользователь видит
унифицированный интерфейс, и управляет через него системой в целом.
Литература:
1. Anderson,
Richard. Video and Access Control Integration: Why Your Access and Surveillance
Systems Are Not On Speaking Terms. March 25, 2009. Retrieved August 12, 2010
from Securityinfowatch.com:
http://www.securityinfowatch.com/Features/video-and-access-control-integration
2. Georgia State University. CIS 8020 Definition of Systems Integration.
Retrieved August 8, 2010.
3. Hodgson, Karyn. Access Control: Feature Sets That Sell. July 1, 2010.
Retrieved August 12, 2010.
4. Zalud, Bill. Convergence 2.0. February 1, 2009. Retrieved August 8, 2010
from Securitymagazine.com:
http://www.securitymagazine.com/articles/convergence-2-0
5. Basking
in Glory-SNMPv3, Dan Backman, Network Computing, August 1998.