Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защищенная система видеонаблюдения. Инструкции по построению

В рубрику "Видеорегистрация (DVR)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защищенная система видеонаблюдения
Инструкции по построению

Практика показывает, что многие тендеры в сфере видеонаблюдения все еще полны устаревших и непродуманных условий, исключающих достижение целей обеспечения безопасности. Выбор современной видеосистемы требует глубокого понимания особенностей TCP/IP и видеооборудования. Одна и та же система видеонаблюдения может конфигурироваться по-разному, и результаты будут отличаться существенно
Н.В. Кукушин
Генеральный директор
ООО "Русский партнер"

При покупке системы наибольшее значение имеет правильный выбор характеристик. Метод проб и ошибок в мире цифрового видеонаблюдения непродуктивен, слишком много вокруг бутафории вроде фальшивой икры на бутерброде – даже когда предлагают хорошие деньги, поставщику уже просто не успеть установить эффективные контакты с надежными производителями качественной продукции.

Именем тарабарского короля

Прогуливаясь по выставкам, можно бесплатно получить картонные коробочки с надписью: Frost & Sullivan оценили рынок и отметили, что определенная компания занимает 60% российского рынка видеонаблюдения.

Доверившись консультантам Frost & Sullivan, многие влиятельные специалисты моментально склонили свой выбор в пользу систем именно этой компании, хотя нет конкретики в том, почему такой вывод сделан.

Следовательно, правильный путь все же в сопоставлении технических характеристик, возможностей, опыта использования и цены решений различных систем видеонаблюдения, которые позволят внятно аргументировать целесообразность выбора в пользу конкретного производителя. Косвенные признаки непродуманности в оборудовании позволяют сделать довольно точный прогноз о его перспективах в плане гарантий и проблематичности эксплуатации. Например, если оборудование не поддерживает компрессию Н.264, то оно в большинстве случаев является устаревшим, залежалым товаром.

При покупке системы наибольшее значение имеет правильный выбор характеристик. Метод проб и ошибок в мире цифрового видеонаблюдения непродуктивен, слишком много вокруг бутафории вроде фальшивой икры на бутерброде – даже когда предлагают хорошие деньги, поставщику уже просто не успеть установить эффективные контакты с надежными производителями качественной продукции

Рынок видеонаблюдения в течение нескольких прошедших лет изменился коренным образом. Во-первых, Интернет сделал информацию общедоступной, ценимая ранее образованность меркнет на фоне демпингующего "юзерства" (способность настроить по мануалу). Во-вторых, небольшие видеосистемы для автомобиля, квартиры и офиса клиент теперь зачастую покупает сам. В-третьих, китайская микроэлектроника по возможностям во многом уже превосходит европейскую. Если 20 лет назад за знаниями и технологиями мы ездили в Европу, то теперь ездим в Китай.

Поиск главного критерия

Чтобы не запутаться в огромном количестве предложений на рынке, проще определить, каковы наиболее важные требования к оборудованию видеосистем.

В последнее время многие дискуссии в прессе на тему видеонаблюдения и результаты продаж свидетельствуют о том, что IP-видеокамеры в 2011 г. впервые продавались лучше, чем аналоговые. Этот тренд весьма заметен и по соотношению количества предложений по IP-видеокамерам и по аналоговым. Соотношение количества пикселей и цены уже однозначно завоевано IP-камерами.

Однако, думаю, не следует спешить с выводами, что время аналоговых видеокамер закончилось. Сложившееся положение очень напоминает ситуацию в телефонии. До сих пор, хотя IP-телефоны хорошо отработаны и стандартизованы, основная часть пользователей проводной телефонии предпочитает аналоговые телефоны и факсы. Именно поэтому системы с VoIP, позволяющие подключить обычные телефоны, продаются в больших объемах, чем IP-телефоны.

Хотя Интернет позволяет транслировать звук с высоким качеством, абсолютное большинство телефонных систем работает с кодеками, установленными еще со времен классической TDMA-телефонии, и всех это устраивает, потому что для общения по телефону вовсе не требуется Hi-Fi-стереозвучание. Аналогично и для повседневного обеспечения безопасности важна не столько глубокая детализация, сколько оперативность информации, а требуемые детали могут быть получены другими вспомогательными средствами, в том числе поворотными видеокамерами с хорошим объективом.

Устойчивость работы, динамический диапазон WDR (Wide Dynamic Range) и чувствительность IP-камер остается существенно хуже, чем у аналоговых. При одной и той же освещенности одна видеокамера показывает неплохую цветную картинку, а другая способна отразить только темные черно-белые силуэты. Только практика позволяет убедиться в правдивости заявленных производителем сведений о чувствительности видеокамеры. Мегапиксельные видеокамеры требуют большего количества винчестеров и большей производительности сетей и процессоров, что многократно увеличивает стоимость видеосистемы, а выигрыш получается весьма сомнительный, потому что большинство стратегий обеспечения безопасности требуют не столько высокой детализации изображения, сколько оперативности реагирования и противодействия.

Аналоговые видеокамеры хорошо стандартизованы и по своему устройству существенно проще, поэтому их размеры технологически будут значительно меньше, чем размеры IP-видеокамер. В некоторых проектах миниатюрность видеокамеры является главным критерием. Аналоговые камеры могут быть удалены на сотни метров от ближайшего видеорегистратора без переприема, для IP-видеокамер по стандартам TIA/EIA длина линии не превышает 90 м (или нужно ставить неизвестно где приемопередающие хабы).

По степени проработки и стандартизации IP-видеокамеры гораздо "сырее" IP-телефонов, тому есть объективные причины, обусловливающие большие риски разработчиков, поэтому еще достаточно долго будут использоваться цветные аналоговые видеокамеры в совокупности с DVR, что полностью совпадает с тенденциями в цифровой телефонии. Такова исходная диспозиция, но еще не главный критерий.

Три основных варианта

Типичная видеосистема CCTV построена по "радиальной" схеме, видеокамеры соединены с центральным сервером с платой видеозахвата напрямую. Главный аргумент – дешево, хотя на самом деле втрое дороже. Представьте себе, как выглядят линейные сооружения возле сервера, в который заходят десятки кабелей. Вдобавок, неизбежные неустранимые помехи, взаимные влияния линий. Здоровенный пучок кабелей непросто обслуживать, если что-то вдруг отсыреет или отсохнет в разъеме. Если кабель поврежден – а такая вероятность всегда существует, – то устранить неисправность быстро в этом пучке кабелей не удастся, поэтому гнаться за такой дешевизной не имеет смысла.

До сих пор в тендерах тиражируется именно такой устаревший подход к организации видеонаблюдения. При переходе на IP-видеокамеры владельцу придется менять все кабели и оборудование полностью.

В современных системах все чаще используются IP-камеры, в центральный сервер заходит всего один провод. Линейные сооружения красивы и удобны в обслуживании. Более чем на 80% снижаются затраты на кабели и их прокладку. Появляется культура СКС.

Два первых варианта являются наиболее обсуждаемыми среди специалистов, им посвящено абсолютное большинство публикаций, хотя есть еще и третье решение, но оно в большинстве публикаций не обсуждается. Третье решение, которое мы уже пятый год очень рекомендуем клиентам, – это системы распределенных видеорегистраторов, которые устанавливаются в местах сосредоточения видеокамер и соединяются с центральным ядром через IP-сеть. Здесь мы получаем ту же конфиденциальность и эстетику линейных сооружений, что и в схеме с использованием IP-видеокамер, но можем использовать самые оптимальные по цене и возможностям аналоговые видеокамеры и при этом достигнуть главного – уверенности в результате.

Принципиальное отличие схемы состоит в том, что видеорегистратор не является ядром системы, как это обычно принято в большинстве случаев. Управляющим ядром системы является хорошо собранный компьютер с профессиональным программным обеспечением, способный администрировать видеопотоки от тысяч периферийных NVR и IP-видеокамер. Топология распределенных систем очень многообразна и часто похожа на кластерные топологии ЦОД, но суть состоит в том, что именно распределенные системы победили в цифровой телефонии, они действительно наиболее оптимальны. Владелец такой системы не "прикован наручниками" к IP-камерам и свободно выбирает технологии на основе ясных критериев, а не лозунгов тарабарского королевства. Большинство NVR имеют входы и для аналоговых, и для IP-видеокамер. Лет через пять, когда IP-камеры достигнут совершенства, вырастет производительность винчестеров, останется заменить лишь разъемы на небольшом отрезке кабеля от камеры до регистратора, вся остальная часть линейных сооружений полностью пригодна для перехода на IP-видеокамеры.

Конфиденциальность

Несмотря на расклеенные надписи, запрещающие несанкционированную видеосъемку на собственную видеокамеру, нарушитель может скрытно подключиться в любой точке линий к установленным на объекте видеокамерам и с комфортом записывать происходящее, выуживая подробности о внутренней жизни, внешних контактах организации и деятельности секьюрити. В большинстве случаев кабели с видеоинформацией проложены в неохраняемых общедоступных кабельных каналах и отличить их от остальных кабелей не составляет большого труда. Для противодействия таким подключениям проходящие по неконтролируемым участкам IP-сети "закрываются" через VPN, тогда корпоративное "кино" остается тайной – разве это не важно?

В незащищенной сети возможно многое, в том числе подмена видеосигнала на ранее записанный, динамические техники обхода AET и блокирование доступа посредством DDoS-атак. Проще предотвратить, чем тратить время и деньги на устранение последствий.

Система видеонаблюдения – серьезный актив предприятия, помогающий менеджменту эффектно минимизировать потери, простои, нестыковки, риски и объективно оценивать работников и угрозы. Вложения в безопасность дают фирме дополнительные существенные возможности и доходы, правда, при условии профессионального подхода, позволяющего внятно оценить, насколько безопасна безопасность. Любительские методы видны сразу хотя бы по тому, как проложены кабели систем безопасности. Профессиональный подход к обеспечению безопасности начинается с адекватного моделирования угроз.

Минимизация несанкционированного доступа

Защита видеоинформации является одним из важнейших критериев для видеосистемы, особенно интегрированных решений "безопасных городов", которые в нынешнем виде позволяют транслируемый по Интернету контент несанкционированно просматривать и подменять, дезинформируя полицию прокруткой архивных записей и наблюдать за ее действиями. Простые видеорегистраторы не позволяют разделять права доступа столь надежно и эффективно, как профессиональные системы. Отсюда многие возможные проблемы. Успехи Wikileaks и недавние громкие скандалы с прослушкой телефонов и доступом к SMS в очередной раз это подтверждают. На первый взгляд IP-видеокамеры в плане защиты информации многократно превосходят аналоговые видеокамеры. В действительности же, наоборот, IP-сеть предоставляет наилучшие возможности для хищения информации всем скопом, особенно через Интернет.

Задача несанкционированного доступа к информации в крупной системе существенно упрощается, если детальную проектную документацию публиковали в тендерах, неучтенные копии часто валяются в бухгалтерии или техотделе, персонал которых меняют, дабы не платить обещанных премий. Не составит большого труда отследить трассы кабелей с помощью недорогого комплекта "генератор + приемник", которому достаточно подключения одного провода.

Широко распространено заблуждение, что оптоволокно гарантирует конфиденциальность, но на самом деле оптоволокно несложно разломить и тут же заново соединить без сварки, используя Corelink или его аналог. В месте стыка устанавливается разветвитель, который позволяет получить всю информацию, передаваемую по ВОЛС, включая PON, GEPON, DWDM, CWDM и другие стандарты систем передачи. Чтобы вычислить такие подключения, нужно в ходе строительства СКС снимать рефлектограммы и в процессе эксплуатации периодически сравнивать отклонения тем же прибором для выявления новых нелинейностей. Но кто это сделает, с какой периодичностью и где рефлектометр в гостинице? Очень маловероятно. Поэтому остается VPN, лучше сертифицированный с учетом ключевых изменений Интернета по версии 2 (IKE v2). При осуществлении криптозащиты каналов связи можно быть уверенным в конфиденциальности и достоверности видеосигналов при условии, конечно, правильного выбора и администрирования VPN. Известно, что после некоторой длины, соответствующей ключу, происходит "самораскрытие" контейнеров IPSec, остается голая информация. Здесь есть над чем подумать, но это отдельная тема для криптоаналитиков.

Защита открытых участков

К сожалению, в герметичный термокожух видеокамеры устройство VPN не поместится, а в самих видеокамерах встроенный VPN является большой редкостью, сочетаемой с невероятной ценой. Разработчики еще не решили эту проблему, поэтому в системах распределенных видеорегистраторов не имеется принципиальных отличий для обеспечения конфиденциальности между аналоговыми и IP-видеокамерами. Все участки линий с открытой информацией могут быть надежно защищены от НСД, например, посредством прокладки линий от видеокамеры в трубе с датчиками давления, срабатывающими при потере герметичности. Наиболее удобны для прокладки кабелей гофрированные трубы из нержавеющей стали, при изгибе они надежно сохраняют свой профиль, но острые концы труб необходимо обязательно развальцовывать. Герметичные фитинги для этих труб не уменьшают диаметр просвета. В некоторых проектах пневмозащита линий может оказаться экономически намного выгоднее, чем установка VPN и, самое главное, ее администрирование.

В любом случае, независимо от способа затраты на защиту от НСД системы видеонаблюдения с прямым соединением видеокамер к центральному видеосерверу будут во много раз дороже, чем при использовании IP-видеокамер или распределенных видеорегистраторов. Следовательно, фактор конфиденциальности и достоверности однозначно вычеркивает из списка крупные системы с прямым соединением аналоговых видеокамер к центральному видеосерверу. Две оставшиеся схемы с использованием IP-видеокамер или удаленных видеорегистраторов и их комбинации позволяют защищать посредством VPN групповые потоки действительно надежно.

Расследование действий

Не секрет, что средства VPN беззащитны перед человеческим фактором, их администрирование требует надежности кадровых решений. Кроме того, открытая на мониторе информация может незаконно копироваться, поэтому в дополнение к защищающей каналы связи VPN нужны снифферы для отслеживания действий с системой и уверенного доказательства того, что никакой пользователь, допустим, не скопировал конфиденциальные видеофайлы на флешку… С помощью излюбленного сетевыми инженерами WireShark таких задач не решить. В системах безопасности нужны средства не только операторов связи, но и средства для расследований. Удобные сервисы для расследований действий пользователей предоставляют DLP-системы и снифферы другого рода, например Scurator, Searchinform и InfoWatch. Необходимость расследований предопределяет список совместимых ОС, что фокусирует выбор именно на тех системах, которые позволят применить средства скрытого протоколирования и дистанционного блокирования неразрешенных действий пользователей системы.

Уверенность в результате – главный критерий

Мы подошли к самой интересной проблеме – надежности и непрерывности видеозаписи, которые позволяют быть уверенным в том, что нарушитель не останется неустановленным. Основные уязвимости связаны с самой сетью связи и ядром системы (центральным сервером).

Хорошо собранный сервер может быть "зазеркален" или подстрахован другими эффективными методами, основанными на резервировании, например Symantec. Но далеко не все DVR возможно объединить в большую сеть и подключить к общему резервированному хранилищу данных, поэтому наиболее надежны именно те системы, ядром которых является РС-сервер, носители информации в котором хорошо резервированы надежными проверенными средствами.

Наибольшая проблема – сеть связи.

Сети связи могут быть резервированы, например, по кольцевой схеме. Могут быть смешанные топологии. Но даже резервирование не поможет при низкой производительности сети или сетевого оборудования, особенно при использовании VPN. Любые средства IPSec существенно увеличивают трафик, и некоторые сети просто не позволят их применить без потерь в передаче данных не только по причине достижения максимальной загрузки, но и из-за слабой схемотехники оборудования, предопределяющей производительность устройства, недостаточность которой может проявляться временами. Для выявления потерь видеокадров в самой сети связи профессионалы используют тестовый видеорегистратор, позволяющий наложить титры с номером кадра на каждый передаваемый кадр видео – при воспроизведении однозначно просматриваются пропуски кадров, и такую тестовую запись разумно осуществить при приемке системы. Особенно важны такие тесты при использовании режима UDP/IP, который намного эффективнее по использованию трафика, чем TCP/IP. Практика показывает, что потери кадров из-за низкой производительности сети типичны для Wi-Fi-оборудования даже при загрузке в четверть полосы.

Угрозы для сети связи могут также исходить не от простого пропадания линий и каналов, а от динамических техник обхода AET либо генерации огромного количества пакетов, которые в силу своей приоритетности "задушат" все другие пакеты. От некоторых видов пакетных "штормов" защита весьма сложна. Это простое обстоятельство подсказывает вполне обоснованный вывод о том, что резервная запись должна происходить где-то в самой видеокамере.

Многие, вероятно, сразу вспомнили про SD-карты. Но сколько они проработают? В лучшем случае год, проверено на картах самых разных производителей. Момент возникновения неисправности в SD-карте непредсказуем.

Поэтому остаются решения на стримерах и на винчестерах HDD – ни одно из этих средств напрямую к IP-видеокамере не подключить. Видеорегистраторы позволяют использовать HDD. Многие новые модели видеорегистраторов NVR позволяют подключать одновременно и аналоговые, и IP-видеокамеры. Вот поэтому системы с распределенными видеорегистраторами, где видео записывается сразу и в ядре, и на периферии, являются наиболее надежными из всего, что есть на рынке видеонаблюдения. Именно такие решения и имеет смысл использовать, когда требуется уверенная надежность.

Как правило, производители таких систем не требуют от пользователя обязательного использования только видеорегистраторов и на менее ответственных и вспомогательных каналах одновременно могут быть использованы разнообразные IP-видеокамеры. Например, у DSSL, Panasonic, Samsung, Hikvision в списке совместимых десятки уже реально опробованных специалистами IP-видеокамер. В результате получается весьма продуктивный и надежный комплекс, обеспечивающий высокое качество, полную функциональность и надежность при вполне разумной цене. Подключение рядом расположенных видеокамер к разным видеорегистраторам позволяет с высокой степенью надежности наблюдать происходящее с разных ракурсов, резервируя при этом сами видеокамеры.

В такой распределенной схеме в совокупности с защитой от НСД к линиям с открытой информацией и криптозащитой групповых потоков на основе VPN достигается полное резервирование, гарантирующее высокую надежность и защищенность, подобное "трем соснам", в которых даже самый изощренный нарушитель непременно "засветится".

Поставил и забыл

Многие современные DVR могут объединяться в общую сеть, но не позволяют резервировать хранение записей и эффективно разграничивать права пользователей, поиск информации ограничен тривиальным тайм-лайном, нет возможностей видеоаналитики и непрерывной оценки наличия связи. В профессиональных системах видеонаблюдения у пользователя есть огромный арсенал автоматизации, создающий неоценимые преимущества в момент чрезвычайной ситуации: поиск по интеграционным признакам события, наведение поворотных камер на передвигающийся объект, определение возгорания, учет номеров проезжающих автомобилей, звуковые оповещения…

Возможности профессионального программного обеспечения многократно снижают эксплуатационные расходы на организацию безопасности и повышают ее производительность. Следовательно, вполне очевиден выбор в пользу видеосистем, ядром которых является компьютер с профессиональным программным обеспечением и распределенной топологией сетевого хранения, так как такие системы обеспечивают:

  • наивысшую экономичность распределенных топологий;
  • наивысшую надежность хранения записей в распределенных топологиях;
  • широчайшие возможности для поиска информации и автоматизации сценариев реагирования;
  • единство резервируемого архива всех компонентов системы;
  • полезнейшую видео- и другую автоматическую аналитику, ускоряющую и упрощающую работу операторов наблюдения;
  • гибкость архитектуры для одновременного включения аналоговых видеокамер, DVR, IP-видеокамер и устройств сетевого хранения.

Сама по себе система видеонаблюдения не может что-либо обезопасить, она является инструментом обеспечения безопасности. Незащищенная система видеонаблюдения из эффективного инструмента обеспечения безопасности в какой-то момент может внезапно превратиться в источник существенной дезинформации, а также стать инструментом скрытного наблюдения преступников за действиями персонала службы безопасности. Поэтому на первом плане остается защищенность самой видеосистемы как основной фактор ее надежности и достоверности.

Опубликовано: Каталог "Системы цифровой видеорегистрации (DVR)" #2, 2011
Посещений: 13488

  Автор

Кукушин Н. В.

Кукушин Н. В.

Генеральный директор ООО
"Русский Партнер"

Всего статей:  17

В рубрику "Видеорегистрация (DVR)" | К списку рубрик  |  К списку авторов  |  К списку публикаций