В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
1. |
На что следует обращать внимание при проектировании СКУД? Каковы типовые ошибки проектирования? |
2. |
Какие типы замков предпочитаете и как решаете проблемы в случае отсутствия электропитания? |
3. |
Как выбрать интерфейс связи в СКУД? В каких случаях какой интерфейс лучше применить? |
4. |
Какие технологии идентификации будут оправданы для использования на автоматизированных проходных с большим трафиком? |
5. |
Какие возможны ошибки при выборе RFID-системы для регистрации персонала (Hands-free) и транспорта? |
6. |
Каковы, на ваш взгляд, достоинства и недостатки программирования и управления СКУД через Web-браузер? |
7. |
Какие типовые проблемы возникают в программном обеспечении СКУД для предприятий с территориально распределенной структурой? Как вы советуете их решать?
|
При проектировании СКУД необходимо следовать нескольким правилам:
При построении СКУД можно использовать любые электромагнитные и электромеханические замки, а также электрозащелки. Электрозащелки предпочтительнее выбирать нормально открытые.
Для обеспечения работоспособности исполнительных устройств в случае пропадания электропитания применяются блоки питания с аккумуляторами. Для разблокировки электромагнитных замков и электрозащелок используются стандартные кнопки аварийного выхода. Для аварийного открытия электромеханических замков применяются ключи, которые хранятся в специальных коробках аварийного ключа.
Есть два варианта подбора интерфейса для СКУД. Первый – выделенная межконтроллерная линия (как правило, RS-422) с подключением оборудования к компьютеру (интерфейсный блок RS-422/ RS-232/ USB). Второй – включение оборудования непосредственно в ЛВС. Я утверждал, утверждаю и буду утверждать, что для систем безопасности, коей является СКУД, единственно правильное подключение – только по первому варианту. Естественно, если заказчик хочет получить максимально надежную, гарантированно работающую, полнофункциональную систему.
Если главными являются экономия, скорость монтажа (соображения, далекие от вопросов безопасности), то можно включаться и в сеть. Исключения, конечно, есть всегда: для удаленных пунктов прохода, куда физически невозможно протянуть новую линию связи, для отдельных зон, где допустим автономный режим работы и т.д.
На проходных с большими, особенно пиковыми, потоками можно использовать только бесконтактные Proximity-карты. Все остальное (как устаревшие Touch, штрихкоды, магнитная полоса, так и новомодная биометрия) не дает нужной надежности или быстродействия.
Поскольку Hands-free-набор (карта-считыватель) имеет ряд отличий от обычных низкочастотных считывателей с пассивной меткой (например, возможность одновременного считывания нескольких карт), необходимо уточнять совместимость оборудования конкретной СКУД с подбираемым устройством.
Единственное достоинство программирования и управления СКУД через Web-браузер – удобный доступ из стандартного браузера по готовой ссылке, без инсталляции, без поиска ярлыка на рабочем столе. Недостатки (естественно, по сравнению с оконным приложением) – значительно менее удобный интерфейс, большее время ожидания (запроса или команды), сильная зависимость по надежности и скорости от загруженности сети, исправности сервера домена, деятельности системного администратора.
Все проблемы, возникающие в ПО СКУД для предприятий с территориально распределенной системой, связаны с состоянием канала связи. ПО распределенных систем должно предусматривать две вещи:
Решать эти задачи можно по-разному. С первой проблемой мы справляемся либо переводом "неуправляемой" системы в автономный режим, либо вообще устанавливая независимо работающие локальные системы, а глобальность общей конструкции решая на уровне синхронизации баз данных.
Со второй – организуем обязательную буферизацию с хранением данных до момента подтверждения их доставки.
При проектировании СКУД следует обращать внимание на следующие важные моменты. Во-первых, на емкость памяти ключей контроллеров – необходимо, чтобы контроллеры обеспечивали поддержку требуемого количества пользователей. Если локальный контроллер самостоятельно принимает решение о доступе, без обращения к центральной базе данных, то система будет быстрой и эффективной.
Во-вторых, на структуру проектируемой системы в части количества контроллеров. При большом количестве устройств в одной линии информационного интерфейса возможны проблемы со временем отклика системы, приводящие к задержкам фотоверификации или коллизиям в работе сетевого и зонального Аntipassback.
В-третьих, необходимо предусмотреть, чтобы все зоны доступа на объекте были замкнуты, то есть на границе каждой была установлена точка доступа и пользователи системы не могли бы переходить из одной зоны доступа в другую без предоставления своих персональных идентификаторов. В противном случае возможны проблемы с определением местонахождения сотрудника, обеспечением функции Аntipassback и пр.
Для современных контроллеров доступа непринципиально, с каким видом замков работать. На наш взгляд, предпочтительнее выбирать замки, открытие которых происходит по факту отключения их питания. В этом случае не возникнет проблем при аварийной разблокировке дверей.
Сегодня наиболее распространенными информационными интерфейсами в слаботочных системах (в частности, в СКД) являются RS-485 или ЛВС.
Основные достоинства интерфейса RS-485 – низкая стоимость, удобство проектирования и монтажа (зачастую при использовании невысоких скоростей в интерфейсе RS-485 допустимо прокладывать его произвольной топологией без дополнительных технических средств).
ЛВС, в свою очередь, обеспечивает принципиально более высокую скорость передачи данных, дает возможность применять существующую информационную инфраструктуру предприятия. ЛВС позволяет также создавать распределенные системы любого масштаба. Например, при использовании VPN можно объединить в одну сеть СКУД в различных городах.
На автоматизированных проходных целесообразно применять бесконтактные Proximity-карты в качестве электронных идентификаторов. Этот способ является наиболее быстрым для идентификации и, как следствие, самым оптимальным для применения на проходных с большим трафиком.
Самая распространенная ошибка при выборе RFID-системы для регистрации персонала (hands-free) и транспорта – это выбор считывателей и электронных идентификаторов, несовместимых друг с другом.
Нужно помнить о том, что сегодня стандартные Proximity-карты могут быть легко скопированы. Поэтому для важных объектов со строгим режимом целесообразно применять карты стандарта Mifare как более устойчивые к копированию.
Главные достоинства использования Web-интерфейса – гибкость, возможность настраивать СКУД с любого рабочего места, работа под управлением любой ОС (со стационарного ПК, планшета или современного мобильного телефона). Однако использование Web-интерфейса, в отличие от специализированного ПО, не дает возможности создания сложных пользовательских интерфейсов, которые присущи профессиональным системам управления.
Наиболее уязвимым местом распределенных систем являются каналы связи. При проектировании подобных систем нужно выбирать технические средства и комплексы, в которых максимально реализована возможность автономной работы отдельных сегментов (как контроллеров, так и АРМов).
Вероятные проблемы при проектировании СКУД – отсутствие учета аварийных режимов – отказ питания, отказ одного из контроллеров. Кроме того, слишком часто проектировщики предполагают, что эксплуатирующий персонал будет старательно выполнять все процедуры. На практике пользователи норовят сломать систему для облегчения себе жизни, а технический персонал месяцами и годами не проверяет ее состояние.
Лучше выбирать замки нормально открытые, которые при отключении питания не препятствуют проходу. Дополнительно необходимы дублирующие механические замки, которые дежурный охранник обязан запереть за время работы системы на аккумуляторах.
На особо ответственных объектах, наоборот, – нормально запертые замки, но на улицу выведен разъем для подключения дополнительного внешнего питания, разумеется, достаточно защищенный от перенапряжения.
Выбор интерфейса связи СКУД сейчас стоит между RS-485 и Ethernet. Первый хорош тем, что имеет шинную структуру (меньше кабеля) и гарантированно не зависит от Ethernet-сети, обычно администрируемой другим подразделением (не службой безопасности). Это хорошо на небольших объектах.
На больших же обычно предпочтительнее смешанная сеть: RS-485 – локально и Ethernet – для связи отдельных сегментов, благо на большом объекте вполне возможно организовать отдельную сеть Ethernet исключительно для задач физической безопасности.
Для использования на автоматизированных проходных с большим трафиком по-прежнему актуальны бесконтактные карты – дешево, привычно, легко администрируется. При большом бюджете на систему, и особенно на эксплуатацию, возможно применение идентификации по лицу для массового прохода в сочетании с отпечатком пальца для ответственных помещений.
Достоинства программирования и управления СКУД через Web-браузер – простота настройки, отсутствие специального ПО, которое надо сначала долго настраивать. Для малых систем эти достоинства, безусловно, важны. Недостатки – необходимость администрирования доступа к настройкам через Интернет, иначе тут может образоваться дыра в защите.
Одна из типовых проблем в ПО СКУД для предприятий с территориально распределенной структурой – централизованное администрирование базы данных пользователей. Для многих систем есть "примочки", позволяющие дублировать центральную базу данных на филиалы. Иногда даже есть специальные программные комплексы для этого (задача важна для действительно больших организаций, а создание специального комплекса под нужды большой организации стоит вовсе не так дорого, как может показаться). Я несколько раз участвовал в создании таких комплексов – они всегда неудобны в работе, но это в любом случае надежнее, нежели управлять БД пользователей отдельно в каждом филиале.
При проектировании СКУД особое внимание следует обратить на строгое соблюдение правил прокладки линий связи (особенно при большой их протяженности). Типичные ошибки проектирования:
Мы используем любые типы замков. Желательны замки без собственного интеллекта – нам кажется более правильным, когда интеллект проявляет СКУД, а не замок.
Чтобы не бояться пропадания электропитания, следует (при полном отсутствии питания приведенные ниже меры не помогут):
Наличие локальной вычислительной сети (обслуживаемой ИТ-подразделениями предприятия) может дать существенную экономию при построении СКУД и ее обслуживании. Особенно если нужно построить единую СКУД на несколько зданий, а между ними уже есть ЛВС.
При незначительных же расстояниях, когда СКУД размещается в комфортных условиях (небольшой офис, СКУД только на проходной для учета рабочего времени и т.п.), проще и дешевле прокладывать собственные магистрали связи.
Так что интерфейс для связи СКУД – контроллер (или ветвь контроллеров) надо уметь подключать и через IP-сеть, и через RS-485.
Технологии, обеспечивающие высокую пропускную способность на данный момент, – RFID. Использование биометрии на больших проходных нецелесообразно.
Как правило, в реальных условиях заявленная производителем дальность чтения идентификаторов не выдерживается из-за наличия помех (для рамочных считывателей обычно заявляют дальность порядка 1 м, реально – при использовании пассивных идентификаторов трудно получить более 0,5 м). Типичная ошибка – полагаться на "дальность чтения в идеальных условиях". Особенно это критично для транспорта – вы полагали, что водитель "махнет картой", не выходя из кабины, а реально – ему приходится открывать окно и тянуться картой к считывателю.
Существует и обратная проблема – дальность считывания окажется слишком велика. В результате возможно, что один и тот же идентификатор будет одновременно воспринят более чем одним считывателем, что может привести к несанкционированному проходу.
Надо сразу оговорить, что имеется в виду под Web-интерфейсом. Если мы говорим о доступе к системе в целом (то есть к ПО системы), то о его достоинствах я расскажу в следующем абзаце. Плюсом являются, конечно, отчеты для удаленного пользователя (владелец бизнеса на отдыхе может оценить состояние трудовой дисциплины).
Недостаток – относительная сложность развертывания (я один раз наблюдал, как довольно квалифицированный человек 2 недели разворачивал IIS).
Если же мы говорим о наличии Web-интерфейса у контроллера СКУД, то и тут есть определенные удобства. Например, упрощается ПО конфигурирования системы – для задания параметров контроллера достаточно просто перейти на него в браузере. Однако для традиционного контроллера на 1–2 считывателя удобство этим и ограничивается. В самом деле, не будете же вы задавать права по доступу пользователей на каждом контроллере по отдельности. Другое дело, если контроллер обеспечивает управление не 1 или 2, а 10 или более точками доступа. В этом случае для небольшой системы вам вообще не понадобится ПО: все настройки и все управление, а также, возможно, отчеты доступны через Web-интерфейс контроллера.
Если различные части предприятия объединены IP-сетью с достаточной пропускной способностью, то проблем в общем нет – в центре располагается база данных (БД), в филиалах есть к ней доступ. Достаточно только аккуратно распределить права по доступу к системе.
Если же, как это и бывает в большинстве случаев, сеть низкоскоростная и ненадежная, проблема налицо. Пути решения зависят от потребностей заказчика: если заказчик хочет, чтобы на всех площадках был круглосуточный доступ к данным и управлению СКУД, придется иметь ПО с БД на всех площадках (филиалах). Это порождает другие серьезные проблемы:
По сути, мы будем просто иметь набор разных систем. Чтобы объединить их в одну, потребуется строить механизм передачи информации (событий) от системы к системе (для оценки оперативной обстановки в центре) и механизм синхронизации баз данных (весьма непростой, кстати, так как мы только что договорились, что ввод информации, а также ее корректировка и удаление возможны на каждой площадке). Такое построение системы оправдано, например, при построении системы пожарного или тревожного мониторинга – перерывы в работе недопустимы.
Что же касается СКУД, то, видимо, предпочтительнее другой путь. ПО с единой БД развернуто в центре, площадки (филиалы) общаются с центром через Web-интерфейс (или через удаленный доступ, организованный другим способом). При этом, конечно, тоже есть проблемы – работа площадок по вводу данных затруднена перерывами в работе сети и ее низкой пропускной способностью. И в этой схеме все контроллеры системы подключены к единому ПО, развернутому в центре. Поэтому не случайно выше, отвечая на вопрос об интерфейсах контроллеров, мы говорили о том, что они должны уметь подключаться по IP. На собственно же процессе пропуска пользователей удаленность контроллеров от ПО никак не отразится – как правило, контроллеры самостоятельно принимают решение о допуске обладателя карты.
При проектировании СКУД следует обращать внимание на все детали. Иногда даже кажущаяся несущественной и не учтенная мелочь может привести к тому, что спроектированная система не будет выполнять требований технического задания. Лично мне кажется, что маловато внимания при проектировании уделяется питанию СКУД. Я имею в виду необходимость резервного питания и контроля наличия питания. Но есть и масса других важных требований.
Самыми популярными являются электромагнитные замки – с ними меньше мороки по обслуживанию. В случае отсутствия питания типовой аккумулятор емкостью 7 Ач поддерживает работу замка в течение примерно 10 часов. А вот иногда возникает обратный вопрос. Как открыть заблокированную дверь, если поврежден считыватель? В любом случае, к вопросу об отключении электропитания надо подходить творчески.
Интерфейс СКУД выбирать и просто, и сложно. С одной стороны, если в здании есть СКС и небольшие расстояния, то проще использовать Ethernet. Если же существуют проблемы с наличием локальной сети, да и расстояния значительные – напрашивается RS-485. Но и здесь решение вопроса требует творческого подхода. Нелишне будет продумать вопрос о защите каналов передачи данных от постороннего вмешательства.
При наличии большого трафика удобнее применять проксимити-карты. Биометрические системы не так быстры, ключи ТМ требуют контакта со считывателем. Если бы системы распознавания лиц работали надежно при больших трафиках, можно было бы использовать и их.
При выборе RFID-системы для регистрации персонала одним из вопросов будет защищенность идентификатора от копирования или подделки. Когда речь идет о транспорте, главная проблема – обеспечение надежной работы считывателя. Индукционные петли не терпят наличия металла рядом с ними, дальнобойные считыватели должны четко разбираться с коллизиями при приеме сигналов от нескольких идентификаторов одновременно.
Часть СКУД принципиально работает только через Web-интерфейс. Иногда это удобно, иногда – не очень, все зависит от ПО и требований, предъявляемых к системе. Можно добавить лишь одно: при всем удобстве дистанционного доступа защищенность Web-интерфейса не должна ограничиваться только парольной защитой.
Проблемы СКУД для распределенных систем могут быть разные. Одна из типовых – рассинхронизация общей базы данных при потере связи между участками. Нужно подбирать СКУД, в которой на участках формируются локальные базы данных и которая синхронизирует общую базу данных в любой момент, по восстановлению связи с локальными базами на участках.
Вторая типовая проблема – часто требуется необходимость разграничения доступа операторов отдельных участков. Нужно, чтобы каждый участок видел только себя. Но и возможность доступа ко всем участкам тоже нужна. И здесь нужно подбирать ПО, которое поддерживает данные функции.
Основной критерий – защищенность от несанкционированного воздействия. Легкий доступ к замку, считывателю, контроллеру и блоку питания лишает смысла затраты на СКУД. Недооценка даже тривиальных угроз довольно типична при проектировании. Устаревшие форматы и базирование на протоколах, не позволяющих применить надежные недорогие средства защиты информации. Не разрабатываются стратегии на случай повреждения линий связи, контроллера, сервера, памяти и прочего оборудования СКУД, которое может привести к несанкционированным или неучтенным проходам. Нет резервирования электропитания. Нет сигнализации охране о взломах дверей, отключении электропитания. Нет интеграции с видеонаблюдением и ОПС.
Большинство объектов оборудовано электромагнитными замками. При аварии электропитание осуществляется от аккумулятора, АДЭС или АВР. В допустимых случаях важные двери оборудуются экономичными электромеханическими замками, потребляющими энергию только при открывании.
Использование IP-интерфейса позволяет многократно снизить затраты и уменьшить требуемое время на установку СКУД. Соответственно существенно снижаются эксплуатационные расходы. Контроллеры СКУД с другими интерфейсами могут включаться в IP-сети через преобразователи, цена которых меньше стоимости прокладки нового кабеля. Поскольку IP-интерфейс увеличивает стоимость контроллера, то для оборудования проходных с несколькими проходами рациональны контроллеры с RS-485, но для их включения в сервер выгоднее использовать имеющуюся на предприятии IP-сеть. К сожалению, многие монтажники сверлят отверстия только для своих нужд, не думая о тех, кто пойдет за ними. Все следующие монтажники будут сверлить отверстия с отступом от ранее проложенных кабелей. В итоге пространство используется нерационально. Новые объекты должны начинать свою жизнь со строительства СКС на основе качественного оборудования, чтобы стены и потолки помещений по ходу строительства новых и новых линий не превращались в подобие швейцарского сыра.
Выбор обусловлен временем для считывания идентифицирующей информации, в настоящее время наиболее быстрыми являются RFID-карты. Но для обеспечения надежности необходимо увеличивать количество проходных и применять дополнительные кодовые считыватели либо биометрические.
Такие системы должны обязательно поддерживать функцию Antipassback, поскольку появляются дополнительные возможности клонирования. Вместе с тем функция общего Antipassback (Global) может играть отрицательную роль, поэтому на практике ее отключают даже в тех СКУД, где она существует.
Все современное сетевое оборудование программируется через Web-интерфейс, что намного удобнее консольных вариантов. Главным достоинством является высокий уровень защищенности информации посредством хэширования, VPN и других методов ограничения доступа. Единственный недостаток – такие контроллеры дороже, но ненамного.
Наибольшая проблема – пропадание связи. Современные IP-сети позволяют автоматически изменять топологию сети при пропадании линий связи. Функция RSTP позволяет также избавить сети от многих других угроз, включая всевозможные штормы.
На мой взгляд, первое, на что стоит обращать внимание при проектировании СКУД, – пожелания заказчика. Чем точнее и грамотнее будет сформировано ТЗ, тем больше шансов построить систему СКУД, наиболее полно удовлетворяющую требованиям клиента.
Еще стоит подумать о возможности расширения системы. Потенциально она должна закладываться еще на начальном этапе проектирования. Важное значение имеет и правильно подобранный ПК. Производительность и требовательность подсистем к серверу играют немаловажную роль. Попытка поставить мощную интегрированную систему с видео, СКУД и ОПС на слабый компьютер может обернуться системой, которая все время "тормозит" и "виснет", а впоследствии огромным количеством претензий со стороны заказчика.
Для выбора интерфейса при построении СКУД следует учитывать масштаб и сложность всей системы. Говорить о том, что какой-то интерфейс совершенно не применим, как мне кажется, неправильно. Так, например, при построении небольшой системы СКУД, состоящей из одной проходной и нескольких дверей, без интеграции с системами видеонаблюдения или ОПС, вполне применим и интерфейс RS-485. Он достаточно надежен, прост в работе и известен всем установщикам и инсталляторам.
Но если у вас стоит задача построить комплексную интегрированную систему, отвечающую всем современным требованиям, то здесь более подходящим будет Ethernet-интерфейс (TCP/IP). Его главное достоинство – возможность масштабирования и удобство расширения, что особенно важно при построении территориально-распределенных систем. Он имеет большую пропускную способность, возможность передачи информации на большие расстояния и практически не имеет ограничений для обмена информацией между контроллерами или другими компонентами системы.
Если же ваша основная цель – доставка информации без потерь и с высокой скоростью, то здесь безусловными лидерами будут промышленные интерфейсы. Но стоит заметить, что сегодня в России не очень много инсталляторов и разработчиков систем СКУД, отдающих ему свои предпочтения.
Ну и, конечно же, интерфейсы беспроводных систем. Они незаменимы в тех местах, где нет возможности проложить кабель, а полноценная система СКУД необходима. Но у радиоканала большое количество минусов. Самый главный – нестабильная связь и слабая надежность передачи данных, он очень зависим от помех различного происхождения и зачастую требует дополнительного оборудования.
Безусловно, самыми оправданными идентификаторами на проходных с большим трафиком будут Proxy-считыватели. Они имеют высокую скорость реагирования, практически неограниченный срок службы и стоят дешевле. На втором месте, я думаю, справедливо разместятся сканеры отпечатков пальца, которые на распознавание пользователя затрачивают несколько секунд.
Но они имеют существенные недостатки по сравнению с предыдущей группой идентификаторов. Например, папиллярный узор отпечатка пальца очень легко повреждается мелкими царапинами, а многие сканеры неадекватно относятся к сухой коже.
Примерно такое же количество времени на распознавание, как и дактилоскопии, требуется и аутентификации по лицу. И хотя сегодня существуют системы, которые на распознавание и обработку затрачивают 1,5 с, они так и не получили массового применения. Главными причинами этого являются требования к освещению и неприемлемость каких-либо внешних изменений (борода, очки).
Одна из самых часто встречающихся и, казалось бы, примитивных ошибок при выборе RFID-системы для регистрации персонала (Hands-free) и транспорта – несоответствие типа карт установленному считывателю, что впоследствии влечет за собой большие финансовые потери со стороны заказчика.
Еще одной не менее распространенной ошибкой можно считать, что при выборе стандарта карт, например Wiegand 26, на крупном объекте с большой проходимостью две карты из разных партий могут идентифицироваться как одна.
Ну и, конечно же, стоит сказать о недостаточной защищенности, простоте подделки этих карт, что неприемлемо для объектов с особым секретным режимом.
Основным достоинством программирования и управления СКУД через Web-браузер, я думаю, можно назвать возможность просмотра информации и управление СКУД с любого компьютера в любой точке мира. При использовании Web-браузера также не требуется дополнительного ПО и нет необходимости в установке клиентского места, что позволяет удешевить систему в целом.
Говоря о недостатках, следует заметить неудобство интерфейсов в отличие от специальных программ. Может открываться с помощью одного браузера и не работать с другим или работать не совсем корректно. К тому же при управлении через Web-браузер используется в основном HTTP – один из самых медленных протоколов, и если вам необходимо передать информацию в режиме реального времени, то Web-браузер – не лучший вариант.
Многие инсталляторы сталкиваются с проблемой правильного выбора системы СКУД, обладающей повышенной программной и аппаратной устойчивостью, гибкостью и высокой степенью защиты. К этим требованиям можно отнести и еще несколько важных, на мой взгляд, пунктов:
1. Связь. Головной офис должен иметь связь со всеми своими филиалами, то есть необходима консолидация всех данных с ним. Зачастую возникают проблемы с "рвущимися" каналами связи между отдельными подразделениями предприятия, а также с безопасностью передачи данных по этим каналам.
2. Обратное взаимодействие. Все события от филиалов должны стекаться в один офис, и наоборот. Если пропуск выдали в головном подразделении, то он должен быть активным и в филиалах. В связи с этим возникают проблемы с организацией тоннелей для передачи данных.
Чтобы решить эти проблемы, необходимо правильно подобрать метод передачи информации от устройств ограничения доступа к серверу СКУД. Единственным решением в данном случае будет сеть Ethernet. Применение Ethernet позволяет строить системы любого масштаба фактически без ограничений.
Еще стоит обратить внимание на сетевую архитектуру, которая могла бы обеспечивать одновременную работу в СКУД сотен контроллеров, серверов, считывателей и устройств ограничения доступа. И важно, что бы все эти устройства были доступны онлайн для десятков операторов и тысячи пользователей системы.
Прежде чем приступить к проектированию, следует выработать четкую концепцию СКУД конкретного объекта. В этом документе, как правило, определяются:
В концепции должны быть даны оценки угроз безопасности, а также оговорены требования к составу и структуре СКУД.
К типовым ошибкам проектирования, с которыми нам приходится постоянно сталкиваться, я бы отнес чрезмерную увлеченность проектировщиков "типовыми проектами", когда отработанное однажды решение слепо копируется затем на все объекты без разбору в течение многих лет. В итоге система морально устаревает еще на этапе проекта, и вместо продуманной СКУД, решающей задачи конкретной компании, университета или транспортного объекта, на выходе получается "СКУД проходной промышленного предприятия", а сама система изобилует слабыми местами. А ведь известно, что надежность любой системы определяется надежностью ее самого слабого звена. К таким слабым местам чаще всего относятся ошибки в выборе технологии карт доступа и протоколов связи считывателей с контроллерами и контроллеров с БД СКУД.
В СКУД под термином "замок" можно понимать очень разные устройства. Это может быть как столь любимый нашими инсталляторами магнитный замок, так и электронный замок. Первый является абсолютно несамостоятельным исполнительным устройством, требующим подвода питания (в большинстве случаев резервированного), управляющего сигнала от контроллера СКУД и т.д. В то время как второй – устройство "все в одном", объединяющее собственный контроллер СКУД, считыватель, источник питания, исполнительный механизм и иногда радиомодуль для обеспечения управления им в режиме реального времени.
И тем не менее говорить о предпочтительности того или иного типа "замков" – затея бессмысленная. Можно говорить о разных типах реализации оборудования СКУД в конкретной точке доступа, и то исключительно в привязке к той задаче, которую система должна решать в данной конкретной точке доступа. И проблема отсутствия электропитания для определенных реализаций может отсутствовать по определению...
Подозреваю, что в этом разделе специалисты должны развернуть "священную войну" интерфейсов Ethernet и RS-485? Я уверен, большинство коллег именно так и поступят.
Я же предлагаю совсем другой спор: а нужен ли вообще этот самый интерфейс связи между контроллером СКУД и сервером, и если ответ "да" – то какой? Проводной или беспроводной? Только отвечать на эти вопросы должен заказчик, причем по каждой конкретной точке доступа, а не по системе в целом.
Я понимаю, что большинство российских разработчиков СКУД и инсталляторов подобный подход не приемлют в принципе. Мы же можем себе позволить такую "вольность", поскольку предлагаемые нами системы позволяют использовать самый полный букет типов точек доступа, причем работать все они будут в составе единой системы, управляться из одной базы данных и работать по одной карте. Для наиболее чувствительных и важных точек доступа – это классический онлайн-контроллер с интерфейсом Ethernet, для кабинетов и внутренних помещений с высокими требованиями – беспроводной электронный замок с радиомодулем, работающий на частоте 2,4 ГГц по протоколу 802.15.4. Для дверей и помещений без требования мониторинга и управления в реальном времени это может быть обычный беспроводной электронный замок или даже электронный цилиндр. И даже в этом случае точка доступа будет иметь свой протокол связи с сервером СКУД – через запись данных на карты пользователей.
По идее, смысл установки СКУД (в том числе на проходной) как раз в автоматизации процесса, максимально исключающем человеческий фактор.
Однако реальность пока достаточно удручающая... На данный момент в большинстве СКУД, распространенных в России, используются карты EM-Marine и HID PROXII. Вот только в большинстве случаев скромно умалчивается, что карты эти сегодня можно клонировать чуть ли не в любом металлоремонте. А портативные копиры карт, умещающиеся в дамскую сумочку, свободно доступны к покупке через Интернет...
Во многих системах также присутствуют считыватели карт стандарта Mi-fare, но и здесь сохранилась порочная практика использования неперезаписываемого и, главное, нешифруемого серийного номера карты. Однако уже в конце прошлого года появились данные о появлении на рынке "болванок" Mifare, которые позволяют записать любой серийный номер, в том числе считанный с другой карты. Как говорится, "те же грабли"...
Какова альтернатива? Либо использование "экзотических", то есть нераспространенных (а потому пока неклонируемых) носителей, либо же использование встроенных возможностей современных бесконтактных Smart-карт по шифрованию данных и запись идентификатора в перезаписываемые области карты.
Более того, почему СКУД должна оперировать именно "идентификатором" и никак иначе? Существуют системы, которые записывают в зашифрованные области памяти карт данные о доступе пользователя, поэтому в момент прохода контроллер СКУД не должен искать "идентификатор" в своей памяти или обращаться по сети с запросом к БД СКУД. Ему достаточно сравнить план доступа, записанный на карту, с собственными параметрами и самостоятельно принять решение пустить или не пустить.
Еще один важный "побочный эффект" технологии записи плана доступа на карту: наличие онлайн-связи контроллера с БД СКУД хоть и является важным фактором по обеспечению полного функционала онлайн точки доступа, но при обрыве связи на процедуре предоставления доступа это никак не отразится, а значит коллапс на входе в таких системах практически исключен!
С регистрацией транспорта ситуация чуть лучше как раз потому, что из-за необходимости дальней идентификации в таких системах применяются специальные (а потому нераспространенные) носители.
И тем не менее технология идентификации транспорта через распознавание номеров лично мне кажется интереснее. Хотя приоритетность технологий надо рассматривать, отталкиваясь от конкретной задачи на конкретном объекте.
Стоит понимать два принципиально разных варианта "управления СКУД через Web-браузер": наличие ПО управления СКУД, устанавливаемого на стороне сервера и имеющего Web-интерфейс (оболочка ПО управления открывается прямо в браузере), или использование контроллеров СКУД со встроенным Web-сервером, когда доступ к его управлению и настройкам осуществляется прямо в окне браузера и серверного ПО управления СКУД в системе может не быть вовсе.
Учитывая динамику развития классических контроллеров СКУД в последние годы, второй вариант контроллеров доступа в ближайшее время может стать доминирующим. Хотя абсолютно точно полного вытеснения "обычных" контроллеров не произойдет.
Основные преимущества обоих вариантов – кросс-платформенная независимость (управлять СКУД можно с любого устройства, имеющего браузер, – без оглядки на установленную операционную систему) и определенная стандартизация интерфейсов управления системами.
Минусы тоже известны: появляется новая уязвимость, на которую разработчики СКУД не могут полноценно влиять. Любая ошибка в программном коде браузера (а такие находят во всех без исключения браузерах и с завидной постоянностью) может либо заблокировать работу системы, либо открыть доступ к ней злоумышленнику.
Проблемы в ПО управления СКУД, особенно если они возникают уже в процессе эксплуатации, – вещь абсолютно неприемлемая. И если такое произошло, это явная ошибка проектировщика и инсталлятора, осуществлявших выбор системы или версии ПО управления СКУД.
Следует учитывать дополнительные требования к СКУД (а не только к ПО управления), которые как раз и должны реализовываться на территориально распределенных системах. И соответственно обязанность проектировщика и инсталлятора – учитывать полноту их реализации в конкретных системах, чтобы заказчик не столкнулся с "неприятным сюрпризом" уже де-факто.
По моему мнению, к таким требованиям стоит отнести:
При проектировании СКУД прежде всего следует обращать внимание на подход к организации режима. По каким правилам живет предприятие: категории доступа, режимные зоны, рабочие графики, маршруты движения транспорта. Именно это и выясняется на этапе предпроектного обследования. Если правила есть и поддерживаются административно, то система может и должна стать инструментом управления. Если же правила номинальны, то их необходимо уточнять и прорабатывать совместно с заказчиком до начала проектирования СКУД.
Это нетехнический аспект, который, по сути, определяет эффективность будущей системы.
Что касается технической стороны, то следует обращать внимание на следующие моменты:
Это не все ключевые факторы, но наиболее существенные. А ошибки возникают, если эти аспекты не учитывать, а приступать сразу к проектированию и подбору оборудования.
Мы предпочитаем электромагнитные замки и механику Abloy. Питание резервируем обязательно. В больших проектах на режимных объектах без этого никак. Для случаев отсутствия электропитания предусматриваем аварийную разблокировку замков.
Сейчас набирает популярность IP. В перспективе он, вероятно, станет основным интерфейсом связи. Очень распространен также традиционный RS-485. Менее популярен CAN, который применяется в помеховых условиях (например, в ж/д составах), где требуется повышенная надежность.
А вообще, интерфейсов более 100, и у каждого есть свои особенности, преимущества и ограничения. Это довольно широкая тема для обсуждения. При выборе интерфейса мы обычно опираемся на опыт реализованных проектов.
При большом трафике более эффективны радиометки, радиобрелоки и радиокарты (бесконтактные идентификаторы). Применение других технологий в СКУД с большим трафиком на данный момент менее оправдано – они создают задержки и очереди на проходных как по причине ненадежности считывания (требуется повторное считывание), так и по причине износа идентификаторов.
При выборе RFID-системы для регистрации персонала (Hands-free) и транспорта может быть много ошибок. Главным образом они возникают, если технология не соответствует задачам или же неправильно эксплуатируется. Самые распространенные проблемы с RFID-системами следующие:
Если говорить о режимном объекте (например, НПЗ или аэропорт) и серьезных требованиях безопасности, то Web-браузер – не самый подходящий вариант. Во-первых, для профессионального решения необходим свой протокол для СКУД, который не является общедоступным. Во-вторых, требуются четко определенные рабочие места с установленным на них клиентским ПО. В-третьих, сама система имеет стационарный характер, оперирует конфиденциальной информацией и требует присутствия специалистов на объекте. А значит, и потребности как таковой в программировании и управлении через браузер нет.
Однако Web-интерфейс удобен для удаленного мониторинга ситуации, получения статистики и отчетов.
При работе с ПО СКУД для предприятий с территориально распределенной структурой возникают 3 основные проблемы:
1. Разделение зон ответственности между ИТ-службой и службой безопасности относительно управления бюро пропусков. Здесь встают вопросы настройки сети, установки приоритетов передачи данных, управления информационными потоками.
Как решать: руководству необходимо определиться, какая служба за какую часть отвечает и по каким принципам должно администрироваться бюро пропусков.
2. Потеря данных при отсутствии связи между распределенными объектами. Эта проблема решается путем грамотного проектирования всей системы безопасности предприятия, включая сеть.
3. Выбор ПО, которое либо работает в нужной конфигурации и предоставляет пользователю необходимый функционал, либо не работает. В рекламных проспектах обычно работает все. А на практике мы всегда рекомендуем предварительно тестировать ПО и смотреть его возможности в реальных условиях, на объектах, под нагрузками. Лучше больше времени уделить подбору, чем после установки понять, что продукт не тянет и нужны всевозможные доработки и переписывание.
Опубликовано: Каталог "СКУД. Антитерроризм"-2012
Посещений: 23403
В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций