Рынок технических средств безопасности, безусловно, является разумно консервативным в отношении приятия тех или иных технических инноваций приходящих на него из смежных отраслей, и прежде всего из IT-индустрии. С одной стороны специфика бизнеса рынка ТСБ не располагает при появлении очередной “чудо-новинки” стремглав offshore companies предлагать ее клиентам, дабы избежать появления возможных прорех в организации защиты объекта. Помимо этого, оборот средств рынка ТСБ не столь велик как на рынке IT и любой производитель должен быть достаточно сильно мотивирован спросом клиента на то или иное техническое новшество, дабы инвестировать его разработку (зачастую с нуля) и производство. С другой стороны, на мой взгляд, политика демонстративного игнорирования кем-то из участников рынка некоторых неизбежных, я бы сказал “тектонических” процессов изменения условий, в которых рынку ТСБ предлагается развиваться дальше, тоже неправильна. Поэтому, не призывая никого “задрав штаны бежать за комсомолом ” я бы хотел остановиться именно на тех моментах развития рынка СКУД, которые в ближайшее время будут актуальны для всех серьезных “игроков” этого сегмента ТСБ. Программное обеспечение контроллеров. Управляющий контроллер СКУД “новой волны” чаще всего представляет собой устройство на базе промышленного ПК с собственной операционной системой, как правило Linux. Причем минимизация времени реакции на внешние сигналы в этом случае происходит не только путем появления все новых и все более производительных процессоров для этих устройств, но и за счет программирования этих контроллеров под конкретные выполняемые ими функциональные задачи. Другими словами, контроллер в точке А обеспечивает работу турникетов на проходной предприятия, а контроллер в точке Б занят исключительно контролем прохода через группу дверей в офисном секторе здания. Сама идея специализации контроллеров абсолютно не нова, просто с использованием технологий сегодняшнего дня программируемый функционал контролеров может быть впоследствии легко изменен, например, при перестройке здания или изменениях в общей политике безопасности на объекте. На вопрос о том, кто, как и когда может изменять функционал контроллера у производителей существуют разные точки зрения. Некоторые производители СКУД поставляют сторонним разработчикам ПО специальный СДК описывающий возможный функционал контроллера ограниченный определенными рамками. В составе ПО контроллера СКУД AEOS (Nedap) предлагается постоянно расширяемая библиотека так называемых “поведенческих” компонентов позволяющих пользователю системы не только самому оперативно изменять функционал работы контроллеров прямо на объекте путем применения стандартных компонентов библиотеки (проходная с турникетом, шлюзовой тамбур, проход через стандартную дверь), но и самому создавать новые компоненты этой библиотеки. При этом от пользователя не требуются знания уровня разработчика ПО для контроллеров под ОС Linux. Инструментарий для создания новых типов точек прохода представляет собой ПО верхнего уровня, в котором все компоненты системы представлены в виде совокупности модулей входов и выходов аппаратных устройств системы, которые логически соединяются между собой в виде блок-схем описывающих необходимые алгоритмы работы конкретных точек прохода. Помимо преимуществ в производительности и гибкости настроек контроллеров такой подход позволяет заказчику системы получить серьезную экономию средств при изменении структуры существующей на объекте системы (ее расширении, переносе, изменении режимов контроля), поскольку в таком варианте зачастую отпадает необходимость приобретения новых дорогостоящих контроллеров системы, а требуется лишь их реконфигурация. Другим серьезным преимуществом использования контроллеров со встроенной ОС Linux является удобное Использование для связи между контроллерами СКУД сети Ethernet (TCP/IP). Если постараться не использовать настораживающих своей назойливостью в прессе определений типа “IP- революция, прорыв и т.д.”, то сути на данный момент на рынке ТСБ и СКУД в частности идет интенсивное освоение нового интерфейса для связи между функциональными модулями системы, преимущество которого прежде всего заключается в его промышленной стандартизации offshore corporation и глобальной распространенности. Производителям СКУД которые сейчас ориентируются в своих разработках на сетевой протокол постоянно доступны усовершенствования и новые технологии, которые появляются с развитием сетевых стандартов IT индустрии, что в конечном счете дает им преимущество при рассмотрении задач интеграции с другими информационными системами на объекте или скажем конвергенции с системой аутентификации пользователя для доступа к информационным ресурсам объекта. Есть и еще один немаловажный аспект – экономия на инсталляции системы. При работе элементов СКУД между собой по уже существующей на объекте сети отпадает необходимость прокладки многочисленных дополнительных коммуникаций для обеспечения функционирования системы как единого целого. Если речь идет о территориально распределенной системе или замене существующей на крупном объекте СКУД на новую, то эта “математика” проявится особенно ярко. Еще раз замечу, что в данный момент речь идет именно о связи между контроллерами СКУД, а не связи “контроллер – сервер системы”. И именно здесь стандартная реализация Ethernet (TCP/IP) на базе ОС Linux в контроллерах дает преимущество в организации этого взаимодействия. Основная идея состоит в организации территориально распределенной системы контроля доступа с использованием сетевого протокола для обеспечения, к примеру, режима “глобальный antipassback” во всей системе или для обеспечения реакции на срабатывание датчика “подотчетного” одному контроллеру на исполнительном устройстве управляемом другим контроллером в сети. При этом весь процесс должен происходить вне зависимости от доступности сервера системы в сети в данный момент. С точки зрения самой постановки для контроля доступа – задача абсолютно не нова. Речь идет лишь о том, что в данный момент она рассматривается через призму использования в качестве интерфейса сетей Ethernet (TCP/IP). Использование для решения этих задач неких стандартных устройств (аппаратных шлюзов) для приспособления разработанных ранее контроллеров СКУД к работе в сети, например при помощи установки на них модулей компании Lantronix для реализации через Ethernet виртуального COM-порта, влекут за собой ряд ограничений при взаимодействии устройств по сети и не подходят для создание полноценных “одноранговых” peer—to-peer коммуникаций между контроллерами системы. В тоже время, именно наличие полноценно реализованного протокола Ethernet в контроллерах СКУД Nedap AEOS позволяет контроллерам общаться непосредственно друг с другом, а не через сервер, осуществляя при этом минимальную загрузку сети на объекте. Наличие “одноранговых” коммуникаций между контроллерами позволяет также заранее создавать и загружать в контроллеры полноценные “виртуальные сценарии ”- многосложные реакции системы, группы контроллеров, в при появлении определенных угроз извне. В системах предыдущих поколений эта задача обычно решалась ПО “верхнего” уровня путем реализации некоего аппарата реакций системы запущенного на сервере СКУД. Безусловное преимущество при настройке этих и других режимов взаимодействия контроллеров дает Наличие встроенного в контроллеры web-интерфейса. Что позволяет организовать любое рабочее место по технологии «тонкий клиент». То есть, для работы с системой достаточно просто запустить web-браузер, например, IE. Таким образом, для развертывания рабочего места достаточно запустить web-браузер и, в соответствии со своими правами, получить доступ к серверу. То есть, нет необходимости устанавливать специальное ПО. Использование встроенного web-интерфейса для управления и мониторинга своими автономными контролерами уже сейчас активно использует ряд производителей. В системе Nedap AEOS web-интерфейс работает в сети в виде отдельного приложения, что позволяет использовать его преимущества наиболее широко и полноценно. Нет проблем с обновлением ПО. Обновление происходит одновременно на всех машинах в сети, включая удаленные управления/филиалы. В свою очередь это позволяет не увеличивать персонал, так как все важные для работы системы процессы контролируются и управляются из центра. Очень важно в случае территориально разнесенных объектов. У пользователей нет проблем с рассинхронизацией базы или некорректными записями в базу данных. Существенно снижаются требования к аппаратной части компьютеров на которых будут разворачиваться рабочие места. В разы снижается нагрузка на сеть, поскольку по сети передается только результат работы сервера, а не массив данных. Легко решается задача доступа к внутренним ресурсам компьютера, все критически важные процессы блокируются стандартными средствами windows. (в настоящее время в ряде систем даже для запуска операторского места необходимы права администратора). Защита передаваемой по сети информации. Основным доводом для скептиков при обсуждении вопросов интеграции существующих сетевых стандартов в оборудование СКУД является мнение о недостаточной защищенности соединений по протоколу TCP/IP, а также о возникающих проблемах при прохождении информационных пакетов через различные шлюзы и маршрутизаторы разделяющие подсети. Одним из решений этого вопроса является организация VPN соединения (Virtual Private Network) по SSL протоколу (Secure Socket Layer) между сетевыми контроллерами и сервером системы. VPN в комбинации с SSL, на данный момент, считается самым безопасным методом для передачи данных в сетях. Безусловно, это требует от производителя СКУД реализации VPN в ПО контроллера, для чего опять же более выигрышно смотрятся варианты на платформе Linux. Помимо этого, для защиты доступа к информации на контроллере возможно использование существующих и уже зарекомендовавших себя решений на рынке IT. Например в контроллерах Nedap AEOS, помимо реализованной технологии VPN/SSL для защиты доступа к контроллеру используется встроенный SAM модуль. SAM модуль (Security Account Manager) это администратор учетных данных в системе защиты, то есть, подсистема, обеспечивающая ведение базы учетных записей пользователей, содержащих сведения об уровнях пользовательских привилегий, паролях и т.п. Наличие SAM модуля предотвращает доступ неавторизованных пользователей к контроллеру. SAM модуль может снабжаться ключами, с которыми пользователи могут работать по своему усмотрению.