Особенности организации сетевой СКУД по протоколам IP, RS232, 422
Аркадий Гамбург
Генеральный директор
ООО "Компания Семь печатей"
При работе над статьей автор старался придерживаться следующих правил:
Данная статья не является обзором или сравнением характеристик существующих на рынке систем. Технические средства, позволяющие реализовать соединение оборудования по различным протоколам, достаточно развиты, номенклатура их огромна, информация о них широко доступна в Интернете.
Данная статья не является явной или скрытой рекламой, поэтому все приведенные в ней названия, имена и отчества вымышлены.
Цель данной статьи – осветить проблему исключительно с практической точки зрения. По мнению и опыту автора – с этой точки полезно рассматривать любую задачу.
И снова встретились Борис Иванович и Борис Маркович…
Борис Иванович, хозяин российской фирмы по монтажу систем безопасности «Самые сильные слаботочки».
Борис Маркович, хозяин израильской фирмы по монтажу систем безопасности «Highest low current».
Друзья, кончали один институт, работали в одно ящике, потом, по известным причинам, на некоторое время расстались, потом снова встретились, как коллеги по бизнесу, не знающему, естественно границ, ну и, конечно, как давние друзья. Последнее, однако не мешало им бурно сориться по деловым вопросам, но дружба и здравый смысл в конце концов брали свое, и они приходили к мирному полюбовному согласию…
Бурные споры, за недостатком рабочего времени, происходили обычно во время частых наездов Бориса Марковича в Москву в старой уютной пивной на Маросейке, в которую оба хаживали еще в славные студенческие времена.
Вот и сейчас друзья-партнеры сдувают пену: Иванович со светлого, Маркович – с темного и продолжают начатый ранее разговор.
- Не понимаю, Маркыч, ты, как человек Запада, должен нести нам все передовое, а ты отрицаешь очевидное: везде есть сети, мир опутан ими, как рыба браконьером, а ты – 485, 422, эрэс232, межконтроллерная линия… Согласись же – удобно, быстро, дешево. Повесили дверное оборудование, включили в эзернет, поставили софт на сервере – все…
- Все-то, все, согласен. Но при этом – и ненадежно и небезопасно.
- Да почему же, сети сейчас не чета прежним, интерфейсных модулей на рынке тьма, выбирай какой надежнее. Все производители систем безопасности предлагают апробированные решения для сети. Многие позволяют работать через Интернет, а это уж точно сетевое подключение. Кроме того…
- Постой, Иваныч. Дай слово молвить. Первое – почему ненадежно? Да потому, что сущностей много. Помнишь: не умножай сущностей1… Так висят себе контроллеры на шине, как вобла на Одесском Привозе. А если они объединяются через сеть, то тут начинаются штекеры, розетки, хабы, циски2… И страшные звери сисадмины. Мишугенер, одним словом… Второе – безопасность. Да, межконтроллерная линия уязвима. Но уязвима физически. Ее можно только обрубить. Данные же, имеющие ходить по сети уязвимы и физически и логически. Их можно испортить, прочесть, заменить наконец. И ломается при этом – заметь – ни файл, ни какой-нибудь ЭмЭсВорд, а система безопасности. Да Лаврентий Палыч в гробу переворачивается от такого кощунства…
- Ну, это ты, Маркыч загнул. Не про Берию, а про уязвимость. Даже секьюрити работают в сети. И ничего – входы логируются, протоколы клоузируются, данные криптуются…
- Ну да, конечно. А такие английские слова, как кракинг и хакинг3 тебе не знакомы?
- … а кому нужна дополнительная безопасность, может и отдельную сетку проложить.
- Кому нужна безопасность, проложит еще одну витую пару, тем более, что сам понимаешь, кабелем больше, кабелем меньше… Но я не закончил. Третье – что с чем соединяем через сетку? То есть вообще о чем спич?
- Контроллер с компьютером, конечно.
- Вот здесь ты, Борис, неправ… С компьютером-то еще пол беды. Соединяют ведь и контроллер с контроллером.
- Ты имеешь в виду мастер-контроллер с дверным контроллером? Но это уже внутреннее дело производителя, как соединять свое оборудование…
- Внутреннее то оно внутреннее, но проблемы в работе очень даже внешние. И, знаешь, между нами – не люблю я сложных систем. По мне – чем проще, тем лучше. Вот двухзвенная структура: контроллер управляет дверьми, а им управляет сервер. Просто и всем понятно. Главное, понятно, что будет при потере связи. А вот когда материнский управляет дверными, а материнским управляет компьютер… Что произойдет, когда пропадет связь между материнским и одним дверным? Или всеми дверными?
- Знамо дело: в автоном перейдут.
- Ну материнский и так в автономе работает. По определению. А вот дверные в автономе не умеют. То есть умеют, но как-то урезано. Как марш4. Вот как, например, при этом будет работать пресловутый антипасбэк? Поэтому в таких системах я бы точно IP не использовал.
- Маркыч, тебя послушать… А распределенные системы? Заказчик хочет работать удалено, хочет связывать свои объекты в единое целое. Ты пойми – у нас пути назад нет, а то разоримся…
- Что ты, что ты, я – за распределенные системы. За Интернет. За Ай-Пи. За линию партии… А если серьезно, то я за разумный подход. Распределенные системы – это, прежде всего, сложная математика и большие объемы данных. Поэтому строиться они должны на серверах. А вот как сервера между собой связываются, уже дело не наше…
- Может ты, Борис и в чем-то прав, но видишь ли – у меня рынок: заказчик хочет ай-пи, значит я подаю ему ай-пи на блюдечке, а не подам – он к конкуренту уйдет.
- Кстати, сэр, вы знаете, что так называемое IP оборудование практически всех фирм, имеют альтернативное подключение? А именно RS232. И, извините нижайше, это ваше дело, купеческое, покупателю все про товар рассказать, а не впаривать абы чего. Ведь когда его СКУД взломают и его самого ограбят, он на вас в суд подаст… То есть у вас не подаст, у вас сразу зарежет…
- У кого это – у вас?
- …
- …
Покричав чуток, друзья утихли, ибо и возраст уже…, да и пиво еще принесли. Так что помирились. И, помирившись, составили следующий документ:
Меморандум по особенностям организации сетевой СКУД с различными протоколами
Существуют два способа соединения оборудования СКУД в единую систему:
Классический – посредством выделенной линии связи (межконтроллерной линии), подключаемой к сом порту компьютера (RS422-RS232).
Современный – посредством TCP\IP протокола, т.е. через преобразователь интерфейсов RS422/Ethernet или RS232/Ethernet.
Оба способа подключения имеют свои достоинства и недостатки, понимание которых дает возможность избежать ошибок при проектировании, построении и эксплуатации сети СКУД.
Сравнительные характеристики, а также рекомендации к применению приведены в следующей таблице.
Подключение |
Достоинства |
Недостатки |
Рекомендации |
IP |
|
|
|
Межконтроллерная линия |
Использование выделенной линии связи контроллер – контроллер и контроллер – компьютер обеспечивает стабильную работы системы и ее значительную неуязвимость. |
Необходимость прокладки дополнительных коммуникаций. |
Является единственным способом подключения для организаций с повышенными требованиями к обеспечению безопасности. Допускается использовать смешанную схему подключения: отдельные внутренние пункты прохода подсоединять через Ethernet. |
Как явствует из вышеизложенного, подключать оборудование СКУД через Ethernet надо только в тех случаях, когда это необходимо и оправдано. При этом следует ясно понимать, что такой способ соединения менее надежен и безопасен, чем традиционный (т.е. посредством межконтроллерной линии).
1 Имеется в виду т.н. бритва Оккама: не умножай сущностей свыше необходимого.
2 Подразумевается сетевое оборудование Cisсo.
3 Cracking, hacking – здесь: взлом компьютерных данных или систем.
4 Начитанный Борис Маркович имеет в виду фразу из романа «Мастер и Маргарита».
Ответы на отзывы.
…Отсутствует авторский материал. (за исключением информации о переворачивании в гробу Берии - как известно его тело кремировали). В меморандуме приводятся не обосно-ванные не точные утверждения:…низкая скорость ЛВС, разрывы связи,… низкий уровень защищенности и др. Выводы смешны - автор мог бы и знать, что в реальной жизни все (от установки дверной ручки до пуска ракеты) делается «…когда это необходимо и оправдано».
…Всё ясно и понятно, как божий день. - Единство и борьба противоположностей, которая присуща любой системе. Первая часть статьи, если её «отполировать», может потянуть на весёлый новогодний фельетон. Но в остальном – ни глубины, ни содержания. С таким же успехом было бы куда полезней провести строгий анализ сортов пива, которое вкушали старинные друзья на своём саммите.
…По этому я считаю, что целесообразно объединять по нескольку проходных на одной территории RS 232, а на удалённый центральный офис передавать по средством IP (Центральный офис находится в областном центре, а филиалы разбросаны по всей территории области). СКУД предназначена для организации доступа на объект или в помещение, а для защиты от ограбления существует тревожная и охранная сигнализации…
…хотелось бы отметить, что IP-технологии (в т.ч. и IP-телефония и IP-видеонаблюдение) уже прочно вошли нашу практику не только благодаря маркетинговым ходам производителей, а в основном из-за того, что они приносят реальные и ощутимые выгоды заказчикам. Автору хотелось бы пожелать осветить в следующей статье методы повышения безопасности применения IP-технологий для СКУД (а они очевидно есть), которые помогли бы устранить (полностью или частично) указанные недостатки их применения. В сфере ИТ сейчас бурно развивается тема «облачных» вычислений (cloud computing). В связи с этим, я уверен, что в ближайшем будущем мы увидим на рынке систем безопасности не только дальнейшее расширение применения цифровых методов передачи данных, но и использование «облаков».
…Если использовать коммутаторы высокого класса CISCO, Allied Telesyn или хотя бы Linksys и организовать сеть со своей подсетью и не каких проблем не будет со скоростью передачи, зависаний контроллеров и всему подобное! у меня организована сетью на 120 се-тевых контроллерах - СКУД и охранка и все просто замечательно. Коммутаторы не D-Link установлены конечно же и сервер БД отдельный, а не тот на котором программное обеспе-чение файлового, почтового серверов крутиться и тем более не актив директория. Установив контроллер с большим внутренним буфером памяти на события то спокойно за контроллер доступа в 64000 событий отработает, как утром, так и вечером, скидывая всю информации по окончанию одного или двух часов, с момента прохода первой «волны» людей, на сервер. По запросу можно и с отдельного контроллера и раньше принять информацию. А самое главное, смотря какой процессор установлен на данном контроллере и как организован сетевой интерфейс. ПРИМЕР: У одного оператора организована сеть СКУД распределенная более 6000 контроллеров сетевых, и нечего все замечательно не каких срывов и не каких за-держек. Опрос контролеров можно производить и по таймеру или с интервалом например, и сеть не когда не загрузиться.
…просмотрел исходную статью очень бегло. как я понял у автора есть большая ошибка в том что он думает что IP СКУД это обязательно RS485/RS422/RS232-Ethernet преобразователи. если это предположить, то конечно все плохо. сейчас однако уже есть много произво-дителей кто делает "честное" IP без тупого повторения опросной идеологии старых последовательных интерфейсов.
Я благодарю всех, принявших участие в обсуждение. Литературных особенностей статьи касаться не буду – сие на любителя.
Отдельно, правда, хочется ответить про Берию – он тут не случайно появился. Недавно имел беседу с начальником СБ одного весьма режимного объекта. Он очень долго сетовал на неправильный подход к организации СКУД (в том числе и использование корпоративных ЛВС) и в конце заметил, что «Берии на вас нет, он бы порядок навел…».
Напомню, что речь в статье о подключении через IP оборудования, а не использовании ЛВС для организации СКУД. Последнее делают все и очень широко. Например, мы (т.е. Семь печатей) строим распределенные системы именно по такому способу: цепочки контроллеров по RS232 подключаются к рабочим станциям, а они уже по сетке работают с серверной системой принятия решений, являясь, по сути, ретрансляторами «событие – команда».
Полностью согласен с Игорем Константиновичем (Исаев): будущее за IP технологиями и – для части заказчиков – облачными системами. Но это будет завтра и, пардон, пока не у нас. На эту тему, может действительно есть смысл порассуждать в отдельной статье.
Также согласен с Александром Сергеевичем (Fenix) относительно сетевого оборудования высокого класса. Но, по моим наблюдениям, такое могут себе позволить крупные заказчики (причем, позволить – не значит реализовать). Распространению таких технологий у нас мешает и их стоимость, и необходимость найма высококвалифицированных (а значит и аналогично оплачиваемых) специалистов, и консерватизм.
Немножко поспорю с уважаемым Александром Ивановичем (Alex R). Есть, конечно, «честное» IP и «нечестное», но, во-первых, как я понял из последующей перепалки, и с «честным» есть проблемы, а во-вторых, какие бы правильные сетевые устройства не использовались, их работоспособность зависит от состояния общей сети. И, конечно, есть сети, ко-торые идеально настроены, идеально работают, в которых под безопасность выделены отдельные сегменты и прочее и прочее…, но, к сожалению, пока большинство ЛВС на объектах достаточно скверные…
Опубликовано: SEC.RU