Такое слияние классических ИТ с системами контроля доступа, автоматизированными инженерными системами зданий или решениями для управления энергопотреблением предоставляет предприятиям многочисленные дополнительные возможности, но в то же время порождает некоторые проблемы и риски.
С тех пор как в инженерных и контрольных комплексах помимо традиционных систем шин (KNX — ранее EIB, LON и CAN) стали применяться устройства с поддержкой IP (особенно часто — в системах видеонаблюдения), возрос спрос на централизованные комплексные решения на базе единой инфраструктуры. В масштабных инсталляциях шинные системы достигают пределов своих возможностей, так что все чаще приходится прибегать к вынесенным устройствам управления, а также к сенсорным и исполнительным элементам с поддержкой IP. Кроме того, широкое распространение получили простые интерфейсы Web, при помощи которых осуществляются настройка и дистанционный контроль практически всех модулей и продуктов для автоматизированных систем управления зданиями (АСУЗ) и управляющих устройств. Тенденцию смещения акцента в сторону информационных технологий невозможно не заметить, однако в результате возникает целый ряд новых проблем (связанных, в числе прочего, и с вопросами безопасности).
Глоссарий
BMA Установка пожарной сигнализации
CAFM Ссистема автоматизированного управления зданиями (Computer Aided Facility Management)
CAN Система полевых шин, нацеленная на использование в автоматизации и автомобилестроении
EIB Европейская инсталляционная шина (старое название/предшественник KNX)
KNX Гибкая полевая шина для автоматизации зданий
LON Полевая шина для автоматизации управления зданием (США)
ONVIF Стандарт для взаимодействия компонентов, обеспечивающих передачу видео по IP (видеокамеры, записывающие устройства и т. д.) (Open Network Video Interface Forum)
PACS Система физического контроля доступа (Physical Access Control System)
RFID Активная/пассивная бесконтактная технология для идентификации товаров или лиц (Radio Frequency Identification)
Слияние автоматизации зданий и ИТ происходит вследствие стремления к сокращению расходов на инсталляцию систем, а также на их техническое обслуживание и ремонт, как это было в случае объединения телефонных сетей и сетей передачи данных. И сегодня не сразу становится понятно, что наличие параллельных, изолированных инфраструктур (например, телефонных линий, систем пожарной сигнализации и охранно-сигнальных систем) имеет свои преимущества: любые неполадки достаточно быстро локализуются, поскольку количество возможных источников этих неполадок ограничено.
В гетерогенных сетях с поддержкой передачи голоса, видео, а теперь и сигналов систем автоматизации зданий через IP гораздо сложнее распознать взаимосвязи между отдельными компонентами, а некоторые интеграционные решения терпят неудачу еще на этапе планирования, натыкаясь на скепсис со стороны вовлеченных в этот процесс коллег. Во многих случаях рассеять сомнения позволяют тщательная подготовка, измерение и тестирование нагрузки, а также моделирование возможных ситуаций, тем более что мощности сетевых компонентов значительно возросли, а при помощи систем сетевого администрирования можно легко задавать приоритеты для различных потоков данных и осуществлять их логическое разделение. Таким образом, в большинстве сетей, скорее всего, уже существуют необходимые технические предпосылки для конвергенции автоматизации зданий и ИТ, однако что же означает понятие «конвергенция» в каждом конкретном случае?
Во многих эффективных системах в качестве основы для интеграции используются многофункциональные идентификационные карточки сотрудников (см. Рисунки 1 и 2). Одна карта позволяет объединить как доступ к ресурсам ИТ посредством контактного чипа, так и пропуск в здание или другие служебные помещения на основе беспроводной технологии радиочастотной идентификации (RFID). Все чаще эти функции реализуются с помощью «двухинтерфейсных» (Dual-Interface) карт, заменивших устаревшие гибридные модели с двумя отдельными микросхемами. Такие карты, где к одному чипу подключены и контакты смарт-карты, и антенна RFID, можно настраивать с учетом нужд конкретного пользователя. В результате рынок получил новый импульс развития.
Рисунок 1. Создание единых профилей пользователей для ИТ и контроля доступа формирует основу для целостных конвергентных решений.
|
Рисунок 2. Применение конвергенции на практике: сотрудник пользуется единственной идентификационной картой для выполнения всех действий на предприятии. |
Если раньше чипы RFID с трудом удавалось внедрить в пластиковую карточку, то сегодня их можно эмулировать на многофункциональной микросхеме карты с помощью дополнительно подгружаемых апплетов (как правило, на базе Java). Благодаря этому дооснащение технологии RFID обходится предприятиям совсем не дорого, а перепрограммировать ее или по мере необходимости изменить параметры отдельных карт можно в любое время. Универсальная применимость такой карты для шифрования информации и авторизации пользователя ПК, для защищенного доступа к серверу или виртуальной частной сети (Virtual Private Network, VPN) с одной стороны и для учета рабочего времени, контроля доступа, безналичного расчета в столовой или покупки товаров в торговых автоматах с другой — это лишь начальный этап процесса конвергенции, хотя пользователю эта часть наиболее очевидна и полезна.
РЕГИСТРАЦИЯ ПОСЕТИТЕЛЕЙ
От такого взаимодействия выигрывают и специалисты, отвечающие за безопасность отдельных систем (или подсистем), что, однако, становится очевидным не с первого взгляда: множество задач, связанных с администрированием отдельных компонентов, объединяются и концентрируются в одном месте. Практическое использование системы, к примеру, для выдачи однодневного пропуска или изменения прав доступа в определенный сектор здания, реализуется гораздо проще, поскольку теперь автоматически устанавливаются те параметры и дополнительные условия, которые раньше приходилось вводить вручную. В результате исключается — или, по крайней мере, затрудняется — вероятность возникновения ошибок управления, поскольку сложность поставленных задач снижается и их проще выполнить даже в стрессовой ситуации.
Процесс масштабной интеграции систем облегчает регистрацию посетителей, так как они смогут заранее сделать это на специальной Web-странице. После этого, в идеале, достаточно провести быструю идентификацию при входе в здание и выдать посетителю предварительно оформленный и запрограммированный пропуск, с помощью которого он сможет не только попасть в конференц-залы или другие помещения, но и авторизоваться посредством специального сертификата в гостевой беспроводной сети (WLAN). Для этого ни ИТ-специалистам, ни сотрудникам приемной или отдела безопасности не придется выполнять какие-либо сложные задачи, поскольку не только обработка заявки и выдача пластиковой карты, но и мониторинг соответствующих действий осуществляются через автоматизированный интерфейс. В случае злоупотребления правами можно за несколько минут определить вероятное местонахождение обладателя карточки и принять целенаправленные контрмеры.
ВИДЕОНАБЛЮДЕНИЕ
Наиболее полезные дополнительные возможности появляются в результате интеграции систем видеонаблюдения. Во многих системах подключенные записывающие устройства на протяжении долгого времени фиксируют одно и то же состояние: отсутствие активности. Однако интеграция с другими компонентами конвергенции позволяет осуществлять целенаправленную активацию записи, к примеру, когда сотрудник (безуспешно) пытается авторизоваться на терминале контроля доступа для входа в зону, оснащенную камерами. Во-первых, в этом случае его действия автоматически фиксируются, и отпадает необходимость предписанного во многих пособиях по безопасности ручного протоколирования событий. Во-вторых, возможна последующая или даже реализуемая в реальном времени идентификация действующего сотрудника на основе его фотографии на пропуске. Видеозапись по требованию может производиться и при других обстоятельствах: например, когда какое-либо лицо многократно пытается получить доступ к критически важным системам с помощью неверных данных или в необычное время.
Угроза Stuxnet
Слияние и совместное использование ранее изолированных инфраструктур может привести к возникновению проблем, что наглядно продемонстрировала недавняя угроза инфицирования червем Stuxnet. Воодушевленные открывающимися возможностями и прогнозируемым снижением затрат, специалисты ИТ должны четко осознавать, что, если не принять необходимых мер безопасности, их системы и пульты управления окажутся беззащитными перед опасностями, таящимися в глобальной сети. Своевременное обновление операционных систем управляющих компьютеров, а также их защита с помощью антивирусных программ и брандмауэра крайне желательны, но они не всегда соответствуют предписаниям производителей. Поэтому для долгосрочного и успешного использования конвергентного сетевого решения требуются защитный шлюз, устанавливаемый в месте четко регламентированного перехода от офисных ИТ к управляющей сети, а также тщательное планирование и настройка сетевой инфраструктуры.
Интересный с точки зрения «зеленых ИТ» и в целом в связи с вопросами сокращения выбросов углекислого газа комплекс тем — это более глубокая интеграция систем администрирования энергопотребления с ИТ и безопасностью зданий. Так, управление температурой, жалюзи для защиты от солнечных лучей и освещением офисных помещений будет гораздо эффективнее, если помещения «знают», находится ли человек на своем рабочем месте или когда он туда прибудет. К этому могут добавляться такие функции, как изменение мощности кондиционеров в конференц-зале в зависимости от количества участников, загрузка ПК и даже включение/выключение освещения и отопления, как только сотрудник регистрируется в системе учета рабочего времени или покидает здание.
Однако как далеко удалось проникнуть этому типу конвергенции? Сами по себе многофункциональные пропуски, интеграция систем видеонаблюдения и контроля доступа или интеллектуальное администрирование посетителей давно известны и широко распространены, поскольку, например, крупные предприятия уже осознали, что интеграция компонентов им необходима и выгодна. Однако такие проекты разрабатывались под конкретные задачи и были сопряжены с существенными расходами при их реализации и последующем обслуживании, поскольку никаких стандартизованных интерфейсов и уж тем более форматов для обмена информацией за пределами отдельных систем до сих пор нет. Исключением является сравнительно молодая технология передачи видео по IP (Video over IP), использующая стандарт ONVIF, в то время как производители систем контроля доступа, карточных технологий, а также установок пожарной сигнализации и охранно-сигнальных систем по привычке используют собственные разработки и протоколы.
Мартин Куппингер — старший партнер компании Kuppinger Cole + Partner, системный архитектор, эксперт и аналитик. Себастьян Рор — партнер компании Kuppinger Cole + Partner, старший аналитик.