Контроллеры и линии связи: как выбрать и повысить надежность СКУД

Редакция пригласила экспертов из ведущих на отечественном рынке систем контроля и управления доступом (СКУД) компаний "АРМО-Системы", PERCo, "ДИАМАНТ ГРУПП", "Эра новых технологий", "Равелин", МПК "СОАР", "Компания Семь печатей", Sigur и Octagram рассказать о ключевых критериях выбора контроллеров для объектов малого, среднего и крупного масштаба, поговорить о линиях связи и управления, обсудить способы реализации аппаратной логики на уровне контроллера и группы контроллеров СКУД и другие вопросы.

Какие технические и коммерческие параметры являются ключевыми при выборе контроллеров для СКУД малого, среднего и крупного масштаба?

Иван Байков, АРМО-Системы

Наш опыт реализации проектов в различных отраслях показывает, что при выборе контроллеров необходимо принимать взвешенное решение под конкретный случай и оптимально сочетать техническую и экономическую эффективность.

По технике в первую очередь рекомендую обратить внимание на производительность системы, исходя из размера обслуживаемой базы пользователей (сколько нужно контроллеров, возможность их объединения в сеть). Важно учесть поддерживаемые протоколы и спланировать интеграцию с уже существующим на объекте оборудованием.

При этом необходимо обеспечить требуемый функционал в плане режимов работы пунктов доступа и формирования отчетов, поддержку считывателей нужных форматов/технологий, а также предусмотреть возможность масштабирования системы вслед за развитием бизнеса заказчика.

В части коммерции заказчика прежде всего интересует стоимость решения. И тут важно донести, что значение имеет не только то, сколько он заплатит за систему и ее внедрение, но и во что обойдется ее дальнейшая эксплуатация. Поэтому рекомендую обратить внимание на надежность оборудования: проверить репутацию производителя, наличие техподдержки, обновлений программного обеспечения (ПО), а также гарантии на железо. Не лишним будет предварительное тестирование контроллеров с использованием оценочных или бесплатных версий ПО, наличие которых будет дополнительным плюсом производителю.

Заказчика прежде всего интересует стоимость решения. И тут важно донести, что значение имеет не только то, сколько он заплатит за систему и ее внедрение, но и во что обойдется ее дальнейшая эксплуатация.

Игорь Ядрихинский, PERCo

Одними из первостепенных критериев выбора являются отечественный производитель и продолжительный срок гарантии. Необходимо также, чтобы программное обеспечение, с которым взаимодействует контроллер, было внесено в единый реестр российских программ для ЭВМ и баз данных.

Еще один важный параметр – возможность управления несколькими исполнительными устройствами, подключения контроллеров второго уровня и расширенного количества считывателей, что позволяет минимизировать затраты на внедрение СКУД.

Поддержка различных форматов считывателей (Wiegand, RS-485, и OSDP) позволяет использовать контроллеры в различных проектах. Поддержка RS-485/OSDP повышает киберустойчивость и упрощает работу ИТ-служб.

QR-коды и штрихкоды все чаще используются в СКУД в качестве идентификаторов. Для реализации таких проектов контроллеры должны поддерживать подключение сканеров на аппаратном уровне. Увеличенное количество входов и выходов позволяет подключать дополнительное оборудование – датчики движения, видеокамеры, охранные датчики, сирены, кнопки выхода и другие устройства для настройки реакций на события системы.

Если дополнительное оборудование, например алкотестеры или IP-камеры распознавания номеров, подключается по Ethernet, контроллеры должны поддерживать прямой обмен данными.

Широкий набор дополнительных внутренних логик работы (Antipassback, реакции на события, модификации режима "шлюз") позволяет реализовывать различные сценарии усиленного доступа вне зависимости от наличия связи с сервером системы.

Еще одним важным параметром является самостоятельная инициализация контроллером подключения к серверу в случае потери связи.

И конечно, важным критерием выбора является доступная техническая поддержка. Ключевые производители предоставляют удобные каналы коммуникации (почта, телефон, мессенджеры). В случае нестандартных ситуаций техническая поддержка может подключиться удаленно. Важна поддержка SLA-стандартов для оказания оперативной и качественной поддержки пользователям.

Интеграторам стоит обратить внимание на наличие системы защиты проекта от надежного бренда, что позволяет реализовывать проекты без угрозы демпинга со стороны конкурентов.

Леонид Стасенко, ДИАМАНТ ГРУПП

Некоторые из критериев достаточно очевидны: нет смысла ставить контроллер с базой на 100 тыс. пользователей на двери в кабинет – это однозначно будет необоснованно дорогое решение. Коммерческая сторона вопроса (в частности, цена контроллера и остальных компонентов системы) для кого-то большого значения не имеет – тогда используются другие критерии выбора. А если бюджет достаточно скромный, поле для выбора, естественно, сужается. Если этот критерий не рассматривать, то вступают в силу другие параметры, касающиеся функционала контроллера. Если он ставится на проходной, то контроллер обязательно должен поддерживать работу с турникетами разных типов (в первую очередь вашего турникета). Для помещений различного назначения могут иметь значение специальные функции, связанные со спецификой помещения, например подсчет минимального и максимального количества людей в помещении, режим "хозяин", когда таковой входит в помещение и дверь остается открытой, и т.д.

Одними из первостепенных критериев выбора являются отечественный производитель и продолжительный срок гарантии. Необходимо также, чтобы программное обеспечение, с которым взаимодействует контроллер, было внесено в единый реестр российских программ для ЭВМ и баз данных.

Степан Тарасов, Эра новых технологий

При выборе контроллеров для СКУД любого масштаба основным общим критерием является надежность и работоспособность системы контроля доступа в целом, а именно аппаратно-программного комплекса. Из собственного опыта могу сказать, что особое внимание нужно обратить на программное обеспечение, его надежность и совместимость с контроллерами СКУД.

Для СКУД малого масштаба основными критериями при выборе контроллеров должны быть:

• поддержка работы системы в автономном режиме, без потери необходимого функционала, такого как пропуск пользователей, имеющих доступ на объект, фиксация факта прохода и событий в энергонезависимой памяти контроллера с последующей выгрузкой в базу данных программного обеспечения;
• стабильная работа в имеющейся офисной локальной сети;
• неприхотливость в обслуживании;
• бесплатное программное обеспечение, идущее в комплекте с контроллером СКУД;
• бесплатная техническая поддержка.

Для СКУД средних масштабов стоит обратить внимание на следующие критерии:

• работа контроллера СКУД с разнообразным периферийным оборудованием, таким как турникеты, шлагбаумы, приводами ворот, алкотестеры и т.д.;
• работа контроллеров СКУД с алгоритмами проходов как на аппаратном, так и на программном уровне, такими как запрет повторного прохода, проход по нескольким идентификаторам, запрет входа в помещение без наличия в нем "хозяина" помещения;
• возможность простого и легкого масштабирования системы контроля доступа;
• гибкое программное обеспечение СКУД, позволяющее реализовать все потребности объекта;
• наличие профессиональной технической поддержки производителя контроллеров СКУД.

Для СКУД крупного масштаба ключевыми критериями являются:

• производительность как контроллеров СКУД, так и программного обеспечения для стабильной работы системы контроля доступа;
• надежная система шифрования передаваемых данных как между контроллерами СКУД и серверной частью, так и между серверным и клиентским программным обеспечением;
• быстрая замена вышедшего из строя контроллера СКУД;
• программное обеспечение с возможностью одновременной работы большого количества пользователей с делегированием прав доступа;
• наличие у производителя СКУД сервисного сопровождения системы.

Вячеслав Тесаков, Равелин

Самым важным критерием при выборе контроллеров СКУД, да и любого другого оборудования, для любого заказчика всегда является цена. Это безусловный критерий. Но не всегда он сможет получить за минимальные деньги то, что ожидает. Для малых и средних объектов требования к контроллерам практически одинаковые. Приемлемое количество хранимых событий и пользователей, как правило, до 10 тыс. Стандартный функционал: управление дверью, турникетом. возможность поддерживать одну-две точки прохода. Всё. Для крупных объектов требования более широкие, и прежде всего по количеству хранимых событий и пользователей. В некоторых технических заданиях (ТЗ) можно увидеть требования по количеству и 100 тыс., и 300 тыс., и даже 1 млн. Для крупных объектов также важное требование – это универсальность контроллера:

• поддержка различных режимов управления: дверью, турникетом, шлагбаумом;
• возможность организации шлюза;
• поддержка режима "антипассбек";
• возможность работы с различными считывателями и по разным интерфейсам (Wiegand, OSDP и т.д.);
• поддержка работы с дополнительным оборудованием, средствами видеоаналитики (распознавание автомобильных номеров, алкотестеры, сканеры штрихкодов);
• поддержка различных сценариев работы, возможность их программирования.

Аркадий Созданов, МПК "СОАР"

На наш взгляд, по коммерческим параметрам для всех вариантов в первую очередь это цена, доступность и наличие на складе, надежность, ремонтопригодность в режиме "горячая замена", масштабируемость, присутствие на рынке СКУД не менее трех лет.

По техническим параметрам выбор может состояться по масштабу СКУД:

1. Для малого, масштаба. Как правило, это автономные контроллеры, и выбор может делаться по емкости памяти в контроллере, наличию интерфейсов для считывателя Wiegand и Touch Memory, наличию охранного шлейфа, реле, возможности гибкого конфигурирования параметров через веб-приложение, Wi-Fi, Вluetooth.
2. Контроллеры для СКУД крупного масштаба должны обладать возможностью масштабирования, удаленным доступом для конфигурирования, независимой памятью на пользовательские ключи, емкостью памяти событий не менее 30 тыс., наличием API и SDK для интеграции встраивания в другие подсистемы, надежностью защиты интерфейсов связи от перегрузок и взлома.

Аркадий Гамбург, Компания Семь печатей

Для систем любого масштаба прежде всего необходима способность контроллеров работать в автономном режиме (то есть без управляющего сервера СКУД). И чем крупнее (а, значит, и сложнее) система, тем более актуально это требование.

Для систем с большими входными группами (много турникетов на проходных) наиболее оптимальны контроллеры с максимальным числом подключаемых исполнительных устройств (например, 4, 6 или 8).

Тимофей Макаров, Sigur

На выбор решения влияют масштаб предприятия и требования заказчика. Для малых объектов, где не так много точек доступа, важны простота и стоимость решения. Как правило, заказчик хочет получить базовые функции: контроль доступа, блокировку/разблокировку дверей, получение информации о событиях, составление отчетов.

Средний бизнес смотрит на масштабируемость, надежность, готовность к интеграции с внутренними CRM-системами. Важно также, чтобы контроллер мог взаимодействовать со всеми исполнительными устройствами, которые есть на объекте: электромагнитными замками, защелками, турникетами, шлагбаумами. Не менее значима периферия вокруг контроллера: схемы подключения, техническая поддержка, готовые решения, например турникеты с уже предустановленными контроллерами СКУД.

Крупные компании заинтересованы в централизованной системе доступа с поддержкой шифрования, отказоустойчивостью, возможностью легкого встраивания в ИТ-инфраструктуру клиента. Отсюда следуют требования к контроллерам: поддержка протоколов DHCP, SNMP, расширенная внутренняя память.

Для интегратора важны простота взаимодействия и скорость установки. На первый план выходит также комплектация оборудования: предустановленный блок питания, аккумулятор, готовые пресеты в ПО.

Александр Орлов, Octagram

Смотрят в первую очередь на цену, простоту использования, доступность (сроки поставки), функционал.

Как ни удивительно, но обычно малым объектам требуется особый функционал и гибкость, на таких объектах чаще встречаются всякие необычные решения, к ним можно отнести парковки, столовые или фитнес-клубы, при этом важны простота монтажа, цена и даже внешний вид оборудования.

Средним объектам чаще нужно соотношение цены и качества, сюда выбирают более стандартные решения.

Крупные объекты обычно работают через тендер, и при больших заказах будут важны цена и сроки поставки, естественно на крупные объекты нужна масштабируемость системы и интеграция с другими.

Какие линии связи и управления в СКУД должны защищаться в первую очередь и какие методы для это можно использовать: сервер – контроллер, контроллер – контроллер, считыватель – контроллер, карта – считыватель, исполнительное устройство (электрозамок, турникет и пр.) – контроллер?

Иван Байков, АРМО-Системы

Когда речь идет о безопасности, нужно поду­мать о защите всех линий связи в системе. Для сервера и контроллера это взаимодействие через защищенные каналы, где применяются VPN-туннели и HTTPS-протоколы, а также мно­гофакторная аутентификация для обеспечения максимальной безопасности передачи данных. Связь между контроллерами можно защитить с помощью следующих методов: шифрование данных (TLS/SSL), изоляция сети (например, с помощью VLAN) и управление доступом между контроллерами.

Линия связи "считыватели - контроллеры": обмен данными рекомендован с применением AES-шифрования и защищенных протоколов

OSDP, при этом необходимо регулярно прово­дить обновление прошивок для поддержания актуального уровня защиты.

При взаимодействии карт доступа со считыва­телями можно предложить использовать карты с поддержкой шифрования типа MIFARE DESFi- re, а также внедрить многофакторную аутенти­фикацию, например добавить ПИН-код. Перио­дическая замена карт доступа позволяет мини­мизировать риски их компрометации.

Когда контроллер взаимодействует с исполни­тельным устройством, защита организуется на уровне сигнальных линий с применением экра­нирующих материалов. Постоянный монито­ринг попыток доступа поможет своевременно выявить несанкционированные действия.

Игорь Ядрихинский, PERCo

В первую очередь должны защищаться каналы "сервер – контроллер" и "контроллер – контроллер", так как именно по этим каналам происходит ключевой обмен данными системы. Приведем рекомендации, направленные на дополнительную защиту каналов "сервер – сервер", "сервер – контроллер":

1. Шифруйте всю переписку устройств: используйте современное HTTPS-подобное шифрование, чтобы посторонние не смогли прочитать или подменить данные. У каждого контроллера и у сервера должны быть собственные цифровые "паспорт – ключи". Старые, небезопасные протоколы необходимо выключить.
2. Создайте отдельную физическую сеть для СКУД: контроллеры не должны "видеть" бухгалтерию или рабочие компьютеры, разрешите только нужные адреса и порты, а остальное запретите. Дистанционно управляйте системой только через защищенный канал.
3. Проверяйте, кто именно подключается к кабелю: включите функцию на коммутаторе, которая пускает в сеть только "своих", ограничьте число устройств на каждом порте, чтобы злоумышленник не подменил контроллер.
4. Защитите кабели физически: прячьте их в металлических коробах или под потолком, ограничьте физический доступ к каналам связи, используйте экранированный кабель и правильное заземление, поставьте защиту от грозы и скачков напряжения.
5. Сделайте резервные пути: проложите две независимые линии связи, держите резервный контроллер и копию базы данных на запасном сервере.
6. Обеспечьте надежное питание: используйте отдельную линию питания от электрощита, в шкафах можно установить отдельные аккумуляторы на несколько часов работы.
7. Собирайте и просматривайте журналы событий: храните логи проходов и сообщений устройств в отдельном месте, которое не так легко взломать, настройте автоматические уведомления о потере связи, перезагрузке или странных попытках подключения, периодически проверяйте сетевой трафик на необычную активность.
8. Контролируйте обновления прошивок: устанавливайте только официальные обновления, подписанные производителем, загружайте их по зашифрованному каналу и только после двухфакторной проверки личности, запретите установку ПО "с флешек" без одобрения ответственного сотрудника.
9. Проводите регулярные проверки: раз в год приглашайте внешних специалистов для испытаний на взлом, после серьезных обновлений сканируйте сеть на уязвимости, обязательно ведите актуальную схему сети и фиксируйте все изменения.
10. Следуйте отраслевым стандартам: СКУД для важных объектов должны соответствовать российским нормам безопасности. Для критически важных объектов выполняйте требования регуляторов.
11. Для защиты линии "считыватель – контроллер" рекомендуется использовать более защищенные каналы связи (RS-485/OSDP). Для защиты линии "карта – считыватель" рекомендуется применять методы идентификации, защищенные шифрованием (карты MIFARE с защитой от копирования и мобильные приложения на основе технологий NFC/BLE).

Леонид Стасенко, ДИАМАНТ ГРУПП

Актуальность защиты определяется в первую очередь доступностью линии связи для потенциального злоумышленника. Чаще всего могут оказаться уязвимыми линии "считыватель – контроллер" и "контроллер – исполнительное устройство". Например, считыватель с интерфейсом Wiegand и его связь с контроллером не имеют средств контроля целостности, возможно параллельное подключение к этой линии простого имитатора кодов, который может определить формат Wiegand, снять коды рабочих карт, а затем в нужное время элементарно такие карты имитировать.

Еще одно узкое место - канал связи "карта - считыватель". В связи с этим настоятельно не рекомендуется использовать совсем незащи­щенные карты (типа EM Marine, HID Prox), которые элементарно копируются. Даже MIFARE Classic в режиме серийного номера (UID) совсем не защищены от копирования. Поэтому, если вы хотите защитить данный канал, используйте карты с высоким уровнем защиты (MIFARE Plus в режиме SL3, банков­ские карты в режиме хеширования PAN- номера и т.д.).

Защита остальных каналов связи (это, как пра­вило, Ethernet) лежит на совести специалистов ИТ-отдела.

Степан Тарасов, Эра новых технологий

В первую очередь необходимо защитить линии связи между сервером и контроллером, так как, имея доступ к ним, можно саботиро­вать работу системы контроля доступа, осу­ществляя несанкционированные проходы или блокируя точки прохода. Чаще всего для защиты данных линий связи применяются системы шифрования или отдельно пробра­сываются собственные, не соединенные с дру­гими сетями линии связи.

Стоит обратить внимание также на работу связки "карта - считыватель": самая распро­страненная проблема – это копирование идентификатора карты или передача своей карты постороннему пользователю. Для реше­ния данных проблем рекомендуется использо­вать карты с системой шифрования, что поз­волит избежать копирования карт, а для запрета передачи карты использовать двух­факторную идентификацию или мониторинг на постах охраны.

Считыватель с интерфейсом Wiegand и его связь с контроллером не имеют средств контроля целостности, возможно параллельное подключение к этой линии простого имитатора кодов, который может определить формат Wiegand, снять коды рабочих карт, а затем в нужное время элементарно такие карты имитировать.

Вячеслав Тесаков, Равелин

На наш взгляд, основная угроза компроме­тации системы контроля доступа идет по линии связи с сервером, по линии управле­ния и взаимодействия контроллеров, то есть линии "сервер - контроллер" и "контрол­лер - контроллер". Вскрыть систему контроля доступа непосредственно на двери достаточ­но непросто и не очень быстро. Тут необхо­димы и специальное оборудование, и непо­средственный доступ к проводам, и знания. А вот получить удаленный доступ в сеть системы безопасности иногда проще, в осо­бенности на коммерческих предприятиях. Кроме этого, конечно, хотелось бы в очередной раз напомнить, что надо защищать канал "карта - считыватель", потому что если на объ­екте используются карты, которые можно ско­пировать, то можно сказать, что здесь установ­лена не система контроля, а система ограниче­ния доступа. При использовании подобных идентификаторов нельзя создать систему без­опасности в принципе.

Аркадий Созданов, МПК "СОАР"

1. Сервер - контроллер. Для этого сочетания в первую очередь необходимо защитить сер­вер баз данных СКУД, здесь нужны ком­плексные мероприятия и методы защиты как техническими средствами, так и программ­ными, выбор может состояться по бюджету, предложений на рынке множество.
2. Контроллер - контроллер. Для этого соче­тания прежде всего необходимо защитить линии интерфейсов связи RS-485, OSDP, Wi-Fi, Bluetooth. Защита может осуществляться на аппаратном уровне (контроллеры должны выдерживать статические разряды, перегрузки по току и напряжению), способами шифрова­ния и на физическом уровне (способами мон­тажа).
3. Считыватель - контроллер. Для этого соче­тания в первую очередь необходимо защи­тить способами шифрования контроллер и кабели на физическом уровне (способами монтажа).
4. Карта - считыватель. Для этого сочетания необходимо применять карты с защищенной ячейкой памяти, а считыватель - с собственным протоколом обмена с контроллером.
5. Исполнительное устройство (электрозамок, турникет и пр.) - контроллер. Исполнительные устройства должны быть защищены в соответ­ствии с существующими нормативами по элек­тробезопасности и укрепленности для зон про­хода со СКУД.

Аркадий Гамбург, Компания Семь печатей

В первую очередь стоит защищать линии от контроллера к серверу системы, как наиболее открытые (ЛВС, а зачастую и вывод в Интернет) и, следовательно, уязвимые. Метод - шифро­вание протокола.

Тимофей Макаров, Sigur

В СКУД безопасность не ограничивается логикой "разрешить/запретить доступ". Сама инфраструктура связи - между конт­роллерами, считывателями, сервером и исполнительными устройствами может быть уязвимой. Это особенно критично для объектов с высокими требованиями к без­опасности, от офисов, где хранится конфи­денциальная информация, до промышлен­ных предприятий.

1. Сервер - контроллер. В этом случае часто используются стандартные средства защиты, предусмотренные протоколами связи, с уче­том интерфейса взаимодействия сервера и контроллеров. На рынке есть решения с интерфейсом RS-485, но большинство используют IP-контроллеры. Для RS-485 в СКУД применяются протоколы Modbus или OSDP с поддержкой шифрования. При под­ключении по Ethernet используют стандарт­ные методы защиты, такие как протокол DTLS. В кибербезопасности слабым звеном зача­стую является человеческий фактор, поэтому важно применять все предлагаемые произво­дителями средства защиты.
2. Контроллер - считыватель. Наиболее распространенным интерфейсом является Wiegand, реже используется интерфейс RS-485 совместно с протоколом OSDP Во втором случае можно применить стандарт­ные способы защиты, например AES С Wiegand работать сложнее, поскольку он однонаправленный и не поддерживает шифрование. Можно обеспечить косвенную безопасность, применяя карты с защитой от копирования.
3. Карта - считыватель. Несмотря на рекомен­дации применять защищенные от копирования карты MIFARE SL2/SL3, DESFire, на множестве объектов используются карты с низким уровнем защиты - Em-Marine. Конечно, MIFARE и DESFire не гарантируют полную сохранность данных, поэтому стоит записывать персональный иден­тификатор сотрудника в защищенную область карты. Использование мобильной идентифика­ции или биометрии также способствует обес­печению безопасности.

Александр Орлов, Octagram

Основные линии связи защищаются при монтаже, само оборудование системы конт­роля доступа должно быть в смонтировано в запираемых коробах и иметь датчики вскрытия.

Самое уязвимое место - это линия "карта - счи­тыватель", все остальные линии связи и так защищены в силу того, что находятся на охра­няемом объекте, а карту пользователь забирает с собой. Для этого есть решения, которые защи­щают от клонирования карт, реализуются они обычно на стороне считывателя.

Десктопное или веб-приложение для управления СКУД: как сделать правильный выбор? Какие достоинства и недостатки есть у первого и второго варианта?

Иван Байков, АРМО-Системы

Попробуем кратко разобрать достоинства и недостатки обоих способов управления СКУД.

1. Десктопные приложения.
Преимущества:

• высокая производительность;
• локальная безопасность данных;
• глубокая интеграция с другими системами;
• расширенный функционал.

Недостатки:

• доступ к системе ограничен одним устройством;
• сложность обновлений;
• трудоемкая установка и настройка.

2. Веб-приложения.
Преимущества:

• удаленный доступ с любого устройства с подключенным Интернетом;
• централизованные обновления;
• простота масштабирования;
• облачное хранение.

Недостатки:

• зависимость от работы Интернета;
• повышенные риски для безопасности;
• ограниченный функционал.

Таким образом, при выборе между десктопным и веб-приложением для СКУД важно учитывать специфические потребности конкретной организации, такие как требования к безопасности, доступности, техническим возможностям и бюджету. Если необходима высокая производительность и интеграция с локальными системами, возможно, лучше выбрать десктопное приложение. Если же важна доступность и гибкость, то веб-приложение будет предпочтительнее.

Игорь Ядрихинский, PERCo

Современные заказчики стремятся к решениям, которые быстро внедряются, гибко наращивают функции и удобны сотрудникам независимо от их места работы. По нашему опыту, веб-системы отвечают этим запросам лучше, чем традиционные консольные СКУД.

Веб-приложение открывается прямо в браузере. Устанавливать систему на каждый ПК не требуется: новая версия выкладывается на сервер, и все пользователи получают ее сразу. Это экономит время ИТ-отдела и снижает риск использования различных версий ПО СКУД.

Веб-клиент одинаково доступен на ОС Windows, Mac, Linux. Доступ может осуществляться с различных устройств: ПК, планшета и смартфона.

Сотрудник может контролировать процессы из офиса или из дома без потери функциональности.
Все данные обмена защищены SSL-шифрованием. Пользователю не нужно устанавливать дополнительное программное обеспечение – достаточно браузера.

Если число пользователей растет, клиент увеличивает ресурсы сервера, не трогая рабочие места сотрудников. Отсутствует необходимость обновлять или заменять компьютеры, что особенно важно для крупных организаций с десятками филиалов.

Веб-системы относительно легко могут быть интегрированы с корпоративной аналитикой, чат-ботами или мобильными приложениями: они используют одни и те же каналы обмена данными. В итоге компания получает целостную цифровую экосистему без сложных доработок.

Леонид Стасенко, ДИАМАНТ ГРУПП

На наш взгляд, здесь выбор однозначен: это веб. Основные его преимущества: независимость от аппаратной программы и операционной системы. Он по определению кросс-платформенный, может работать даже на смартфонах. Не требуется никакой установки приложений и их подчас непростой настройки. Не требует обновлений на рабочих местах – все происходит на сервере системы, и при необходимости может быть доступен из любой точки мира (при обеспечении соответствующих мер безопасности).

Степан Тарасов, Эра новых технологий

При выборе программного обеспечения для СКУД в первую очередь нужно обратить внимание на стабильную и надежную работу ПО и решение им всех поставленных задач. В идеале будет неплохо, если у производителя есть возможность скачать программное обеспечения до покупки СКУД, что позволит поработать в нем и понять, подходит оно или нет. Для СКУД средних и крупных масштабов целесообразнее использовать десктопное ПО, оно менее мобильно, но более защищено извне, что позволяет повысить надежность системы. Веб-приложения больше подходят для СКУД малого масштаба, работать с ними можно чуть ли не с обычного телефона, что для сотрудника небольшой компании очень удобно, но это не всегда информационно и надежно с точки зрения безопасности.

Вячеслав Тесаков, Равелин

Стоит признать, что это сложный вопрос. У служб безопасности есть определенная привычка: им нравится десктопный интерфейс. Он надежен, понятен, более быстрый, хорошо защищен и не зависит от внешних программных средств. Но его достаточно сложно менять, развивать, и он привязан к конкретной операционной системе.

С другой стороны, надо признать, что веб-интерфейс более универсален и удобен, особенно при работе с ОС Linux. Кросс-платформенность – его огромное преимущество. Но он требует постоянного внимания из-за обновлений браузеров, больших усилий с точки зрения защищенности от внешних проникновений и менее привычен пользователям из служб безопасности.

Аркадий Созданов, МПК "СОАР"

Оба варианта имеют право на применение. Для удаленных территориально распределенных объектов целесообразнее веб-приложения.

Аркадий Гамбург, Компания Семь печатей

Прежде всего, в серьезной СКУД не может быть одного приложения для управления. Уж слишком разный функционал, например, для конфигурирования и настройки системы, для ввода данных о сотрудниках, заданиях им прав доступа и для отображения работы СКУД или формирования отчетов.

С одной стороны, браузерный интерфейс удобен и для разработчика (решается проблема мультиплатформенности), и для пользователя (отпадает необходимость инсталляции ПО и его настроек).

С другой стороны, программное окно более функционально и удобно для работы, да и выглядит, что ли, более солидно.

На ряде объектов подключение через браузер в принципе запрещено и в системах безопасности допускаются только максимально защищенные дескотпные приложения.

Как обычно бывает, разумно сочетать оба подхода. Для удаленного подключения и не особо требовательных заказчиков (в смысле безопасности) удобнее использовать веб-вариант. Для работы внутри локальных вычислительных сетей и на серьезных объектах – оконный интерфейс.
Выбор варианта зависит также и от назначения: для конфигурирования и администрирования лучше использовать программы, для слежения за системой, формирования отчетов – веб-приложения.

Тимофей Макаров, Sigur

Все зависит от задач заказчика. Веб-приложение – это удобно, особенно если объектов много и необходим удаленный доступ, управление через браузер, централизованные обновления и независимость от ОС. Однако требования ФЗ-152 могут создавать сложности при реализации решения. Десктопное приложение в изолированной среде быстрее и стабильнее, чем веб. Оно идеально для объектов, где требуется разместить системы безопасности внутри сети заказчика.

Александр Орлов, Octagram

Веб-приложение будет иметь преимущество в гибкости разработки, например для создания персональных решений, внесения изменений во внешний вид и дизайн. Веб-приложение будет также удобнее использовать на тонких клиентах и при большом количестве пользователей (например, системы заказа пропусков), им не нужно будет устанавливать отдельное приложение на свой ПК, они могут использовать любое устройство с интернет-браузером (мобильный телефон, планшет и т.д.), обновлять и администрировать его. Но такие решения требуют более тщательной первоначальной настройки и знаний администрирования.

Десктоп-приложение проще в настройке, зачастую достаточно установить серверную часть и клиентское приложение или можно работать в локальном режиме, оно не требует особых знаний администрирования. Если конечных пользователей немного и нужно работать с оборудованием напрямую (USB-считыватель, например), оно подойдет лучше, чем веб-вариант.

Какие популярные инструменты и способы повышения надежности работы контроллеров СКУД вы можете назвать?

Иван Байков, АРМО-Системы

К задаче обеспечения надежной и бесперебойной работы СКУД важно подойти комплексно.
Нужно предусмотреть резервирование компонентов, а именно использование избыточных контроллеров, установку дополнительных источников питания и резервирование баз данных.
Необходимы также мониторинг работы системы в режиме реального времени с обеспечением автоматической сигнализации о сбоях и проактивное обнаружение проблем. Защита от внешних воздействий реализуется через использование специальных корпусов, стабилизаторов напряжения и фильтров помех.

К важным мероприятиям я бы отнес регулярное обслуживание всего комплекса СКУД с обязательным обновлением программного обеспечения, а также проведение аудита безопасности и тестирование системы на устойчивость к атакам и проникновению. И конечно же, необходимо, чтобы работающий с системой персонал прошел соответствующее обучение.

Игорь Ядрихинский, PERCo

1. Бесперебойное питание: источник бесперебойного питания и резервный источник защищают от скачков и отключений электроэнергии.
2. Автономная архитектура: развитая встроенная логика контроллера позволяет ему принимать решения вне зависимости от наличия связи с сервером системы.
3. Резервирование линий связи: дублирование шины RS-485/OSDP, Ethernet уменьшают риск простоя из-за повреждения кабеля.
4. Удаленное управление и диагностика: удаленная диагностика и обновление прошивок позволяют быстро выявлять и устранять неполадки без выезда на объект.

Леонид Стасенко, ДИАМАНТ ГРУПП

Как и для любой другой электроники, это правильно разработанная и оттестированная аппаратная платформа (в этом смысле много лет выпускаемые контроллеры имеют шанс удовлетворить данному критерию), тщательно оттестированное встроенное программное обеспечение, качественно электропитание и качественные же линии коммуникаций.

Степан Тарасов, Эра новых технологий

1. Хорошее и стабильное электропитание.
2. Проверенное периферийное оборудование.
3. Выделенная локальная сеть.
4. Качественный и профессиональный монтаж и настройка системы.

Вячеслав Тесаков, Равелин

Для повышения надежности работы контроллеров прежде всего надо устанавливать источники бесперебойного питания (ИБП), а также внедрять внутреннюю систему самотестирования. Тогда в случае какого-либо сбоя информация оперативно поступит на сервер.

Аркадий Созданов, МПК "СОАР"

Самым правильным способом повышения надежности контроллеров СКУД является сама схематика контроллера и его элементная база. В дополнение – инструменты контроля параметров во время эксплуатации через программное обеспечение СКУД (наличие связи, контроль напряжения, заполнение памяти и др.).

Аркадий Гамбург, Компания Семь печатей

Я бы разделил вопросы надежности на аппаратную и софтверную части. Контроллер должен быть максимально надежен, как железо-электронное устройство: качественные комплектующие, "вылизанная" схемотехника, контрактное производство, входной-выходной контроль… Программная часть по скрупулезности исполнения должна соответствовать аппаратной, грубо говоря, никаких зависаний быть не должно.

Оттачивается все это путем тщательной отладки и многолетней эксплуатации на объектах.

Тимофей Макаров, Sigur

Первое и самое главное – выполнять предписания производителя СКУД по эксплуатации оборудования. Эти правила написаны на основе долгих внутренних тестов. Базовые рекомендации:

1. Обеспечить стабильное питание: использование ИБП, резервирование питания.
2. Продумать автономную работу оборудования, учесть, что некоторые логики работы контроллера требуют постоянной связи с сервером. В этом случае нужно думать не только об автономности контроллера, но и о сервере.
3. Быть готовым к возможной аварии: предусмотреть мониторинг при помощи SNMP, логирование, настройку автоматического бэкапа системы.

Александр Орлов, Octagram

Со стороны производителей – упрощение оборудования (не нужно делать из контроллера доступа компьютер), постоянный выходной контроль. Со стороны пользователей:

• соблюдение правил монтажа и рекомендаций производителя;
• своевременное обслуживание;
• использование качественных источников питания;
• резервирование, установка нескольких контроллеров в особо важных точках;
• обучение персонала.

Способы реализации аппаратной логики на уровне контроллера и группы контроллеров СКУД (скрипты, макросы и пр.). Насколько это важно и востребовано потребителями?

Иван Байков, АРМО-Системы

Потребители ожидают от современных СКУД не только базового функционала, но и развитых возможностей интеграции, автоматизации процессов и глубокой настройки системы под свои специфические требования. Здесь помогают различные инструменты реализации аппаратной логики:

1. Скрипты-сценарии. Позволяют создавать индивидуальные правила обработки событий СКУД, автоматизировать нестандартные процессы.
2. Готовые макросы – наборы команд. Удобны для быстрого реагирования на события (если происходит событие X, то выполняем действие Y).
3. Графические редакторы логики. Не требуют знания программирования.
   
4. Интеграция с системами охраны и видеонаблюдения для комплексного мониторинга ситуации.
   

Все эти инструменты способны повысить адаптивность системы, а также обеспечить дополнительные уровни безопасности и привнести удобство в настройку. Однозначно востребованность такого инструментария растет, а его формирование является важным направлением в развитии СКУД.

Игорь Ядрихинский, PERCo

Аппаратная логика – это набор правил, заранее прошитых в контроллер доступа, которые выполняются без участия серверного ПО. Благодаря встроенным скриптам и макросам контроллер осуществляет штатное функционирование: обрабатывает идентификаторы без сервера системы и самостоятельно принимает решение о доступе в соответствии с заданной логикой. Обычно штатная конфигурация закрывает большинство потребностей заказчиков. Но в некоторых проектах может потребоваться изменение аппаратной логики. В таких случаях производитель может по запросу внедрить дополнительные возможности через предоставление уникальной прошивки.

Например, у клиента стоит задача изменить стандартный маршрут обработки данных идентификаторов, когда для клиентов системы платного доступа необходимо обратиться не к встроенной базе данных СКУД, а к внешней системе билетов, которая, в свою очередь, примет самостоятельное решение о доступе и передаст сообщение на контроллер.

Для реализации кейса может быть написан дополнительный скрипт, который обрабатывает билеты систем платного доступа, формирует JSON и отправляет его на REST-сервис системы для обработки. В зависимости от ответа сервиса выполняется одно из действий.

Возможность создания дополнительных скриптов – это реальный инструмент адаптации системы к уникальным требованиям без капитальных вложений. Возможность прошить логику на уровне железа превращает контроллер в самостоятельный элемент системы, который принимает решения локально без участия сервера, общается с внешними сервисами, используя стандартные протоколы (HTTP/JSON, MQTT, WebSocket), что в сумме повышает качество обработки данных и снижает затраты.

Леонид Стасенко, ДИАМАНТ ГРУПП

Думается, что не многим пользователям нужны такие реализации. Решения на уровне группы контроллеров применимы при реализации глобального антипассбэка и маршрутизации по территории, что встречается не очень часто и на объектах большого масштаба с серьезными требованиями к обеспечению физической безопасности. Более простая логика (например, невозможность зайти в помещение, если оно не снято с охраны), наверное, является востребованной чаще.

Степан Тарасов, Эра новых технологий

У разных производителей СКУД свои инструменты для реализации аппаратной логики на уровне железа (контроллеров). Для решения стандартных задач лучше выбирать контроллеры, позволяющие самостоятельно, без участия сервера, решать поставленные задачи. Это позволит увеличить отказоустойчивость системы и повысит ее работоспособность. Есть СКУД, позволяющие реализовать аппаратную логику для группы контроллеров без участия серверного ПО, что также позволяет экономить вычислительные мощности сервера, но для надежной работы необходима стабильная и неперегруженная сеть.

Реализация аппаратной логики на уровне контроллеров СКУД позволяет пользователям не использовать серверное ПО постоянно, чем очень часто пользуются небольшие компании, при этом сохраняя полную работоспособность системы контроля доступа. Средние и крупные СКУД, используя аппаратную логику на уровне контроллера, позволяют увеличить быстродействие и надежность системы.

Вячеслав Тесаков, Равелин

Много лет в нашем контроллере реализована возможность создания специальных режимов работы, которые программируются пользователем. Стоит признать, что не очень много пользователей ее используют. Это связано с тем, что для этого нужно внимательно изучить инструкцию, пройти обучение. К сожалению, не все это любят делать.

Поэтому мы всегда закладываем возможность работы контроллера в различных сценариях по умолчанию, это более востребованная функция. Но, на наш взгляд, реализация аппаратной логики, управление сценариями работы контроллера, возможность смены этих сценариев в процессе работы – это правильное направление развития контроллеров СКУД, и оно будет все больше востребовано у пользователей.

Аркадий Созданов, МПК "СОАР"

Для потребителя важна простота в работе, не требующей высокой квалификации. Для инсталлятора это самые важные компоненты (скрипты, макросы) СКУД.

Аркадий Гамбург, Компания Семь печатей

Здесь, на мой взгляд, важно соблюсти разумный баланс между функциональностью контроллера и функциональностью системы в целом. То есть что будет работать всегда – ив комплексе, и в автономе, а что будет работать только под управлением сервера.

При современных технологиях вполне возможно сделать из контроллера сервер, заложив туда и логику принятия решений, и базу данных, и обмен с внешними системами, и возможность настроек "под пользователя", и синхронизацию с другими контроллерами в сети и прочее, и прочее…

При этом стирается грань между комплексом и автономом, точнее, комплексного режима уже нет, поскольку контроллер полностью самодостаточен.

Главное при этом "не выбросить ребенка" – не снизить надежность.

Тимофей Макаров, Sigur

Возможность реализовать логики доступа на контроллере повышает автономность системы, позволяя выполнять задачи без участия сервера, например открывать дверь или включать свет при предъявлении карты. Однако интеграции систем безопасности становятся более бесшовными, и необходимость автономной работы контроллера уменьшается. Поэтому также важно следить за состоянием IP-сети и сервера заказчика.

Александр Орлов, Octagram

Не особо востребовано, обычно применяется только в автоматике и для решения каких-либо нестандартных задач. В большинстве случаев подходит стандартный режим работы, особенно для контроля доступа; как писал ранее, такое чаще встречается на небольших объектах.

Wiegand vs OSDP. А умер ли король?

Иван Байков, АРМО-Системы

Широко используемый протокол Wiegand прост в реализации и поддерживается большинством устройств, однако имеет свои недостатки: не шифрует передаваемую информацию, имеет ограниченную пропускную способность и не поддерживает двустороннюю связь и управление устройствами.

OSDP – современный и безопасный стандарт связи с шифрованием данных и двусторонней связью. Он поддерживает передовые технологии смарт-карт и биометрию. Его основной недостаток – это малая распространенность, что создает сложность с интеграцией в уже существующие системы.
Умер ли король? Скажу совершенно точно, что Wiegand не "умер", но его использование все больше отходит на второй план по мере внедрения более современных и безопасных решений, таких как OSDP. Многие системы контроля доступа переходят на OSDP из-за его преимуществ в области безопасности и функционала.

Но, как всегда, выбор между Wiegand и OSDP зависит от конкретных требований проекта,
бюджета и уровня необходимых мер безопасности. Однако OSDP, безусловно, рассматривается как будущее протоколов для СКУД. 

Игорь Ядрихинский, PERCo

Мы наблюдаем повышенный интерес к системам с использованием формата OSDP, но необходимо признать, что переход на OSDP происходит достаточно низкими темпами.

Сравнивая Wiegand и OSDP, важно учитывать, что подавляющее число дверей (>99%) оборудованы сегодня интерфейсом Wiegand.

Замена оборудования и замена линии Wiegand на RS-485 в абсолютном большинстве проектов будет необходима только вследствие износа оборудования. При этом важно отметить долгий жизненный цикл оборудования СКУД: контроллеры и считыватели функционируют 12–20 лет. И даже в случае обновления инфраструктуры СКУД далеко не всегда заказчик выберет установку оборудования с поддержкой OSDP, так как зачастую клиенты готовы мириться с неудобством обслуживания и повышенными рисками безопасности во избежание дополнительных трат на переход (стоимость считывателей на OSDP сегодня может значимо превышать решения на базе на Wiegand).

При этом OSDP все чаще используется в новых проектах, например в госзаказах и на объектах с критической инфраструктурой. Объекты с разветвленной инфраструктурой, требующей "долгих" линий связи (RS-485 до 1 200 м) и централизованной системы управления данными безопасности, также чаще выбирают OSDP.

Важно отметить, что многие дифференциаторы OSDP (шифрование, сетевая диагностика, удаленное обновление прошивок) актуальны только для крупных заказчиков с повышенными требованиями к безопасности и обслуживанию. Для малых объектов преимущества OSDP не являются критически важными.

Таким образом, OSDP – уже "мейнстрим" для всего, что строится "с нуля", и однозначное требование для объектов с повышенной киберустойчивостью. Wiegand же продолжит существование в рамках малых и средних объектов еще продолжительное время.

Леонид Стасенко, ДИАМАНТ ГРУПП

К несчастью, король не умер. выше уже упоминалась одна из очевидных уязвимостей Wiegand. Кроме того, с Wiegand нет контроля целостности считывателя (если он не имеет отдельной защиты цепью тампера). Нет также возможности гибкого управления режимами считывателя (кроме как бикнуть и моргнуть светодиодом).

OSDP, к сожалению, внедряется в нашу жизнь достаточно медленно, несмотря на длительную свою историю (если считать от момента появления данного стандарта).

Преимущества OSDP сейчас доказывать, кажется, никому не нужно. Даже с точки зрения стоимости монтажа OSDP в разы технологичнее: одна витая пара не несколько (до десятков) периферийных устройств, в то время как у Wiegand для каждого считывателя требуется пучок проводов минимум из шести штук. Дело за разработчиками аппаратно-программных решений (контроллеров, считывателей, другой OSDPпериферии).

Очень хотелось бы надеяться, что в обозримом будущем Wiegand все-таки окажется "вне закона".

Степан Тарасов, Эра новых технологий

Мое мнение, что протокол Wiegand будет жить еще долго, так как свои задачи он выполняет в полном объеме. OSDP, на мой взгляд, очень перегружен для данной задачи и нужен только для того, чтобы объяснить, почему гренка называется "крутон" и стоит семь долларов)))).

Вячеслав Тесаков, Равелин

Мы думаем, что никто не умер и никто не родился. Для разного рода объектов выгодно использовать различные интерфейсы связи со считывателем и другим периферийным оборудованием.

Стоимость решения при создании СКУД с использованием OSDP-интерфейса выше, поэтому оно должно быть оправдано набором необходимых заказчику функций. Поэтому для малых и средних объектов он всегда будет меньше востребован.

Чем выше требования у заказчика к защищенности и универсальности системы контроля и управления доступом на объекте, тем чаще там будут использоваться контроллеры с интерфейсом OSDP. Требования к системе и определяют выбор технического решения. Остальное просто пиар.

Аркадий Созданов, МПК "СОАР"

OSDP постепенно заменяет Wiegand. OSDP – протокол (SIA), шифрование AES-128. Его преимущества: двунаправленная связь и непрерывная проверка, при неисправности устройства администратор системы немедленно уведомляется. Масштабируемость и гибкость формата данных.

Wiegand – недостатки: однонаправленная связь, данные передаются только от считывателя на контроллер, информация передается в открытом виде, что делает протокол уязвимым к клонированию данных. используется 26-битный формат, имеющий ограниченный объем передаваемых данных.

Аркадий Гамбург, Компания Семь печатей

Если король – это Wiegand, то он не только не умер, но будет еще долго и счастливо царствовать.

По крайней мере, до тех пор, пока большинство идентифицирующих устройств будут его поддерживать. А сейчас практически 90% всех считывателей на рынке, включая биометрические, это делают. А вот OSDP есть далеко не у всех.

Wiegand – это прежде всего простота, а значит, надежность.

Система, основанная на OSDP, может, и более функциональная, но и более сложная, следовательно, и менее надежная.

Тимофей Макаров, Sigur

OSDP выигрывает по всем параметрам: шифрование, двусторонняя связь, диагностика. Но Wiegand все еще жив. Он прост, знаком, и его все еще устанавливают на ряде объектов, особенно в бюджетном сегменте. Мы считаем, что через несколько лет OSDP станет базовым стандартом.

Александр Орлов, Octagram

Wiegand никуда не денется в ближайшее время в силу своей распространенности и простоты использования. Считыватели, использующие OSDP, сложнее и дороже как самостоятельные контроллеры (например, биометрические), а такого рода устройства могут иметь несколько интерфейсов подключения, включая Wiegand. Но, конечно, у OSDP много плюсов: шифрование, подключение до 1 200 м, встроенное управление индикацией (экономия на кабеле) и двусторонняя связь с контроллером СКУД для отслеживания вмешательства или неполадки линии связи.

Инженер СКД ООО "Octagram"

Опубликовано в журнале "Системы безопасности" № 3/2025

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Иллюстрация к статье сгенерирована нейросетью Kandinsky