В рубрику "Пожарная безопасность" | К списку рубрик | К списку авторов | К списку публикаций
В.Ф. Савченко
Заместитель директора "Охранного бюро СОКРАТ"
Оптоволоконные линии связи приходят в каждый микрорайон к группе домов, отдельному дому, в каждую квартиру. Интенсивно развиваются услуги передачи данных по каналам сотовой связи стандарта GSM, 3G. Президентом поставлена задача обеспечить к 2012 г. возможность пользоваться Интернетом в каждой квартире.
Например, компания "Сибирьтелеком" в 2010 г. начинает активное строительство высокоскоростной оптической сети нового поколения по технологии GPON. Широкополосный Интернет, цифровое телевидение, IP-телефония – спектр возможностей технологии GPON, который приятно удивляет тем, что доступ к ресурсам сети Интернет возможен на скорости до 1 Гбит/с. Это в 200 раз выше, чем по медным линиям, и в 10 раз больше того, что на данный момент предлагают многие провайдеры.
Разработчики "Охранного бюро СОКРАТ" уже в 2001 г. создали оборудование и программное обеспечение интегрированной системы (ИС) охранно-пожарной сигнализации (ОПС) "При-ток-А", работающее с применением протокола TCP/IP.
Подсистема "Приток-TCP/IP" предназначена для создания транспортной инфраструктуры системы, объединяющей сервер и рабочие станции, базовые модули, ретрансляторы, концентраторы, коммуникаторы, включенные в локальную (закрытую) сеть пульта централизованного наблюдения (ПЦН). Созданная сеть обеспечивает передачу извещений и команд управления по скоростным цифровым каналам передачи данных, что позволяет строить распределенную, масштабируемую, высокопроизводительную систему обеспечения безопасности.
Аппаратной основой "Приток-TCP/IP" является коммуникатор TCP/IP. Это универсальный контроллер, который предназначен для связи различных элементов ИС "Приток-А" и подключения их к сети ПЦН ИС "Приток-А". Этот универсальный контроллер обеспечивает подключение оборудования ИС "Приток-А", выпускаемого ОБ СОКРАТ, и оборудования других производителей.
Ядро нового коммуникатора – модуль TCP/IP-01. При его разработке применен способ организации программного обеспечения, работающего в модуле TCP/IP-01, который позволяет осуществить следующие операции:
Уже сегодня потребителям ИС "Приток-А" доступно около трех десятков прикладных программ, созданных для работы коммуникатора в составе ИС "Приток-А". Это значит, что, приобретая одно физическое устройство – "Коммуникатор TCP/IP", вы можете использовать его в существующих и будущих вариантах.
Очевидно, что технология использования закрытых корпоративных сетей в дальнейшем будет совершенствоваться и развиваться в силу того, что в них отсутствует прямая связь с открытым Интернетом, что исключает вероятность внешних атак на сеть ПЦН. Это серьезная и устойчивая база для всех разработок, проводимых специалистами ОБ СОКРАТ.
При создании системы "Приток-А" с использованием открытого Интернета возник вопрос: как обеспечить надежность передачи данных? Дело в том, что IP-адреса пользователей, то есть узлов системы охраны и объектов охраны, в этом случае являются открытыми и доступными всем. Одним из способов решения этого вопроса является организация виртуальных выделенных каналов (туннелей), так называемых виртуальных частных сетей (Virtual Private Network – VPN). При организации VPN-сети со стороны Интернета видно только входы в туннель (IP-адреса инициатора и терминатора туннеля).
Локальная сеть ПЦН "Приток-А" через шлюзы VPN (туннели) связана с другими узлами сети системы безопасности, которые находятся на значительном расстоянии от ПЦН. В этих узлах находятся ретрансляторы, концентраторы, коммуникаторы, непосредственно к которым по различным каналам подключается объектовое охранное оборудование – объектовые приборы (ОП).
Для подключения узлов охранной сети, которые фактически находятся в сети Интернет, собственник системы охраны пользуется услугами операторов связи, которые создают для него корпоративную VPN-сеть. Ориентировочная стоимость подключения одного узла в различных регионах РФ составляет от 5 до 10 тыс. рублей. Конечно, к такой VPN-сети на охраняемых объектах через шлюзы (маршрутизаторы) могут быть подключены ППКОП серии "Приток-А", но это достаточно дорогостоящие варианты.
Количество поддерживаемых IP-соединений в корпоративной сети ИС "Приток-А" ограничивается производительностью, которая определяется применяемыми на ПЦН серверами, рабочими станциями и операционной системой. Ядро системы "Приток-А" при работе под Windows XP в зависимости от конфигурации сервера может обеспечить поддержку до 500 IP-соединений c узлами сети и (или) объектовыми приборами и коммуникаторами. В этом случае максимальное время определения аварийного канала связи будет не более 20 с.
Мы видим, что для создания корпоративной сети ПЦН для объединения имеющегося оборудования – серверов, рабочих станций, ретрансляторов, концентраторов, коммуникаторов за исключением объектовых приборов (ОП), – технология VPN подходит идеально. Но возникает желание снизить расходы на содержание корпоративной сети и увеличить возможность подключения большего количества ОП за счет более дешевого подключения их через сеть открытого Интернета.
Возникает вопрос, можно ли организовать централизованную охрану, используя открытый Интернет? Мы отвечаем – можно! Результатом работ, которые велись в последнее время в ОБ СОКРАТ, стала разработка и запуск в серийное производство подсистемы "Приток-Интернет".
Программно-аппаратный комплекс "Приток-Интернет" предназначен для организации централизованной охраны объектов с использованием постоянного подключения к сети Интернет по протоколу UDP.
На основе ИС "Приток-А" строится система охраны, в которой объектовые приборы (ОП) могут быть соединены с ПЦН только через Интернет. Для этого собственник охраняемого объекта и собственник ПЦН должны иметь договоры с интернет-провайдером на постоянное подключение к сети Интернет. При этом ПЦН должен иметь статический (постоянный) IP-адрес.
Создание системы начинается с организации ПЦН. Устанавливаем сервер и рабочие станции (как минимум одну) ИС "Приток-А". На них устанавливается программное обеспечение ПО АРМ "Приток-А V 3.6", запускается ядро. Дополнительно на ПЦН устанавливается маршрутизатор, обеспечивающий постоянное подключение к сети Интернет. Тип маршрутизатора, будь то Cisco 1841 или D-Link-DIR-100 (или 300), выбирается исходя из необходимого уровня защищенности и в соответствии с требованиями провайдера по вопросам совместимости с установленным у него оборудованием. Маршрутизатор выполняет функции межсетевого экрана (FireWall) для защиты сети ПЦН от нежелательного Интернет-трафика. Он должен пропускать UDP-паке-ты, предназначенные только для дополнительно установленного сервера xdevsvc.exe.
Разработанный специалистами ОБ СОКРАТ программный сервер xdevsvc.exe обеспечивает работу с 10 000 ОП по протоколу UDP. Сервер xdevsvc с помощью маршрутизатора подключается к Интернету через любого провайдера и имеет статический IP-адрес, выданный этим провайдером. Сервер работает только с "известными" ему ОП, обрабатывает поступающую от них информацию, взаимодействует с ядром системы. В системе можно подключить неограниченное количество серверов xdevsvc.
На объекте, кроме объектового прибора (ОП), устанавливается маршрутизатор типа D-Link-DIR-300 или другие в соответствии с требованиями провайдера. Его стоимость – от 1000 до 1500 рублей. Маршрутизатор устанавливается только в том случае, если на объекте, кроме ОП, к Интернету подключена другая аппаратура.
Перед установкой на объект ОП настраивается специалистами ПЦН на работу с сервером xdevsvc. Затем ОП устанавливается на объекте, к нему подключаются охранные шлейфы. Работа ПЦН (сервера xdevsvc) с ОП начинается только в том случае, если он предварительно зарегистрирован администратором ПЦН в ПО системы.
Для защиты от несанкционированного воздействия на ОП или сервер xdevsvc, для защиты от подмены ОП в системе предусмотрены дополнительные меры шифрования.
Проблема гарантированной доставки извещений решена организацией резервных каналов передачи данных через другого провайдера или через канал сотовой связи GSM, 3G.
В системе имеется полная защита от подмены ОП. Она решена методом установки и в прибор, и в сервер уникального для каждого ОП ключа шифрования. Таким образом, подмена ОП невозможна. Тем не менее в системе предусмотрено событие, при котором формируется извещение "подмена прибора", что, в свою очередь, влечет за собой сигнал "тревога".
Разработанный программно-аппаратный комплекс "Приток-Интернет" полностью удовлетворяет "Основным требованиям к системам передачи извещений, предназначенным для применения в подразделениях вневедомственной охраны и филиалах ФГУП "Охрана" департамента государственной защиты имущества МВД России.
Опубликовано: Журнал "Системы безопасности" #5, 2010
Посещений: 17285
Автор
| |||
В рубрику "Пожарная безопасность" | К списку рубрик | К списку авторов | К списку публикаций
