ACS, hoy.
ACS, hoy
El mercado de equipos técnicos de seguridad es, por supuesto, razonablemente conservador en cuanto a la aceptación de ciertas innovaciones técnicas provenientes de industrias relacionadas, y principalmente de la industria de TI. Por un lado, las particularidades del negocio del mercado de TSB no permiten, cuando aparezca el próximo “nuevo producto milagroso”, apresurarse a ofrecerlo a los clientes para evitar la aparición de posibles lagunas en la organización de la protección de objetos. . Además, la facturación de fondos en el mercado de bienes de consumo no es tan grande como en el mercado de TI, y cualquier fabricante debe estar suficientemente motivado por la demanda del cliente de una determinada innovación técnica para poder invertir en su desarrollo (a menudo desde cero). y producción.
Por otro lado, en mi opinión, también es errónea la política de ignorar manifiestamente por parte de algunos participantes del mercado algunos procesos inevitables, yo diría “tectónicos”, de cambiar las condiciones en las que se propone desarrollar aún más el mercado de TSB. Por lo tanto, sin pedir a nadie que «se suba los pantalones para correr tras el Komsomol», me gustaría detenerme en aquellos aspectos del desarrollo del mercado de control de acceso que en un futuro próximo serán relevantes para todos los «jugadores» serios de este segmento de la TSB.
Software del controlador.
El controlador de control ACS de la “nueva ola” suele ser un dispositivo basado en un PC industrial con su propio sistema operativo, normalmente Linux. Además, la minimización del tiempo de respuesta a señales externas en este caso se produce no sólo mediante la aparición de procesadores cada vez más eficientes para estos dispositivos, sino también mediante la programación de estos controladores para las tareas funcionales específicas que realizan. En otras palabras, el controlador en el punto A garantiza el funcionamiento de los torniquetes en la entrada de la empresa, y el controlador en el punto B se dedica exclusivamente a controlar el paso a través de un grupo de puertas en el sector de oficinas del edificio. La idea misma de especialización de los controladores no es en absoluto nueva, solo que con el uso de las tecnologías actuales, la funcionalidad programable de los controladores se puede cambiar fácilmente posteriormente, por ejemplo, cuando se reconstruye un edificio o se cambian las políticas de seguridad generales. en las instalaciones.
Sobre la cuestión de quién, cómo y cuándo puede cambiar la funcionalidad del controlador, los fabricantes tienen diferentes puntos de vista. Algunos fabricantes de ACS suministran a los desarrolladores de software de terceros un SDK especial que describe las posibles funciones del controlador, limitadas a ciertos límites. Como parte del software del controlador AEOS ACS (Nedap), se ofrece una biblioteca en constante expansión de los llamados componentes «comportamentales» que permite al usuario del sistema no solo cambiar rápidamente la funcionalidad de los controladores directamente en el sitio mediante el uso de componentes de biblioteca estándar ( puerta de enlace con torniquete, vestíbulo con esclusa de aire, paso a través de una puerta estándar), pero también cree usted mismo nuevos componentes de esta biblioteca. Al mismo tiempo, el usuario no requiere conocimientos del nivel de desarrollador de software para controladores que ejecutan el sistema operativo Linux. El conjunto de herramientas para crear nuevos tipos de puntos de acceso es un software de nivel superior en el que todos los componentes del sistema se presentan como un conjunto de módulos de entradas y salidas de dispositivos de hardware del sistema, que están conectados lógicamente entre sí en forma de diagramas de bloques que describen los algoritmos necesarios para el funcionamiento de puntos de acceso específicos.
Además de las ventajas en el rendimiento y la flexibilidad de la configuración del controlador, este enfoque permite al cliente del sistema obtener importantes ahorros de costos al cambiar la estructura del sistema existente en el sitio (expandir, transferir, cambiar los modos de control), ya que en esta opción no A menudo no es necesario comprar controladores de sistema nuevos y costosos, sino que sólo requiere su reconfiguración.
Otra gran ventaja de utilizar controladores con sistema operativo Linux integrado es el conveniente
uso de una red Ethernet (TCP/IP) para la comunicación entre controladores ACS.
Si intentamos no utilizar definiciones alarmantemente intrusivas en la prensa como «revolución IP, avance, etc.», entonces esencialmente, en este momento, el mercado de TSB y ACS en particular está desarrollando intensamente una nueva interfaz para la comunicación entre los módulos funcionales. del sistema, cuya ventaja radica, en primer lugar, en su estandarización industrial y distribución global. Los fabricantes de ACS que ahora centran sus desarrollos en el protocolo de red tienen constantemente acceso a mejoras y nuevas tecnologías que aparecen con el desarrollo de los estándares de red de la industria TI, lo que en definitiva les da una ventaja a la hora de plantearse las tareas de integración con otros sistemas de información en la instalación o , digamos, convergencia con un usuario del sistema de autenticación para acceder a los recursos de información del objeto. Hay otro aspecto importante: ahorrar en la instalación del sistema. Cuando los elementos ACS trabajan entre sí a través de la red ya existente en la instalación, no es necesario establecer numerosas comunicaciones adicionales para garantizar el funcionamiento del sistema como un todo. Si hablamos de un sistema distribuido geográficamente o de reemplazar un sistema de control de acceso existente en una instalación grande por uno nuevo, entonces esta «matemática» se manifestará con especial claridad.
Permítanme señalar una vez más que en este momento estamos hablando específicamente de la conexión entre los controladores ACS, y no de la conexión «controlador — servidor del sistema». Y aquí es donde la implementación estándar de Ethernet basada en Linux (TCP/IP) en los controladores proporciona una ventaja a la hora de organizar esta interacción. La idea principal es organizar un sistema de control de acceso distribuido geográficamente utilizando un protocolo de red para proporcionar, por ejemplo, un modo «antipassback global» en todo el sistema o para garantizar una respuesta a la activación de un sensor «responsable» de un controlador en un actuador controlado por otro controlador de la red. En este caso, todo el proceso debe ocurrir independientemente de la disponibilidad del servidor del sistema en la red en ese momento. Desde el punto de vista de la configuración del control de acceso, la tarea no es nueva en absoluto. El único punto es que en este momento se ve a través del prisma del uso de redes Ethernet (TCP/IP) como interfaz.
Para resolver estos problemas, el uso de ciertos dispositivos estándar (puertas de enlace de hardware) para adaptar controladores ACS previamente desarrollados para que funcionen en la red, por ejemplo, instalando en ellos módulos Lantronix para implementar un puerto COM virtual a través de Ethernet, conlleva una serie de restricciones. en la interacción de dispositivos a través de redes y no son adecuados para crear comunicaciones punto a punto completas entre controladores de sistemas. Al mismo tiempo, es la presencia de un protocolo Ethernet completamente implementado en los controladores Nedap AEOS ACS lo que permite a los controladores comunicarse directamente entre sí, y no a través del servidor, minimizando al mismo tiempo la carga de la red en la instalación. La presencia de comunicaciones «peer-to-peer» entre controladores también le permite crear y cargar «escenarios virtuales» completos en los controladores con anticipación: reacciones complejas del sistema, un grupo de controladores, en caso de ciertas amenazas. desde el exterior. En los sistemas de generaciones anteriores, esta tarea generalmente se resolvía mediante software de nivel «superior», implementando un determinado aparato de reacción del sistema que se ejecutaba en el servidor ACS.
Una ventaja absoluta al configurar estos y otros modos de interacción entre controladores la proporciona la presencia de una interfaz web integrada en los controladores.
Lo que le permite organizar cualquier lugar de trabajo utilizando tecnología de “cliente ligero”. Es decir, para trabajar con el sistema, basta con iniciar un navegador web, por ejemplo, IE.
Por tanto, para implementar una estación de trabajo, basta con iniciar un navegador web y, de acuerdo con sus derechos, acceder al servidor. Es decir, no es necesario instalar ningún software especial.
Varios fabricantes ya están utilizando activamente el uso de una interfaz web integrada para gestionar y monitorear sus controladores autónomos.
En el sistema Nedap AEOS, la interfaz web funciona en la red como una aplicación independiente, lo que le permite aprovechar sus ventajas de forma más amplia y completa.
No hay problemas con las actualizaciones de software. La actualización se produce simultáneamente en todas las máquinas de la red, incluidas las sucursales/administración remota. A su vez, esto permite no incrementar el personal, ya que todos los procesos importantes para el funcionamiento del sistema son controlados y gestionados desde el centro. Es muy importante en el caso de objetos geográficamente dispersos. Los usuarios no tienen problemas con la desincronización de la base de datos o entradas incorrectas en la base de datos.
Los requisitos de hardware de las computadoras en las que se implementarán las estaciones de trabajo se reducen significativamente. La carga en la red se reduce significativamente, ya que a través de la red solo se transmite el resultado del trabajo del servidor, y no una serie de datos.
El problema de acceder a los recursos internos de la computadora se resuelve fácilmente; todos los procesos críticos están bloqueados por herramientas estándar de Windows. (Actualmente, en varios sistemas, incluso para iniciar la estación del operador, se requieren derechos de administrador).
Protección de la información transmitida a través de la red.
El principal argumento de los escépticos cuando se habla de la integración de los estándares de red existentes en los equipos de control de acceso es la opinión sobre la insuficiente seguridad de las conexiones a través del protocolo TCP/IP, así como sobre los problemas que surgen cuando los paquetes de información pasan a través de varias puertas de enlace y enrutadores. separar subredes. Una solución a este problema es organizar una conexión VPN (red privada virtual) utilizando el protocolo SSL (Secure Socket Layer) entre los controladores de red y el servidor del sistema. Actualmente, VPN en combinación con SSL se considera el método más seguro para transmitir datos a través de redes.
Por supuesto, esto requiere que el fabricante del ACS implemente una VPN en el software del controlador, para lo cual, nuevamente, las opciones en la plataforma Linux parecen más ventajosas.
Además, para proteger el acceso a la información del responsable del tratamiento, es posible utilizar soluciones existentes y probadas en el mercado de TI. Por ejemplo, en los controladores Nedap AEOS, además de la tecnología VPN/SSL implementada, se utiliza un módulo SAM incorporado para proteger el acceso al controlador. El módulo SAM (Security Account Manager) es un administrador de credenciales en el sistema de seguridad, es decir, un subsistema que mantiene una base de datos de cuentas de usuario que contiene información sobre niveles de privilegios de usuario, contraseñas, etc. La presencia de un módulo SAM evita que usuarios no autorizados accedan al controlador. El módulo SAM se puede suministrar con claves con las que los usuarios pueden trabajar a su discreción.
Funcionamiento en modo PoE.
Por supuesto, la presencia de un modo PoE en los controladores IP ACS, a diferencia de, por ejemplo, las cámaras IP, ahora parece más una estrategia de marketing que una innovación técnica seria. De hecho, al instalar dichos controladores en una instalación, no puede decirle al Cliente con la conciencia tranquila que simplemente necesita «reenviar una red» a la puerta controlada. El hecho es que los controladores ACS, a diferencia de las mismas cámaras IP, necesitan controlar dispositivos periféricos (lectores y actuadores) y, debido a los estándares PoE existentes, la potencia de salida de los controladores ACS que operan en este modo no les permite suministrar energía. digamos, lectores de largo alcance y, especialmente, para cerraduras electromecánicas o con motor eléctrico. Por otro lado, la salida total del controlador Nedap AEOS AP6003 ya está dividida en 200 mA para conectar un lector externo y 500 mA para controlar la cerradura a los mismos 12VDC. Estas características son suficientes para controlar una puerta con un lector RFID de corto alcance y suministrar tensión de control a una cerradura o pestillo eléctrico. Por otro lado, desde el punto de vista de la correcta instalación del sistema de acceso, en cualquier caso, la alimentación de la cerradura debe realizarse independientemente de la alimentación del controlador y lector para evitar posibles sobretensiones en la red que suministra electrónica sensible. En mi opinión, un mayor desarrollo de los estándares PoE ampliará las posibilidades de utilizar esta tecnología en los sistemas de control de acceso y conducirá a la aparición de nuevos desarrollos interesantes en esta área.
Lectores y controladores multiformato.
A estas alturas podemos decir con seguridad que en Rusia se ha formado durante mucho tiempo un segmento separado del mercado de sistemas de seguridad asociado con la sustitución y modernización de equipos previamente instalados en las instalaciones de los clientes. Y aunque el mercado de control de acceso en Rusia es algo más joven que el mismo mercado de videovigilancia y comenzó a mediados de los años 90 del siglo pasado, e inmediatamente con la tecnología RFID (lo que sorprendió mucho a los representantes de los países occidentales que llegaron a Rusia en entonces), el campo de actividad en este “secundario” “El mercado ahora es bastante extenso. El cliente puede presentar los requisitos para reemplazar un sistema de control de acceso existente tanto en función de las regulaciones gubernamentales existentes (por ejemplo, el reemplazo periódico de los fondos TSB en las estructuras del Banco Central de la Federación de Rusia) como por razones objetivas de moral y envejecimiento técnico del sistema existente. En la mayoría de los casos, el Cliente impone al menos un requisito, pero muy estricto: los pases de los empleados deben seguir siendo los mismos. De hecho, a menudo el costo de reemplazar las tarjetas para miles de empleados de una gran empresa industrial o una empresa con una estructura de múltiples sucursales cubre con creces el costo de reemplazar todos los equipos de control de acceso en la instalación. A la cuestión puramente técnica de sustituir unos identificadores por otros, se suma un verdadero «dolor de cabeza» organizativo para los agentes de seguridad asociado con la confiscación física de todos los pases antiguos de los empleados y la distribución planificada de los nuevos.
Naturalmente, para los principales fabricantes de sistemas de control de acceso del mundo, este problema no surgió ayer y en este momento el mercado ofrece dos opciones principales para resolver el problema de mantener (o reemplazar sin problemas) los pases de usuario al reemplazar el sistema existente del cliente.
La mayoría de los sistemas de control de acceso modernos tienen varios tipos de módulos de interfaz o dispositivos universales para conectar lectores con varios tipos comunes de interfaces. La mayoría de las veces hablamos de interfaces Wiegand y Data&Clock con la posible adición de una interfaz interna específica de un fabricante en particular. En este caso, es una “buena práctica” poder operar simultáneamente diferentes tipos de lectores en el sistema.
Otra opción para solucionar el problema del almacenamiento de pases es el uso de lectores multiformato, que suelen permitir leer, además de las tarjetas del formato “nativo” del fabricante, 1 o 2 tipos más de identificadores habituales en el mercado. .
Los módulos de interfaz Nedap AEOS para lectores de terceros de la serie AP1003/6003/4X03, tras una configuración preliminar, son capaces de soportar el funcionamiento de casi todos los lectores existentes en el mercado. Además de lectores con interfaces Wiegand y Data&Clock, puede conectar dispositivos con interfaces RS232, RS485, Omron y MagStripe. La biblioteca de componentes «comportamentales» para estos módulos (software integrado) contiene más de ochenta (!) tipos de formatos diferentes para lectores con las interfaces especificadas.