Инсталляция биометрии на крупных распределенных объектах

Печальная реальность и путь к эффективным решениям
Обеспечение безопасности объекта, идентификация сотрудников и посетителей, учёт рабочего времени, контроль за исполнением должностных инструкций, удалённое управление корпоративными системами и, наконец, устранение точек неэффективного расходования средств и сокращение издержек бизнеса — эти и многие другие задачи с успехом решает биометрическая СКУД.

Рассказываем и показываем на реальных кейсах, как избежать ошибок при построении СКУД на крупном распределенном объекте.
Содержание
Что такое крупная биометрическая СКУД и какой она должна быть?
Все инсталлируемые в России СКУД должны соответствовать требованиям ГОСТ 51241-2008. Этот стандарт классифицирует СКУД по нескольким ключевым параметрам: по типу управления, по классу защищённости и по размеру.

По типу управления СКУД подразделяют на три типа:
  1. Автономные устройства, установленные в точках прохода, работают автономно, без связи с сервером.
  2. Сетевые централизованные — устройствами управляет единый удаленный сервер.
  3. Сетевые универсальные — устройства могут работать как в сетевом, так и локальном режиме.

Если говорить про класс защищённости, то их также три. СКУД на крупном распределённом объекте должна соответствовать третьему, самому высокому классу защищённости.

Большинство заказчиков (как и многие инсталляторы) привыкли оценивать размер СКУД по объёму базы данных персональных идентификаторов: чем больше людей в базе, тем больше СКУД. Однако, вопреки ожиданиям, согласно
ГОСТ, размер СКУД третьего класса определяется не по количеству пользователей, а по числу контролируемых точек прохода. По этому критерию СКУД подразделяют на малые (до 64 точек), средние (до 256 точек) и СКУД большой ёмкости (свыше 256 точек). К примеру, СКУД из четырёх турникетов на предприятии с 10 000 сотрудников считается малой.

Опираясь на требования ГОСТ, сформулируем критерии, которым должна соответствовать биометрическая СКУД третьего (самого высокого) класса защищённости на распределённом объекте.
Требования к биометрической СКУД на распределённом объекте
  • Число уровней доступа — не менее 256
  • Количество временных зон — не менее 256
  • Поддержка глобального антипассбэка или запрета двойного прохода
  • Двойная идентификация (например, «карта + биометрия»)
  • Ввод дополнительного признака при проходе под принуждением
  • Правило прохода двух лиц
  • Событий в автономной памяти — не менее 10 тысяч
  • Возможность интеграции с ОПС, видеонаблюдением на системном уровне
  • Отображение плана объекта с указанием точек расположения устройств СКУД, пожарной и охранной сигнализации, видеокамер и тревожных состояний этих точек
  • Контроль за перемещением и поиск пользователей
Современные биометрические терминалы оснащены высокоскоростными процессорами и имеют гигабайты оперативной памяти, поэтому легко справляются с такими задачами, как разграничение временных зон и работа в режиме двойной идентификации.

Однако очевидно, что выполнение этих требований возможно только при условии, что СКУД поддерживает интеграцию на системном уровне и может комплексно среагировать на сигнал из центра: к примеру, при пожаре все двери должны разом заблокироваться, а преграждающие устройства перейти в режим свободного прохода. Кроме того, при интеграции на системном уровне все важные данные могут дублироваться, чтобы гарантировать достоверность поступающей информации и обеспечить оперативное управление устройствами СКУД в любой ситуации.
Каким должно быть программное обеспечение биометрической СКУД на крупном распределённом объекте?
Программная среда должна решать широкий комплекс задач и легко адаптироваться к самым разным условиям.

Критерии качественного биометрического софта:

1. Масштабируемость структуры
Серверная структура должна давать возможность оперативно расширять количество точек доступа и объём данных, особенно, биометрических — ведь если в карточной СКУД одна пользовательская запись занимает всего несколько десятков байт, то «вес» биометрического шаблона составляет, как минимум, несколько десятков килобайт.

2. Устойчивость при нагрузочном тестировании
Прежде чем приступать к инсталляции биометрической СКУД на крупном объекте, необходимо провести тестирование ПО и баз данных. Ведущие вендоры, уверенные в качестве своих решений, предоставляют клиентам специальный тестовый софт, достоверно имитирующий среду из нескольких тысяч считывателей и нескольких тысяч биометрических шаблонов.

Например, при реализации системы УРВ в компании X5 Retail Group мы разработали ПО для нагрузочного тестирования на базах данных в 10 миллионов пользователей и 50 тысяч биометрических устройств. Каждую секунду программный имитатор терминала генерировал более 100 событий, сервер собирал эти данные и передавал в ERP-систему SAP HR.

3. Мультизадачность
На больших объектах важна возможность работы SDK биометрических устройств в режиме многозадачности. В системе, где это не предусмотрено, рутинные операции с данными могут занимать огромное время.

4. Защита данных
Безопасность данных имеет для бизнеса колоссальное значение и проектировщики СКУД должны это учитывать. Современная биометрическая СКУД должна быть оснащена многоуровневой системой защиты от атак из внутреннего и внешнего контура.
Базовые критерии качества СКУД с точки зрения безопасности данных:
  • Биометрические терминалы должны быть защищены от подлога как на уровне «железа» (мощные оптические системы, 3D-камеры, современные процессоры и достаточный объем оперативной памяти), так и на программном уровне (liveness-detection, запрет на идентификацию фото- и видеоизображений).
  • Поставщиками оборудования и алгоритмов должны выступать проверенные и авторитетные вендоры.Применение no-name устройств с неизвестным принципом работы недопустимо.
  • Каналы, по которыми передаются данные, должны быть защищены от хакерских атак.
  • Сами данные должны передаваться в зашифрованном виде (к примеру, биометрический идентификатор нужно хранить в виде цифрового шаблона-дескриптора, из которого технически невозможно восстановить исходное изображение лица, отпечатка пальца или рисунка вен);
  • Операции с персональными данными должны соответствовать требованиям законодательства (ФЗ №572 регулирующий хранение биометрических данных , ФЗ №152 «О персональных данных»).
Биометрическая идентификация СКУД: с какими сложностями сталкиваются инсталляторы при интеграции?
BIOSMART разрабатывает и производит биометрическую СКУД более 18 лет. И мы по опыту знаем, что в 90% случаев предприятие, решив купить биометрические терминалы СКУД, внедряет в уже действующую систему. Чаще всего это СКУД на RFID-картах. Иногда в рамках одного объекта действует сразу несколько систем (современный СКУД, ОПС, видеонаблюдение, считыватель, идентифицирующий отпечаток пальца и пр.). Установленные в разное время и от разных вендоров, системы работают обособленно, а данные из них обрабатываются вручную — например, сотрудник службы безопасности проверяет информацию только после возникновения инцидентов. Таким образом, ключевым методом выявления подозрительных лиц остается субъективная оценка специалиста
Современная биометрическая СКУД для крупного распределённого объекта должна поддерживать следующие методы интеграции:

1. Аппаратная интеграция в сторонние СКУД по интерфейсам OSDP и Wiegand
Интерфейс Wiegand более популярен, однако имеет множество недостатков — прежде всего, это низкая помехозащищенность и сравнительно небольшое максимально допустимое расстояние (всего несколько десятков метров). В 2011 году компании HID, Lenel, Mercury разработали альтернативу — протокол OSDP на базе физического интерфейса RS-485. В отличие от Wiegand, OSDP превосходно защищён от помех, имеет возможность шифрования данных и работает на расстоянии до 500 метров от контроллера.

2. Программная интеграция с помощью SDK и REST API
Многие вендоры поддерживают наборы библиотек SDK для быстрой программной интеграции. Есть и более удобный метод — программная интеграция через REST API. Этот метод пришел в биометрию из web-технологий. При интеграции по REST API программирование сведено к минимуму, а все команды со сторонними библиотеками описываются специальными языками JSON или XML.

К примеру, наши технологические партнеры с успехом используют единый Biosmart SDK для биометрических устройств. SDK поддерживает биометрию любой модальности и может работать на различных ОС (Windows, Linux — Red Hat, Ubuntu, AstraLinux). Для удобства партнеров мы предлагаем несколько вариантов поставки SDK — динамические библиотеки и интеграция по REST API, обеспечивающая быстрый старт и настройку без привязки к определённому языку программирования.

3. Интеграция в сторонние системы и комплексы (СКУД, ОПС, видеонаблюдение) с помощью SDK

4. Интеграция со сторонними устройствами (датчики, алкотестеры, тревожные кнопки)
Стороннее оборудование может быть подключено непосредственно к самим биометрическим устройствам через USB или интегрировано в СКУД.
Реальные кейсы интеграций BIOSMART

Интеграция с системами видеонаблюдения и IP-камерами
СКУД BIOSMART поддерживает работу с популярными системами видеонаблюдения TRASSIR, Macroscop, Линия, Intellect и Axxon Next. В большинстве случаев интеграция была реализована на основе SDK-доступа к серверам видеонаблюдения.

Преимущества интеграции:
  • Привязка камер видеонаблюдения к точкам прохода или охранной области.
  • Включение информации с камер в интерфейс СКУД.
  • Просмотр живого видео с камер наблюдения на посту охраны, КПП, мониторинговом центре.
  • Просмотр видеоархива по любым событиям, зафиксированным в журналах точек прохода.

Интеграция с системами ОПС
СКУД BIOSMART поддерживает работу с пожарно-охранной системой Bolid. Интеграция реализована через преобразователь С2000-ПП, подключаемый к серверу. Модуль интеграции позволяет организовать единую комплексную систему безопасности на базе интегрированного ПО BioSmart-Studio.

Интеграция с ERP-системами
СКУД BioSmart поддерживает интеграцию со сторонними системами учёта рабочего времени и расчёта зарплаты. Интеграция реализована через XML-запросы и даёт возможность синхронизировать данные обеих систем.
Интеграция позволяет:
  • передавать данные об организационной структуре и кадровом составе предприятия из 1С в ПО Biosmart-Studio v6;
  • фиксировать и передавать в ERP-систему данные о событиях входа-выхода;
  • передавать в ERP-систему данные о больничных листах, отпусках, командировках (в том числе, внутридневных) и других причинах отсутствия сотрудников на рабочих местах;
  • автоматически рассчитывать табели учёта рабочего времени с использованием широкого набора настроек;
  • заполнять стандартный документ конфигураций 1С «Регламентированный табель учёта рабочего времени» данными, полученными на основе соотнесения плановых графиков и фактических посещений, и автоматически рассчитывать заработную плату сотрудников.

Примером интеграции с системой SAP HR может служить один из наших крупнейших проектов — система УРВ в компании X5 Retail Group. Мы реализовали интеграцию через универсальный протокол шины IP и разработали многозадачный сервер опроса и базы данных на Linux, который позволяет получать данные с более чем 8000 устройств без задержек. Таким образом, время получения отметки в SAP не превышает 5-ти минут.
Интеграция с сервисами распознавания лиц
Для решения задачи идентификации пользователей по лицу на объектах с большим числом сотрудников, мы интегрировали наш терминал BioSmart Quasar с биометрическими сервисами идентификации лиц от ведущих вендоров: Face Machine от 3DiVi, Find Face от NTechLab и сервис идентификации РТЛабс.
Преимущества интеграции:
  • использование передовых алгоритмов идентификации по лицу, в том числе идентификация в маске;
  • снижение нагрузки и затрат на сервера идентификации по лицу: терминал сам выполняет захват «Bestshot» — кадра с лицом;
  • снижение стоимости системы: терминал сам управляет дверями и турникетом (устройство оснащено двумя реле и дискретными входами-выходами для датчиков прохода);
  • высокий уровень защищённости системы благодаря комплексной системой антиспуфинга терминала (на аппаратном уровне это набор из трех камер, включая 3D-камеру; на программном уровне — обученная нейросеть, предотвращающая попытки идентификации при помощи фото и видео с смартфонов);
  • идентификация в темноте (возможна благодаря адаптивной подсветке терминала);
  • свобода в выборе алгоритма распознавания лиц: заказчик может применять стандартный встроенный алгоритм Quasar, обученный алгоритм с возможностью распознавания в маске или интеграцию с внешним алгоритмом от выбранного вендора.
Пример такой интеграции — СКУД в правительственном комплексе «Башня министерств» на Пресненской набережной в Москве. Здесь установлены терминалы BioSmart Quasar, интегрированные с Единой биометрической системой от «Ростелекома» и СКУД от «РТЛабс». Системы и оборудование работают в единой связке: терминал сканирует лицо, проверяет полученные изображения в цвете, в ИК-диапазоне и карту глубины на liveness, а затем отправляет их на сервер. Мультивендорная система распознавания лиц ЕБС исследует полученные данные несколькими алгоритмами, проводит дополнительную проверку на liveness и передает разрешение или запрет на доступ обратно на терминал.

Отметим, что СКУД в «Башне министерств» с высокой точностью распознаёт лица в масках.
Биометрическая СКУД в небоскребе «Башня министерств»