Инсталляция биометрии на крупных распределенных объектах

Обеспечение безопасности объекта, идентификация сотрудников и посетителей, учет рабочего времени, контроль за исполнением должностных инструкций, удаленное управление корпоративными системами и, наконец, устранение точек неэффективного расходования средств и сокращение издержек бизнеса — эти и многие другие задачи с успехом решает биометрическая СКУД… При условии, что она выбрана и установлена правильно. Верно и обратное: чем крупнее и сложнее объект, тем дороже обходится каждый промах инсталлятора. Рассказываем и показываем на реальных кейсах, как избежать ошибок при построении СКУД на крупном распределенном объекте.

Автор статьи: СЕО BIOSMART Александр Дремин — эксперт-практик с 15-летним опытом в сфере внедрения СКУД и систем УРВ. Разработанные им технологические решения используют более 5000 компаний по всему миру.

Что такое крупная биометрическая СКУД и какой она должна быть?

Все инсталлируемые в России СКУД должны соответствовать требованиям ГОСТ 51241-2008. Этот стандарт классифицирует СКУД по нескольким ключевым параметрам: по типу управления, по классу защищенности и по размеру. 

По типу управления СКУД подразделяют на три типа: автономные, сетевые централизованные и сетевые универсальные. В автономных СКУД все устройства, установленные в точках прохода, работают автономно, без связи с сервером, в сетевых централизованных СКУД устройствами управляет единый удаленный сервер, а в сетевых универсальных системах устройства могут работать как в сетевом, так и локальном режиме. 

Классов защищенности тоже три: первый, второй и третий. СКУД на крупном распределенном объекте должна соответствовать третьему — самому высокому — классу защищенности. 

Большинство заказчиков (как и многие инсталляторы) привыкли оценивать размер СКУД по объему базы данных персональных идентификаторов: чем больше людей в базе, тем больше СКУД. Однако, вопреки ожиданиям, согласно ГОСТ-у размер СКУД третьего класса определяется не по количеству пользователей, а по числу контролируемых точек прохода. По этому критерию СКУД подразделяют на малые (до 64 точек), средние (до 256 точек) и СКУД большой емкости (свыше 256 точек). К примеру, СКУД из четырех турникетов на предприятии с 10 000 сотрудников считается малой. 

Опираясь на требования ГОСТ-а, сформулируем критерии, которым должна соответствовать биометрическая СКУД третьего (самого высокого) класса защищенности на распределенном объекте:

  1. Число уровней доступа — не менее 256 
  2. Количество временных зон — не менее 256
  3. Поддержка глобального антипассбэка или запрета двойного прохода
  4. Двойная идентификация (например, «карта + биометрия»)
  5. Ввод дополнительного признака при проходе под принуждением
  6. Правило прохода двух лиц
  7. Событий в автономной памяти — не менее 10 тысяч 
  8. Возможность интеграции с ОПС, видеонаблюдением на системном уровне
  9. Отображение плана объекта с указанием точек расположения устройств СКУД, пожарной и охранной сигнализации, видеокамер и тревожных состояний этих точек. 
  10. Контроль за перемещением и поиск пользователей. 

Современные биометрические терминалы оснащены высокоскоростными процессорами и имеют гигабайты оперативной памяти, поэтому легко справляются с такими задачами, как разграничение временных зон и работа в режиме двойной идентификации. 

Однако очевидно, что выполнение этих требований возможно только при условии, что СКУД поддерживает интеграцию на системном уровне и может комплексно среагировать на сигнал из центра: к примеру, при пожаре все двери должны разом разблокироваться, а преграждающие устройства перейти в режим свободного прохода. 

Кроме того, при интеграции на системном уровне все важные данные могут дублироваться, чтобы гарантировать достоверность поступающей информации и обеспечить оперативное управление устройствами СКУД в любой ситуации. 

Интеграция на системном уровне — абсолютный must have для биометрических СКУД.

Каким должно быть программное обеспечение биометрической СКУД на крупном распределенном объекте?

Программная среда, в которой «живет» биометрическая система, должна решать широкий комплекс задач и легко адаптироваться к самым разным условиям. 

Критерии качественного биометрического софта:

1. Масштабируемость архитектуры. 

Клиент-серверная архитектура должна давать возможность оперативно расширять количество точек доступа и объем данных, особенно, биометрических — ведь если в карточной СКУД одна пользовательская запись занимает всего несколько десятков байт, то «вес» биометрического шаблона составляет, как минимум, несколько десятков килобайт.

2. Устойчивость при нагрузочном тестировании.

Прежде чем приступать к инсталляции биометрической СКУД на крупном объекте, необходимо провести нагрузочное тестирование для ПО и баз данных. Ведущие вендоры, уверенные в качестве своих решений, предоставляют клиентам специальный тестовый софт, достоверно имитирующий среду из нескольких тысяч считывателей и нескольких тысяч биометрических шаблонов. 

К примеру, при реализации системы УРВ в компании X5 Retail Group мы разработали ПО для нагрузочного тестирования на базах данных в 10 миллионов пользователей и 50 тысяч биометрических устройств. Каждую секунду программный имитатор терминала генерировал более 100 событий, сервер собирал эти данные и передавал в ERP-систему SAP HR. 

3. Мультизадачность. 

На больших объектах важна возможность работы SDK биометрических устройств в режиме многозадачности. В системе, где это не предусмотрено, рутинные операции с данными могут занимать огромное время. Мне встречались системы УРВ, где обновление шаблонов и выгрузка журналов событий для пары сотен биометрических терминалов занимала всю ночь.

4. Защита данных 

Безопасность данных имеет для бизнеса колоссальное значение, и проектировщики СКУД должны это учитывать.

Современная биометрическая СКУД должна быть оснащена многоуровневой системой защиты от атак из внутреннего и внешнего контура.

Базовые критерии качества СКУД с точки зрения безопасности данных: 

  • биометрические терминалы должны быть защищены от подлога как на уровне «железа» (мощные оптические системы, 3D-камеры, современные процессоры и достаточный объем оперативной памяти), так и на программном уровне (liveness-detection, запрет на идентификацию фото- и видеоизображений);
  • поставщиками оборудования и алгоритмов должны выступать проверенные и авторитетные вендоры; применение no-name устройств с неизвестным принципом работы недопустимо;
  • каналы, по которыми передаются данные, должны быть защищены от хакерских атак;
  • сами данные должны передаваться в зашифрованном виде (к примеру, биометрический идентификатор нужно хранить в виде цифрового шаблона-дескриптора, из которого технически невозможно восстановить исходное изображение лица, отпечатка пальца или рисунка вен);
  • операции с персональными данными должны соответствовать требованиям законодательства (ФЗ №152 «О персональных данных», GDPR).

Интеграция биометрии в СКУД: с какими сложностями сталкиваются инсталляторы и какие методы применяют?

BIOSMART разрабатывает и устанавливает биометрические СКУД более 15 лет, и мы по собственному опыту знаем, что в 90% случаев биометрическая система внедряется в уже действующую систему управления доступом. Чаще всего это СКУД на RFID-картах, инсталлированные в 2000-х годах, хотя мы до сих пор сталкиваемся и с охранными системами на «таблетках» Dallas или доступом по пин-коду. Иногда в рамках одного объекта действует сразу несколько систем (СКУД, ОПС, видеонаблюдение и пр.), установленных в разное время разными вендорами и «живущих параллельной жизнью» на одном сервере. 

Как правило, заказчик ожидает, что все эти системы (со всеми их контроллерами, кабельными трассами и устаревшим ПО) продолжат функционировать, а биометрия будет интегрирована в общий контур качестве надстройки. На практике это возможно далеко не всегда: цифровые технологии развиваются стремительно, и современные высокопроизводительные считыватели и терминалы подчас физически не могут корректно работать в одной связке с устройствами и софтом 20-летней давности. 

Отвечая на запросы рынка, ответственный разработчик и поставщик биометрии обязан позаботиться о том, чтобы спектр доступных методов и инструментов интеграции биометрии в не-биометрические системы был максимально широким. 

Современная биометрическая СКУД для крупного распределенного объекта должна поддерживать следующие методы интеграции: 

1.  Аппаратная интеграция в сторонние СКУД по интерфейсам Wiegand и OSDP. 

Интерфейс Wiegand более популярен, однако имеет множество недостатков — прежде всего, это низкая помехозащищенность и сравнительно небольшое максимально допустимое расстояние (всего несколько десятков метров). В 2011 году компании HID, Lenel, Mercury разработали альтернативу — протокол OSDP на базе физического интерфейса RS-485. В отличие от Wiegand-а, OSDP превосходно защищен от помех, имеет возможность шифрования данных и может работать на расстоянии до 300 метров от контроллера.

2. Программная интеграция с помощью SDK и REST API 

Многие вендоры поддерживают наборы библиотек SDK для быстрой программной интеграции. Есть и более удобный метод — программная интеграция через REST API. Этот метод пришел в биометрию из web-технологий. При интеграции по REST API программирование сведено к минимуму, а все команды со сторонними библиотеками описываются специальными языками JSON или XML. 

К примеру, наши технологические партнеры с успехом используют единый Biosmart SDK для популярных биометрических устройств. SDK поддерживает биометрию любой модальности и может работать на различных ОС (Windows, Linux — Red Hat, Ubuntu, AstraLinux). 

Для удобства партнеров мы предлагаем несколько вариантов поставки SDK — динамические библиотеки и интеграция по REST API, обеспечивающая быстрый старт и настройку без привязки к определенному языку программирования. 

Данные решения уже успешно интегрированы в СКУД Sigur, Итриум и RUBEZH.

К примеру, в компании «Русское поле» терминалы по венам ладоней BioSmart интегрированы в СКУД Сигур при помощи SDK. Сотрудники прикладывают RFID-карту и ладони к считывателям и проходят тестирование на алкотестере. Всеми устройствами управляет ПО Sigur, все события отражаются в журнале. 

3. Интеграция в сторонние системы и комплексы (СКУД, ОПС, видеонаблюдение) с помощью SDK

4. Интеграция со сторонними устройствами (датчики, алкотестеры, тревожные кнопки)

Стороннее оборудование может быть подключено непосредственно к самим биометрическим устройствам через USB или интегрировано в СКУД.

Реальные кейсы интеграций BIOSMART

Интеграция с системами видеонаблюдения и IP-камерами

СКУД BioSmart поддерживает работу с популярными системами видеонаблюдения Trassir, Macroscop, Линия, Intellect и Axxon Next.  В большинстве случаев интеграция была реализована на основе SDK-доступа к серверам видеонаблюдения. 

Преимущества интеграции:

  • Привязка камер видеонаблюдения к точкам прохода или охранной области
  • Включение информации с камер в интерфейс СКУД
  • Просмотр живого видео с камер наблюдения на посту охраны, КПП, мониторинговом центре.
  • Просмотр видеоархива по любым событиям, зафиксированным в журналах точек прохода.

Интеграция с системами ОПС

СКУД BioSmart поддерживает работу с пожарно-охранной системой Bolid. Интеграция реализована через преобразователь С2000-ПП, подключаемый к серверу. Модуль интеграции позволяет организовать единую комплексную систему безопасности на базе интегрированного ПО BioSmart-Studio.

Интеграция с ERP-системами

СКУД BioSmart поддерживает интеграцию со сторонними системами учета рабочего времени и расчета зарплаты — такими, как 1С и SAP. Интеграция реализована через XML-запросы и дает возможность синхронизировать данные обеих систем.  

Интеграция позволяет:

  • передавать данные об организационной структуре и кадровом составе предприятия из 1С в ПО Biosmart-Studio v5
  • фиксировать и передавать в ERP-систему данные о событиях входа-выхода
  • передавать в ERP-систему данные о больничных листах, отпусках, командировках (в том числе, внутридневных) и других причинах отсутствия сотрудников на рабочих местах
  • автоматически рассчитывать табели учета рабочего времени с использованием широкого набора настроек;
  • заполнять стандартный документ конфигураций 1С «Регламентированный табель учета рабочего времени» данными, полученными на основе соотнесения плановых графиков и фактических посещений, и автоматически рассчитывать заработную плату сотрудников.

Примером интеграции с системой SAP HR может служить один из наших крупнейших проектов — система УРВ в компании X5 Retail Group. Мы реализовали интеграцию через универсальный протокол шины PI и разработали многозадачный сервер опроса и базы данных на Линуксе, который позволяет получать данные с более чем 8000 устройств без задержек. Достаточно сказать, что время получения отметки в SAP не превышает 5-ти минут.

Другой интересный пример — интеграция с кассовыми системами компании Макдональдс для системы управления доступом и учета рабочего времени во всех ресторанах России. Ранее для доступа в каждом ресторане стояла кодонаборная панель, а для учета рабочего времени использовался терминал сторонней немецкой компании по магнитным картам. К сожалению, заказчик не смог предоставить описание протокола интеграции, а выйти на разработчиков не удалось. Однако решение было найдено: около полугода разработчики BIOSMART побайтно собирали данные и обрабатывали каждую команду вручную и в итоге смогли восстановить протокол и успешно интегрировать терминалы с кассовой системой компании. 

Интеграция с сервисами распознавания лиц

Для решения задачи идентификации пользователей по лицу на объектах с большим числом сотрудников, мы интегрировали наш терминал BioSmart Quasar с биометрическими сервисами идентификации лиц от ведущих вендоров: Face Machine от 3DiVi, Find Face от NTechLab и сервис идентификации РТЛабс.  

Преимущества интеграции: 

  •  использование передовых алгоритмов идентификации по лицу, в том числе идентификация в маске.
  •  снижение нагрузки и затрат на сервера идентификации по лицу: терминал сам выполняет захват «бестшота» — кадра с лицом
  • снижение стоимости системы: терминал сам управляет дверями и турникетом (устройство оснащено двумя реле и дискретными входами-выходами для датчиков прохода)
  • высокий уровень защищенности системы благодаря комплексной системой антиспуфинга терминала (на аппаратном уровне это набор из трех камер, включая 3D-камеру, на программном уровне — обученная нейросеть, предотвращающая попытки идентификации при помощи фото и видео с смартфонов)
  • идентификация в темноте (возможна благодаря адаптивной подсветке терминала)
  • свобода в выборе алгоритма распознавания лиц: заказчик может применять стандартный встроенный алгоритм «Квазара», обученный алгоритм с возможностью распознавания в маске или интеграцию с внешним алгоритмом от выбранного вендора. 

Пример такой интеграции — СКУД в правительственном комплексе «Башня министерств» на Пресненской набережной в Москве. Здесь установлены терминалы BioSmart Quasar, интегрированные с Единой биометрической системой от «Ростелекома» и СКУД от «РТЛабс». Системы и оборудование работают в единой связке: терминал сканирует лицо, проверяет полученные изображения в цвете, в ИК-диапазоне и карту глубины на liveness, а затем отправляет их на сервер. Мультивендорная система распознавания лиц ЕБС исследует полученные данные несколькими алгоритмами, проводит дополнительную проверку на liveness и передает разрешение или запрет на доступ обратно на терминал. 

Отметим, что СКУД в «Башне министерств» с высокой точностью распознает лица в масках.

Компания BIOSMART — один из ведущих отечественных разработчиков и поставщиков биометрических решений. Мы видим нашу миссию в том, чтобы помогать бизнесу обеспечить безопасность ресурсов и сократить издержки, поэтому мы хотим, чтобы как можно больше заказчиков понимало, что инсталляция биометрической СКУД на крупном распределенном объекте — сложнейший проект с тысячью нюансов и тонкостей. Ошибки в выборе решения и его интеграции могут обойтись очень дорого. 

Мы призываем компании стратегически планировать модернизацию СКУД, тщательно и скрупулезно подходить к вопросу выбора поставщика биометрии, устанавливать оборудование и системы только от проверенных, известных вендоров, обладающих опытом и компетенциями. 

А мы со своей стороны будем рады помочь в реализации проектов любой сложности: проконсультируем, подберем и настроим оборудование под конкретные задачи, окажем техническую поддержку на всех этапах установки и эксплуатации. 

Читайте также