АПК «Бастион-2» СКУД и ОС Elsys ПК «Бастион-3» АПК «Бастион»
Библиотека

Применение дополнительных модулей АПК «Бастион-2». Часть 1

Применение дополнительных модулей АПК «Бастион-2». Часть 1

Статья опубликована в журнале «Алгоритм безопасности», №5, 2017 год. PDF-версия статьи

Аппаратно-программный комплекс «Бастион-2» - мощная платформа для построения современных интегрированных систем безопасности (ИСБ) крупных и распределенных объектов. При этом на таких объектах ИСБ, наряду с системами управления ресурсами, кадрами, собственно производственными процессами, системами жизнеобеспечения и др., является частью комплекса систем управления предприятием. Взаимодействие ИСБ с «соседними» системами и системами верхнего уровня обеспечивается модулями АПК «Бастион-2»:

Модуль «Бастион-2-ИКС» - интеграция кадровых и бухгалтерских систем

Основное назначение модуля - обмен данными между интегрированной в АПК «Бастион-2» системой контроля и управления доступом (СКУД) Elsys и системами автоматизации управления персоналом (HRIS, HRM системы и др. - далее «кадровые системы»).

Модуль позволяет транслировать из/во внешние кадровые системы:

  • данные о сотрудниках, их полномочиях и пропусках в СКУД Elsys;
  • данные о сотрудниках, вносимые и хранящиеся в СКУД Elsys;
  • передавать события, фиксируемые СКУД Elsys (создание заявок, выдача, возврат, аннулирование, изменение полномочий и т.д);
  • формировать реакции СКУД ELsys (например, блокировку пропуска в СКУД Elsys) на события (изменения данных).

В вертикально-интегрированных территориально-распределенных структурах кадровая система строится чаще всего как единая. При этом ИСБ и, в частности, СКУД реализуются как автономные на каждом локальном объекте. Модули «Бастион-2-ИКС», установленные на каждом локальном объекте, обеспечивают интеграцию и в этом случае.

Модуль «Бастион-2-ИКС» представляет собой универсальный инструмент, с помощью которого можно реализовать практически любые задачи обмена данными о пользователях СКУД Elsys, их полномочиях и связанных с ними событиях с внешними системами. Однако каждый конкретный проект требует разработки ответной части со стороны интегрируемой системы для стыковки с модулем «Бастион-2-ИКС».

Документация и тестовая утилита, поставляемые с модулем «Бастион-2-ИКС», позволяют создать и отладить необходимые взаимодействия. Программный интерфейс модуля «Бастион-2-ИКС» допускает формирование запросов к нему практически из любого языка программирования.

Технически модуль «Бастион-2-ИКС» представляет собой веб-службу с REST-интерфейсом (рис. 1), которая может работать по протоколам HTTP и HTTPS. АПК «Бастион-2» не предоставляет внешним системам прямого доступа к своей базе данных. При этом связанные с развитием АПК «Бастион-2» изменения структуры базы данных и даже ее типа не оказывают влияния на взаимодействие АПК «Бастион-2» с внешними системами, реализованное через модуль «Бастион-2-ИКС».

 Схема интеграции внешних систем с использованием «Бастион-2-ИКС»
Рис. 1. Схема интеграции внешних систем с использованием «Бастион-2-ИКС»

Кроме кадровых систем модуль «Бастион-2-ИКС» позволяет выполнить интеграцию служб каталогов пользователей LDAP или Active Directory. Интеграция с этими службами специфична для каждого объекта и требует взаимодействия с IT-подразделением, обслуживающим объект. Индивидуальные проектные решения с использованием инструментария модуля «Бастион-2-ИКС» могут содержать синхронизацию списков пользователей, сопряжение СКУД с системой информационной безопасности. Один из вариантов такого сопряжения - блокировка учетной записи пользователя в Active Directory при выходе пользователя из рабочего кабинета или с территории предприятия. В этом случае СКУД отслеживает физические перемещения сотрудника и устанавливает необходимые ограничения на использование ресурсов сети в Active Directory в соответствии с заданными правилами.

Модуль «Бастион-2-веб- заявка» - автоматизация заказа пропусков

Модуль «Бастион-2-Веб-заявка» представляет собой веб-сервис, предназначенный для автоматизации процесса создания и утверждения заявок на пропуска разных видов. Модуль, один на весь интегрированный комплекс, устанавливается на любой постоянно включенный компьютер сети АПК «Бастион-2». При этом установка специализированного программного обеспечения на компьютеры сотрудников не требуется, взаимодействие с модулем осуществляется через любой браузер.

Модуль «Бастион-2-Веб-заявка» позволяет формировать, согласовывать и утверждать заявки на любые типы пропусков (персональные постоянные, временные и разовые; транспортные и материальные).

Согласование и утверждение (СиУ) заявок на выдачу пропусков может происходить на нескольких (до 8) уровнях - от согласования на младших уровнях до утверждения на старшем. При этом число согласующих на каждом уровне не ограничено.

Пропуск по заявке может быть выдан только после согласований на всех уровнях и утверждения. Эти правила фиксируются в системе сценариями СиУ заявок. Для каждого типа пропуска можно указать отдельный сценарий СиУ по умолчанию. Определенный сценарий СиУ можно задать и для каждого уровня доступа.

СиУ на каждом из уровней может происходить в одном из двух режимов:

  • режим «И»: если на одном уровне назначено несколько согласующих, то заявка считается согласованной на этом уровне, только если ее утвердили все согласующие на этом уровне;
  • режим «ИЛИ»: если на одном уровне назначено несколько согласующих, то заявка считается утвержденной на этом уровне, если ее утвердил хотя бы один из них.

В обоих режимах инициатор заявки и все согласующие могут контролировать, кто и когда согласовал/утвердил пропуск.

Каждый согласующий имеет право отказать в СиУ заявки. Такие заявки получают статус «Отказано в утверждении». При отказе в СиУ опционально указывается причина отказа. Заявку, по которой в СиУ было отказано, можно возобновить или удалить. Все действия в процессе СиУ заявок протоколируются.

Если согласно регламенту утверждения заявки для какого-либо типа пропусков не требуется, то механизм СиУ для этого типа пропуска может быть отключен. Тогда созданная заявка сразу поступает оператору бюро пропусков для выдачи пропуска.

Модуль «Бастион-2-Веб-заявка» может работать по протоколам HTTP и HTTPS. Модуль не требует установки и настройки внешних веб-серверов.

Кроме модуля «Бастион-2-Веб-заявка» в АПК «Бастион-2» интегрирована АСЗП «Блокхост-АСЗП» (модуль интеграции «Бастион-2-Блокхост-АСЗП»). Для интеграции других АСЗП применим модуль «Бастион-2-ИКС».

АПК «Бастион-2» в ситуационных центрах

АПК «Бастион-2» может являться одним из поставщиков данных для ситуационного центра. В зависимости от потребностей для этого могут применяться модули «Бастион-2-OPC-сервер» или «Бастион-2-SNMP-агент». Оба модуля обладают схожим функционалом, но реализуют обмен данными через различные открытые протоколы.

Функциональные возможности обоих модулей включают:

  • получение списка устройств из АПК «Бастион-2»;
  • получение текущих событий из АПК «Бастион-2»;
  • получение текущих состояний устройств из АПК «Бастион-2»;
  • управление устройствами АПК «Бастион-2».

На стороне клиента (в данном случае -в ситуационном центре) можно настроить фильтрацию событий, указав, какие события и от каких устройств необходимо получать.

Модуль «Бастион-2-OPC-сервер» поддерживает протоколы OPC DA 2.0 и 0PC-XML DA 1.0.

Модуль «Бастион-2 - SNMP агент» поддерживает протоколы SNMP версий 1, 2 и 3.

Интеграция с автоматизированными системами управления технологическими процессами (АСУТП)

Как правило, в АСУТП используются системы, имеющие поддержку протокола 0PC, и для интеграции целесообразно применять модуль «Бастион-2-0PC-сервер». При этом реакцией на события в ИСБ могут быть действия исполнительных механизмов АСУТП и наоборот.

Примерами интеграционных сценариев могут служить отключение технологического оборудования при критических событиях типа пожара, изменение режима работы климатического оборудования при изменении режима охраны (постановка/снятие) производственных помещений, блокировка включения технологического оборудования при отсутствии ответственного сотрудника в зоне работ и т. д.

Интеграция с системами мониторинга сетевых ресурсов

Задача централизованного мониторинга разнородных сетевых ресурсов весьма распространена. Обычно она решается специализированными мониторинговыми системами, использующими возможности протокола SNMP. Модуль «Бастион-2-SNMP-агент» позволяет контролировать устройства, управляемые АПК «Бастион-2», как отдельные сетевые объекты и отслеживать их состояние через протокол SNMP любой из актуальных версий - 1, 2 и 3.

Модуль получает данные об устройствах из АПК «Бастион-2» и предоставляет их в виде дерева объектов SNMP. Через SNMP выполняется передача клиенту (внешнему приложению) событий и состояний устройств АПК «Бастион-2», а также прием от клиента команд управления устройствами АПК «Бастион-2».

Технически модуль «Бастион-2-SNMP-агент» предоставляет механизм подписки на события устройств и на смену их состояний посредством отправки SNMP Trap (для подключений по протоколу SNMP версий 1 и 2) или SNMP Inform (для подключений по протоколу SNMP версии 3). Интеграторам следует принимать во внимание незащищенность протокола SNMP версий 1 и 2 и применять дополнительные меры защиты.

Интеграция системы учета для объектов общественного питания

В структуры средних и крупных предприятий и организаций часто интегрированы объекты общественного питания и торговли. Для упрощения их администрирования целесообразно интегрировать такие системы с другими системами управления предприятием. СКУД Elsys может быть для таких систем поставщиком данных о сотрудниках и их идентификаторах, которые могут использоваться при авторизации безналичных расчетов в столовых, магазинах и пр.

Одной из наиболее развитых и распространенных систем автоматизации учета для локальных и распределенных объектов общественного питания и торговли является система АПК «Индустриальное питание». Ее интеграцию со СКУД Elsys выполняет модуль «Бастион-2 - Индустриальное питание».

Взаимодействие систем обеспечивает автоматизацию процесса синхронизации баз данных пропусков пользователей. При этом пользователи СКУД Elsys могут обслуживаться в столовых предприятия по своим пропускам без необходимости повторного ввода данных о них в системе «Индустриальное питание».

В системах могут использоваться карты любых поддерживаемых в СКУД Elsys форматов.

Служба автоматического экспорта данных выполняется на сервере АПК «Бастион-2» в фоновом режиме и с указанной в конфигураторе периодичностью осуществляет экспорт информации о пропусках. Экспортируются все активные пропуска, подходящие по заданным критериям отбора.

При возврате или изъятии пропуска в АПК «Бастион-2» он будет заблокирован и в АПК «Индустриальное питание».

Система «Индустриальное питание» получает оповещение о выполнении очередного экспорта и записывает новую информацию в свою базу данных. Периодичность экспорта задается в настройках модуля интеграции.

Вторая часть статьи будет посвящена решению задач организации транспортных проходных и других точек доступа транспорта с помощью модулей «Бастион-2-Бюро пропусков + МТП» и «Бастион-2-Маршрут».

ГК «ТвинПро»


Возврат к списку


 
 
Политика ООО "ЕС-пром" в отношении обработки персональных данных
Использование материалов сайта разрешено при условии ссылки: Официальный сайт систем безопасности АПК «Бастион», СКУД Elsys - www.trevog.net