Применение дополнительных модулей АПК «Бастион-2». Часть 1Применение дополнительных модулей АПК «Бастион-2». Часть 1
Статья опубликована в журнале «Алгоритм безопасности», №5, 2017 год. PDF-версия статьи Аппаратно-программный комплекс «Бастион-2» - мощная платформа для построения современных интегрированных систем безопасности (ИСБ) крупных и распределенных объектов. При этом на таких объектах ИСБ, наряду с системами управления ресурсами, кадрами, собственно производственными процессами, системами жизнеобеспечения и др., является частью комплекса систем управления предприятием. Взаимодействие ИСБ с «соседними» системами и системами верхнего уровня обеспечивается модулями АПК «Бастион-2»:
Модуль «Бастион-2-ИКС» - интеграция кадровых и бухгалтерских системОсновное назначение модуля - обмен данными между интегрированной в АПК «Бастион-2» системой контроля и управления доступом (СКУД) Elsys и системами автоматизации управления персоналом (HRIS, HRM системы и др. - далее «кадровые системы»). Модуль позволяет транслировать из/во внешние кадровые системы:
В вертикально-интегрированных территориально-распределенных структурах кадровая система строится чаще всего как единая. При этом ИСБ и, в частности, СКУД реализуются как автономные на каждом локальном объекте. Модули «Бастион-2-ИКС», установленные на каждом локальном объекте, обеспечивают интеграцию и в этом случае. Модуль «Бастион-2-ИКС» представляет собой универсальный инструмент, с помощью которого можно реализовать практически любые задачи обмена данными о пользователях СКУД Elsys, их полномочиях и связанных с ними событиях с внешними системами. Однако каждый конкретный проект требует разработки ответной части со стороны интегрируемой системы для стыковки с модулем «Бастион-2-ИКС». Документация и тестовая утилита, поставляемые с модулем «Бастион-2-ИКС», позволяют создать и отладить необходимые взаимодействия. Программный интерфейс модуля «Бастион-2-ИКС» допускает формирование запросов к нему практически из любого языка программирования. Технически модуль «Бастион-2-ИКС» представляет собой веб-службу с REST-интерфейсом (рис. 1), которая может работать по протоколам HTTP и HTTPS. АПК «Бастион-2» не предоставляет внешним системам прямого доступа к своей базе данных. При этом связанные с развитием АПК «Бастион-2» изменения структуры базы данных и даже ее типа не оказывают влияния на взаимодействие АПК «Бастион-2» с внешними системами, реализованное через модуль «Бастион-2-ИКС». Рис. 1. Схема интеграции внешних систем с использованием «Бастион-2-ИКС» Кроме кадровых систем модуль «Бастион-2-ИКС» позволяет выполнить интеграцию служб каталогов пользователей LDAP или Active Directory. Интеграция с этими службами специфична для каждого объекта и требует взаимодействия с IT-подразделением, обслуживающим объект. Индивидуальные проектные решения с использованием инструментария модуля «Бастион-2-ИКС» могут содержать синхронизацию списков пользователей, сопряжение СКУД с системой информационной безопасности. Один из вариантов такого сопряжения - блокировка учетной записи пользователя в Active Directory при выходе пользователя из рабочего кабинета или с территории предприятия. В этом случае СКУД отслеживает физические перемещения сотрудника и устанавливает необходимые ограничения на использование ресурсов сети в Active Directory в соответствии с заданными правилами. Модуль «Бастион-2-веб- заявка» - автоматизация заказа пропусковМодуль «Бастион-2-Веб-заявка» представляет собой веб-сервис, предназначенный для автоматизации процесса создания и утверждения заявок на пропуска разных видов. Модуль, один на весь интегрированный комплекс, устанавливается на любой постоянно включенный компьютер сети АПК «Бастион-2». При этом установка специализированного программного обеспечения на компьютеры сотрудников не требуется, взаимодействие с модулем осуществляется через любой браузер. Модуль «Бастион-2-Веб-заявка» позволяет формировать, согласовывать и утверждать заявки на любые типы пропусков (персональные постоянные, временные и разовые; транспортные и материальные). Согласование и утверждение (СиУ) заявок на выдачу пропусков может происходить на нескольких (до 8) уровнях - от согласования на младших уровнях до утверждения на старшем. При этом число согласующих на каждом уровне не ограничено. Пропуск по заявке может быть выдан только после согласований на всех уровнях и утверждения. Эти правила фиксируются в системе сценариями СиУ заявок. Для каждого типа пропуска можно указать отдельный сценарий СиУ по умолчанию. Определенный сценарий СиУ можно задать и для каждого уровня доступа. СиУ на каждом из уровней может происходить в одном из двух режимов:
В обоих режимах инициатор заявки и все согласующие могут контролировать, кто и когда согласовал/утвердил пропуск. Каждый согласующий имеет право отказать в СиУ заявки. Такие заявки получают статус «Отказано в утверждении». При отказе в СиУ опционально указывается причина отказа. Заявку, по которой в СиУ было отказано, можно возобновить или удалить. Все действия в процессе СиУ заявок протоколируются. Если согласно регламенту утверждения заявки для какого-либо типа пропусков не требуется, то механизм СиУ для этого типа пропуска может быть отключен. Тогда созданная заявка сразу поступает оператору бюро пропусков для выдачи пропуска. Модуль «Бастион-2-Веб-заявка» может работать по протоколам HTTP и HTTPS. Модуль не требует установки и настройки внешних веб-серверов. Кроме модуля «Бастион-2-Веб-заявка» в АПК «Бастион-2» интегрирована АСЗП «Блокхост-АСЗП» (модуль интеграции «Бастион-2-Блокхост-АСЗП»). Для интеграции других АСЗП применим модуль «Бастион-2-ИКС». АПК «Бастион-2» в ситуационных центрахАПК «Бастион-2» может являться одним из поставщиков данных для ситуационного центра. В зависимости от потребностей для этого могут применяться модули «Бастион-2-OPC-сервер» или «Бастион-2-SNMP-агент». Оба модуля обладают схожим функционалом, но реализуют обмен данными через различные открытые протоколы. Функциональные возможности обоих модулей включают:
На стороне клиента (в данном случае -в ситуационном центре) можно настроить фильтрацию событий, указав, какие события и от каких устройств необходимо получать. Модуль «Бастион-2-OPC-сервер» поддерживает протоколы OPC DA 2.0 и 0PC-XML DA 1.0. Модуль «Бастион-2 - SNMP агент» поддерживает протоколы SNMP версий 1, 2 и 3. Интеграция с автоматизированными системами управления технологическими процессами (АСУТП)Как правило, в АСУТП используются системы, имеющие поддержку протокола 0PC, и для интеграции целесообразно применять модуль «Бастион-2-0PC-сервер». При этом реакцией на события в ИСБ могут быть действия исполнительных механизмов АСУТП и наоборот. Примерами интеграционных сценариев могут служить отключение технологического оборудования при критических событиях типа пожара, изменение режима работы климатического оборудования при изменении режима охраны (постановка/снятие) производственных помещений, блокировка включения технологического оборудования при отсутствии ответственного сотрудника в зоне работ и т. д. Интеграция с системами мониторинга сетевых ресурсовЗадача централизованного мониторинга разнородных сетевых ресурсов весьма распространена. Обычно она решается специализированными мониторинговыми системами, использующими возможности протокола SNMP. Модуль «Бастион-2-SNMP-агент» позволяет контролировать устройства, управляемые АПК «Бастион-2», как отдельные сетевые объекты и отслеживать их состояние через протокол SNMP любой из актуальных версий - 1, 2 и 3. Модуль получает данные об устройствах из АПК «Бастион-2» и предоставляет их в виде дерева объектов SNMP. Через SNMP выполняется передача клиенту (внешнему приложению) событий и состояний устройств АПК «Бастион-2», а также прием от клиента команд управления устройствами АПК «Бастион-2». Технически модуль «Бастион-2-SNMP-агент» предоставляет механизм подписки на события устройств и на смену их состояний посредством отправки SNMP Trap (для подключений по протоколу SNMP версий 1 и 2) или SNMP Inform (для подключений по протоколу SNMP версии 3). Интеграторам следует принимать во внимание незащищенность протокола SNMP версий 1 и 2 и применять дополнительные меры защиты. Интеграция системы учета для объектов общественного питанияВ структуры средних и крупных предприятий и организаций часто интегрированы объекты общественного питания и торговли. Для упрощения их администрирования целесообразно интегрировать такие системы с другими системами управления предприятием. СКУД Elsys может быть для таких систем поставщиком данных о сотрудниках и их идентификаторах, которые могут использоваться при авторизации безналичных расчетов в столовых, магазинах и пр. Одной из наиболее развитых и распространенных систем автоматизации учета для локальных и распределенных объектов общественного питания и торговли является система АПК «Индустриальное питание». Ее интеграцию со СКУД Elsys выполняет модуль «Бастион-2 - Индустриальное питание». Взаимодействие систем обеспечивает автоматизацию процесса синхронизации баз данных пропусков пользователей. При этом пользователи СКУД Elsys могут обслуживаться в столовых предприятия по своим пропускам без необходимости повторного ввода данных о них в системе «Индустриальное питание». В системах могут использоваться карты любых поддерживаемых в СКУД Elsys форматов. Служба автоматического экспорта данных выполняется на сервере АПК «Бастион-2» в фоновом режиме и с указанной в конфигураторе периодичностью осуществляет экспорт информации о пропусках. Экспортируются все активные пропуска, подходящие по заданным критериям отбора. При возврате или изъятии пропуска в АПК «Бастион-2» он будет заблокирован и в АПК «Индустриальное питание». Система «Индустриальное питание» получает оповещение о выполнении очередного экспорта и записывает новую информацию в свою базу данных. Периодичность экспорта задается в настройках модуля интеграции. Вторая часть статьи будет посвящена решению задач организации транспортных проходных и других точек доступа транспорта с помощью модулей «Бастион-2-Бюро пропусков + МТП» и «Бастион-2-Маршрут». ГК «ТвинПро» |
ООО «ЕС-пром»,
Почтовый адрес:
443029, г. Самара, ул. Солнечная, д. 53
Телефоны:
+7(846) 243-90-90, 8 (800) 25-00-846
ООО «ЕС-пром»,
Почтовый адрес:
443029, г. Самара, ул. Солнечная, д. 53
Телефоны:
+7(846) 243-90-90, 8 (800) 25-00-846