Интеграция физической и информационной безопасности
Вопросы конвергенции физической и информационной безопасности уже давно будоражат умы как специалистов ИТ-индустрии, так и экспертов по физической безопасности. Но если первые с нескрываемым интересом поглядывают на доселе неисследованную землю, то вторые пока с некоторой опаской ожидают прихода «чужаков».
 Комплексная система управления физической и информационной безопасностью может работать в едином IP-пространстве |
Сейчас традиционная телефония все еще существует на локальном уровне — в виде домашних телефонов, аналоговых либо цифровых телефонных станций небольших офисов. Но IP-телефония убедительно выигрывает по «очкам» — по количеству новых инсталляций в больших и средних компаниях и популярности у операторов связи. Конвергенция двух технологий в IP-телефонию была вызвана двумя основными факторами: более низкой стоимостью внедрения и эксплуатации конвергентного решения и стремлением бизнеса увеличить эффективность коммуникаций за счет интеграции телефонии в бизнес-приложения.
Сейчас индустрия переходит к следующему этапу развития, на котором IP-телефония, электронная почта, ICQ, видеоконференции объединяются в унифицированные коммуникации.
Разделяй – не властвуй?
Похожую ситуацию мы наблюдаем и с физической безопасностью: в компаниях строятся независимые системы информационной безопасности, видеонаблюдения (CCTV), контроля и управления доступом (СКУД), пожарные и охранные сигнализации. Отдельно существуют и подразделения, которые отвечают за информационную и физическую составляющие безопасность.
Проблема здесь не только в дублирующих расходах на поддержку разнородных систем. С точки зрения бизнеса эти две структуры решают одну и ту же задачу — обеспечение непрерывности и безопасности бизнес-процессов. Причем у каждого направления есть свои сильные и слабые стороны. Как ни странно, физическая безопасность в чем-то даже опережает массовые информационные технологии. Так, для контроля доступа в здание или отдельные помещения и управления уже повсеместно используется единая контактная либо бесконтактная карточка. В большинстве же информационных систем все еще применяются пароли для аутентификации доступа. Поскольку современному пользователю приходится иметь дело с десятком программных платформ со своими паролями, на ум приходит аналогия со средневековым ключником, который бродит по замку со связкой ключей и отпирает по очереди потайные двери, путаясь и то и дело теряя их.
ИТ-безопасность имеет неоспоримое преимущество в виде компьютерного интеллекта, который позволяет собрать и коррелировать множество событий, напрямую либо косвенно связанных с безопасностью.
Простая иллюстрация: допустим, в традиционной системе видеонаблюдения вам нужно составить список сотрудников, которые вошли сегодня с 14.00 до 14.30 в комнату переговоров. Сделать это элементарно: дежурный перематывает видеокассеты и выдает желаемый список. А теперь немного усложним задачу: необходимо получить список людей, вошедших в комнату с 14.00 до 14.30 два месяца назад. Причем из этого списка следует выделить тех, кто сразу после посещения переговорной вышел из здания.
И вот здесь начинаются проблемы. Видеозаписи хранятся ограниченное количество времени, контроль выхода из здания не ведется. Даже если все необходимые записи есть, вручную сопоставить их очень тяжело.
А теперь проведем аналогию из компьютерного мира. Необходимо установить список компьютерных пользователей, которые в заданный интервал времени вошли в определенную программу и сразу после этого вышли из операционной системы. Такая задача решается элементарно – c помощью автоматизированного анализа событий средствами системы управления информационной безопасностью. Причем фактор времени здесь теряет важность: емкости современных компьютерных систем хранения хватит не только для ведения компьютерных журналов в течение длительного времени, но и для непрерывной видеозаписи на протяжении многих месяцев, а то и лет.
Унифицированная безопасность
Что же сможет проложить мост между физической и информационной безопасностью? По аналогии с унифицированными коммуникациями на роль объединяющего фактора может претендовать протокол IP. И такая конвергенция уже происходит на наших глазах. Сначала поддержкой IP/Ethernet стали оснащаться рабочие места и контроллеры СКУД, обеспечивая гибкость работы сетевых приложений и снимая ограничения на километровое расстояние между элементами для традиционного протокола RS-485. И уже не редкость, когда в рамках локальной сети здания строится отдельная физическая либо виртуальная сеть (VLAN) для контроля и управления доступом.
На следующем этапе у камер видеонаблюдения стали появляться IP-интерфейсы, которые дополняли либо заменяли традиционные коаксиальные интерфейсы BNC. Но это всего лишь первые робкие шаги. Полноценная унифицированная система безопасности должна выполнять три основных функции:
• интеграцию с ИТ-системами компании;
• корреляцию разнородных событий безопасности;
• унифицированное управление угрозами.
Важным элементом интеграции является использование защищенного корпоративного IP-транспорта для обеспечения физической безопасности, что особенно существенно для распределенных компаний с большим количеством офисов. К примеру, в Cisco имеется свыше 200 офисов по всему миру, в каждом из которых работает от нескольких сотрудников до десятков тысяч человек.
Выделение в каждом офисе группы людей, которые будут отвечать за круглосуточный видеомониторинг, контроль доступа, пожарную и охранную сигнализацию, фактически нереализуемая задача. Поэтому в Cisco имеется несколько крупных региональных центров безопасности (Security Operation Center), которые с помощью систем удаленного контроля и мониторинга держат руку на пульсе компании. Разумеется, связь между Security Operation Center и системами безопасности поддерживается через корпоративную IP-сеть Cisco.
Для удаленных офисов очень интересна возможность интегрировать видеонаблюдение и контроль доступа в сетевую платформу. Именно для таких целей в начале апреля Cisco представила модули «физической безопасности». Они обеспечивают подключение и управление аналоговыми камерами, IP-камерами, датчиками физической безопасности и предназначены для установки в маршрутизаторы Cisco c интегрированными сервисами (ISR).
Консолидация средств доступа к помещениям и ИТ-ресурсам на одной смарт-карте с интеграцией в единую корпоративную директорию также дает значительные преимущества как для компании, так и для сотрудников:
• возможность корреляции входа в помещение и подключения к компьютерным системам. Если сотрудник физически не находится в офисе в полночь, очень странно выглядит попытка ввода логина в корпоративную базу данных с рабочего компьютера;
• предоставление доступа для новых и прекращение – для уволенных сотрудников значительно упрощается. Устраняется причина вечной головной боли HR-служб, вынужденных быстро аннулировать все права на доступ для уволенного. В интегрированной системе это можно сделать одним щелчком мышки в HR-системе, которая входит в корпоративную директорию;
• в конце концов, единая смарт-карта позволяет организовать учет рабочего времени сотрудников, если, конечно, это требуется.
Преимущества же интеграции систем видеонаблюдения в ИТ-инфраструктуру могут быть проиллюстрированы следующими примерами:
• использование корпоративного хранилища для хранения данных видеонаблюдения. С учетом большого объема доступных хранилищ (это терабайты и даже пикобайты) и высокой плотности сжатия видеопотоков по алгоритмам MPEG4, H.264 обеспечивается хранение и оперативный доступ к данным видеонаблюдения за последние несколько месяцев;
• доступ к данным видеонаблюдения может быть организован не только со стационарных видеотерминалов, но и с удаленного компьютера и даже IP-телефона. Действительно современные IP-аппараты обладают большими цветными сенсорными экранами, громкой связью, и их вполне можно использовать как в качестве видеодомофонов, так и в роли пульта управления системой видеонаблюдения;
• интеллектуальные системы обработки видеоизображения. Цифровой видеосигнал может быть достаточно легко обработан — начиная от элементарного обнаружения движения и заканчивая выделением и распознаванием лиц, номеров машин, других образов;
• возможности корреляции видеонаблюдения с другими системами физической и ИT-безопасности дают на первый взгляд фантастические возможности. Так, в случае инцидента (к примеру, утечки электронной конфиденциальной информации) можно легко сопоставить данные видеонаблюдения со списком лиц, входивших в комнату или выходивших из нее, а также с системными журналами доступа к компьютерной технике и программному обеспечению.
К тому же физическая безопасность не ограничивается защитой от злоумышленников – она напрямую связана с системами жизнеобеспечения. Объединение же физической безопасности и ИТ способно сохранить ресурсы компании и даже человеческие жизни:
• если в серверной комнате обнаружено возгорание, еще до включения системы пожаротушения автоматически подается команда на корректное завершение работы серверного оборудования;
• в случае чрезвычайного происшествия на все средства связи сотрудников (IP-телефоны, мобильные телефоны, рации) поступает команда по эвакуации или даже инструкция с перечнем необходимых шагов.
Достигнутые успехи
В том либо ином виде конвергенция физической и ИТ-безопасности присутствует у многих заказчиков уже сегодня. Толчок к развитию унифицированных систем могут дать инициативы индустрии по стандартизации используемых интерфейсов и протоколов взаимодействия между компонентами физической и ИТ-безопасности.
Как мы помним из прошлого, подобные примеры стандартизации для интернет-протоколов, архитектуры IBM/PC персональных компьютеров привели к бурному развитию этих направлений. Стандартизация унифицированной безопасности позволит на основе открытых интерфейсов объединять решения от разных вендоров, как кирпичики, гарантируя при этом беспроблемное взаимодействие и расширение функциональности.
Подобные попытки стандартизации уже имеют место. Можно назвать несколько основных инициатив в этой области: oBIX (Open Building Information Exchange), PHYSBITS (Physical Security Bridge to IT Security), HSPD-12 и FIPS 201.
Так, oBIX определяет с помощью веб-сервисов и языка XML открытый формат взаимодействия между ИТ-системами, системами физической безопасности и жизнеобеспечения.
PHYSBITS – это вендоронезависимый «мост» для взаимодействия между физической и ИТ-безопасностью, который поддерживается проектом IEEE Open Security Exchange (OSE). В Соединенных Штатах развитие унифицированной безопасности ускоряется также благодаря президентской директиве о национальной безопасности HSPD-12. В частности, HSPD-12 и последующий стандарт FIPS 201 предписывают всем сотрудникам и подрядчикам федеральных правительственных органов использовать смарт-карты для физического и логического доступа. По данным компании IMS Research, эта инициатива способна обеспечить рост рынка до 925,1 млн долл. к 2011 году. Актуальная информация и новости об унифицированной безопасности аккумулируются на сайте OSE http://www.opensecurityexchange.org.
Подытоживая сказанное, можно уверенно заявить, что мы находимся в начале интересной эпохи становления унифицированной безопасности как отдельного рыночного сегмента. Он должен не просто объединить физическую и ИТ-безопасности, но и предоставить качественно новые услуги для конечных потребителей при существенном уменьшении расходов на внедрение и поддержку системы в целом. Ближайшие несколько лет должны показать, насколько оптимистичными будут эти прогнозы.
С Владимиром Илибманом, экспертом компании Cisco Systems, можно связаться по адресу:
voilibma@cisco.com
