РОСТАБ – профессиональная система контроля и управления доступом и охранной сигнализации
Модульный контроллер РОСТАБ (Российский Стандарт Безопасности) является разработкой компании АО «Стандарт безопасности». Многолетний опыт сотрудничества АО «Стандарт безопасности» с ведущими зарубежными разработчиками и производителями СКУД позволил создать контроллер, объединяющий в себе передовые технологии, актуальные требования и перспективные тенденции.
Контроллеры РОСТАБ позволяют реализовать крупномасштабные решения любой сложности для территориально сосредоточенных и распределенных объектов. Контроллер обеспечивает высокую производительность благодаря встроенной операционной системе Linux, большому объему памяти, а также исключительно широким возможностям по программированию встроенной логики. Для настройки конфигурации, управления и мониторинга событий используется подключение к серверу с программным обеспечением, работающим в операционных системах Windows или Linux.
Контроллер РОСТАБ полностью совместим с существующим аппаратным и программным обеспечением Honeywell WIN-PAK и Pro-Watch. Это позволяет минимизировать затраты при обеспечении санкционной независимости и исключить необходимость замены уже установленного оборудования.
Центральным элементом системы является основной модуль контроллера, хранящий в своей памяти конфигурацию и базы данных, а также обеспечивающий связь с сервером и модулями расширения. К основному модулю контроллера по интерфейсам RS-485 и Ethernet можно подключить до 31 модуля расширения считывателей, шлейфов охранной сигнализации или выходов реле. Один основной модуль контроллера позволяет организовать систему на 64 точки доступа с одно- или двухсторонним контролем прохода. Основной модуль контроллера оснащен встроенными портами для подключения 2 считывателей с интерфейсом Wiegand или 4 считывателей с интерфейсом OSDP v2 с функцией Secure Channel Protocol.
Считыватели системы контроля доступа, шлейфы сигнализации, биометрические терминалы и клавиатуры подключаются к модулям расширения. Доступны следующие типы модулей с подключением к основному модулю контроллера по RS-485:
Контроллер РОСТАБ полностью совместим с существующим аппаратным и программным обеспечением Honeywell WIN-PAK и Pro-Watch. Это позволяет минимизировать затраты при обеспечении санкционной независимости и исключить необходимость замены уже установленного оборудования.
Центральным элементом системы является основной модуль контроллера, хранящий в своей памяти конфигурацию и базы данных, а также обеспечивающий связь с сервером и модулями расширения. К основному модулю контроллера по интерфейсам RS-485 и Ethernet можно подключить до 31 модуля расширения считывателей, шлейфов охранной сигнализации или выходов реле. Один основной модуль контроллера позволяет организовать систему на 64 точки доступа с одно- или двухсторонним контролем прохода. Основной модуль контроллера оснащен встроенными портами для подключения 2 считывателей с интерфейсом Wiegand или 4 считывателей с интерфейсом OSDP v2 с функцией Secure Channel Protocol.
Считыватели системы контроля доступа, шлейфы сигнализации, биометрические терминалы и клавиатуры подключаются к модулям расширения. Доступны следующие типы модулей с подключением к основному модулю контроллера по RS-485:
- модуль расширения на две точки доступа (2 порта для считывателей Wiegand или 4 порта для считывателей OSDP, 8 входов шлейфов, 8 реле, 2 входа для контроля питания и открывания корпуса);
- модуль расширения шлейфов сигнализации (16 входов шлейфов, 2 реле, 2 входа для контроля питания и открывания корпуса);
- модуль расширения выходов реле (16 реле, 2 входа для контроля питания и открывания корпуса).
Ключевые особенности контроллера РОСТАБ:
- Базовый объем памяти контроллера позволяет хранить информацию о 300000 карт пользователей и 50000 событий с возможностью программного перераспределения
- Возможность создания гибридных конфигураций с подключением модулей расширения по RS-485 и Ethernet
- Поддержка карт с номерами, содержащими до 19 десятичных разрядов
- Возможность назначения паролей, содержащих до 15 цифр
- Возможность назначения до 255 уровней доступа для каждой карты
- Глобальный контроль повторного прохода (anti-passback) без ограничения использования карты по времени или с ограничением по времени (для всей системы, для одного считывателя или для одного контроллера)
- Управление любыми типами замков, турникетов и шлюзов: реализация требуемых алгоритмов на аппаратном уровне контроллера с помощью триггеров и хранимых процедур
- Функции охранной сигнализации: постановка/снятие шлейфов с охраны по предъявлению карт и вводу паролей пользователей, программируемые задержки входа и выхода для шлейфов сигнализации, управление временными зонами с помощью карт и паролей, назначение связей между работой шлейфов, реле и считывателей
- Поддержка режимов «вход под принуждением», «вход по правилу N лиц» и макрокоманд с условиями (if/then) и переменными, работающими на аппаратном уровне контроллера
- Поддержка двух интерфейсов Ethernet для реализации отказоустойчивых конфигураций связи с сервером СКУД (в базовой конфигурации контроллер имеет один порт Ethernet)
- Поддержка мониторинга состояния по интерфейсу SNMP (версии v2c и v3)
Кибербезопасность контроллеров СКУД
Повсеместное использование сетевых технологий в системах контроля и управления доступом делает особенно актуальными вопросы обеспечения их безопасности. Практика доказывает, что в СКУД недостаточно применять карты, защищенные от копирования и считыватели с поддержкой шифрования. Сетевое соединение между сервером и контроллером СКУД также нуждаются в защите. Проведенные исследования показали, что многие контроллеры, представленные на современном рынке, имеют уязвимости, позволяя не только считывать незашифрованный сетевой трафик, но и дистанционно управлять дверными замками. Выяснилось, что та легкость, с которой злоумышленники в кино открывают двери, контролируемые СКУД, не является красивой режиссерской выдумкой. Система, не имеющая функций аутентификации устройств и обеспечения конфиденциальности и целостности передаваемых данных, может свести на нет все меры по обеспечению безопасности организации, поэтому важно, чтобы контроллер поддерживал различные функции обеспечения кибербезопасности.
В контроллерах РОСТАБ реализованы следующие функции для противодействия возможным угрозам информационной безопасности:
- Реализовано шифрование связи между сервером СКУД и контроллером. Контроллер поддерживает шифрование AES (ключи длиной 128 или 256 бит) или протокол TLS 1.2 при обмене данными с сервером СКУД. Поддержка протокола TLS 1.3 будет доступна с выходом новой версии прошивки контроллера.
- Реализована взаимная TLS-аутентификация контроллера РОСТАБ и сервера с ПО СКУД для установления доверенного соединения между контроллером и сервером СКУД. Аутентификация реализуется путем установки на контроллер и сервер сертификатов X.509. Аутентификация на основе сертификата X.509 позволяет проверять подлинность при установлении соединения по протоколу TLS. Сертификат X.509 содержит сведения об устройстве: идентификатор устройства и другие организационные данные. Подпись сертификата создается с помощью закрытого ключа. Извлечение закрытого ключа из контроллера РОСТАБ невозможно.
- Реализована возможность создания сертификатов Х.509 непосредственно в веб-интерфейсе контроллера РОСТАБ. Возможна также загрузка в контроллер цепочки сертификатов X.509 в формате PEM.
- Данные в контроллере зашифрованы, в т.ч. в выключенном состоянии (реализуется концепция «data encryption at rest»). Шифрование позволяет хранить данные конфигурации в зашифрованном контейнере в памяти контроллера СКУД, при этом эти данные недоступны для чтения и не могут быть расшифрованы за разумное время, если не используются правильная процедура доступа к ним внутри контроллера СКУД.
- Возможно шифрование связи между контроллером и подключенными к нему модулями расширения по интерфейсам RS-485 и Ethernet. Поддерживается шифрование AES с длиной ключа 128 или 256 бит.
- Для связи между модулями расширения и считывателями используется защищенный интерфейс OSDP v2. Данные, передаваемые по этому двунаправленному интерфейсу на основе RS-485 защищены с помощью симметричного ключа шифрования. В отличие от широко используемого интерфейса Виганда, интерфейс OSDP v2 обеспечивает криптографическую защиту данных.
- Разрешен только протокол HTTPS для доступа к веб-интерфейсу контроллера для его первоначальной конфигурации: задания сетевой конфигурации и определения параметров связи с сервером.
- Есть возможность отключения встроенного веб-сервера контроллера после первоначального задания сетевой конфигурации и определения параметров связи с сервером СКУД. Включение веб-сервера возможно аппаратным способом с помощью DIP-переключателя или путем полного сброса контроллера на настройки по умолчанию (выбирается).
- Возможность отключения обнаружения контроллера в сети. По умолчанию контроллер поддерживает обнаружение через службы Zeroconf. После установки и настройки контроллера рекомендуется отключить обнаружение. Это предотвратит обнаружение контроллера кем-либо, имеющим доступ к той же сети.
- Возможность задания списка авторизованных IP-адресов для доступа к контроллеру.
- Возможность отключения протокола SNMP (по умолчанию SNMP отключен).
- Поддержка стандарта 802.1x для аутентификации и авторизации в сети передачи данных.