РОСТАБ – профессиональная система контроля и управления доступом и охранной сигнализации
Модульный контроллер РОСТАБ (Российский Стандарт Безопасности) является разработкой компании АО «Стандарт безопасности». Многолетний опыт сотрудничества АО «Стандарт безопасности» с ведущими зарубежными разработчиками и производителями СКУД позволил создать контроллер, объединяющий в себе передовые технологии, актуальные требования и перспективные тенденции.
Контроллеры РОСТАБ позволяют реализовать крупномасштабные решения любой сложности для территориально сосредоточенных и распределенных объектов. Контроллер обеспечивает высокую производительность благодаря встроенной операционной системе Linux, большому объему памяти, а также исключительно широким возможностям по программированию встроенной логики. Для настройки конфигурации, управления и мониторинга событий используется подключение к серверу с программным обеспечением, работающим в операционных системах Windows или Linux.
Контроллер РОСТАБ полностью совместим с существующим аппаратным и программным обеспечением Honeywell WIN-PAK и Pro-Watch. Это позволяет минимизировать затраты при обеспечении санкционной независимости и исключить необходимость замены уже установленного оборудования.
Центральным элементом системы является основной модуль контроллера, хранящий в своей памяти конфигурацию и базы данных, а также обеспечивающий связь с сервером и модулями расширения. К основному модулю контроллера по интерфейсам RS-485 и Ethernet можно подключить до 31 модуля расширения считывателей, шлейфов охранной сигнализации или выходов реле. Один основной модуль контроллера позволяет организовать систему на 64 точки доступа с одно- или двухсторонним контролем прохода. Основной модуль контроллера оснащен встроенными портами для подключения 2 считывателей с интерфейсом Wiegand или 4 считывателей с интерфейсом OSDP v2 с функцией Secure Channel Protocol.
Считыватели системы контроля доступа, шлейфы сигнализации, биометрические терминалы и клавиатуры подключаются к модулям расширения. Доступны следующие типы модулей с подключением к основному модулю контроллера по RS-485:
Контроллер РОСТАБ полностью совместим с существующим аппаратным и программным обеспечением Honeywell WIN-PAK и Pro-Watch. Это позволяет минимизировать затраты при обеспечении санкционной независимости и исключить необходимость замены уже установленного оборудования.
Центральным элементом системы является основной модуль контроллера, хранящий в своей памяти конфигурацию и базы данных, а также обеспечивающий связь с сервером и модулями расширения. К основному модулю контроллера по интерфейсам RS-485 и Ethernet можно подключить до 31 модуля расширения считывателей, шлейфов охранной сигнализации или выходов реле. Один основной модуль контроллера позволяет организовать систему на 64 точки доступа с одно- или двухсторонним контролем прохода. Основной модуль контроллера оснащен встроенными портами для подключения 2 считывателей с интерфейсом Wiegand или 4 считывателей с интерфейсом OSDP v2 с функцией Secure Channel Protocol.
Считыватели системы контроля доступа, шлейфы сигнализации, биометрические терминалы и клавиатуры подключаются к модулям расширения. Доступны следующие типы модулей с подключением к основному модулю контроллера по RS-485:
- модуль расширения на две точки доступа (2 порта для считывателей Wiegand или 4 порта для считывателей OSDP, 8 входов шлейфов, 8 реле, 2 входа для контроля питания и открывания корпуса);
- модуль расширения шлейфов сигнализации (16 входов шлейфов, 2 реле, 2 входа для контроля питания и открывания корпуса);
- модуль расширения выходов реле (16 реле, 2 входа для контроля питания и открывания корпуса).
Ключевые особенности контроллера РОСТАБ:
- Базовый объем памяти контроллера позволяет хранить информацию о 300000 карт пользователей и 50000 событий с возможностью программного перераспределения
- Возможность создания гибридных конфигураций с подключением модулей расширения по RS-485 и Ethernet
- Поддержка карт с номерами, содержащими до 19 десятичных разрядов
- Возможность назначения паролей, содержащих до 15 цифр
- Возможность назначения до 255 уровней доступа для каждой карты
- Глобальный контроль повторного прохода (anti-passback) без ограничения использования карты по времени или с ограничением по времени (для всей системы, для одного считывателя или для одного контроллера)
- Управление любыми типами замков, турникетов и шлюзов: реализация требуемых алгоритмов на аппаратном уровне контроллера с помощью триггеров и хранимых процедур
- Функции охранной сигнализации: постановка/снятие шлейфов с охраны по предъявлению карт и вводу паролей пользователей, программируемые задержки входа и выхода для шлейфов сигнализации, управление временными зонами с помощью карт и паролей, назначение связей между работой шлейфов, реле и считывателей
- Поддержка режимов «вход под принуждением», «вход по правилу N лиц» и макрокоманд с условиями (if/then) и переменными, работающими на аппаратном уровне контроллера
- Поддержка двух интерфейсов Ethernet для реализации отказоустойчивых конфигураций связи с сервером СКУД (в базовой конфигурации контроллер имеет один порт Ethernet)
- Поддержка мониторинга состояния по интерфейсу SNMP (версии v2c и v3)
Кибербезопасность контроллеров СКУД
Повсеместное использование сетевых технологий в системах контроля и управления доступом делает особенно актуальными вопросы обеспечения их безопасности. Практика доказывает, что в СКУД недостаточно применять карты, защищенные от копирования и считыватели с поддержкой шифрования. Сетевое соединение между сервером и контроллером СКУД также нуждаются в защите. Проведенные исследования показали, что многие контроллеры, представленные на современном рынке, имеют уязвимости, позволяя не только считывать незашифрованный сетевой трафик, но и дистанционно управлять дверными замками. Выяснилось, что та легкость, с которой злоумышленники в кино открывают двери, контролируемые СКУД, не является красивой режиссерской выдумкой. Система, не имеющая функций аутентификации устройств и обеспечения конфиденциальности и целостности передаваемых данных, может свести на нет все меры по обеспечению безопасности организации, поэтому важно, чтобы контроллер поддерживал различные функции обеспечения кибербезопасности.
В контроллерах РОСТАБ реализованы следующие функции для противодействия возможным угрозам информационной безопасности:
- Реализовано шифрование связи между сервером СКУД и контроллером. Контроллер поддерживает шифрование AES (ключи длиной 128 или 256 бит) или протокол TLS 1.3 при обмене данными с сервером СКУД.
- Реализована взаимная TLS-аутентификация контроллера РОСТАБ и сервера с ПО СКУД для установления доверенного соединения между контроллером и сервером СКУД. Аутентификация реализуется путем установки на контроллер и сервер сертификатов X.509. Аутентификация на основе сертификата X.509 позволяет проверять подлинность при установлении соединения по протоколу TLS. Сертификат X.509 содержит сведения об устройстве: идентификатор устройства и другие организационные данные. Подпись сертификата создается с помощью закрытого ключа. Извлечение закрытого ключа из контроллера РОСТАБ невозможно.
- Реализована возможность создания сертификатов Х.509 непосредственно в веб-интерфейсе контроллера РОСТАБ. Возможна также загрузка в контроллер цепочки сертификатов X.509 в формате PEM.
- Данные в контроллере зашифрованы, в т.ч. в выключенном состоянии (реализуется концепция «data encryption at rest»). Шифрование позволяет хранить данные конфигурации в зашифрованном контейнере в памяти контроллера СКУД, при этом эти данные недоступны для чтения и не могут быть расшифрованы за разумное время, если не используются правильная процедура доступа к ним внутри контроллера СКУД.
- Возможно шифрование связи между контроллером и подключенными к нему модулями расширения по интерфейсам RS-485 и Ethernet. Поддерживается шифрование AES с длиной ключа 128 или 256 бит.
- Для связи между модулями расширения и считывателями используется защищенный интерфейс OSDP v2. Данные, передаваемые по этому двунаправленному интерфейсу на основе RS-485 защищены с помощью симметричного ключа шифрования. В отличие от широко используемого интерфейса Виганда, интерфейс OSDP v2 обеспечивает криптографическую защиту данных.
- Разрешен только протокол HTTPS для доступа к веб-интерфейсу контроллера для его первоначальной конфигурации: задания сетевой конфигурации и определения параметров связи с сервером.
- Есть возможность отключения встроенного веб-сервера контроллера после первоначального задания сетевой конфигурации и определения параметров связи с сервером СКУД. Включение веб-сервера возможно аппаратным способом с помощью DIP-переключателя или путем полного сброса контроллера на настройки по умолчанию (выбирается).
- Возможность отключения обнаружения контроллера в сети. По умолчанию контроллер поддерживает обнаружение через службы Zeroconf. После установки и настройки контроллера рекомендуется отключить обнаружение. Это предотвратит обнаружение контроллера кем-либо, имеющим доступ к той же сети.
- Возможность задания списка авторизованных IP-адресов для доступа к контроллеру.
- Возможность отключения протокола SNMP (по умолчанию SNMP отключен).
- Поддержка стандарта 802.1x для аутентификации и авторизации в сети передачи данных.
Обеспечение кибербезопасности контроллеров СКУД является критически важным аспектом защиты современных объектов. Внедрение поддержки TLS 1.3 позволяет создать надежную систему защиты данных, соответствующую современным требованиям информационной безопасности. Это не просто техническая необходимость, а обязательное условие для обеспечения эффективной и безопасной работы систем контроля доступа в условиях растущих киберугроз. Инвестиции в СКУД с поддержкой современных функций по обеспечению кибербезопасности позволяют предотвратить потенциальные угрозы, которые могут привести к серьезным последствиям для безопасности организации. Соответствие программно-аппаратного комплекса РОСТАБ актуальным требованиям по кибербезопасности подтверждено независимым тестированием защищенности в специализированной компании по управлению цифровыми рисками ООО «БИЗон» (BI.ZONE).