Пуленепробиваемое видеонаблюдение для промышленных и режимных объектов

«У каждой аварии есть имя, фамилия и должность, говорил Каганович, видеонаблюдение эта та система,
которая позволит установить конкретные имя и фамилию»

Крупные промышленные предприятия - это сложные индустриальные объекты, поэтому и система видеонаблюдения им нужна особая. Особенность видеонаблюдения происходит из особенностей рисков характерных для крупных промышленных объектов. Вот давайте с них и начнем.

Оглавление

1. Угрозы безопасности характерные для крупных промышленных предприятий
 1.1. Большое количество персонала
 1.2. Большое количество посетителей
 1.3. Мигранты
 1.4. Большое количество материальных ценностей
 1.5. Большое количество IT оборудования
2. Чрезвычайные ситуации
3. Как эффективно противостоять всему комплексу угроз
4. Проектируем пуленепробиваемую систему видеонаблюдения
 4.1. Защита от грозовых разрядов
 4.2. Защита кабельных линий передачи данных
 4.3. Кольцевое соединение коммутаторов
 4.4. Запись на SD-карту IP-камеры
 4.5. Физическая защита кабеля
 4.6. Защита физических сетевых портов
 4.7. Защита от отключения электроэнергии
  4.7.1. Используем источники бесперебойного питания 12 Вольт
  4.7.2. Используем источники бесперебойного питания 220 Вольт
  4.7.3. Используем оnLine источник бесперебойного питания
 4.8. Защита от вмешательства сотрудников
  4.8.1. Закрываем доступ
  4.8.2. Детектируем саботаж
 4.9. Защита устройств хранения видеоархива
  4.9.1. Используем RAID
  4.9.2. Два блока питания
  4.9.3. Используем резервное устройство хранения видеоархива
  4.9.4. Резервное копирование данных
 4.10. Кибербезопасность: Защита от несанкционированного доступа и не только
  4.10.1. Использовать HTTPS
  4.10.2. Использовать Trusted Platform Module (TPM)
  4.10.3. Использовать Edge Vault
  4.10.4. Настраиваем фильтрацию по mac-адресам
  4.10.5. Используем VPN и межсетевые экраны
  4.10.6. Доказательства подлинности видеозаписи
  4.10.7. Шифруем видеоархив
  4.10.8. Двухфакторная аутентификация
 4.11. Защита от недобросовестных сотрудников правоохранительных органов
5. Самое главное

Угрозы безопасности характерные для крупных промышленных предприятий

Мы перечислим лишь некоторые ключевые особенности, на которые стоит обращать особое внимание с точки зрения обеспечения безопасности.

Большое количество персонала

В первую очередь это большое количество персонала сосредоточенное на сравнительно небольшой площади завода. Люди это всегда риски, а если людей много это большие риски. 

Причем нужно понимать, что эти люди в подавляющем большинстве не любят свое место работы, по разным опросам 77% респондентов считают, что им недоплачивают. Из этих опросов важно сделать правильный вывод, если вы предоставите возможность взять им самим то, что вы недоплатили им (по их мнению), подавляющее большинство сделает это задумываясь.

Но и кроме воровства сотрудники могут многое:

• Приход на работу в состоянии алкогольного опьянения, с учетом того что в России около 2 миллионов алкоголиков, считайте это уже происходит.
  
• Саботаж и преднамеренная порча имущества со стороны персонала.
  
• Мошенники, устраивающиеся исключительно для воровства или других противоправных действий.
  
• Отдельно следует упомянуть сотрудников охраны предприятия, за которыми следует устанавливать контроль с особой тщательностью, так как любое серьезное воровство, как правило, осуществляется в сговоре с охраной.
  
• Традиционно работа руководителей высшего звена не контролируются так тщательно. Обычно они получают вознаграждение на основе результатов деятельности компании, и считается, что не нуждаются в таком тщательном контроле как рядовые сотрудники. 
  

Недавние исследования показывают ошибочность такого подхода. Исследователи обнаружили много чего интересного, например, когда погода была хорошей, время, проводимое на работе генеральным и финансовым директором, катастрофически уменьшалось (исследователи сопоставляли данные о местоположении с данными о погоде). Так что контроль топ-менеджмента, похоже, еще более важная задача чем, обычных сотрудников, ведь их время стоит гораздо дороже.

Кроме этого следует учитывать, что преступления могут совершаться не только против работодателя, преступления могут совершаться сотрудниками друг против друга, в том числе насильственного характера, включая гневные перепалки с руководителями предприятия, сексуальные домогательства и многие другие.

Фермы для майнинга

Не забывайте про бич последних лет — несанкционированный доступ электросетям, и кражу электроэнергии для майнинга криптовалют. 
Не менее большой проблемой может быть подключение к телекоммуникационным сетям для коммерческого шпионажа.

Большое количество посетителей

По своей природе любое промышленное предприятие должны посещать большое количество посетителей, от подрядчиков до водителей обеспечивающих доставку грузов.

Отличие посетителей от постоянных сотрудников, в том, что последние проходят хоть какой-то контроль со стороны службы безопасности при приеме на работу. И это конечно определенный барьер для преступников. 

Поэтому если преступники будут пытаться проникнуть на ваше предприятие, то, скорее всего именно как посетители. 

Мигранты

Но все что я писал выше, была присказка, сказка это гастарбайтеры, не путать с иммигрантами.  Гастарбайтеры работают исключительно по временному найму, три месяца отработали, и домой, и уровень преступности среди них очень высокий.

Вторые переехали в нашу страну на постоянное место жительства. И среди иммигрантов совершается меньше преступлений, чем даже местными, потому что на самом деле те, кто переезжает в другую страну для того, чтобы там жить и работать, дорожат своим официальным статусом, и боятся вступать в конфликты с законом, поэтому страх наказания действует на них больше, чем на коренного жителя страны.

Поэтому если вы используете труд гастарбайтеров, вы сразу должны понимать, что за ними нужен особый контроль, в противном случае они принесут больше вреда, чем пользы. 

А если вы не используете труд гастарбайтеров, то вы должны понимать, что его используют ваши подрядчики и партнеры.

Большое количество материальных ценностей

На территории завода сосредоточено большое количество материальных ценностей — сырье, готовая продукция, дорогостоящее оборудование, IT инфраструктура, автомобили и другая техника.

Половину всех зарегистрированных преступлений в России 52,3% составляют хищения чужого имущества, совершенные путем: кражи, мошенничества, грабежа или разбоя.

По статистике Великобритании (российской нет) 49% малых предприятий стали жертвами, по крайней мере, одного преступления за последние два года, убытки от которых суммарно составили 12,9 млрд. фунтов стерлингов.

Большое количество IT оборудования

Это значит, что злоумышленники будут пытаться атаковать ваше предприятие не только в реальной жизни, но и в виртуальной, через интернет. Эта в первую очередь кража данных, шифровальщики, и прочий зоопарк зловредов, который будет пытаться усложнить вам жизнь.

На видео реальный перехват хакерами контроля над системой видеонаблюдения

Проблема не только в том, что злоумышленники могут получить контроль над системой видеонаблюдения, проблема в том, что киберпреступникам нужна точка входа в сеть предприятия. Впрочем, точка входа нужна и обычным преступникам, только обычные ищут плохо укрепленную дверь или окно, а киберпреступники ищут точку входа в виде  программной уязвимости, и если находят, то последствия могут быть самыми печальными. Вот реальный пример как уязвимость в домофоне позволяла получить доступ к локальной сети.

Наша задача проектировщиков видеонаблюдения чтобы точкой входа не стала уязвимость в системе видеонаблюдения.

Например, знаменитый вирус Stuxnet использовал уязвимости «нулевого дня» в ОС Windows. Пострадало несколько промышленных предприятий, электростанций и аэропортов, но основной удар пришелся на иранские заводы по производству блоков управления газовыми центрифугами для получения обогащенного урана.

Иранцам пришлось избавиться от 1 тыс. центрифуг для обогащения уранового топлива, пораженных Stuxnet. Остальные блоки не пострадали, но ядерная программа Ирана была отброшена на несколько лет назад.

Stuxnet и другие знаменитые вирусы это вершина айсберга. По результатам исследования Arctic Wolf, в котором приняли участие более 1400 ИТ-руководителей крупных компаний, выяснилось, что 32% предприятий в прошлом году подверглись кибератаке, ущерб от которой измеряется шестизначными суммами, естественно 61% владельцев бизнеса на условиях анонимности признавались, что скрывали факт взлома.

Чрезвычайные ситуации

К чрезвычайным ситуациям обычно относят кризисы, вызванные человеком или связанные с ним, включая пожары, сбои в работе инфраструктуры, отключение электричества, биохимические и террористические атаки. 

Так же к чрезвычайным ситуациям относятся стихийные бедствия, включая суровые погодные явления, такие как землетрясения, наводнения, цунами, ураганы, торнадо и снежные бури. 

Общепринятый подход к обеспечению безопасности заключается в определении угроз или рисков для безопасности объекта, а затем в принятии мер по предотвращению этих инцидентов.

Некоторые чрезвычайные ситуации невозможно предотвратить, например, стихийные бедствия или некоторые виды террористических актов, например, атаки самолетов (террористические акты 11 сентября).

Особенно важным в этих условиях будет, во-первых, принять меры по минимизации последствий инцидентов, как правило, с помощью планов готовности к чрезвычайным ситуациям и реагирования на них.

Во-вторых предоставить материалы для эффективного и быстрого расследования этих инцидентов, а, как известно видеонаблюдение мать доказательства, никто не может предоставить столько эффективных данных для расследования как система видеонаблюдения.

Как эффективно противостоять всему комплексу угроз

Понятно, что противостоять такому комплексу угроз, может только комплексная интегрированная система безопасности (КСБ). Комплексная система безопасности состоит из множества подсистем, и лучшей среди равных будет, пожалуй, подсистема видеонаблюдения.

Лучшая она потому, что обеспечивает реальное снижение количества преступлений. Что подтверждено реальными научными исследованиями, и не абы какими. Например, систематический обзор, в котором проводился мета-анализ 76 исследований, убедительно показывает, что видеонаблюдение приводит к снижению количества преступлений. В том числе и преступлений связанных с кражами на 14%.

Кроме этого видеонаблюдение эффективно для расследования любых инцидентов. Эмпирический анализ 2017 года показывает, что из 251195 преступлений, зарегистрированных британской транспортной полицией, которые произошли в британской железнодорожной сети в период между 2011 и 2015 гг. Записи видеонаблюдения были доступны следователям в 45% случаев, их использование признано эффективным в 29% (65% случаев, в которых записи были доступны).

Кроме этого видеонаблюдение мощный инструмент для мониторинга рабочих процессов. А если добавить в видеонаблюдение немного видеоаналитики, то спектр использований практически бесконечен. Можно использовать, например, для мониторинга активности персонала или для подсчета времени загрузки оборудования.

Проектируем пуленепробиваемую систему видеонаблюдения

В этой главе мы перейдем от анализа угроз и ключевых требований к системе видеонаблюдения для крупных предприятий, к реальному проектированию такой системы. И так, пуленепробиваемая система видеонаблюдения должна иметь:

• Защиту от грозовых разрядов
  
• Защиту от обрывов магистрального кабеля
  
• Защиту от выключения питания и от потери связи с камерой
  
• Защиту от вмешательства оператора службы безопасности
  
• Защиту устройства хранения видеоархива от выхода из строя и любых иных посягательств
  
• Защита от несанкционированного доступа (Кибербезопасность)

Задачи, которым должна соответствовать система видеонаблюдения, мы обозначили,  давайте перейдем к тому, как это можно реализовать.

Защита от грозовых разрядов

В первую очередь стоит оговориться, что не только грозовые разряды могут быть источником перенапряжений. И возможно грозовой разряд даже не самая большая угроза, ведь в зависимости от специфики вашего объекта другие источники перенапряжений могут представлять большую опасность.

Коммутационные импульсные помехи
В основном коммутационные импульсных помехи возникают при включение и отключение потребителей электроэнергии.

Перенапряжения и провалы напряжения в электросети
В основном эта группа проблем обусловлена низким качеством электросетей и невысокой культурой энергопотребления.

Электростатический заряд 
Накапливается при работе технологического оборудования, и интересен тем, и хоть имеет небольшую энергию, но разряжается в непредсказуемом месте.

Грозовой разряд
Безусловно, не очень частый, но самый опасный источник перенапряжений, так как является самым мощным.

Число ударов молний в год на квадратный километр в мире

Опасность молний на практике часто недооценивается. По оценкам страховых компаний, за 2015 год в Соединенных Штатах на возмещение последствий от удара молнии (только для домовладельцев) потребовалось сумма в размере 790 миллионов долларов США.
Но это еще не самое страшное, по последним имеющимся оценкам, полученным из 28 стран, ежегодно во всем мире от молний погибает от 4429 до 24 000 человек.

Сильные грозы с сопровождающимися молниями явление достаточно редкое, а защита от молний и грозовых разрядов, это дорого, поэтому на ней часто экономят. А потом случается молниевый апокалипсис и за 1,5 часа грозы в Останкинскую башню попадает 22 молнии. Без защиты перенапряжений это фаталити для большей части электронных систем.

Как защитится?

Использовать профессиональные устройства защиты от импульсных перенапряжений (УЗИП). 

Модульное решение для защиты от перенапряжений в системах видеонаблюдения с индивидуально подобранными компонентами для клеммных коробок.

Их всего три класса:

УЗИП класса I
Как правило, эти устройства устанавливают на вводе в здание для защиты электросети здания. Испытываются номинальным разрядным током In 8/20 мкс, импульсным напряжением 1,2/50 мкс и импульсным током Iimp. 

• УЗИП класса I — цена от 9 252 рублей

УЗИП класса II
Предназначены для защиты оборудования, вторичных цепей электропитания, линий связи. Устанавливаются уже после УЗИП класса I.
Испытываются номинальным разрядным током In 8/20 мкс, импульсным напряжением 1,2/50 мкс и максимальным разрядным током Imax 8/20 мкс.

• УЗИП класса II — цена от 2 479 рублей

УЗИП класса III
Предназначены для защиты особо чувствительной аппаратуры и приборов, для которых не предусмотрено прохождение испытаний на устойчивость к импульсным перенапряжениям. УЗИП класса III используются для медицинской аппаратуры, серверов, устройств промышленной автоматики и телемеханики, дорогостоящих измерительных устройств. УЗИП класса III испытываются комбинированной волной создаваемой генератором, который подает в разомкнутую цепь импульс напряжения 1,2/50 мкс и в короткозамкнутую цепь — импульс тока 8/20 мкс.

• УЗИП класса III — цена от 2 479 рублей

Существуют устройства УЗИП соответствующие сразу нескольким видам испытаний, обычно обозначаются УЗИП класса I+II, УЗИП класса I+II+III, УЗИП класса II+III.

Как использовать УЗИП
Перенапряжение может возникнуть в любом токопроводящем объекте и в первую очередь это кабель электропитания, и информационный кабель, как правило, витая пара. 

Базовый принцип заключается в том, что УЗИП обязательно устанавливается с обоих концов кабеля. Например, витая пара, с одной стороны подключается к IP-камере, с другой к коммутатору. Это значит, что УЗИП класса II должен быть установлен со и стороны камеры и со стороны коммутатора. Естественно УЗИП должен быть подключён к качественному заземлению.

В зависимости от особенности вашей системы видеонаблюдения, могут, и всего скорее будут применяться разные устройства УЗИП разных классов. Для этого необходимо предусмотреть задачу грозозащиты системы видеонаблюдения в задании на проектирование.

К слову, оптоволоконные информационные линии не нуждаются в УЗИП, так как не проводят электричество, +1 в карму систем видеонаблюдения построенных на оптоволокне.

Чего не нужно делать?

Использовать защиту от перенапряжений встроенную в устройства видеонаблюдения
Некоторые производители оборудования для видеонаблюдения заявляют о встроенной защите от перенапряжений своего оборудования. В 99,9 процентах случаев это маркетинговый булщит, для того чтобы в этом убедится достаточно вместо рекламных проспектов заглянуть в паспорта на продукцию.

Вообще не использовать защиту от перенапряжений
Проверенный способ положиться на русский авось проверено приведет к плачевному результату. Даже незаряженное ружье, как известно, стреляет, а уж гроза обязательно рано или поздно случится, и весь вопрос будет лишь в размере убытков.

Использовать китайскую дешевку
Посравнивайте, сколько стоит китайская защита от перенапряжений и профессиональная, от проверенных годами вендоров, например Dehn+Sohne, Phoenix contact, Hakel, ABB. И причина не в дороговизне рабочей силы на западе. Любое производство, что европейское, что китайское сильно автоматизировано, причина в том, что дешево можно сделать только из говна и палок. 

Не использовать заземление
Без использования качественного заземления даже самые лучшие УЗИП абсолютно бесполезны. При этом заземление должно быть организовано в строгом соответствии с требованиями ПУЭ.

Защита кабельных линий передачи данных

В системах видеонаблюдения для передачи данных (видеопотока) используется, как правило, витая пара или оптоволокно. Есть много причин, по которым линия передачи данных может перестать передавать видеоизображения. Самые распространенные причины:

• Намеренное повреждение кабельных линий
  
• Обрыв, например, в результате падения дерева, или в результате земляных работ
  
• Непредсказуемые причины, например, однажды у Мегафона оптоволоконные кабели перегрызла собака. 

Как защитится?

Система видеонаблюдения безопасна лишь в той степени, в которой безопасна сама сеть, соединяющая все компоненты между собой.

Кольцевое соединение коммутаторов

Основным ограничением классических сетей Ethernet является топология сети, которая должна иметь вид «звезды» или «дерева». Такая топология предполагает, что между двумя точками сети возможно только одно соединение. А если по каким-то причинам в вашей сети будет несколько путей связи между двумя точками сети, это может привести к явлению широковещательного шторма и полной неработоспособности сети.

Это значит, что между коммутатором и камерой видеонаблюдения может быть одна линия связи, при обрыве которой, мы теряем связь с камерой. 

Технология Industrial Ethernet позволяют преодолеть это базовое ограничение топологии. И повысить надежность вашей системы видеонаблюдения за счет использования нескольких линий связи. 
Основное применения такая технология находит при организации периметрального видеонаблюдения.

Кольцо организуется с помощью специальных протоколов и технологий, которые реализованы в специальных коммутаторах второго и третье уровня (для периметра достаточно второго).

• Коммутаторы с поддержкой кольцевой топологии — цена от 25 861 рубля

Схематическую реализацию кольцевой структуры локальной сети вы видите на картинке. Соответственно, обрыв в любом месте такого кольца не приводит к потере связи, а приводит к автоматическому перенаправлению потоков. Точно также выход из строя коммутатора не приведет к неработоспособности системы видеонаблюдения. 

Реализуется кольцевая топология универсального сетевого протокола RSTP или проприетарных протоколов производителей оборудования. 
Преимуществом RSTP будет возможность использовать управляемые коммутаторы от любых производителей, которые RSTP поддерживают. 
Недостатком будет более высокое время, которое уйдет на перераспределение потоков в случае обрыва одной из линий, как правило, более 5 секунд. Малое количество коммутаторов в сети, как правило, не более 10, плюс, чем больше коммутаторов, тем больше возможные задержки.

Проприетарные протоколы конечно предпочтительней, так как они сильно быстрее, надежнее, и в целом более гибкие по своим настройкам. Такие коммутаторы есть у Cisco и Moxa, последние на наш взгляд более предпочтительны для целей видеонаблюдения.

• Коммутаторы Moxa поддерживающие кольцевую топологию  — цена от 25 861 рубля

Важный момент, на который стоит обратить внимание, каждый коммутатор пропускает через себя транзитом весь трафик вашей системы видеонаблюдения. Это важно учесть еще на этапе проектирования.

Запись на SD-карту IP-камеры

От обрыва кабельных трасс на периметре мы защитились кольцевой топологией. Т.е. даже при обрыве связи между коммутаторами система сохранит работоспособность. 

Но вот вопрос, а что делать, если произойдет обрыв на участке между коммутатором и IP-камерой. Как вы поняли из названия, выход есть, и называется он SD-карта. 

Большинство современных IP-камер имеют встроенный слот для карт microSD. 

• Видеокамеры с разъемом для SD-карты — цена от 4 990 рублей
  

Еще в недавнем прошлом, малый срок службы, и малая емкость SD-карт, сделал их мало используемыми в видеонаблюдении. 
Современные специально разработанные для видеонаблюдения SD-карты достигают  емкости до 1 ТБ и имеют 3 года гарантии. Что принципиально меняет возможности для их использования.

Запись на SD-карты может стартовать только при потере связи с регистратором, а может и вестись постоянно, параллельно с записью на основное хранилище видеоархива. Все вышеперечисленное делает SD-карты фактически незаменимыми именно как вариант резервного хранилища.

И главное как всегда на десерт, современной софт позволяет после восстановления работоспособности, скопировать этот архив с SD-карты памяти на устройство хранения видеоархива. 


Таким функционалом обладают далеко не все вендоры, но программное обеспечение Интеллект, Макроскоп и Milestone и видеорегистраторы IDIS с этим неплохо справляются.

Физическая защита кабеля

Для физической защиты кабеля в основном применяют металлические трубы и металлорукав.

Металлические трубы обеспечивают максимальную защиту от внешних механических повреждений. Кроме этого важным плюсом металла является то, что он не распространяет горение.
Важными характеристиками металлической трубы будут материал, диаметр трубы и толщина стенки.

Прокладка кабеля в металлических трубах не только надежно, но и красиво

Также, трубы из металла очень хорошо препятствуют негативному воздействию агрессивной среды, влаги и т.п.

Важно: принятие решения о применении металлических труб должно осуществляться на начальном этапе проектирования системы видеонаблюдения и исходить из особенностей помещений и условий эксплуатации.

Использование металлических труб обязывает к применению металлических коммутационных коробок, и соединительных муфт из металла. Соединение труб обычно является резьбовым: концы труб имеют наружную резьбу, а муфты – внутреннюю.
Недостатки физической защиты в том, что это дорого и поэтому не всегда целесообразно именно с экономической точки зрения.

Защита физических сетевых портов

Специальные защитные устройства позволяют блокировать свободные порты. Этот шаг обезопасит вас от несанкционированного подключения к вашему коммутатору через свободный разъем.

Для извлечения заглушек необходим универсальный ключ, при этом устанавливать их можно и без ключа.

А специальные патч-шнуры, оснащенные фиксирующим механизмом, нельзя отсоединить от порта RJ45 без специального ключа, что предотвращает случайное или злонамеренное разъединение канала передачи. Они фиксируют патч-шнур в разъеме и их можно снять только специальным ключом.

Чего не нужно делать?

Использовать конвергентные сети
Сеть видеонаблюдения должна быть физически изолирована. Это позволит вам, в случае если основная сеть предприятия будет скомпрометирована или перегружена, сохранить работоспособность сети видеонаблюдения.

Защита от отключения электроэнергии

Существует множество причин, по которым электроэнергия может быть отключена на предприятии. Это и аварии на электроэнергетических системах, например, такая как в 2005, в результате которой, несколько десятков тысяч человек оказались заблокированы в остановившихся поездах московского метро и лифтах.

Это могут быть действия злоумышленников, пожар, и многое другое. 
Плюс не забывайте про скачки и просадки в электросети, все это регулярно случается, и все это негативно скажется на вашей системе видеонаблюдения. 

Промышленные предприятия, как правило, не маленькие, и система видеонаблюдения, как правило, немаленькая, так что обеспечение бесперебойного питания может влететь в копеечку.

Наиболее эффективно в таких случаях применять дифференцированный подход, и выбирать решения по обеспечению бесперебойного питания в зависимости от типа оборудования.

В основном стоит разделять стационарное оборудование (сервера коммуникационное оборудование и т.п.) и камеры видеонаблюдения. 

Для станционного оборудования заложить время работы от аккумулятора минут 5-10, этого хватит для того чтобы корректно завершить работу. Это критично в первую очередь для серверов и видеорегистраторов. 

Для камер, стоит заложить резерв на несколько часов, возможно, даже с дополнительными блоками аккумуляторов. Все эти часы камеры будет сохранить стопроцентную работоспособность и писать видеоархив на установленные SD карты. После восстановления записанное на SD-карты видео будет синхронизировано с центральным устройством хранения видеоархива.

Кроме этого среди всех камер видеонаблюдения имеет смысл выделить камеры, которые наблюдают за наиболее критическими зонами предприятия, и для этих камер необходимо обеспечить возможность просмотра изображения в режиме реального времени.

Как защитится?

Все электропотребители в системе видеонаблюдения можно разбить на две группы: 

• Слаботочные, это, как правило, камеры видеонаблюдения с напряжением 12 Вольт
  
• Классические - коммутаторы, видеорегистраторы, и сервера видеонаблюдения, которые подключают к электросети здания, как правило, с напряжением 220 Вольт.

Используем источники бесперебойного питания 12 Вольт

Используются для обеспечения камер видеонаблюдения бесперебойным питанием. Нам потребуются соответствующие понижающие блоки питания с возможностью обеспечения бесперебойного питания от аккумуляторов. 

• Источники бесперебойного питания 12 Вольт — цена от 830 рублей

Использования источников питания на 12 Вольт можно избежать, если использовать камеры с питанием по PoE и соответствующие PoE коммутаторы, или PoE видеорегистраторы. 
И в этом случае, для того чтобы обеспечить резервное питание, нам нужно использовать источники питания с напряжением 220 Вольт с возможностью обеспечения бесперебойного питания от аккумуляторов. А так как питание по PoE во многих случаях имеет большой смысл, давайте о них поговорим подробнее.

Используем источники бесперебойного питания 220 Вольт

Существует, в принципе, три основных типа источников бесперебойного питания ИБП. 

• Резервный источник бесперебойного питания
  
• Интерактивный источник бесперебойного питания
  
• OnLine источник бесперебойного питания

Основными характеристиками, отличающими один тип от другого, будут:

• Длительность обеспечения резервного питания;
  
• Скорость переключения режимов работы;
  
• Точность регулирования выходных параметров тока.

Резервный источник бесперебойного питания. Back UPS

Источники бесперебойного питания резервного типа имеют очень простую схему работы. Если напряжение в электрической сети есть, и оно находится в диапазоне допустимого входного напряжения, то питание нагрузки осуществляется от сети. 

• Резервный источник бесперебойного питания — цена от 7 728 рублей

Если сетевое электропитание пропадает, или напряжение в электрической сети выходит из установленного диапазона, то ИБП переходит в режим резервного питания. При этом в нормальном режиме работы ИБП может улучшать качество электропитания за счет встроенных сетевых фильтров.

Недостатки

• Длительность переключения режимов работы. И хотя это сотые доли секунды (примерно 0,01 секунды), это может достаточно, чтобы вызвать сбои в работе некоторых электронных систем. 
  
• Кроме этого в сетях с колебаниями напряжения необходимо дополнительно к резервному ИБП использовать стабилизатор напряжения. 
  
• Несинусоидальность выходного напряжения при работе в автономном режиме, иногда называемая производителями «модифицированной синусоидой».
  

Существует оборудование, для которого форма сигнала важна. Прежде всего, это оборудование, чувствительное к помехам, оборудование с трансформаторными источниками питания, электродвигатели, компрессоры и т.д. Есть потребители, которые нечувствительны к форме сигнала — это лампы накаливания, простые нагревательные приборы, приборы с бестрансформаторными импульсными источниками питания (компьютеры, современные телевизоры).

Интерактивный источник бесперебойного питания. Smart-UPS

Основным отличием ИБП интерактивного типа от ИБП резервного типа является наличие дополнительного встроенного стабилизатора напряжения. Источники бесперебойного питания интерактивного типа имеют следующую схему работы. 

• Интерактивный источник бесперебойного питания — цена от 3 830 рублей

Если напряжение в электрической сети есть, но оно ниже номинального или выше номинального, то ИБП интерактивного типа работает как стабилизатор напряжения. Если сетевое электропитание пропадает, или напряжение в электрической сети выходит за пределы возможности регулирования встроенного стабилизатора, то ИБП переходит в режим резервного питания.

ИБП интерактивного типа можно использовать для серверов и для другого чувствительного к перепадам напряжения оборудования, особенно актуально, когда нужно сэкономить.

Недостатки

• Недостатки интерактивного ИБП будет наличие времени переключения режимов работы, примерно 0,01 секунды.
  
• Отсутствие коррекции формы входного напряжения и входной частоты в режиме работы от электросети, неполная фильтрация сетевых помех.
  
• Большинство моделей не формируют чистый синус выходного напряжения в автономном режиме работы.

Используем onLine источник бесперебойного питания

Источники бесперебойного питания OnLine, построенные по схеме двойного преобразования энергии, являются наиболее совершенными и позволяют обеспечивать качественным электропитанием самое взыскательное к качеству электропитания оборудование. 

• OnLine источник бесперебойного питания — цена от 43 050 рублей

OnLine ИБП сразу преобразует входное сетевое напряжение в постоянный ток. Далее происходит два процесса: обратное преобразование тока в ток переменного напряжения 220 Вольт и заряд аккумуляторных батарей. 

В случае снижения напряжения или повышения напряжения схема работы не изменяется, источник продолжает выдавать 220 Вольт на выходе. При этом даже при очень низком напряжении в электрической сети, ИБП двойного преобразования не переходит на питание от аккумуляторных батарей. Это существенно увеличивает надёжность такой системы бесперебойного питания.

В случае полного пропадания входного напряжения ИБП переходит на питание от аккумуляторных батарей. При этом не происходит какого-либо переключения, так как АКБ постоянно включены в схему. Другими словами, время переключения в режим питания от аккумулятора равно нулю.

Недостатки

• К недостаткам можно отнести высокую стоимость, но вы и сами наверно уже догадались? что вся эта красота не может стоить 5 копеек.

Как использовать блоки питания?

Многолетний опыт монтажа и обслуживания подсказывает, что основной критерий при выборе источников питания для систем видеонаблюдения  — это надежность, запас прочности и срок эксплуатации. 

С этой точки зрения, выбор, бесспорно, падает на OnLine источники бесперебойного питания с литий-ионными аккумуляторами. Это в идеале.

В реальной жизни, всегда есть возможность применить дифференцированный подход, и обеспечивать бесперебойным питанием в зависимости от критичности, здравого смысла и технического задания. 

Задачи бесперебойного питания на промышленных объектах, заключаются не только в том, чтобы сохранить возможность непрерывной записи видеоархива, но и возможность просмотра сотрудниками службы безопасности в режиме реального времени.

Поэтому первое, что нужно сделать, это обеспечить бесперебойное питание камер видеонаблюдения и наличие в камере SD-карты. 

Организовать беспрерывный видео мониторинг со всех камер видеонаблюдения, это гораздо сложнее и дороже, так как резервным питанием мы должны будем обеспечить практически всех энергопотребителей в системе видеонаблюдения. Но и выгоды такого подхода тоже значительны. Ведь без видеонаблюдения ваша служба безопасности практически слепа, и теряет возможность предотвращать преступные посягательства в режиме реального времени.

Сохранив возможность просмотра видео в реальном времени в отсутствие электропитания, вы сохраните для свой службы охраны возможность видеть все происходящее вокруг, а главное, при необходимости, реагировать, для предотвращения проникновения злоумышленников на вашу территорию.

Чего не нужно делать?

Выбирать мощные ИБП с целью продления времени автономной работы
С одной стороны логично, что мощный ИБП обеспечивает бесперебойное питание на большее время, чем менее мощный. Особенно если нагрузка заведомо более низкая. Однако с увеличением мощности цена начинает улетать в космос, не давая при этом особых преимуществ.

Правильнее будет взять ИБП соответствующей реальной нагрузке и увеличить время автономной работы с помощью дополнительных модулей с аккумуляторными батареями.

Забывать настроить механизм выключения оборудования при пропадании питания
Выход для подключения ИБП к серверу есть практически у любого ИБП. На практике ими мало кто пользуется, это приведет к аварийному завершению работы даже при его наличии.  
Чтобы не забыть это сделать нужно обязательно прописать настройку автоматического выключения работы в техническом задании на проектирование.

Использовать свинцово - кислотные аккумуляторы
Срок службы литий-ионного (Li-ion) аккумулятора составляет 10-15 лет. Китайские дешевые свинцово-кислотные АКБ, если проживут год, считайте, вам повезло. 
Причина понятна, чтобы уменьшить цену, производители идут на разные хитрости. Заниженная почти вдвое емкость – это уже норма, стекло и пенопласт вместо свинца – еще не норма, но уже никого не удивляет. И самое главное – улучшений не предвидится, доллар растет и «экономия» будет только усиливаться.

Но даже если вы возьмете качественный бренд, их срок жизни в 3-5 раз меньше литий-ионных. Кроме этого литий-ионные АКБ практически не требуют технического обслуживания, в них нет жидкости, уровень которой нужно измерять и поддерживать. Единственный их недостаток в том, что они дороже, но это тот случай когда оно точно того стоит.

Защита от вмешательства сотрудников

В основном речь пойдет о защите от вмешательства сотрудников охраны, так как они наиболее часто взаимодействуют с системой видеонаблюдения. Но про остальных сотрудников мы тоже забывать не будем, так как они тоже могут доставить много хлопот.
Вот например сотруднику гипермаркета Лента в Томске, с его слов «надоело там работать» и он не нашел ничего лучшего как его поджечь.

В итоге огонь распространился на площади в пять тысяч квадратных метров, три с половиной тысячи метров кровли обрушилось.

Или еще один свеженький пример: Тетя обиделась на то, что ее уволили, и перед тем как свалить в закат, уничтожила 21 гигабайт данных. И хотя у работодателя тети были резервные копии почти всего, что она уничтожила, ему все же пришлось потратить более 10 000 долларов на восстановление.

Сотрудники охраны
Оператор видеонаблюдения, как правило, это охранник, является активным пользователем системы видеонаблюдения, это его обязанность. Кроме этого операторы видеонаблюдения часто являются пользователями порно сайтов, онлайн игр, казино и прочего «интересного» из интернета. 

Плюс повтыкать свои флешечки, в том числе и для того чтобы что-нибудь скачать и унести себе домой на память. Ради интереса можете попробовать посмотреть логи, и узнаете, что втыкают в свои рабочие компьютеры сотрудники.

\HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Enum\USBSTOR - тут отображаются устройства-носители (как раз флешки и другие носители информации).

\HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Enum\USB - тут отображаются телефоны, мышь, веб камеры и тому подобное.

Кроме этого, испокон веков грабители знали, что проще подкупить охрану и поделится барышом, чем рисковать свободой. А так как зарплата в охране невысока, а взять новый «фокус» в ипотеку все равно хочется. Соблазн войти в сговор с преступниками очень серьезный.
Поэтому система видеонаблюдения это и система наблюдения за действиями охранников. Поэтому, пару принципов системы.

Все помещения, которые использует охрана или наиболее часто посещает, должны быть оборудованы видеонаблюдением особенно тщательно, плюс, обязательна аудиофиксация.

Как защитится?

Закрываем доступ

У сотрудников охраны, как и почти у всех сотрудников не должно быть административного доступа к элементам системы видеонаблюдения. 
Как физического, все элементы системы видеонаблюдения должны располагаться в закрываемых помещениях с обязательной системой контроля доступа.
Так и доступа к администрированию, причем не только программного обеспечения для видеонаблюдения, но и к администрированию операционной системы (ОС) сервера и клиентских компьютеров.

Необходимо закрывать доступ оператора к настройкам ОС, отключать порты ввода-вывода, диспетчер задач. Чтобы никто никоим образом не смог добрался до системы.

Детектируем саботаж

Вы удивитесь, насколько ваши сотрудники охраны изобретательны, особенно когда речь идет о потенциальной вероятности отправиться в места не столь отдаленные. Методы их, как правило, просты и эффективны и сводятся к тому, чтобы как-то вырубить систему видеонаблюдения, а потом врубить. Типа ничего и не было.

Наиболее часты приемы саботажа:
Расфокусировать камеру
Нарушение фокусировки объектива камеры, в результате которого изображение становится размытым, т.е. ничего не видно. Понятно, что расфокусировать объектив можно целенаправленно из программного обеспечения, если конечно на камере установлен моторизированный вариофокальный объектив, примеров такого саботажа масса. И естественно это может произойти естественным путем при наличии, например вибрационных нагрузок, источником которых может быть как проезжающий автотранспорт, так и банальный ветер, для уличных камер конечно.  

Скинуть питание с камеры или отключить кабель передачи данных
Тоже распространенная история, можно скинуть питание с камеры, можно отключить кабель передачи данных. Понятно, что все это вполне может свидетельствовать о чем-то не самом хорошем.

Смены сцены съемки
Очень частая манипуляция, просто в силу своей простоты и очевидности, этот фокус можно проделать только с камерами, которые имеет конструктивно предусмотренную возможность поворота корпуса камеры. Как правило, все уличные «буллет» камеры именно такие. А вот с купольной камерой такой фокус не удастся, и это одно из годных преимуществ купольной камеры.

Засветка или заслонение камеры
Еще одно частый способ саботажа, засветить камеру лазерной указкой или фонариком. Общеизвестно, что направленный в объектив луч яркого света, приводит к засветке фоточувствительных элементов матрицы, и приводит к временному «ослеплению» камеры.

Как бороться с саботажем?
Бороться с этим позволяют так называемые детекторы саботажа они могут быть встроены в камеры, а могут быть функционалом программного обеспечения для видеонаблюдения.
И в том и другом случае каждое срабатывание такого детектора должно активировать тревогу и попадать на контроль к руководителю для проведения служебного расследования.

В случае с засветкой есть еще один хороший способ минимизировать ее воздействие.
Камеры с расширенным динамическим диапазоном (WDR, Wide Dynamic Range) при прочих равных в большей степени защищены не только от случайной встречной засветки, но и от намеренного воздействия лазерным лучом. Т.е. камеры с WDR даже в случае засветки сохранят большую различимость деталей.

Защита устройств хранения видеоархива

Самая большая ценность и основной смысл системы видеонаблюдения. Наиболее часто для хранения видеоархива в системах видеонаблюдения используются сервера видеонаблюдения и видеорегистраторы. 

• Сервера видеонаблюдения — цена от 45 770 рублей
  
• Видеорегистраторы — цена от 5 340 рублей

Мы уже обеспечили для них бесперебойное питание. Но это далеко не все, что плохого может с ними случится, поэтому давайте посмотрим, что еще нужно сделать, чтобы сохранить их работоспособность.

Во-первых, нужно помнить, что каким бы крутым не было устройство хранения видеоархива, всегда есть вероятность выхода из строя его составляющих. Наиболее подвержены этому, конечно, жесткие диски. Ресурс даже специализированных жестких дисков при работе в системе видеонаблюдения, относительно небольшой. Но нужно не забывать что поломка жесткого диска это далеко не единственная проблема, которая может возникнуть. 

Начнем с бюджетных способов защиты, а закончим царскими.

• RAID — резервное копирование данных в одном устройстве
  
• Использование устройств хранения с двумя блоками питания
  
• Резервное устройство хранения видеоархива
  
• Резервное копирование данных на отдельное специализированное устройство

Еще один перспективный способ хранения видеоархива на камерах видеонаблюдения это использование SD-карт, но мы его уже рассмотрели в разделе «Защита кабельных линий передачи данных».

Как защитится?

Используем RAID

Один из самых распространенных и недорогих способов, позволяющих защитить видеоархив от потери при выходе из строя жестких дисков это, конечно, использовать RAID-массивы. 

Аббревиатура RAID означает в переводе «Массив недорогих дисков с избыточным объемом» (по-английски Redundant Array of Inexpensive Disks), и название это говорит само за себя. Несколько небольших независимых друг от друга жестких дисков подключаются в единую систему, обеспечивающую высокую производительность и главное - резервирование данных. RAID массивы обеспечивают сохранность того, ради чего организуются системы видеонаблюдения — видеоархива. Массивы RAID также позволяют довольно просто наращивать объемы хранения данных за счет добавления жестких дисков.

Обычно для организации массива используется физический интерфейс-контроллер; возможна и программная реализация RAID, однако в работе она не так эффективна, как аппаратные решения.

Изначально было предусмотрено пять уровней RAID, однако в развитии возник ряд новых уровней, а также нестандартные уровни, используемые в различных проприетарных решениях. Уровни RAID и соответствующие им форматы данных стандартизованы ассоциацией Storage Networking Industry Association (SNIA) в стандарте Common RAID Disk Drive Format (DDF).

Мы не будем описывать все существующие вариации RAID массивов, по крайней мере, не в этой статье. Наиболее подходящими для использования в видеонаблюдении типами массивов являются RAID-1, RAID-5 и RAID-6.

• Видеорегистраторы с  RAID-1 — цена от 79 690 рублей
  
• Видеорегистраторы с  RAID-5 — цена от 79 690 рублей
  
• Видеорегистраторы с RAID-6 — цена от 79 690 рублей

На сегодняшний день RAID-6, наиболее эффективный RAID-массив для систем видеонаблюдения. Он избавлен от недостатков RAID-5 и сохраняет
работоспособность при отказе сразу двух жестких дисков. Благодаря использованию современных производительные контроллеров, скорость записи в RAID-6 в несколько раз выше, чем просто на отдельный диск.

Работа RAID-массива гарантируется при использовании только однотипных жестких дисков с одинаковой версией прошивки. А любая комбинация дисков с отличиями может привести к потере видеоархива. Поэтому представляется необходимым сформировать запас жестких дисков на весь срок службы устройства хранения видеоархива. 

Два блока питания

Блок питания видеорегистратора или видеосервера критически важная точка отказа, так как даже, несмотря на использование бесперебойных блоков питания и стабилизаторов, он все равно просто железка, которая тоже может выйти из строя.

• Видеорегистратор с двумя блоками питания — цена от 249 500 рублей

А если выходит из строя единственный блок питания, то это означает выход из строя полностью всего видеорегистратора или видеосервера.

Хороший и недорогой вариант застраховаться от такого развития событий это использовать устройства хранения видеоархива с двойными блоками питания с возможностью горячей замены.
При выходе из строя одного из модулей, соответственно, устройство хранения видеоархива все равно продолжит работу в штатном режиме и будет ждать замены неисправного модуля. 

Используем резервное устройство хранения видеоархива

Один из лучших способов защиты устройства хранения видеоархива. Так может быть множество причин, по которым ваш основной сервер или видеорегистратор может выйти из строя.
Например, пожар может уничтожить и сервер и видеоархив, к слову, чтобы минимизировать этот риск, основное и резервное устройство хранения видеоархива стоит располагать в разных зданиях.
Ну, или преступники, могут прихватить устройство хранения видеоархива с собой. В общем, много что может случиться.

Существует несколько возможностей для реализации:

• Резервный сервер, контролирует работу указанного ему основного сервера или нескольких основных серверов. И постоянно проверяет наличие с ним связи, в случае потери связи с основным сервером программное обеспечение перенаправляет поток от камер на резервный сервер, куда, соответственно, и продолжается запись видеоархива. 
  
• Резервным сервером может быть и один из основных серверов. Т.е. например, в вашей системе видеонаблюдения 100 камер, 50 пишутся на один сервер, 50 на другой. При выходе из строя одного сервера второй начинает писать на себя все 100 камер. Нужно, конечно, не забывать, что мощность этих серверов должна быть избыточной, чтобы в случае сработки модуля, он смог обработать все 100 камер.
  
• Лучшим вариантом является когда, все камеры системы одновременно пишутся на два сервера, это защитит, например, от ситуации, когда преступники уносят сервер с собой, и позволит вам сохранить записи в полном объеме.

Резервное копирование данных

Идея хранить весь видеоархив на еще одном устройстве кроме основного или основных, предоставляет возможность дополнительно защитить основную ценность системы видеонаблюдения — видеоархив.

У нас есть несколько технологических возможностей это реализовать:

• NAS или Network attached storage. NAS это хранилище, подключенное к вашей сети, можно сказать, что это дополнительный сервер, используемый только для хранения данных. При этом раз этот выделенный сервер находится в той же сети, возрастает нагрузка на сеть. 
  
• SAN или Storage area network. SAN это уже не просто одинокий файловый сервер, это целая сеть хранения данных, построенная на топологии Fiber channel. FC это семейство протоколов для высокоскоростной передачи данных на базе оптоволоконных соединений. Т.е. эта сеть использует принципиально другой протокол, чем TCP/IP. 
  
• Также есть возможность реализовать резервное хранение данных на отдельном устройстве и средствами программного обеспечения для видеонаблюдения.

Мы разобрали самые распространенные схемы защиты самого ценного в видеонаблюдении - видеоархива. И двинемся к самому важному в 21 веке, к киберзащищенности видеонаблюдения. 

Кибербезопасность: Защита от несанкционированного доступа и не только

Для небольших и средних инсталляций предлагается рассмотреть так называемое сквозное (или также Best-in-suite) шифрование, т.е. комплексное решение от единого поставщика. Преимуществом такого подхода, помимо простоты установки, интеграции и управления системой камер, является, прежде всего, 100% совместимость всех устройств и их программного обеспечения для управления видео и, следовательно, и более эффективная защита от кибератак.

С точки зрения ИТ-сетей, камера является конечной точкой сети, так же как настольные компьютеры и смартфоны. В отличие от смартфона, сетевая камера не подвержена распространенной угрозе посещения пользователями потенциально опасных веб-сайтов, открытия вредоносных вложений электронной почты или установки ненадежных приложений. 

Однако камера является сетевым устройством с интерфейсом, который может подвергать систему рискам. При оценке кибербезопасности системы видеонаблюдения рекомендуется начинать с конечного устройства. Киберустойчивость любой системы настолько сильна, насколько мощно ее самое слабое звено.

Как защитится?

Использовать HTTPS

Начнем с простенького и дешевенького. HTTPS используется для шифрования трафика между клиентом и камерой. Практически все современные камеры его поддерживают, но не во всех он включен по умолчанию. Мы рекомендуем использовать HTTPS, как минимум при выполнении любых административных задач на камере, а в идеале всегда.

Обратите внимание, что включение HTTPS не приведет к автоматическому шифрованию видео, передаваемого например по RTSP. 

Использовать Trusted Platform Module (TPM)

Доверенный платформенный модуль, используемый в некоторых продуктах Axis, представляет собой автономный аппаратный компонент, который обеспечивает безопасность и надежность криптографических ключей и сертификатов даже в случае нарушения безопасности. Все закрытые ключи хранятся в TPM, и все криптографические операции, требующие закрытого ключа, отправляются в TPM для обработки. В TPM ничего изменить нельзя, поэтому секретная часть сертификата всегда защищена. TPM в продуктах Axis сертифицирован на соответствие требованиям FIPS 140-2 уровня 2 и включает в себя аутентификацию оператора на основе ролей и защиту от вскрытия.

Использовать Edge Vault

Компонент безопасности Axis Edge Vault обеспечивает автоматическую и защищенную идентификацию новых устройств во время установки в соответствии с последним международным стандартом безопасной идентификации устройств (IEEE 802.1AR). Он также упрощает авторизацию продуктов Axis в вашей сети. Axis Edge Vault защищает идентификатор устройства Axis — набор сертификатов, включающий версию глобального уникального серийного номера вашего устройства Axis с цифровой подписью. 

Настраиваем фильтрацию по mac-адресам

Администрировать выделенную сеть под видеонаблюдение не очень сложно, поскольку добавленные в нее устройства (сервера, регистраторы, видеокамеры, коммутаторы, какие-то сервисные сетевые устройства) довольно статичны, и новые устройства появляться в ней не должны. Достаточно добавить mac-адреса всех этих устройств в белый список и включить на коммутаторе фильтрацию по mac, для этого коммутатор должен быть управляемым. 

Используем VPN и межсетевые экраны

Используйте качественное сетевое оборудование, которое поддерживает эти функции защиты, особенно при необходимости организации доступа к глобальной сети или если в вашей сети есть незащищенные сегменты, например, организован беспроводной гостевой доступ.

Доказательства подлинности видеозаписи

Вы уже наверняка слышали про deepfake, это методика синтеза изображения, основанная на искусственном интеллекте. За основу часто берется существующая реальная видеозапись и в нее с помощью нейросетей носятся изменения, да так качественно, что распознать подделку достаточно сложная задача. 

Теперь перемещаемся на ваше предприятие, допустим, произошел инцидент, и вам приносят видеозапись с вашей системы видеонаблюдения, где вы четко видите лицо виновного. Еще лет 5 тому назад это однозначно означало бы, что человек на видеозаписи виновен. Но на дворе 2021 и это может означать, что вы смотрите на deepfake. Т.е не означает примерно ничего. В современных системах видеонаблюдения есть способы защититься и от этого.

Современные системы видеонаблюдения для обеспечения подлинности записанных и экспортируемых видеоматериалов используют алгоритмы, которые присваивают уникальные связанные между собой идентификаторы каждому кадру. Подобно технологии блокчейн, все кадры связаны между собой уникальными изменениями – метками (отпечатками). Например, так работают видеорегистраторы IDIS.

На каждый кадр накладывается метка, которая содержит информацию об идентификаторах соседних кадров. Изображения связываются между собой в последовательные «цепочки» кадр за кадром. Информация об идентификаторах и метках также хранится в устройстве хранения видеоархива и проверяется при экспорте в видеоклип. 

У камер видеонаблюдения Axis за контроль целостности видео отвечает компонент безопасности Axis Edge Vault, Новая функция защиты видео с помощью цифровой подписи (будет введена в действие в 1-ом кв. 2022 г.) поможет повысить степень доверия к видео и уверенность в том, что оно не подделано. В каждый видеокадр будет добавляться криптографическая контрольная сумма, после чего видеокадр будет подписываться с использованием идентификатора устройства Axis. За счет этого всегда можно будет определить конкретную камеру Axis, являющуюся источником видео, и убедиться, что переданное камерой видео не было после этого изменено или подделано.

Перед воспроизведением видеоролика проигрыватель сверяет идентификаторы и метки, если какая-либо часть изображения изменялась или изменяется, метка модифицированного изображения не будет соответствовать метке, извлекаемого исходного изображения, появится флажок.
Таким образом, мы сможем определить подлинность видео и гарантировать целостность видеоролика.

Шифруем видеоархив

Мы уже предусмотрели возможность сохранения видеоархива для нас, даже если устройство хранения видеоархива будет украдено или конфискован правоохранительными органами.

Но нам нужно защитить и тот архив, который был похищен, чтобы злоумышленники были лишены возможности просматривать украденный видеоархив. Делается это с помощью шифрования.

Современные технологии позволяют шифровать видеоданные на IP-камере перед сохранением и отправкой их по сети. Поэтому дополнительные процессы шифрования и дешифрования в системах хранения в идеале не нужны. Главное выбрать камеры, которые поддерживают такой функционал, например IP-камеры IDIS или AXIS.

Зашифрованные данные в этом случае могут записываться непосредственно на SD-карты, которые установлены в саму IP-камеру или на жесткие диски в устройстве хранения видеоархива.

Двухфакторная аутентификация

Двухфакторная аутентификация (2FA) должна использоваться для доступа к программному обеспечению и устройствам хранения видеоархива. Далеко не все вендоры видеонаблюдения поддерживают такой функционал.
Например, чтобы получить доступ к видеорегистраторам IDIS, пользователь должен подтвердить свою личность с помощью мобильного приложения IDIS после прохождения обычного процесса входа в систему, введя идентификатор пользователя и пароль. Все видеорегистраторы IDIS надежно защищают учетные записи пользователей с 2FA.

Чего не нужно делать?

Использовать беспроводные сети с WPA и WPA2
Вообще-то, в принципе полный отказ от беспроводных сетей будет самым правильным решением. 

Специалист компании CyberArk Идо Хорвич развлечения ради погулял по городу с оборудованием для сниффинга сетей Wi-Fi и собрал данные 5000 сетевых хэшей. А потом, используя эти данные, взломал 70% сетей Wi-Fi. Если для подбора паролей использовать сетап 8 x QUADRO RTX 8000 48GB GPU, то на подбор одного пароля в среднем уйдет меньше 10 минут. 10 минут на наш взгляд это достаточная причина чтобы не рекомендовать использовать Wi-Fi?

К сожалению, отказаться от Wi-Fi не всегда возможно. Если вы вынуждены использовать Wi-Fi то следует позаботиться о его безопасности, так как во многих случаях это будет самая уязвимая часть вашей сети.

Сегодня единственным хорошим выбором для шифрования трафика Wi-Fi является WPA3. За исключением некоторых сложных конфигураций WPA2-Enterprise, все остальное в плане безопасности сильно слабее. И позволит хакерам, используя такие программы как Aircrack-ng, проникнуть в вашу сеть.

Использовать один пароль на все IP-камеры
Пароли по умолчанию должны быть уникальными и надежными для всех сетевых устройств. Надежным считается цифробуквенный пароль, длиной не менее 10 символов.

Использовать конвергентные сети
Конвергентная сеть, это такая сеть, в которой объединены различные услуги и функции, например, одна сеть используется и для телефонии, интернет-трафика, видеонаблюдения, контроллеров доступа и т.д. С одной стороны, это упрощает построение сети и удешевляет построение сети.

С другой стороны, рухнула одна сеть, рухнули все сервисы и службы, в том числе и сеть обеспечивающая работоспособность системы видеонаблюдения. А это фиаско братан.

Забывать обновлять прошивки IP-камер
Проблема прошивок, в которых плохиши находят уязвимости, а потом используют их на потребу своей черной душе, стара как мир.
Например, свеженькая уязвимость CVE-2021-36260, по оценкам экспертов по системам безопасности, ставит под удар более 100 млн. устройств HikVision.

Аналитики из Fortinet обнаружили, что в результате использования этой уязвимости на IP-камеру или видеорегистратор загружается представитель семейства Moobot — DDoS-бот, созданный на основе кода Mirai. Его скачивает со стороннего сервера специальный загрузчик; основной модуль Moobot прописывается в системе как macHelper. В целях самосохранения зловред модифицирует основные команды — чтобы предотвратить перезапуск зараженного устройства. 

Подвергнутый анализу образец поддерживал четыре техники флуда: SYN, UDP, ACK и ACK+PUSH. Исследователи также выявили Telegram-канал, в котором операторы Moobot продвигали свои DDoS-услуги.

Защита от недобросовестных сотрудников правоохранительных органов

Ну и финальный аккорд. Как известно правоохранительные органы всегда проявляют интерес к системе видеонаблюдения. И понятно почему, выражение видеонаблюдения царица доказательства, пришло к нам из правоохранительной системы.

Понятно, что сотрудники правоохранительных органов такие же люди, и также склонны совершать преступления. За примерами далеко ходить не нужно.

Вот, например интересная история как сотрудники ФСБ похитили 136 млн. рублей из банка «Металлург». Причем сделали это в открытую, показав охране на входе удостоверение ФСБ. Так что если вы думаете, что правоохранительные органы будут вас только защищать, вы ошибаетесь.

Мы уже защитились от всего, чего только могли, в том числе защитили наш видеоархив от их излюбленного приема прихватить с собой устройство хранения видеоархива.

Второй излюбленный прием сотрудников правоохранительных органов, это отключить питание от системы видеонаблюдения. Но мы и от проблем с питанием защитились, скажите вы, и будете правы, мы предусмотрели резервное питание и система сохранит работоспособность. Но тут есть нюанс, если мы используем камеры с ИК подсветкой, то сотрудники полиции, которые скинули питание с камер, поймут, что камеры то работают, так как ИК подсветка будет светиться (это актуально в темноте). Т.е. они могут просечь, что включилось резервное питание и соответственно продолжат корежить ваше видеонаблюдение до полного его вывода из строя.

Чтобы этого не допустить, можно использовать камеры видеонаблюдения с высоким показателем светочувствительности матрицы и специальными технологиями позволяющими снимать в полной темноте, так вы избежите необходимости использовать камеры с ИК подсветкой, и сохраните возможность создания качественного изображения в темноте.

Технология Axis Lightfinder является одним из лучших вариантов, который позволяет получать полноцветное видео высокого разрешения с минимальным размытием движущихся объектов, даже если съемка ведется практически в полной темноте.

Самое главное

Видеонаблюдение на крупном предприятии это must have, это понятно всем. Одна только система видеонаблюдения способна согласно научным исследованиям снижает количество преступлений.

А видеоархив согласно статистике транспортной полиции в Великобритании, в ХХ эффективно используется для расследования преступлений.

Однако мало кто задается вопросом, какая система видеонаблюдения будет снижать преступность. Ну, то есть, я имею в виду, все те бесконечные технические вопросы и нюансы,  которые очевидно будут сильно влиять на эффективность системы видеонаблюдения, но которые никто не учитывает.

Именно эти нюансы влияют на эффективность систем видеонаблюдения, именно эти нюансы приводят к тому, что в Великобритании внедрение систем видеонаблюдения приводят к снижению преступности, а в США нет.

Кроме этого давайте не забывать о том, что система видеонаблюдения лишь одна из множества подсистем комплексной интегрированной системы безопасности, без которой на современном промышленном предприятии не обойтись.

Интегрированная система безопасности это много оборудования, которое должно взаимодействовать в рамках одной системы. Так вот для того чтобы ее спроектировать нам нужно оборудование для видеонаблюдения которое будет легко интегрироваться с системами контроля доступа, охранными системами, системами домофонии и много еще с чем. Для этого оборудование должно поддерживать универсальные протоколы, которые обеспечивают взаимодействие различных элементов системы друг с другом, например ONVIF.

Еще важно не забыть про автоматизацию и автономность системы видеонаблюдения. В статье мы не раз констатировали, что персонал это источник основных угроз для предприятия. А если так, то конечно одна из основных задач минимизировать количество угроз, а значит и количество персонала.

Но это даже не главное, эпидемия коронавируса высветила еще одно преимущество автоматизации — можно попасть в ситуацию, когда персоналу просто запретят ходить на работу из-за эпидемии. 
Это значит, во-первых, система видеонаблюдения должны выполнять свои задачи без вмешательства сотрудников. Во-вторых, что при необходимости вы бы могли передать управление системой безопасности на удаленку за примером далеко ходить не нужно, эпидемия коронавируса.

Также важно не забыть про использование видеоаналитики. Использование видеоданных для анализа всего и вся, только набирающая мощь история. И в самом скором будущем компьютерное зрение произведет кембрийский взрыв в управлении предприятием, так будет поставлять основные массивы данных.

Расчет пуленепробиваемого видеонаблюдения онлайн

Заказчику нужна система видеонаблюдения, и как правило у него нет компетенций для составления технического задания. И это нормально, уверен что я не смогу составить техническое задание на систему вентиляции или на систему теплоснабжения. И вообщем это наверно правильно. В такой узкой экспертной области как видеонаблюдение составить ТЗ, может только специалист по видеонаблюдению, и то не каждый.

То есть ваша задача общими словами рассказать, что вы хотите получить от системы видеонаблюдения. Например заполнить эту форму, хорошее начало вашего рассказа. После заполнения формы, с вами свяжется наш инженер и вы вместе формализуете ваше ТЗ.

Ну, и самое важное — ваше мнение

Ничто так сильно не мотивирует меня писать новые статьи как ваша оценка, если оценка хорошая я пилю статьи дальше, если отрицательная думаю, как улучшить эту статью. Но, без вашей оценки, у меня нет самого ценного для меня - обратной связи от вас. Не сочтите за труд, выберете от 1 до 5 звезд, я старался.