В рамках выполнения закона 152-ФЗ "О персональных данных", компания Оптимал Системс приняла участие в миграции сетевой инфраструктуры крупнейшего территориального фонда обязательного медицинского страхования Российской Федерации. Были выполнены следующие виды работ:

• Перенос функций кластера межсетевых экранов с программно-аппаратных комплексов Palo Alto на ПАК Usergate;
• Миграция кластера корпоративной VPN на отечественные криптошлюзы Vipnet;
• Внедрение сетевого сенсора обнаружения сетевых атак и вредоносного программного обеспечения VIPNET IDS NS;
• Поэтапное внедрение системы сбора и анализа инцидентов безопасности Maxpatrol 8.

 

2024, апрель Проект компании Оптимал Системс "Защищенная ЛВС РДДМ "Движение первых" занял второе место в номинации "Лучший проект в сфере образования" на отраслевом конкурсе «Импортонезависимость в телекоммуникациях», организованным АО «Экспоцентр» в партнерстве с российским производителем программного обеспечения и оборудования в области корпоративных коммуникаций «ФЛАТ» и компанией «Марвел-Дистрибуция».  

В последние несколько десятилетий для построения инфраструктуры объектов критической инфраструктуры, бизнес-центров, центров обработки данных использовалось высокопроизводительное оборудование Cisco Systems, Brocade, HP. Являясь флагманами отрасли, эти производители вели постоянную работу по отслеживанию появляющихся угроз безопасности. Особое внимание уделялось раскрытию уязвимостей в программном обеспечении производимых устройств. Информация о найденных уязвимостях незамедлительно распространялась по всему миру, и производитель оперативно выпускал обновление программного обеспечения, позволяющее закрыть данную уязвимость. Заказчики, приобретшие пакет технической поддержки, могли обновить программное обеспечение на своих устройствах, и свести к минимуму риски, связанные с данной уязвимостью. С 2022 года упомянутые выше компании, как и множество других, прекратили свою деятельность в Российской Федерации. Техническая поддержка от производителя прекращена, а вместе с ней прекращены и обновления программного обеспечения для оборудования. При этом, производитель по-прежнему активно ищет и находит уязвимости в своих продуктах и оповещает о них открыто.

• Сложившаяся ситуация приводит к тому, что компании-владельцы импортного оборудования на территории РФ находятся в следующей ситуации: По всему миру известно об уязвимостях программного обеспечения, найденных после прекращения поддержки оборудования в РФ;
• Нет возможности защититься от угроз, связанных с уязвимостями, так как контракты на техническую поддержку больше не действуют.

Это приводит к тому, что злоумышленники могут осуществлять эксплуатацию уязвимостей столько времени, сколько им потребуется, без ограничений. Какие же угрозы может нести в себе использование необновляемого оборудования? Если сравнивать инфраструктурное оборудование - коммутаторы, маршрутизаторы и Wi-Fi – с информационными средствами производства предприятия – серверами, гипервизорами, прикладным программным обеспечением – функции у него окажутся несложными: передать поток трафика от источника в ЛВС к потребителю. И соответственно список непосредственных угроз, которые могут нести данные устройства компании, довольно короткий: Саботаж сети, он же отказ в обслуживании (DoS, DDoS) – ситуация, при которой передача полезного трафика в ЛВС невозможна. Причин может быть несколько:

• Все порты коммутатора заняты передачей и приемом паразитного трафика;
• Вся процессорная мощность занята паразитными процессами, и процессор коммутатора не может выполнять свои задачи по обработке трафика. В случае больших модульных коммутаторов, в которых за обработку трафика отвечает специализированные модули – ничего не меняется; их программное обеспечение подвержено уязвимостям в той же степени.

Распространение вредоносного трафика после успешной атаки для распространения злонамеренного воздействия на все сетевые устройства. Если же посмотреть на мировую практику атак, то ситуация окажется гораздо серьезнее. С начала прошлого года в российской практике насчитывалось несколько более-менее удачных случаев того, как атакующее воздействие на информационные системы начиналось с эксплуатации уязвимостей инфраструктурного ПО. Отказ в обслуживании - Около двух недель заняло полное восстановление инфраструктуры, - делится директор здания, входящего в нижегородскую компанию-оператор бизнес-центров. ЛВС двадцатиэтажного здания состояла из высокопроизводительных этажных коммутаторов Cisco Catalyst 4510 и ядра на паре коммутаторов Catalyst 6513. Многочисленные арендаторы были подключены к ЛВС здания с использованием выделенных виртуальных ЛВС (VLAN). Первой из компаний-арендаторов об отказе сообщила фирма, предоставлявшая круглосуточные онлайн-услуги бронирования парковочных мест. Принадлежащий им веб-сервер потерял связь с базой данных, расположенной во внутренней сети. Прибывшие по тревоге представители оператора бизнес-центра зафиксировали отсутствие конфигурации на коммутаторах ЦОД. Ее восстановили из резервной копии, и онлайн-служба арендатора заработала. Но как оказалось, это было только началом. По мере начала рабочего дня и прибытия сотрудников на рабочие места выяснилось, что работоспособность ЛВС нарушена на всех этажах. Оказалось, что конфигурация всех сорока этажных коммутаторов теперь стала одинаковой – все они работали с настройками по умолчанию. Выстояли только два этажа, на которых не было данных коммутаторов – там было установлено оборудование ЛВС, которым управлял сам арендатор этих помещений. Остальная гигантская ЛВС на 7000 портов теперь представляла собой один большой широковещательный домен, обрабатывавший широковещательные пакеты во всю мощь процессорных модулей и специализированных портовых ASIC. Ни одна компания-арендатор не могла воспользоваться сетью. Время простоя составило двое суток. За это время конфигурацию восстанавливали, последовательно отсоединяя каждый коммутатор. Расследование выявило: злоумышленник, получив доступ к одному из рабочих мест арендатора, провел сетевую разведку, и запустил на коммутаторах эксплуатацию уязвимости CVE-2018-0178, которой подвержен модуль супервизора Catalyst 4510. Получив права суперпользователя, он последовательно уничтожил рабочие конфигурации коммутаторов, и запустил их с настройками по умолчанию. Каким образом можно было избежать подобной ситуации? Обновление ПО Некоторые компании проводят обновления ПО своего оборудования, приобретая контракты техподдержки на оборудование, которое, находясь в России - по документам находится в другой стране. Такой метод нельзя назвать надежным. Рано или поздно, ситуация будет раскрыта, и техподдержка прекратится по причине нарушения ее условий заказчиком. Ужесточение политик безопасности Регулярный пересмотр политик информационной безопасности и модели угроз – это золотой стандарт в области ИБ. Переход на отечественное оборудование Оборудование отечественных производителей защищено от подобного рода рисков. Обновления программного обеспечения проводятся по мере обнаружения угроз безопасности, техническая поддержка доступна всегда, и ситуация, при которой производитель скажет – «это не наша проблема», невозможна. К тому же, в Российской Федерации создана и действует глобальная система сбора и обмена информацией о компьютерных атаках – ГОССОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак). Производители инфраструктурного оборудования таким образом, имеют возможность получать информацию об уязвимостях «из первых рук». Компания Оптимал Системс сотрудничает со всеми ведущими отечественными производителями инфраструктурных решений. Обратиться за помощью и получить консультацию можно здесь: https://optimal.systems/быстрая-связь/ .

В январе 2024 года компанией проведен пилотный проект по демонстрации возможностей программно-аппаратного комплекса "Континент 4". Заказчиком проекта являлась компания, оказывающая юридические услуги населению. В соответствии с 152-ФЗ, компания является оператором обработки персональных данных. Компания имеет несколько офисов в различных городах европейской части России и Урала, которые соединены между собой сетью VPN. В настоящее время для построения VPN используется оборудование Cisco Systems. В качестве межсетевых экранов применяются устройства Fortigate FG-60, для которых применялись подписки UTM. С 2023 года подписки Fortigate не действуют, и контракты технической поддержки на оборудование Cisco Systems - тоже. Постановка задачи от заказчика выглядит следующим образом:

• Минимизировать риски отказа сетевой инфраструктуры из-за эксплуатации уязвимостей в необновляемом ПО шлюзов VPN;
• Исключить риски несанкционированного доступа к персональным данных, как при обмене данными поверх сети VPN, так и при локальном обращении к корпоративной информационной системе.

Исходя из условий задачи, заказчику было предложены следующие мероприятия:

• Перейти на программно-аппаратные комплексы, производимые в Российской Федерации и сертифицированные ФСТЭК.
• Для передачи данных по сети VPN использовать отечественные алгоритмы шифрования трафика (ГОСТ).
• Развернуть в каждом из офисов узел доступа в Интернет на базе отечественного межсетевого экрана с использованием технологии унифицированной защиты от угроз (Unified Threat Management - UTM), включая:
  • Систему обнаружения вторжений (СОВ);
  • Систему Веб-фильтрации;
  • Потоковый антивирус;
  • Систему защиты от атак DoS, DDoS;
  • Систему глубокой инспекции трафика (DPI).
• Задействовать систему разделения доступа к ресурсам информационной системы;
• Внедрить систему отслеживания соответствия автоматизированных рабочих мест - заданной степени защищенности.

Предложенный к реализации вариант на базе программно-аппаратного комплекса (ПАК) "Континент" включает в себя следующие этапы: Этап 1 - внедрение ПАК в режиме криптошлюза для создания защищенной сети VPN, работающей на алгоритмах ГОСТ, а также с задействованными  функциями UTM для защиты трафика от угроз извне. Этап 2 - Переход на отечественные операционные системы (Альт Рабочая станция, Альт Сервер, Альт Виртуализация). Этап 3 - внедрение в корпоративной инфраструктуре модели доступа с нулевым доверием (Zero Trust). Для реализации Этапа 1 предложено использовать ПАК "Континент 4" в конфигурации - Узел безопасности и Центр управления сетью. В качестве демонстрации возможностей ПАК было проведено стендирование. С его процессом и результатами можно ознакомиться по ссылке: Пилотный проект Континент 4  

Компания Оптимал Системс в 2023 году завершила работы по техническому аудиту автоматизированной системы управления технологическими процессами (АСУ ТП) для крупной энергораспределительной компании Ленинградской области.   Компания-заказчик имеет порядка 40 филиалов, расположенных как внутри, так и вне населённых пунктов .  Крупнейший поставщик электроэнергии является, согласно Постановлению Правительства Российской Федерации № 127 от 08.02.2018 г., значимым объектом критической информационной инфраструктуры (ЗОКИИ). Автоматизированным системам АСУ ТП, расположенным в филиалах компании, присвоена третья категория ЗОКИИ.   Технический аудит проводился с целью последующего внедрения на предприятии системы обеспечения информационной безопасности (СОИБ) согласно Приказу ФСТЭК №239 от 25.12.2017 г.   В ходе аудита перед специалистами Оптимал Системс была поставлена цель - установить степень готовности площадок к внедрению оборудования защиты информации, а именно:  

• Проанализировать возможности получения несанкционированного физического доступа к объектам;

 

• Установить степень обеспеченности объекта инженерными системами, обеспечивающих штатное функционирование внедряемых в будущем программно-аппаратных комплексов;

 

• Оценить необходимость и достаточность организационно-технических мер по обеспечению безопасности значимого объекта;

 

• Для каждой из площадок проработать вопрос обеспечения сетевой связности объектов с учетом резервирования маршрутов.

 

• Для площадок, имеющих категорию ОКИИ, осуществить сверку оборудования и программного обеспечения для последующей плановой актуализации категории, либо перекатегорирования.

Задачи были выполнены в полном объеме. Результаты технического аудита переданы заказчику для выполнения проектирования системы СОИБ.  

В рамках обеспечения высокой надежности критических для населения Российской Федерации услуг, компания ООО Оптимал Системс приняла участие в развертывании системы информационной безопасности на объектах ключевой информационной инфраструктуры (КИИ), обеспечивающих отопление как жилого фонда, так и предприятий Уральского региона и Поволжья. Согласно Федеральным законам, предприятия энергетического комплекса относятся к объектам ключевой информационной инфраструктуры (КИИ). Объекты КИИ должны быть устойчивы как к целенаправленным атакам, так и к опасным последствиям непреднамеренных и неквалифицированных действий персонала. Перечень подобных действий, в частности, охватывает и нарушения персоналом действующих политик. Кроме того, на объектах КИИ в обязательном порядке должна быть предусмотрена устойчивость к угрозам природного и техногенного характера. С учетом сложности объектов КИИ, задача обеспечения их безопасности всегда представляет собой взаимоувязанный комплекс технических и организационных мер, включающий, как минимум, информационная безопасность, технологическая и промышленная безопасность, пожарная безопасность, социальная безопасность, охрана труда. Эффективная система обеспечения безопасности объекта КИИ должна строиться с учётом факторов, характерных для всех этих дисциплин. Связующим звеном в таком комплексе служат унифицированные цифровые технологии и протоколы взаимодействия, вертикально охватывающие практически все уровни технологических процессов. И поскольку все технологические процессы так или иначе являются объектом атак и прочих несанкционированных действий, краеугольным камнем в комплексе информационной безопасности объекта КИИ является система сбора и анализа событий информационной безопасности (ССАСИБ, SIEM - Security information and event management). Для эффективной работы системы сбора и анализа событий информационной безопасности необходимо выполнение следующих условий:

• Для автоматизированных рабочих станций (АРМ) и серверов:
  • Использование встроенных мер обеспечения безопасности. К ним относится специально разработанный перечень настроек, включающий в себя политики входа в сеть, аудит обращения к файлам на жестком диске, использование съемных носителей (флешки USB), и многое другое;
  • Использование автоматизированных средств обеспечения безопасности. К ним относятся программные средства комплексной защиты от угроз класса UTM (Unified Threat Management);
  • Журналирование событий и отправка журналов в центральный вычислительный комплекс ССАСИБ.
• Для сетевых и транспортных устройств (коммутаторы, маршрутизаторы):
  • Использование встроенных настроек для обеспечения безопасности. К этому перечню можно отнести длину и сложность пароля, фильтрацию IP-адресов, а также прочие конкретные настройки для устройств конкретного производителя оборудования;
  • Зеркалирование трафика для определенных портов и передача его на анализ в центральный модуль ССАСИБ.
• Для устройств, связывающих различные филиалы предприятия КИИ в защищенную наложенную сеть (VPN):
  • Использование при передаче данных шифрования при помощи отечественных алгоритмов трафика с заданной степенью защищенности;
  • Использование точной фильтрации нужного трафика;
  • Защита трафика от подмены.

Специалистами компании за 10 месяцев выполнен следующий объем работ:

• Произведено около 500 инсталляций средств автоматизированных механизмов защиты на действующих рабочих местах;
• Подготовлено к использованию системой сбора и анализа событий информационной безопасности порядка 700 автоматизированных рабочих мест (АРМ), а также серверов сбора телеметрической информации;
• Выполнена настойка внутренних механизмов защиты на более, чем 150  активных сетевых устройствах;
• Введено в действие 10 магистральных узлов передачи данных с шифрованием на базе оборудования Випнет в отказоустойчивом варианте.

Согласно Указу Президента РФ №250 от 1 мая 2022 года, « …органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых является иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.»   Аппаратно-программный комплекс «Континент" является продуктом российского производства и предназначен для построения, создания и управления защищенных структур передачи данных с использованием алгоритмов ГОСТ. Решаемые задачи:

• Выполнение требований регуляторов в области защиты объектов критической информационной инфраструктуры (ОКИИ);
• Выполнение требований регуляторов в области защиты информации организаций Российской Федерации.

  Основные функции:

• Обеспечение связи ЛВС-ЛВС по защищенному виртуальному каналу связи поверх сетей передачи данных общего пользования
• Предоставление доступа удаленным пользователям к ресурсам защищаемой ЛВС;
• межсетевое экранирование;
• обнаружение вторжений в информационную систему, передача сведений в систему ГОССОПКА
• автоматическая регистрация событий, связанных с функционированием комплекса, в том числе событий НСД;
• централизованное управление компонентами комплекса.

АПК включает в себя:

• Криптошлюз
• Криптокоммуникатор
• Детектор атак
• Центр управления сетью
• АРМ администратора системы.

  Для подключения удаленных пользователей к ресурсам защищенной сети используется программный комплекс Континент АП (абонентский пункт). Внедрение Перед внедрением АПК в обязательном порядке необходимо провести оценку применимости: Планирование – Анализ и постановка задач – Проектирование – Развертывание и внедрение – Эксплуатация – Поддержка. Перечень документов, необходимый для стабильной работы Континента:

• Пилотное тестирование: Техническое предложение – Технические требования – Общее руководство – Методика испытаний – Отчёт о результатах – Анализ оценки удовлетворенности.
• Проектирование: Техническое задание – Пояснительная записка – Программа и методика испытаний.
• Внедрение: Рабочая документация – Программа и методика испытаний – Отчёт о результатах.
• Этапы работ по миграции на аналог: Цели и требования к аналогу – Возможные риски – Оптимальный план миграции.

  Подробное описание компонентов и функций АПК Континент: Центр управления сетями (ЦУС) ЦУС является программным средством, в функции которого входит:

• Обеспечение защищенного функционирования всего комплекса: генерация ключей, аутентификация пользователей;
• Контроль работоспособности и состояния сетевых устройств, включая передачу необходимых сведений в систему мониторинга и аудита АПК Континент;
• Централизованное управление работой сетевых устройств комплекса.

ЦУС обеспечивает централизованное управление сетевыми узлами, правилами фильтрации трафика, настройками маршрутизации, VPN-сетями и криптографическими ключами. Данный компонент является ключевым в АПК Континент, без которого ввод в эксплуатацию комплекса, его функционирование и подключение других компонентов комплекса (о которых речь пойдёт далее) – невозможно. ЦУС является ключевым ключевым компонентом по регулированию и функционированию комплекса. Перед настройкой комплекса, необходимо выполнить инициализацию ЦУС. Инициализация происходить посредством указания внутреннего адреса, внешнего адреса и адреса маршрутизатора. Также указывается пароль для администратора, записывающий на USB-носитель, тем самым создается идентификатор пользователя под правами администратора (при последующем запуске комплекса этот идентификатор потребуется для выполнения аутентификации пользователя комплекса, также идентификатор необходим при инициализации модуля «Сервер доступа» и клиента «Континент АП». Последний используется для последующего использования подключения удаленных пользователей с использованием идентификатора). После этого можно выполнить вход в ЦУС с использованием идентификатора. Межсетевой экран Данный компонент, после ЦУС, является не менее важным в АПК Континент, без которого прохождение трафика между сетями внутри созданной сети, создание политик (разрешающих/блокирующих) и их применение – невозможно. Межсетевой экран, выполняет двойную фильтрацию (до и после шифрования) трафика, проходящего через устройство. Межсетевой экран имеет следующие преимущества:

• Контроль протоколов и приложений: Данная функция позволяет создавать политики и проводить детальную фильтрацию трафика по сигнатурам приложений и протоколов (имеется 300 приложений на базовом движке и 7000 на продвинутом)
• Защита от вредоносных веб-сайтов: Данная функция позволяет создавать политики по блокировке вредоносных сайтов по протоколам HTTP, HTTPS, FTP.
• URL-фильтрация по категориям: Данная функция имеет возможность категоризации интернет-ресурсов, которая разрешает/блокирует доступ к сайтам в сети Интернет по URL или FQDN, на базе предопределения категорий сайтов и на базе собственных чёрных и белых списков. Также в межсетевом экране присутствует использование доменных имён в правилах  фильтрации, что позволит увидеть какой пользователь и по какому правилу был выведен в журнале правил.
• Антивирус: В межсетевом экране используется проверка трафика потоковым антивирусом, т.е. антивирусом, который встроен в этот межсетевой экран и осуществляющий защиту от вирусов, эксплойтов и т.д.
• Модуль GeoProtection: Данная функция позволит фильтровать трафик по географической принадлежности IP-адресов.

Данные преимущества отличают межсетевой экран Континент от других российских аналогов межсетевых экранов NGFW.  Виртуальные частные сети (VPN) В отличие от других систем NGFW в АПК Континент есть Модуль L3VPN, который является криптошлюзом, а именно программным средством, устанавливаемым на АПК Континент (с архитектурой x64) и выполняющий следующие функции:

• Организация защищенных каналов на сетевом уровне с заданной топологией;
• Обеспечение передачи данных на канальном и сетевом уровне;
• Трансляция сетевых адресов; пакетная фильтрация;
• Регистрация событий безопасности, управления и системных событий.

Данный криптошлюз работает в совокупности с ЦУС и может располагаться внутри защищаемой сети или как шлюз, защищающий локальную сеть (в этом сценарии ЦУС также ставится на криптошлюз). Однако в основном используют первый вариант, т.к. во втором случае криптошлюз, защищающий локальную сеть, с установленным ЦУС, будет тратить больше ресурсов на защиту локальной сети, а в первом случае можно разгрузить лишние ресурсы на другие модули. Помимо криптошлюза в АПК Континент имеется Модуль L2VPN, являющийся криптографическим коммутатором, который представляет собой программное средство, предварительно устанавливаемое на АПК Континент с архитектурой х64. Криптографический коммутатор обеспечивает защищенную передачу Ethernet-кадров (L2) через сети общего пользования между территориально разделенными сегментами сети предприятия с использованием шифрованных (L3) VPN-туннелей "Континент" (L2VPN). Имеется возможность создания VPN:

• Построение Full-mesh сетей;
• Построение «звезда»;
• Клиентский RA VPN с контролем состояния подключаемых устройств.

Имеются также ранее упомянутые клиенты для подключения удаленных пользователей «Континент АП» и новая версия «Континент ZTN». Оба этих модуля имеют подключение к VPN через мобильные устройства и ПК. Данный клиент поддерживает:

• Клиентские приложения для всех платформ;
• Поддержка сервером доступа аутентификации по сертификатам ГОСТ 2012 (ТК 26);
• Поддержка ключевых носителей;
• Возможность установки  VPN до регистрации пользователя в ОС;
• Объединённый TLS и VPN клиенты в одном инсталляторе;
• Режим запрета незащищённых соединений;
• Разделение пулов IP адресов удалённых пользователей.

Данный клиент, это универсальное средство для подключения удаленных пользователей, отличающее данный NGFW от других российских аналогов. За счёт выбора пользователем: методов  аутентификации, доступа (по какому адресу будет производиться подключение к VPN), управления соединением, множественного подключения и временного интервала клиент является универсальным средством подключения удаленных пользователей по VPN с возможностью их идентификации по личному идентификатору. Сервер доступа Установив соединение по L2VPN & L3VPN в АПК Континент настраивается Сервер доступа. Через данный модуль удаленные пользователи могут осуществить защищенное подключение, использующих программный VPN-клиент «Континент АП» или «Континент ZTN-клиент», тем самым обеспечивая защищенность не только подключения, но и сети. Идентификация пользователей После соединения через сервер доступа происходит Идентификация пользователей. Данная функция позволяет использовать идентификатор(ы) пользователя(ей) в правилах фильтрации. Идентификация пользователей не только позволяет использовать личный идентификатор, записанный на внешнем съемном носителе, при инициализации пользователя, но и подключать новых пользователей таким же способом с указанием личного идентификатора для каждого конкретного пользователя (однако только один пользователь может инициализировать подключение к комплексу, при подключении двух и более пользователей одновременно не будет инициировано ни одного подключения к комплексу). Также поддерживается: прозрачная  аутентификация, аутентификация через Kerberos, Captive-Portal и агент аутентификации. Система обнаружения вторжений (СОВ) После идентификации пользователя, тот может начать настройку правил и политик в межсетевом экране, инициализировав подключения модуля СОВ. Данный модуль позволяет выполнять обнаружение и предотвращение сетевых атак с помощью сигнатур (они же "БРП" - база решающих правил). В СОВ также присутствует эшелонированная защита, выполняющая предотвращение, поиск известных угроз, поиск неизвестных угроз. Поиск известных угроз они же сигнатуры IPS (СОВ) происходит на  сетевом и канальном уровнях, также производится блокировка доступа к сайтам с помощью Kaspersky или Threat Intelligence. Помимо этого, также есть возможность анализа сетевого трафика и антивирусная проверка с помощью потокового антивирус или добавления собственных хэшей вредоносных файлов, с целью проверки работы СОВ. Одной из отличительных черт АПК Континент модуля СОВ является - собственный профиль IPS, который можно установить на  узел (узлы). При необходимости в СОВ уже имеются созданные специализированные профили под определённые типы угроз (3 профиля). Модуль поведенческого анализа (МПА) Это инновационное нововведение для российских NGFW. Модуль поведенческого анализа (МПА) – это самообучаемый программный модуль, предназначенный для обнаружения атак сканирования, атак на основе корректности протоколов и угроз типа "отказ в обслуживании". Обнаружение и предотвращение аномального трафика, атак сканирования и атак на основе корректности протоколов и угроз типа «отказ в обслуживании». В основе работы модуля лежат методики анализа характеристик сетевого трафика с учетом их изменений во времени с помощью набора шаблонов атак. Модуль можно настроить на постоянное обучение или обучение по времени или приостановить его работу. При обучении по времени задается интервал администратором комплекса работы модуля. В процессе обучения модуль обрабатывает трафик, создает правила фильтрации и запоминает среднюю нагрузку узлов сети. Когда обучение заканчивается, модуль работает с теми значениями, которые получил в процессе обучения. Режим "Обучение по времени" включается для каждого нового IP-адреса в сети. При постоянном обучении МПА обрабатывает трафик, создает правила фильтрации и запоминает среднюю нагрузку узлов сети на протяжении всего периода активности. Ниже представлен набор шаблонов, которые МПА анализирует и после анализа создает правила фильтрации или политики по предотвращению атак, вот этот список:

• SYNсканирование,
• FIN/RSTсканирование,
• ICMPсканирование,
• UDPсканирование,
• ICMP-пакеты, состоящие только из заголовка,
• Превышение размера DNS запроса/ответа,
• Корректность пакетов,
• Снижение размера пакета,
• DNS-spoofing,
• Несовпадающие ответы DNS,
• Неверные ответы DNS,
• SYN-flood,
• SMURF-атака,
• FIN/RST-flood,
• FRAGGLE-атака,
• LAND-атака.

МПА анализирует внешний и внутренний трафик, в том числе трафик, поступающий из туннелей VPN после его расшифрования. Для блокировки трафика МПА создает правила фильтрации. В случае обнаружения атаки МПА выполняет одно из трех действий: регистрирует событие в журнале сетевой безопасности и временно блокирует источник атаки; регистрирует событие в журнале сетевой безопасности; собирает статистику. События, связанные с работой МПА как программного компонента УБ, регистрируются в системном журнале. В журнале управления регистрируются события, связанные с изменением конфигурации УБ или настроек МПА. МПА функционирует только на УБ в режиме UTM. Дополнительная информация по АПК Континент Помимо вышеописанных модулей и компонентов АПК Континент в комплексе имеются функции, которые не вошли в описание основных модулей, а именно:

• Континент позволяет разграничивать ресурсы, тем самым увеличивая работоспособность межсетевого экрана.
• Одна из отличительных черт, это пропускная способность, которая достигает до 50 Гбит/сек в комплексе, тем самым позволяя функционировать в огромной сети предприятия без потери соединения.
• Осуществляется контроль приложений их блокировка/ разрешение, обнаружение/классификация  не доступная на большинстве российских NGFW.
• Присутствует мониторинг SIEM(MAX PATROL SIEM), KUMA, RUSIEM, KOMRAD. Анализ конфигураций (EFROS CI, SKYBOX, НЕТХАБ). Сторонние системы безопасности (Песочницы, антивирусы, DLP, DS INTEGRITY)
• Имеется собственное инновационное для российских NGFW решение. Функциональный брокер сетевых пакетов для балансировки трафика.

DS integrity - Брокеры сетевых пакетов, осуществляющие доставку и распределение трафика для систем анализа и мониторинга, осуществляющее агрегацию, зеркалирование, фильтрацию, дедупликацию, модификацию и балансировку.

• Присутствует собственная DLP система (Threat Intelligence), позволяющая анализировать и создавать политики в отношении: источников TI, отчётов об угрозах, соц. Сетей (сбор данных –> нормализация, фильтрация, обогащение, скоринг -> добавление в базу лаборатории анализа сетевых угроз -> континент 4).
• Поиск неизвестных угроз и передача файлов по ним в сетевую песочницу по протоколу ICAP
• Использование ГОСТ Р 12 - 2015 для l3vpn между узлом безопасности континент 4
• Использование Ipsec AES для L3vpn между узлом безопасности континент 4 и любым другим сетевым оборудованием с поддержкой IPSEC
• Имеется поддержка IPv6 (менее приоритетно).
• Присутствует повышенная производительность NGFW до 10 Гбит/сек.
• Присутствует поддержка сетевых технологий (VXLAN, динамическая маршрутизация и т.д.).
• Имеется возможность импорта политик Check Point.
• Имеется возможность импорта политик с Cisco ASA, FortiGate, Palo Alto через промежуточный импорт в Check Point.

Данные функции АПК Континент являются отличительной чертой данного NGFW от других на российском рынке. Система управления АПК Континент Данный пункт подразумевает общие понятия, для полноценного понимания вышеизложенного описания АПК Континент, а именно:

• Единая база сетевых объектов;
• Распределение трафика по механизмам безопасности;
• Импорт доменных пользователей;
• Централизованное управление настройками;
• Массовое развёртывание узлов безопасности;
• Импорт политик со сторонних межсетевых экранов/миграция;
• Централизованный веб мониторинг;
• Отправка логов в сторонние системы для анализа по протоколам syslog, netflow, snmp.

     

Компания ООО «Оптимал Системс» по приглашению ООО «АРинтег» провела в течение 2020 года работы по проектированию и настройке Системы защиты информации корпоративной мультисервисной сети ГБУ ФХУ Мэрии Москвы (КМС). Данная система содержит разделы:

• Система аудио- и видеоконференцсвязи Правительства Москвы;
• Система защиты информации государственных информационных систем корпоративной мультисервисной сети ГБУ ФХУ Мэрии Москвы.

В процессе выполнения работ были достигнуты следующие результаты:

• Запроектированы технические и организационные решения по созданию Системы защиты информации КМС ГБУ ФХУ Мэрии Москвы;
• Осуществлена миграция средств аудио-и видеоконференцсвязи в защищенный сегмент КМС ГБУ ФХУ Мэрии Москвы;
• Осуществлена миграция программно-аппаратного комплекса Государственных информационных систем (ГИС), в защищенный сегмент КМС ГБУ ФХУ Мэрии Москвы.

Следует отметить тот факт, что сеансы аудио- и видеоконференцсвязи Правительства Москвы, производящиеся на регулярной основе, в условиях самоизоляции по причине пандемии COVID-2019 стали производиться практически круглосуточно. В связи с этим, преимущественную часть работ приходилось выполнялась в условиях реальной работы КМС ПМ, в течение коротких технологических интервалов, без длительных перерывов в обслуживании.   Работы были выполнены в поставленный срок, с соблюдением всех необходимых условий и стандартов. Отзыв о сотрудничестве размещен в разделе "О компании->Отзывы заказчиков". Фото предоставлено http://mos.ru  

Декабрь, 2022  - завершены работы по обеспечению защищенным доступом к сети Интернет центрального офиса Manaseer Group, Амман, Иордания. Была поставлена задача - обеспечить защищенный высокоскоростной доступ как к сети Интернет, так и к ресурсам корпоративной сети компании с мобильных устройств. До начала развертывания решения было проведено обследование радиопокрытия с целью подбора оптимального количества беспроводных точек доступа для обеспечения высокоскоростной связи без разрыва соединений при движении сотрудника с беспроводным устройством (смартфоном) по офису. Проект выполнен с использованием решения для беспроводного доступа Cisco Systems Aironet 1800. Устройства данной  серии обеспечивают  беспроводной доступ в Интернет на скорости свыше 800 Мбит/с. Важным фактором выбора оборудования для системы явился тот факт, что точки беспроводного доступа поддерживают безразрывный переход абонентского устройства из зоны действия одной точки доступа в зону действия другой точки доступа (бесшовный роуминг). Узел защиты корпоративной ЛВС выполнен на межсетевом экране нового поколения (NGFW) Fortigate FG-60. Данный класс устройств обеспечивает:

• Комплексную защиту корпоративной сети от несанкционированных сетевых воздействий извне;
• Защиту от ботнетов и сетевых червей;
• Потоковую защиту проходящего трафика при помощи антивируса;
• Обнаружение вторжений;
• Фильтрацию вредоносных приложений

Важным фактором, обеспечившим выбор данного производителя для реализации проекта, является тот факт, что компания Fortinet владеет собственным центром мониторинга информационной безопасности (SOC - Security Operation Center)  и таким образом, на межсетевых экраныt Fortigate непрерывно, по условиям годовой подписки, обновляется  информация о вновь найденных уязвимостях, сигнатурах сетевых вторжений, вредоносных сайтах, сетевых червях и прочих типах злонамеренной активности. Поставленные задачи выполнены полностью, с высоким качеством.  

Компания ООО Оптимал Системс завершила проект по удаленному управлению инженерными системами апарт-отеля на Крестовском острове, Санкт-Петербург   Постановка задачи Организация, которая являлась заказчиком данного проекта, владеет несколькими объектами недвижимости, расположенными в различных населенных пунктах и зонах отдыха на территории Российской Федерации. К числу таких объектов относятся  жилые дома, апарт-отели, физкультурно-оздоровительные комбинаты (ФОК), и прочие зоны отдыха. Для обеспечения безопасности, бесперебойной работы объектовых служб и удобства проживания, на каждом из этих объектов исторически существуют следующие системы:

• Охранное теленаблюдение;
• Контроль доступа к помещениям («СКУД по карточкам»);
• Управление инженерными системами комплекса зданий («Умный дом»);
• Озвучивание помещений;
• Домашний кинотеатр;
• Wi-Fi с высокоскоростным доступом к Интернет.

Для обслуживания этих систем на каждом из объектов функционировали службы:

• Охраны;
• Технической поддержки.

Объектовые подразделения охраны безо всякой натяжки можно было назвать самым дорогостоящим отделом. Трудности начинались непосредственно в момент набора сотрудников. Местных кадров подходящей квалификации находилось крайне мало, особенно в сельской местности. Связано это с особенностями работы (использование электронных систем слежения), и вообще, с отсутствием мужчин среднего возраста. Приходилось нанимать охранников из районных и областных центров; при этом в расходы как нанимателей, так и самих сотрудников дополнительно включались расходы по поездкам на работу/с работы, что не добавляло лояльности сотрудникам и служило одним из факторов повышенной «текучки» кадров. Если прибавить к этим факторам еще и необходимость обучения сотрудников основам работы с имеющимся на объекте системами, становится очевидно, что интегральная стоимость обеспечения и поддержания должного режима охраны на объектах была высока. С технической службой основная проблема заключалась в низкой эффективности ее «по определению». Каждодневной работы для квалифицированного специалиста на объекте не было, как не было и смысла нанимать его на полный рабочий день. Его участие в технической поддержке заключалось лишь в приезде «по вызову» на устранение сбойных и аварийных ситуаций (перезапуск коммутаторов, точек доступа Wi-Fi), которые случались не чаще раза в месяц по всем информационным службам. В связи с этим фактом, специалистов не набирали в штат, и были они приходящие, оплачивали им только реально проводимые работы (которых было мало), и соответственно, лояльность их находилась на самом низком уровне. Это сказывалось на уровне технической поддержки, так как время реакции на проблему было непредсказуемым. Таким образом, качество обслуживания объектовых систем было ниже приемлемого уровня. Ситуация осложнялась еще и тем, что в текущем десятилетии кардинально изменилась модель информационной безопасности. Если раньше антивирус, установленный на компьютерах, обеспечивал защиту фактически, от всех информационных угроз, то во втором десятилетии 21 века этого было явно, недостаточно. Операционные системы и программы стали требовать обязательных обновлений, закрытия уязвимостей, причем устанавливаться обновления стали самостоятельно, безо всякой связи с текущими задачами, выполняемыми компьютером, и стало понятно, что функции администрирования должны стать непрерывными. Таким образом, совместно с заказчиком задача была сформирована следующим образом:

• Повысить качество работы системы;
• Снизить эксплуатационные издержки.

Для преодоления недостатков, присущих описанной модели управления, было принято решение консолидировать управление как информационными системами объектов, так и режимом охраны. Для комплексного управления решили создать единый ситуационный центр на одном из объектов, имеющем наилучшее и наиболее надежное соединение с сетью Интернет. Сотрудники ситуационного центра взяли бы на себя функции охраны и технической поддержки по всем остальным объектам. При этом объектовые службы охраны и технической поддержки было решено расформировать.   Введение          Изначально на каждом из объектов была реализована охранно-пожарная сигнализация (ОПС), система охранного телевидения (СОТ), система контроля и управления доступом (СКУД). Данные системы были введены в эксплуатацию, но ими было необходимо управлять удаленно, для этого был разработан проект по реализации удаленного доступа к системам. Объекты находятся в разных городах, для удобства объект на котором установлены системы и стоят центральные серверы мы будем называть «Объект А», соответственно объект, на котором нужно реализовать удаленное рабочее место «Объект B». В конечном итоге, мы должны получить удаленное рабочее место, с которого оператор без всяких проблем смог бы просматривать состояние «Объекта А» и взаимодействовать с ним так, как если бы он находился на самом объекте.   Охранно-пожарная сигнализация (ОПС)          Принцип работы. Система ОПС развернутая на «Объекте А» реализована на базе программного комплекса Орион Про, которая в свою очередь включает в себя все необходимые модули для мониторинга, конфигурации и взаимодействия с системой. В процессе работе оператор системы (охранник ситуационного центра, не присутствующий на объекте) обеспечивает:

• режим охраны (контроль состояния объектов на интерактивных планах помещений; то есть, оператор производит визуальный контроль за объектом и реагирует на появление тревог и различных событий.
• управление постановкой и снятием объектов с охраны; Т.е. оператор через программный модуль «Монитор» может управлять объектом ставя его на охрану или снимая, делая это с помощью интерактивных планов помещений. Например, на объект приехали люди и его надо снять с охраны, для этого оператор переходит в «Монитор» и снимает весь объект с охраны (или частично), нажимая правую кнопку мыши на нужном объекте, для открытия контекстного меню, в котором можно произвести данную конфигурацию. Соответственно, когда люди покинули объект его надо поставить на охрану и оператор проделывает все действий в точности, как и до этого, но лишь выбирая другой пункт контекстного меню.
• анализ журнала событий. Т.е. при любом событии в журнале оно будет отображаться, имея параметры (время, объект на котором произошло и так далее). Оператор в свою очередь просматривает эти события в реальном времени (если необходимо, то просматривает архив событий) и реагирует на них в случае необходимости. Например, если в журнале событий появилась запись «Синхронизация видеоподсистем завершена», то оператору не стоит как-то реагировать на это событие, но в случае появлении записи «Соединение с сервером «Объект А» потерянно» то в таком случае следует действовать разработанному регламенту. В журнале событий отображаются не только события, связанные с системой, но и с объектом в целом, такие как «Тревога проникновения», «Пожар» и т.д.

При этом в зависимости от настройки полномочий, оператор имеет возможность управлять теми или иными объектами системы. Объекты, для которых нет прав на управление или просмотр состояний и событий, не будут отображаться на вкладках и планах помещений. Для этих событий не будут доступны ни просмотр событий и состояний, ни управление. Если оператор имеет право на обработку тревог, то ему будут доступны действия по обработке тревог. Все полномочия операторы настраиваются администратором системы в программном модуле «Администратор базы данных». В нашем случае оператор, не находясь на объекте может полноценно взаимодействовать с ним. Кроме того, так как в ситуационном центре действует сменный режим работы, необходимо отслеживать всех операторов (охранников) и их взаимодействия с системой. Для решения этой задачи в системе предусмотрен «Отчет за смену». Идея этой функции проста: когда один оператор сменяется другим, с помощью одной кнопки создается отчет за прошедшую смену в котором указываются все события, произошедшие за это время (в том числе то как оператор среагировал на ту или иную тревогу). Все действия оператора заносятся в электронный архив на центральном сервере и их можно просмотреть и проанализировать в любое время. Кроме того, в данной системе реализована отправка сообщений на email и смс, что позволяет получать оперативные оповещения как линейных сотрудников ситуационного центра, так руководящего персонала. Обеспечение непрерывности процессов и целостности данных На центральном сервере системы, который установлен на «Объекте А» производиться резервное копирование конфигурации для того, чтобы в случае непредвиденных обстоятельств можно было систему восстановить. С помощью скрипта эти файлы копируются на сервер, который установлен на «Объекте В» и оттуда копируются на виртуальный сервер. Трехкратное резервирование данных позволяет со стопроцентной вероятностью восстановить систему в случае даже наиболее серьезной аварии. При выходе из строя центрального сервера системы все удаленные рабочие места не будут иметь связи с объектом, если в системе не предусмотрен резервный центральный сервер. Для восстановления понадобиться все также установить «Орион Про», а затем подключить оборудование к серверу и загрузить резервную копию системы, которая была сделана до этого. После этого система должна заработать, а все удаленные рабочие места восстановят соединения без дополнительной конфигурации. Система охранного телевидения Принцип работы. На «Объекте А» реализована система охранного телевидения, состоящая из сервера Trassir QuattroStation и видеокамер. Данный сервер представляет собой решение для построения охранного телевидения на базе IP-видеокамер с высокой отказоустойчивостью. Серверы размещены на двух объектах и объединены в отказоустойчивый кластер. Схема соединения СОТ На сервер находящийся на «Объекте А» поступает видеосигнал с камер подключенных к нему. Вся информация записывается в режиме реального времени и хранится на архиве сервера. Сервер находящийся на «Объекте В» подключен к серверу с «Объекта В» и получает также все сигналы в режиме реального времени, единственное отличие в том, что на втором сервере нет подключенных камер. Также на «Объекте В» ведется запись архива. В процессе работе оператор системы (охранник ситуационного центра, не присутствующий на объекте) обеспечивает:

• Контроль за объектом. Т.е. если при срабатывании, например, системы ОПС была тревога проникновения, оператор должен посмотреть по камерам кто проник и от куда, а также, что делает злоумышленник или это вообще ворона мимо датчика пролетела.
• Реагирование на оповещения СОТ. Т.е. в системе СОТ настроены правила, некоторые из них срабатывают при обнаружении движения в объективе камеры и тогда система издает звуковое оповещение. Оператор должен найти в какой камере происходит движение и оценить ложная сработка была или нет. Стоит отметить, что под «ложной» сработкой подразумевается, например, кот, который гуляет по двору, при этом он создает движение и вызывает тревогу.
• Управление поворотными камерами. Т.е. в системе присутствуют поворотные камеры, которыми можно управлять с помощью нескольких режимов. Оператор в свою очередь должен управлять данными камерами в случае необходимости. Например, если с соседней камеры плохо виден некий подозрительный объект или если необходимо проследить чьё-то передвижение по объекту.
• Просмотр архива. Т. е. оператор должен уметь просматривать архив в случае необходимости, например, по просьбе администратора сети или начальника охраны, все зависит от правил, установленных на объекте и могут отличаться друг от друга.
• Конфигурация. Т.е. в зависимости от полномочий оператора, тот может производить конфигурацию при необходимости, при этом если оператор имеет необходимые навыки, так как в противном случае восстановление системы может занять не мало времени. Обычно в системах полномочии подразделяются, и оператор занимается контролем системы, а администратор занимается конфигурацией и устранением неисправностей.

Установка. Установив сервер на «Объекте В», мы приступили к установке рабочего места оператора. Было решено использовать два монитора для более комфортного использования системы. На первом мониторе выводится порядка 6 камер, на втором 4 камеры (поворотные камеры). В самом сервере было настроено несколько правил таких как: звуковое оповещение при обнаружении движения в камере, отправка email уведомлений администратору системы при разрыве соединения, отправка уведомлений по email при неполадках в сервере (состояние здоровья сервера ухудшилось/пришло в норму), выводить изображение с поворотных камер в полный экран и т.п. Задача оператора состоит в том, чтобы производить мониторинг и отслеживать движение в камере, при этом если движение появляется воспроизводится звуковое оповещение, чтобы не пропустить ничего. Чаще всего движение в кадре вызваны естественными причинами (птицы, сильный ветер и т.п.), но при попадании человека в кадр у оператора есть регламент согласно которому он будет действовать. По требованию администратора системы оператор также может искать в архиве нужные фрагменты, для чего была реализована удобная функция поиска в архиве. Поиск в архиве может производиться по нескольким параметрам: дата, камера, движение в кадре. Соответственно и запись архива может вестись в двух режимах: постоянная запись, запись при появлении движения. В нашей системе запись видеться во втором режиме, что значительно экономит память сервера и выдает хороший результат так как запись начинается за несколько секунд до начала движения, снимает все движение и продолжает несколько секунд после движения. Итог по СОТ. В заключении хочется отметить, что решение создания удаленного рабочего места СОТ изначально казалось не самым правильным решением, но на деле оказалось отличным выбором из-за ряда преимуществ. Во-первых, в случае неисправности одного из серверов весь записавшийся архив остается на другом сервере. Во-вторых, это отличный показатели передачи видеосигнала, который приходит на удаленное рабочее место без задержек, что позволяет следить за объектом в режиме реального времени. Понятный и простой для освоения интерфейс, и простая конфигурация являются еще одним плюсом, а масштабируемость не представляет никаких трудностей. Интеграция с ОПС позволяет достичь наилучших результатов в охране объекта.  Еще одним плюсом удаленной системы является то, что резервные копии сервера также сохраняются на удаленном рабочем месте и в случае выходя из строя центрального сервера его можно будет восстановить, использовав эти резервные копии. Архивы также хранятся на двух серверах, причем в зависимости от настройки можно определить в каком режиме и на каких дисках будет записан архив. Если установить режим хранения привилегированных каналов, то можно установить требуемую глубину архива для определенных каналов. Режим хранения субпоток – включает запись дополнительного потока. Хранить субпоток в точности – позволяет установить требуемую глубину архива для субпотока. Если не устанавливать глубину, субпоток будет стираться одновременно с основным. Для предотвращения несанкционированного доступа к архиву можно включить шифрование сохраненных данных. В нашем случае эта настройка была отключена, так как оператору необходимо по требованию просматривать архив в случае необходимости. Резервные копии конфигурации можно сохранять в облаке и на сервере, но автоматического режима сохранений нет, поэтому рекомендуется создавать копии после каждого изменения конфигурации. Зато в системе присутствует гибкая настройка автоматизации, которая не требует сильных знаний в написаниях скриптов и правил, а достаточно лишь выставить нужные параметры. Например, создаем правило, выбираем по какому событию оно будет воспроизводиться и выбираем, что при этом произойдет. У нас на УДРМ настроены правила благодаря которым администратор системы получает email уведомления в случае отказа системы, заполнения дисков и т.п. К тому же можно писать скрипты, что позволит настроить систему значительно глубже, но при этом написание скриптов требует не плохих знаний в этой теме. Подводя итог по системе охранного телевидения Trassir хочется отметить, что данная система имеет огромный потенциал и хорошо себя показывает в отказоустойчивости, функционале, ведении архива и передачи видеоинформации напрямую, даже в условиях того, что объекты находятся в разных городах, главное обеспечить стабильную связь. Система контроля управления доступом          Принцип работы. Система контроля управления доступом представляет из себя совокупность программно-аппаратных технических средств контроля и управления доступа (входа/выхода) к «Объекту А». Соответственно управление предоставлением доступа и непосредственно мониторинг производиться на «Объекте В». В управление включены все ворота и калитки находящееся по периметру объекта. В системе используются домофонные системы «АББ» которые управляются с помощью планшетных компьютеров с установленной программой «ABB Welcome». Справедливости ради, стоит заметить, что управление может производиться любым устройством с ПО «Android», «iOS». Схема соединений СКУД Теперь на планшетный компьютер, который находиться на «Объекте В» будет поступать информация с «Объекта А» благодаря ip-шлюзу ABB который установлен на «Объекте А». В данном случае система управления будет выглядеть так: приходи человек к калитке и нажимает вызов на домофоне, а вызов приходит на планшетный компьютер, который находиться на «Объекте В», а также вызов приходит на абонентскую видео-станцию, установленную на «Объекте А». В видео-станции, как и в случае с планшетным компьютером раздастся звонок и при ответе на него установиться видео связь, что позволит видеть вызывающего человека. Далее оператор решает открыть дверь или нет, кроме того оператор может задействовать дополнительный шлейф, который отвечает за открытие автомобильных ворот. Каждый разговор регистрируется как, например, в телефоне, что означает возможность просмотреть каждый принятый или отклоненный звонок, а также действие оператора при этом. Скриншоты с домофона делаются во время каждого звонка поэтому можно увидеть того, кто вызывал. В процессе работы оператор (охранник ситуационного центра, не присутствующий на объекте) обеспечивает:

• Управление вызовами. Т.е. при поступлении звонка с вызывной станции оператор должен ответить на звонок и при необходимости открыть дверь. Кроме того, оператор может сделать фотографию (скриншот) вызывающего если это необходимо.
• Управление шлейфами. Т.е. оператор может управлять различными шлейфами, которые есть в системе, например, управление автомобильными воротами. Если надо открыть автомобильные ворота, то оператор переходит во вкладку шлейфов и взаимодействует с нужным, приводя в действие механизм открытия/закрытия ворот.
• Просмотр камеры вызова. Данный пункт вовсе не является главным или обязательным, но не будет лишним сказать, что возникают иногда моменты, когда оператору лучше обратиться к камере СКУД, нежели к камере СОТ, чтобы лучше разглядеть, например, людей стоящий долго у ворот и не вызывающих.
• Работа с архивом. При работе с СКУД все звонки и скриншоты сохраняются, составляя архив данных. Оператор должен при необходимости перейти в архив и найти тот или иной вызов и просмотреть скриншот с него.
• Конфигурация. Если есть полномочия, то оператор может производить конфигурацию при необходимости. При этом в самом «мобильном-клиенте» все изменения не будут влиять на систему в целом, а относятся они непосредственно к мобильному-клиенту.

Итоги по СКУД. Оператор системы, находящийся за АРМ в ситуационном центре, обладает полным набором функций системы СКУД, расположенной неа удаленном объекте: управление шлейфами, открытие закрытие ворот, просмотр истории вызовов, конфигурация системы, управление звонками (принимать вызовы, отклонять вызовы, открывать дверь во время вызова, включать/выключать микрофон клиентского устройства).   Итоги проекта Таким образом, для управления всем множеством объектов был создан единый ситуационный центр (ЕСЦ), обладающий следующими характеристиками:

• Управление доступом и ресурсами на удаленных объектах без непосредственного присутствия на них позволило за первый год эксплуатации снизить время аварий на всех системах до 5 минут, что составляет надежность 99,999%;
• Централизованное размещение сотрудников (единая смена дежурных операторов вместо разрозненных смен с различным административным подчинением) позволило снизить операционные выплаты на 70%.

Фото любезно предоставлено проектом citywalls.ru