Rozproszony system bezpieczeństwa dla dużego rozległego obiektu w aspekcie zdalnego zarządzania

Zaprojektowanie oraz realizacja rozproszonego Systemu Sygnalizacji Włamania i Napadu (SSWiN) dla dużego i rozległego obiektu wymaga sporej wiedzy technicznej, jak również dużego doświadczenia. Istnieją obiekty, w któ­rych ze względów ekonomicznych, a także logistycznych może jedynie wchodzić w rachubę integracja mniejszych systemów. Szczególnie trudne w realizacji są obiekty, które są eksploatowane ze stochastyczną intensywnością. 

Można zaprojektować SSWiN złożony z kilku central, np. o pojemności 128 linii dozorowych każda, i, jeśli to możliwe, integrować je. Z analizy różnych systemów wynika, że niewie­le typów central alarmowych można ze sobą łączyć, ponad­to nie zawsze jest to konieczne. Ze względów logistycznych można zastosować kilka central alarmowych o sporej liczbie linii dozorowych, które będą obsługiwać np. określone frag­menty obiektu, a więc każda z central będzie miała własny manipulator, za pomocą którego będzie można realizować określone funkcje systemu.

Takie rozwiązanie przyjęto w jednym z dużych i rozległych obiektów Politechniki Warszawskiej (PW), który stał się swo­istym poligonem doświadczalnym. W obiekcie zastosowano siedem central INTEGRA 128 produkcji polskiej. Do dyspo­zycji użytkowników producent przewidział dla jednej centrali alarmowej 32 strefy. Ze względu na charakter użytkowania tego naukowo-dydaktycznego obiektu oraz pomimo bardzo dużej złożoności SSWiN przyjęto generalną zasadę uproszczenia do minimum sposobu obsługi części systemu (podsystemu) przez użytkowników. Dokonano analizy liczby stref niezbędnych do prawidłowego funkcjonowania poszczególnych central. Przyję­to zasadę, że dany fragment SSWiN (podsystem) posiada mi­nimum jeden własny manipulator z wyświetlaczem LCD i kla­wiaturą do wprowadzania kodów użytkownika. Manipulator jest wyposażony również w czytnik kart zbliżeniowych. Karcie zbliżeniowej przyporządkowano użytkownika, dokładnie okre­ślonego dla jego łatwej identyfikacji, oraz określone strefy, do których ma on dostęp. Można więc w dwojaki sposób włączać lub wyłączać dozorowanie danej strefy: poprzez wprowadzenie kodu użytkownika lub za pomocą karty zbliżeniowej.

W pomieszczeniach recepcji obiektu zostały zainstalowane tablice synoptyczne, na których pokazywana jest informacja o aktualnym stanie stref oraz stanie wybranych linii dozorowych całego SSWiN. Elementami informującymi tablic synoptycz­nych są dwukolorowe diody LED. Odpowiednio zaprogramo­wany sposób świecenia diod daje pełną informację o stanie stref oraz stanie wybranych linii dozorowych. I tak przykładowo: ko­lor zielony to informacja, że dana strefa jest w stanie dozoru, kolor czerwony pulsujący oznacza, że wystąpił alarm włamanio­wy wynikający z naruszenia czujki danego pomieszczenia (stre­fy), czerwony ciągły – alarm pożarowy wynikający z naruszenia optycznej czujki dymu w danym pomieszczeniu, brak świecenia diody LED oznacza, że dana strefa jest w stanie gotowości, bez dozoru. Dodatkowo informacje o wystąpieniu alarmu w danej konkretnej centrali alarmowej (podsystemie) są przesyłane dro­gą radiową do wydzielonej centrali tego samego typu, oznaczo­nej C-7, która jest centralą odpowiedzialną za monitoring ze­wnętrzny oraz alarm głośny w pomieszczeniu recepcyjnym. Jest to pierwszy stopień monitorowania SSWiN. Przewidziano jesz­cze drugi stopień monitorowania o wystąpieniu zagrożenia. Po godz. 22:00 centrala C-7 ma możliwość automatycznego prze­kazywania informacji o alarmie łączami komutowanymi (przez własną sieć telekomunikacyjną) lub drogą radiową (także przez własną sieć – radiokomunikacyjną) do Straży Akademickiej Po­litechniki Warszawskiej. Ta, po zweryfikowaniu alarmu z opisy­wanego obiektu, wysyła patrole interwencyjne. Warto również nadmienić, że ze względu na bardzo duży stopień rozbudowania SSWiN autorzy bardzo starannie dobrali rezerwowe źródła zasi­lania (o parametrach wynikających z bilansu energetycznego).

Na rys. 1 przedstawiono rozproszony SSWiN, złożony z siedmiu jednostek mikroprocesorowych (central) typu INTEGRA 128, do których za pośrednictwem magistral transmisyjnych dołączono wiele różnych modułów. Cały system SSWiN za pośrednictwem modułów ethernetowych ETHM-1 współpracuje poprzez sieć LAN z serwerem umoż­liwiającym administrowanie tak bardzo złożonym systemem bezpieczeństwa.

Założenia oraz konfiguracja rozproszonego SSWiN dla dużego obiektu

W trakcie projektowania oraz późniejszej realizacji roz­proszonego systemu bezpieczeństwa autorzy przyjęli nastę­pujące założenia:

1. obiekt, w którym ma być realizowany SSWiN, jest obiek­tem rozległym, o kilku piętrach,
2. konfiguracja SSWiN ma charakter rozproszony i ma być wielocentralowa,
3. maksymalna liczba linii dozorowych (perspektywiczna) wynosi 896 (w pierwszym etapie –240),
4. maksymalna liczba central typu INTEGRA 128, zlokali­zowanych na różnych piętrach obiektu, wynosi 7 (od C-1 do C-7),
5. liczba stref w jednym systemie bezpieczeństwa nie prze­kracza 32,
6. system bezpieczeństwa musi mieć możliwość realizacji lokalnej kontroli dostępu,
7. system pracuje przez 24 godziny na dobę, przy czym przedział pomiędzy godz. 7:00 a 22:00 wyznacza godziny pracy użytkowników obiektu,
8. kategoria zagrożeń – Z3,
9. klasa SSWiN – III (dawniej SA3),
10. kategoria sprzętowa – C,
11. system bezpieczeństwa (zaprojektowany i zrealizowany) musi być monitorowany co najmniej jedną drogą do godz. 22:00 i dwiema drogami po godz. 22:00,
12. system bezpieczeństwa musi zawierać minimum 7 kla­wiatur z 7 czytnikami kart zbliżeniowych (zintegrowane klawiatury),
13. system bezpieczeństwa musi posiadać lokalną kontrolę dostępu z czytnikami kart zbliżeniowych,
14. system bezpieczeństwa musi być wyposażony w tablice synoptyczne z awaryjnym źródłem zasilania, zlokalizowane w pomieszczeniach recepcyjnych
15. każda z central INTEGRA 128 powinna być wyposażona w moduł ETHM-1 do współpracy z serwerem przez sieć LAN dla administrowania i zarządzania SSWiN
16. zaprojektowany i zrealizowany system bezpieczeństwa wyposażono w rezerwowe źródła zasilania, tak aby w razie zaniku zasilania zasadniczego (230V) mógł pracować przez okres ok. 40 godzin, 
17. system bezpieczeństwa jest wspomagany przez 32 kamery telewizyjne (zewnętrzne i wewnętrzne) z zapisem zdarzeń na twardym dysku i z możliwością podglądu z wykorzystaniem sieci teleinformatycznych, zarówno lokalnych jak i rozległych.

Syntetyczny opis budowy rozproszonego systemu bezpieczeństwa dla dużego obiektu

Na rys. 1 przedstawiono uproszczony schemat blokowy roz­proszonego elektronicznego systemu bezpieczeństwa dla duże­go obiektu. SSWiN został zaprojektowany na bazie jednostki mikroprocesorowej typu INTEGRA 128. Wprost do wejść linii dozorowych płyt głównych zostały dołączone czujki usytuowa­ne blisko central alarmowych (np. na określonym piętrze i kory­tarzu). Pomieszczenia dalsze są obsługiwane za pośrednictwem modułów typu CA-64 E (ekspanderów wejść).

Każda z central alarmowych została wyposażona w co naj­mniej jeden manipulator (klawiaturę z wyświetlaczem LCD oraz wbudowanym czytnikiem kart zbliżeniowych). Mani­pulatory zostały zlokalizowane w widocznych miejscach na korytarzach kolejnych pięter obiektu i zabezpieczone me­chanicznie (ich obudowy metalowe zamykane są na zamek patentowy).

Lokalizacja tych manipulatorów została starannie dobra­na tak, aby w możliwie prosty sposób upoważniony użytkow­nik danego piętra mógł włączać lub wyłączać dozorowanie określonych stref – pomieszczeń, do których posiada upraw­nienia. Użytkownik może wykonywać tę czynność w dwojaki sposób: używając przydzielonego kodu lub używając przypi­sanej mu karty zbliżeniowej. Oba sposoby przynoszą ten sam skutek.

Centrala C-7 pełni dodatkową, w pewnym sensie integra­cyjną rolę w rozproszonym SSWiN. Każda z pozostałych cen­tral (od CA-1 do CA-6) została wyposażona w wielokanałowy nadajnik typu RP-500N, który drogą radiową transmituje sy­gnał alarmowy właśnie do centrali C-7. Jest ona wyposażona w dwa czterokanałowe odbiorniki sygnalizujące alarm z po­szczególnych podsystemów. Do centrali C-7 został dołączony moduł CA-64 SM (ekspander syntezerów mowy umożliwiają­cy nagranie do 16 komunikatów słownych). Moduł CA-64 SM umożliwia wysyłanie 15-sekundowych komunikatów słow­nych, wykorzystywanych do powiadamiania telefonicznego o zdarzeniach, które wystąpiły w systemie bezpieczeństwa, np. o alarmach, napadach, sabotażach, awariach itp. Tylko centrala C-7 jest połączona przez wbudowany dialer z siecią telefoniczną. Centrala C-7 obsługuje również system ochrony obwodowej. Obejmuje on bariery aktywne podczerwieni oraz czujki zewnętrzne podczerwieni. Manipulatory centrali alar­mowej C-7 znajdują się w pomieszczeniach recepcyjnych.

Pewnym wyjątkiem są także centrale alarmowe C-3 i C-5, do których dołączono po dwa manipulatory wraz z czytni­kami kart zbliżeniowych. W obu przypadkach za pośred­nictwem magistral transmisyjnych poza klasycznymi mo­dułami rozszerzającymi typu CA-64 E zostały dołączone do central moduły CA-64 SR (ekspandery czytników kart zbliżeniowych), które współpracują z lokalną kontrolą do­stępu. Drzwi wejściowe do części chronionej przez centrale C-3 i C-5 współpracują z ryglami elektromagnetycznymi, które są sterowane przez moduły CA-64 SR. Z modułami CA-64 SR współpracują czytniki kart zbliżeniowych typu CZ-EMM (są zamontowane obok drzwi wejściowych). Mo­duł taki może współpracować z jednym lub z dwoma czyt­nikami kart zbliżeniowych. Pomieszczenia chronione przez centrale C-3 i C-5 to pomieszczenia o specjalnym przezna­czeniu. Są one również nadzorowane za pośrednictwem kamer telewizyjnych.

Centrale alarmowe typu INTEGRA 128 zostały zainsta­lowane w obiekcie w miejscach trudnodostępnych dla osób postronnych. Każda z central poza zasilaniem głównym (230 V) została wyposażona w źródło rezerwowe w postaci akumulatora żelowego o pojemności 17 Ah.

Sygnały z central alarmowych docierają drogą kablową (magistralą transmisyjną) do modułów tablic synoptycz­nych CA-64 PTSA, które sterują dwukolorowymi diodami LED. Moduły CA-64 PTSA oraz tablice z diodami LED są umieszczone w pomieszczeniu recepcji na parterze bu­dynku. Na tablicy synoptycznej zaświeca się czerwona dio­da LED, sygnalizując alarm w określonej strefie. Jak już wspomniano, tablice synoptyczne (2 szt.), zawierające po 80 dwukolorowych diod LED, mogą wyświetlić stan 160 stref dozorowych całego SSWiN oraz aktualny stan specjal­nie wybranych linii dozorowych (takich jak linie pożarowe, zewnętrzne, napadowe, 24-godzinne). Moduły tablic syn­optycznych CA-64 PTSA poza własnym zasilaniem zasad­niczym (230 V) zostały wyposażone w akumulatory rezer­wowe o pojemności 7 Ah.

Zdalna obsługa serwisowa oraz nadzór i administracja rozproszonego SSWiN

Ze względu na to, że opisywany w tym artykule rozproszo­ny SSWiN obejmuje wiele autonomicznych podsystemów (central od C-1 do C-7) o dużej złożoności, musi on być poddawany okresowym przeglądom i obsłudze serwisowej dla zapewnienia wysokiego poziomu gotowości. Obsługa serwisowa takiego systemu wymaga od serwisantów sporo wysiłku i czasu. Serwisant musi podłączyć komputer do każ­dego podsystemu w celu dokonania podstawowego przeglą­du serwisowego.

Dlatego też SSWiN składający się z siedmiu podsystemów wykorzystujących jednostki centralne INTEGRA 128 wy­posażono w moduły ETHM-1, które umożliwiają obsługę serwisową oraz nadzór i administrację przez LAN lub przez Internet.

W celu nawiązania połączenia z wykorzystaniem algo­rytmu AES (Rijndael) informacje są przesyłane przez niezabezpieczoną sieć Internet do modułu ETHM-1. Na rys. 2 przedstawiono przykład połączenia „Administrato­ra Systemu” z centralą alarmową INTEGRA 128 przez taką sieć.

Chcąc wprowadzić alternatywne zabezpieczenia przed dostępem osób nieuprawnionych do nadzorowanego i za­rządzanego zdalnie SSWiN poprzez sieć LAN przedsię­biorstwa, zastosowano dodatkowe środki bezpieczeństwa na poziomie połączenia administratora systemu (klienta) z poszczególnymi podsystemami rozproszonego SSWiN.

Dodatkowym w stosunku do oryginalnych zabezpiecze­niem w kwestii zagrożenia podsłuchem (sniffing) jest za­stosowanie tunelu (tunelling) z wykorzystaniem programu SSH (Secure Shell). Na rys. 3 przedstawiono przykład połą­czenia „Administratora Systemu” z centralami alarmowy­mi INTEGRA 128 przez sieć LAN z wykorzystaniem SSH. Jest to dość proste, a zarazem skuteczne rozwiązanie. Cała operacja polega na utworzeniu szyfrowanego połączenia tam, gdzie sieć jest najbardziej narażona na atak, czyli wte­dy, gdy dane są przesyłane przez sieć (np. Internet), któ­rej nie można kontrolować. Programy służące do nadzoru, serwisu i administracji, zamiast połączyć się ze zdalnym serwerem, np. przez Internet (przez port 80), łączą się z lo­kalnym komputerem (klientem), wykorzystując port (naj­częściej 22), na którym czuwa SSH. Na tym odcinku połą­czenia dane są przesyłane w sposób jawny, lecz nie może być tutaj mowy o podsłuchiwaniu. Natomiast połączenie klient – serwer jest już szyfrowane. SSH na serwerze, z któ­rym jesteśmy połączeni, przekazuje dane do właściwego portu na tym właśnie serwerze, dalej przez ściśle określone porty elementów sieci LAN przedsiębiorstwa do modułów ethernetowych podsystemów SSWiN. Na tym odcinku dane nie są kodowane, lecz jeśli korzystamy z danej usługi na serwerze, z którym łączymy się właśnie poprzez tunel z wy­korzystaniem SSH, możemy czuć się bezpieczni.

Zasada działania protokołu SSH opiera się na krypto­graficznej technologii RSA (nazwa RSA jest akronimem utworzonym z pierwszych liter nazwisk jego twórców). Każdy z komputerów, na których zainstalowane jest oprogramowanie SSH, posiada parę kluczy: tzw. klucz prywatny, dostępny tylko dla administratora komputera (i oczywiście oprogramowania systemowego obsługują­cego protokół SSH), oraz klucz publiczny, dostępny dla wszystkich użytkowników sieci. Klucze te są tak zbudo­wane, że informację zaszyfrowaną kluczem prywatnym można rozszyfrować tylko przy pomocy klucza publicz­nego i odwrotnie – informację zaszyfrowaną kluczem publicznym można rozszyfrować wyłącznie przy pomocy klucza prywatnego. Klucze są więc ze sobą powiązane, ale żadnego z nich nie można odtworzyć na podstawie znajomości drugiego. Połączenie SSH inicjowane jest po stronie programu – klienta SSH. Klient łączy się z ser­werem i otrzymuje od niego jego klucz publiczny. Klucz ten porównywany jest z zachowanym w wewnętrznej ba­zie danych klienta, z poprzednich połączeń. Następnie klient przekazuje serwerowi swój klucz publiczny, ge­neruje losową 256-bitową liczbę, szyfruje ją przy pomo­cy swojego klucza prywatnego oraz klucza publicznego serwera. Serwer po otrzymaniu tak zakodowanej liczby rozszyfrowuje ją przy pomocy swojego klucza prywatnego i klucza publicznego klienta. Tak otrzymana liczba jest losowa, a ponadto znana tylko klientowi i serwerowi. Jest ona używana jako klucz do kodowania podczas dalszej komunikacji.

W opisywanym przypadku do szyfrowanego połącze­nia wykorzystano program PuTTY, który jest darmowym emulatorem terminala dla systemów MS Windows, obsłu­gującym protokoły TELNET oraz SSH w wersji 1 oraz 2. Program nie wymaga instalacji, wystarczy umieścić go w wybranym katalogu i utworzyć do niego skrót w Menu Start lub na pulpicie systemu Windows.

W celu konfiguracji sesji SSH wybiera się pozycję menu „Session”, następnie wprowadza adres serwera, np. 178.16.231.254. Automatycznie zostanie wybrany port 22. Przedstawiono ten stan na rys. 4a, na którym odbierane są przez serwer żądania otwarcia sesji SSH. Następnie za­znacza się protokół „SSH”. Ten stan interpretuje rys. 4b. Następnie tworzy się tunel (tunnels). Ten stan interpretu­je rys. 4c. W małym okienku umieszczonym pod napisem „Saved Sessions” wprowadza się i zapisuje nazwę sesji, np. „Centrala C-1”. Ten stan przedstawiono na rys. 4a. Ponie­waż opisywany SSWiN składa się z siedmiu autonomicz­nych podsystemów (centrale od C-1 do C-7), dla każdego podsystemu tworzy się odrębną sesję.

Po otwarciu odpowiedniej sesji i wpisaniu hasła (co zosta­ło przedstawione na rys. 5) zostaje uruchomiony kanał SSH, przez który można bezpiecznie używać aplikacji do nadzoru, administracji i zarządzania centralami INTEGRA (GuardX i DloadX).

Zakończenie i wnioski

Zaproponowany i zrealizowany przez autorów SSWiN dla potrzeb rozległego obiektu wraz z jego systemem zarządza­nia i administrowania to dosyć trudne wyzwanie, szczegól­nie z punktu widzenia eksploatacyjno-niezawodnościowego. Problematyka dotycząca rozproszonych systemów bezpie­czeństwa wraz z matematyczną analizą eksploatacyjno-nie­zawodnościową była przez autorów (dra inż. Waldemara Szulca i dra inż. Adama Rosińskiego) poruszana w Zabez­pieczeniach Nr 1(47) w 2006 r.

Jest to problem skomplikowany i wymagający długofalo­wych badań. Brak jest aktualnie danych dotyczących powyż­szego SSWiN w aspekcie eksploatacyjno-niezawodnościowym, a to ze względu na to, że system został oddany do eksploata­cji w styczniu 2008 roku. Dane są zbierane cały czas i z całą pewnością zostanie obliczony tzw. wskaźnik gotowości K_G , ale po co najmniej 12 miesiącach użytkowania. Trwają pra­ce nad budową modelu eksploatacyjno-niezawodnościowego tego bardzo skomplikowanego systemu bezpieczeństwa. Do­datkowym utrudnieniem jest zaproponowany system nadzoru i administrowania SSWiN poprzez lokalne sieci ethernetowe. Nasuwają się także bardzo ostrożne wnioski:

• konfigurację tak skomplikowanych systemów bezpie­czeństwa należy ustalać po bardzo szczegółowej ana­lizie rozległego obiektu, z uwzględnieniem wymogów logistycznych oraz niezawodnościowych i eksploatacyj­nych,
• zaproponowany SSWiN wymagał bardzo starannej in­stalacji z uwzględnieniem konieczności zachowania kompatybilności elektromagnetycznej oraz przemyśla­nej lokalizacji central oraz modułów,
• niezmiernie istotną sprawą przy tak dużym i rozproszo­nym SSWiN jest dobór zasilania, zarówno zasadnicze­go, jak i rezerwowego (wynikającego z bilansu energe­tycznego),
• nowatorski system nadzoru i administrowania roz­proszonego systemu bezpieczeństwa wraz z zabezpie­czeniem danych (podany powyżej) należy do bardzo trudnych i skomplikowanych procedur informatycz­nych,
• powinna być wykonana staranna dokumentacja do przy­szłych procedur serwisowych, zarówno opisowa, jak i ry­sunkowa.

doc. dr inż. Waldemar Szulc
WSM Wydz. Informatyki Stosowanej,
Zakład Bezpieczeństwa Obiektów i Informacji,
współpracownIk PW - WydzIał Transportu,
Zakład TelekomunikacjI w Transporcie,
współpracownIk WAT - WydzIał Elektroniki

inż. Andrzej Szmigiel
PW, WydzIał Transportu,
Zakład TelekomunikacjI w Transporcie