Внедрение системы видеонаблюдения в ЦОД

Внедрение системы видеонаблюдения в ЦОД
Дмитрий Сажнев
ведущий инженер

Современный центр обработки данных представляет собой стратегически значимый объект инфраструктуры предприятия или организации, от стабильной работы которого зависит функционирование информационных систем, сохранность конфиденциальных сведений и безопасность бизнеса в целом. Именно поэтому одной из ключевых мер защиты объектов ЦОД является видеонаблюдение. Ведущий инженер STEP LOGIC Дмитрий Сажнев рассказал о практическом опыте компании по проектированию и внедрению систем видеонаблюдения в крупнейших российских центрах обработки данных.

С помощью видеонаблюдения ведется постоянный контроль территории объекта, включая внутренние помещения и периметр здания. Помимо основной функции видеонаблюдения, заключающейся в обеспечении физической охраны (выявление подозрительных лиц и предотвращение несанкционированного доступа посторонних людей на территорию ЦОД и различные зоны), не менее важна возможность вести мониторинг технического состояния оборудования для оперативного реагирования на неисправности серверов, сетевого оборудования, климатических установок и прочих технических элементов инфраструктуры ЦОД. Видеонаблюдение также позволяет обеспечить контроль соблюдения регламентов. Система фиксирует случаи нарушения правил эксплуатации помещений, хранения документов и техники сотрудниками, позволяя предотвратить ошибки и халатность персонала. Помимо этого, запись событий помогает восстановить картину происшествия после случившегося инцидента и установить виновников противоправных действий либо сбоев.

Видеофиксация способствует предотвращению угроз информационной безопасности за счет интеграции камер наблюдения с системой контроля доступа (СКУД), охранной сигнализацией и иными средствами защиты. Если в дата-центре эффективно спроектирована система видеонаблюдения, то значительно снижаются риски финансового ущерба. Наличие видеозаписи уменьшает вероятность злоупотреблений и хищений имущества, материалов и ресурсов, обеспечивая объективную фиксацию любых нарушений.

Видеофиксация процессов эксплуатации, ремонта и обслуживания создает дополнительную уверенность у пользователей услуг ЦОД в надежности и прозрачности деятельности оператора дата-центра.

Как и где разместить камеры

Требований по оснащению помещений ЦОД техническими средствами системы охранного телевидения (СОТ), зонам и задачам визуального контроля в российских нормативных документах не представлено. Поэтому во многом они определяются нашим проектным опытом и техническим заданием заказчика. Например, если ЦОД будет выполнять функции по обработке, хранению и передаче данных платёжных карт, то необходимо руководствоваться международным стандартом безопасности PCI DSS (Payment Card Industry Data Security Standard), содержащим требования и рекомендации как по информационной, так и по физической защите инфраструктуры объекта.

Планирование размещения камер внутри ЦОД требует внимательного подхода, поскольку от этого зависит не только уровень безопасности объекта, но и эффективность системы видеонаблюдения в целом. Каждый квадратный метр территории ЦОД должен быть тщательно оценен с точки зрения уязвимостей и потенциальных точек доступа для нарушителей. Стратегическое размещение камер обеспечивает не только постоянный мониторинг, но и возможность быстрого реагирования на инциденты.

Обычно компании, проводящие консультирование по приведению инфраструктуры и бизнес-процессов в соответствие стандарту PCI DSS, указывают на необходимость обеспечения видеоконтролем следующих зон ЦОД (при их наличии):

  • холодные и горячие коридоры машинных залов, серверных и MMR помещений;
  • двери машинных залов и серверных помещений;
  • КПП, включая зоны заезда машин;
  • зону погрузки;
  • складскую зону;
  • двери помещений для управления СКУД и системой видеонаблюдения, посты охраны, диспетчерские;
  • окна;
  • технические коридоры, включая фальшполы;
  • зоны клиентских работ;
  • входные группы;
  • запасные выходы;
  • периметры здания ЦОД и территории.

Таким образом, вышеуказанные зоны мы рекомендуем в обязательном порядке обеспечивать глобальным покрытием видеонаблюдения без «слепых зон». В машинных залах и серверных помещениях при размещении камер необходимо учитывать перекрытие зон обзора открытыми створками телекоммуникационных шкафов. Зоны холодных и горячих коридоров следует контролировать как минимум с двух направленных друг на друга камер.

Помимо указанных выше зон, мы рекомендуем контролировать системой видеонаблюдения:
  • лестничные клетки;
  • лифтовые холлы;
  • лифты;
  • административно-бытовые помещения;
  • инженерно-технические помещения (электрощитовые, насосные, венткамеры, комнаты ввода, станции газового пожаротушения, помещения/ контейнеры ДГУ и т. д.);
  • выходы, подъемы на кровлю;
  • территорию ЦОД (автомобильные проезды, пешеходные проходы, периметр зданий, парковки, зоны топливных баков ДГУ, наружные электроустановки, зоны хозяйственных построек);
  • зоны с размещением технологического оборудования.

Как выбрать место для размещения камер

В инженерно-технических помещениях следует контролировать зоны обслуживания и управления электроустановок, вентмашин, приборов и прочих агрегатов инженерной инфраструктуры, обеспечивающих работоспособность и жизнедеятельность ЦОД.

При размещении камер рекомендуется обеспечить возможность идентификации человека (с помощью оператора или автоматически) как минимум на проходных на территорию и здания ЦОД, а также в ответственные помещения, такие как машинные залы, помещения серверных, комнаты ввода, помещения MMR, посты охраны, диспетчерские.

Для остальных внутренних зон рекомендуем выбирать места размещения камер таким образом, чтобы выполнялись задачи распознавания объектов. Это позволит оператору не только узнать ранее идентифицированного при входе человека, но и определить наличие у него предметов крупных и средних размеров, например, телефона (который может использоваться для несанкционированной фото- и видеосъемки), ручного инструмента и пр., а в некоторых случаях положение различных выключателей, тумблеров, состояние световых индикаторов установок.

При этом следует учитывать требования применяемых видеоаналитических детекторов к параметрам камер и сценам (зонам обзора), если таковые предполагается использовать.

Для контроля за периметром и территорией ЦОД рекомендуем выбирать камеры и места их размещения таким образом, чтобы выполнялись задачи обнаружения объектов и наблюдения за ними.

Для детального осмотра и сопровождения объектов в комплексе со стационарными камерами можно использовать поворотные камеры с возможностью зуммирования объектива в широких диапазонах. Также имеет место применение специальных модулей видеоаналитики, позволяющих «привязывать» поворотные камеры к стационарным обзорным.

Такой симбиоз дает возможность одной или нескольким поворотным камерам сопровождать детектируемый обзорными камерами объект в автоматическом режиме.

В случае нахождения объекта в малолюдной местности актуально применение для контроля периметра тепловизионных камер, а также системы видеорадиолокационного контроля (радар в связке с камерами), что позволяет обнаружить потенциального нарушителя уже на подходе к территории ЦОД.

Особенности использования детекторов видеоаналитики

Для повышения эффективности оперативного мониторинга, работы оператора и системы в целом следует применять детекторы видеоаналитики. Обычно при проектировании ЦОД мы предлагаем использовать:

  • детектор пересечения линии, вторжения в зону для камер, контролирующих периметр территории, зоны наружных электроустановок, топливных баков и других хозяйственных построек, а также для контроля остановки транспортных средств на территории ЦОД в неположенном месте;
  • детектор праздношатания (длительного нахождения в зоне) для камер, контролирующих зоны вдоль периметра зданий на территории ЦОД, обслуживания и управления внутренних электроустановок, вентмашин, приборов и прочих агрегатов;
  • детектор огня и дыма для камер, контролирующих зоны наружных электроустановок, топливных баков, а также помещения, в которых не предусматривается установка извещателей пожарной сигнализации (например, в некоторых случаях это могут быть венткамеры, помещения кабельного ввода);
  • детектор оставленных предметов для камер, контролирующих машинные залы, серверные, MMR, зоны ожидания посетителей при КПП, вестибюли;
  • детектор наличия средств индивидуальной защиты (СИЗ) для камер, контролирующих помещения и зоны с потенциально опасными технологическими процессами – электрощитовые, венткамеры, зоны у чиллерных установок, насосные.

Возможно внедрение более специфичных детекторов видеоаналитики. Например, применение детектора обнаружения картонной упаковки в машинном зале, которую запрещено туда проносить из-за сильной пыльности, или детектора определения положения створок телекоммуникационных шкафов, распределительных щитов, шкафов управления.

Возможно и применение аналитического детектора распознавания лиц при обеспечении соблюдения требований федерального закона о биометрических персональных данных №572-ФЗ, где он может использоваться в составе так называемой виртуальной точки доступа. В этом случае подключенный на видеоканал детектор будет распознавать людей, вошедших в контролируемую зону или помещение. Таким образом, можно обеспечить уведомление оператора о несанкционированном нахождении в зоне лиц, не имеющих туда доступа или пропущенных кем-то из сотрудников.

Как настроить видеопотоки и сколько их хранить

Стандарт PCI DSS указывает на необходимость хранения видеозаписей зон видеоконтроля не менее чем 90 дней, при этом мы рекомендуем производить запись в непрерывном режиме с целью обеспечения ее целостности. Поэтому на крупном объекте объем записей может достигать нескольких единиц или даже десятков петабайт. Для оптимизации архива можно использовать непрерывный режим записи, но с переменной частотой кадров – при наличии движений в кадре или тревог от интегрированных систем запись выполняется с частотой 25/30 кадр/с, а в «покое» с пониженной частотой записи – 4 кадр/с.

Функция понижения частоты записи может быть доступна на борту камер некоторых моделей либо при использовании определенного ПО системы видеоменеджмента (далее VMS), позволяющего принимать и функционально использовать несколько потоков:

  • первый поток 25/30 кадр/с в полном разрешении для записи видеоархива и вывода изображения в полноформатном размере на экран оператора;
  • второй поток 25/30 кадр/с с пониженным разрешением (обычно 640х360 пикс.) для вывода изображения в мультиформатном размере на экран оператора;
  • третий поток с пониженной частотой кадров в полном разрешении для записи в состоянии «покоя».

В зависимости от применяемых детекторов видеоаналитики и VMS с целью оптимизации вычислительных ресурсов видеосерверов или видеорегистраторов иногда требуется и четвертый поток, настраиваемые параметры которого будут оптимальными для работы применяемого детектора. Таким образом, при выборе камер и программного обеспечения необходимо учитывать количество и параметры потоков, которые можно получить и задействовать с камеры.

Интеграция системы

Система видеонаблюдения должна быть интегрирована с системами контроля и управления доступом, охранно-тревожной и пожарной сигнализации. В основном интеграция заключается в получении от систем сигналов о тревожных событиях и выполнения реакции на них, таких как вывод видеопотоков с привязанных к событию камер на монитор оператора, индикация на интерактивных планах, звуковое оповещение, увеличение скорости записи привязанных к событию камер в случае, если запись в «покое» выполнялась с пониженной частотой кадров.

Как обеспечить надежность системы видеонаблюдения

Так как система строится для обеспечения безопасности ЦОД, инженерная инфраструктура которого должна обладать определенным запасом прочности и отказоустойчивостью, то и схема видеонаблюдения должна также быть резервируемой и отказоустойчивой. Это достигается путем обзора каждой ответственной зоны не менее чем с двух камер, которые могут быть подключены к разным коммутаторам или даже к разным коммутационным узлам. Необходимо также обеспечить отказоустойчивость и видеосерверов, что достигается добавлением одного или нескольких резервных видеосерверов, которые при выходе из строя основного оборудования берут на себя его функции.

Некоторое VMS можно использовать на виртуальных серверных платформах, тогда вопросы резервирования возможно решать и с помощью их перезапуска на другой аппаратной платформе. Однако в этом случае могут возникнуть нюансы по лицензированию и применению ключей защиты, которые следует решить с вендором. В зависимости от архитектуры построения системы видеоархив может храниться как на самих видеосерверах, так и на выделенных системах хранения данных (СХД). Соответственно, для обеспечения резервируемости, помимо организации RAID-массивов на видеосерверах и СХД, необходима резервная СХД, куда в онлайн-режиме будет дублироваться видеоархив. Желательно, чтобы это устройство находилось в отдельном от основного оборудования здании или даже на другой площадке. Таким образом, в случае выхода из строя основного регистрирующего оборудования (видеосервера/СХД) или полного его уничтожения оператор может обратиться за нужным видеофрагментом к резервной СХД. Не стоит забывать, что сеть передачи данных для функционирования систем безопасности также должна быть резервируемой. Каждый видеосервер и СХД следует обеспечить подключением к сети передачи данных как минимум двумя резервируемыми каналами. И обязательно применять оборудование с резервируемыми блоками питания, источники бесперебойного питания и прочие Best Practices.

Как организовать рабочие места операторов системы

Наиболее важным звеном всей системы безопасности являются операторы, осуществляющие оперативный мониторинг, работу с архивами и управление системой. В составе автоматизированных рабочих мест операторов следует предусмотреть несколько мониторов, различающихся по своему функциональному назначению:

  • дежурный монитор (один на каждого оператора), на который выводятся камеры, требующие постоянного внимания (обычно от 4 до 16 камер);
  • оперативный или рабочий монитор (один на каждого оператора), с которым оператор работает в постоянном режиме (просмотр архива, вывод определенных камер и т. д.);
  • тревожные мониторы (один или два на каждого оператора), на которые выводятся видеопотоки камер, связанных с тревожным событием, а также информация от детекторов видеоаналитики. На этом же мониторе можно разместить планы объекта с пиктограммами камер, извещателей, точек доступа, чтобы оператор мог оперативно определить место возникновения тревожной ситуации. В случае если объект масштабный, то для данной цели следует предусмотреть отдельный монитор;
  • информационные мониторы, на которые выводятся камеры в мультираскладке, не требующие постоянного внимания, но для того, чтобы оператор мог быстро оценить обстановку.

В зависимости от масштаба объекта и количества камер рабочих мест операторов может быть несколько, а разделение задач между ними следует выполнять по пространственному и функциональному принципам. Например, один оператор выполняет контроль зон только 1-го этажа, второй – только второго и т. д., либо один оператор следит за тревожным и оперативным мониторами, а второй – только за информационными. Для крупных объектов с большим количеством камер оптимальным будет использовать видеостену, которую можно разделить на области управления между различными операторами или на различные функциональные области, соответствующие типам мониторов, описанным выше.

В некоторых случаях, чтобы не перегружать определенных операторов большим количеством информации, может быть применен принцип «черного экрана». Система видеонаблюдения, благодаря применяемой видеоаналитике и выполненным интеграциям, выводит на экран только ту информацию, которая требует привлечения внимания оператора, а все остальное время экран остаётся черным. Это снижает нагрузку на персонал, а также исключает потерю внимательности и сосредоточенности, что бывает при большом количестве мониторов и выводимой на них информации.

Вопросы безопасности и масштабируемости

При создании системы видеонаблюдения следует уделить внимание вопросам защиты данных, так как она может стать мишенью для кибератак. Поэтому применение надежных протоколов защиты конфиденциальной информации и архивов видеозаписей является ключевым элементом в системе безопасности ЦОД.

При построении системы необходимо учитывать возможность ее наращивания (масштабирования) и дальнейшего развития, так как ЦОД могут строиться этапами. Дата-центры под аренду, к примеру, не оборудуются видеонаблюдением в полную силу, и, как правило, они ждут клиентов и их дополнительных требований, но инфраструктура должна быть готова к таким расширениям.

В завершение хочется отметить, что наличие грамотно построенной системы видеонаблюдения является необходимым условием для минимизации рисков возникновения чрезвычайных ситуаций, обеспечения надежной работы любого современного ЦОД и поддержания высокого уровня безопасности его инфраструктуры.


Источник: журнал «Технологии защиты»

Следующее мнение
Как СП 541.1325800.2024 повлиял на пожарную безопасность ЦОД
Назад к экспертным мнениям
Подписаться на обновления методики КИИ
Сервисный центр
Рус Eng
О компании
НКК
История
Менеджмент
Миссия
Политики компании
Лицензии
Ключевые заказчики
Партнеры
Компетенции и услуги
Инженерные системы
Сетевые решения
Вычислительные системы
Мультимедиа-решения и унифицированные коммуникации
Контакт-центры
Информационная безопасность
Сервис и ИТ-аутсорсинг
Программные разработки
Решения на базе 1С
Отрасли
Проекты
Стоимость
Медиацентр
Новости
Экспертные мнения
События
Карьера
Работа в STEP LOGIC
Вакансии
Контакты
Сервисный центр
Рус Eng