Глеб Гончаров

Системный администратор в ФанБоксе. Автоматизирую и сопровождаю инфраструктуру для проектов мобильных операторов.

Контроль за доступом в офис

Личный опыт установки и эксплуатации СКУД в ИТ-компании в провинции.
Как мы делали вход в офис по отпечаткам пальцев.

Когда устраивался работать в ФанБокс, компания уже занимала левое крыло второго этажа в бизнес-центре. Помещения офиса соединялись друг с другом длинным коридором. Коридор был изолирован от чужаков пластиковой дверью с электромагнитным замком. Каждый сотрудник носил с собой брелок к считывателю для входа.

Через пару месяцев арендаторы сдали помещения на первом этаже и мы могли закрыть от посторонних вход с улицы в бизнес-центр. Мне поставили задачу разработать и запустить систему контроля за доступом в офис.

Автономная СКУД

Когда начинали исследование, вспомнили о недостатках брелоков: их постоянно забывают брать с собой в офис или теряют, а офис-менеджеру приходится открывать дверь по звонку в видеофон. Кроме того, брелоки трудно выводить из использования. Чтобы забрать доступ у сотрудника перед увольнением, приходится сдавать брелоки администратору.

Поэтому на главный вход с улицы установили и настроили SOCA SF-2000 — наш первый биометрический считыватель отпечатков пальцев, бесконтактных карт и брелоков. Считыватель автономный: его память вмещает до 200 отпечатков и 100 карт. Программируют SOCA SF-2000, подключив внешнюю клавиатуру к выходу на нижней кромке корпуса.

Биометрический считыватель SOCA SF-2000

Выбирайте автономный считыватель с цифровой индикацией. Мы зря взяли ZKT X7, купившись на компактный корпус и панель ввода на корпусе. Вести учёт пользователей так невозможно.

Мы договорились каждому сотруднику заводить по два или три отпечатка: минимум по одному на каждой руке. Если отпечаток плохо считывается, то записываем один палец по два-три раза. Брелоки выдали руководителю, офис-менеджерам и паре человек со стёртыми подушечками пальцев.

По моему опыту, каждый десятый человек в офисе с проблемными отпечатками. Проблемы чаще всего у девушек из-за небольших пальцев. Ещё тяжело прописывались пальцы у уборщицы и разработчика, разбиравшего накануне автомобильный аккумулятор.

Для добавления сотрудника администратор вводит мастер-код, задаёт 4-значный идентификатор записи, а затем дважды прикладывает палец к сенсорной панели. Этот номер приходится запоминать, чтобы не запутаться при управлении доступами. Потому просто завели таблицу в Confluence, где каждому сотруднику записали его идентификатор.

Стало лучше: проход в офис стал безопаснее и его легче контролировать. Позже установили ещё один такой же считыватель и просто дублировали действия. Это не беспокоило, пока процедура занимала не больше 5 минут при приёме или увольнении. За три года использования считыватели ни разу не подвели и работали без сбоев.

Сетевая и централизованная СКУД

В 2018-м году нам перестало хватать помещений и мы арендовали помещения в правом крыле на втором этаже. Перед пуском новых помещений их требовалось отремонтировать, провести сеть и установить оборудование. Арендаторы освобождали помещения не сразу, потому мы были вынуждены установить новые считыватели для защиты от посторонних. Таких контролируемых входов оказалось четыре.

Когда составляли план, то уже понимали, что нашей системе контроля доступа нужна модернизация. Автономные считыватели справлялись с задачей раньше, но теперь мы искали систему с централизованным контролем.

Посовещавшись с подрядчиком, остановились на СКУД BioSmart. Компания ProSoft Biometrics развивает и продаёт BioSmart Studio — проприетарное ПО с клиент-серверной архитектурой, бессрочно лицензируемое по числу пользователей. В комплекте идёт аппаратный ключ – USB-токен для подключения к серверу и проверки лицензии. Без токена программа не работает.

Согласно документации, серверная часть работает в Windows и Linux, храня данные в PostgreSQL. На практике в комплекте идёт CD-диск установщиком только под Windows.

На вопрос о поддержке Linux в технической поддержке ответили, что сервер под Linux оказался не востребован, хотя для крупных заказчиков готовы присылать сборки по запросу. Оценив риски по поддержке и сопровождению, решили не экспериментировать и остановились на Windows.

Клиентская часть — десктопное приложение под Windows, предназначенное для управления СКУД. Работать с сервером могут несколько пользователей с разными уровнями доступа, но мы не стали заморачиваться и завели аккаунты только администраторам.

Модель считывателя выбрали совместимую с контроллером: ей оказался BioSmart 5M. Считыватель подключают к источнику питания 12В и Ethernet-сети для синхронизации данных с контроллера. Сигнал с реле считывателя подают на электромагнитный замок или защёлку для открытия двери. Настраивают уровень сигнала — прямой или инвертированный — программно из контроллера.

Биометрический считыватель BioSmart 5M

Под оборудование BioSmart можно писать программы с BioSmart SDK.

Однажды у нас легла сеть и некоторые считыватели не получили конфигурацию. Заметили мы это не сразу. Чтобы не повторять ошибку в будущем, добавили считыватели в Zabbix: написали скрипт на Python, извлекающий список считывателей из базы данных в PostgreSQL в формате low-level discovery.

Для проверки доступа считывателю не нужен контроллер: BioSmart 5M хранит базу локально, контроллер её только синхронизирует. Но для учёта времени прихода или ухода сотрудников контроллер обязателен. Чтобы знать о сбоях контроллера, мы подключили к мониторингу и его: снимаем основные метрики (CPU, RAM, I/O) и проверяем доступность процессов сервера BioSmart Studio.

За полгода использования проблема была один раз. Сдали по гарантии считыватель BioSmart 5M: после аварийного отключения питания тот перестал работать. Сейчас наши считыватели подключены к резервному источнику питания и работают до 2-3 часов после отключения электроэнергии.

Сейчас считыватели просто наращивать, не перестраивая инфраструктуру. Есть централизованное управление пользователями из единого центра, мониторинг состояния здоровья считывателей и аудит доступа сотрудников.

Стало отлично, но не идеально. Нам не хватает обратной связи от электромагнитных замков и защёлок, чтобы следить за тем, открыта сейчас дверь или нет. Магнит может разболтаться, дверь подопрут ящиком и забудут закрыть или контакт к замку пропадёт. Частично мы решаем эту проблему видеонаблюдением: каждый такой вход попадает в обзор IP-камер. Мы поймём когда чужак попал в офис, но не предотвратим это, если дверь открыта.

Запомнить

  1. Брелоки лучше ключей. Ключи нужно копировать, а замок менять при утере ключа. Брелоки легко докупать и программировать, используя магнитный замок в дополнение к механическому замку.

  2. Отпечатки лучше брелоков. Брелоки теряются, забываются дома и тяжело выводятся из использования. Ещё брелок легко скопировать и подделать.

  3. Автономные считыватели подойдут небольшим офисам с одним или двумя входами. Не берите считыватели без цифровой идентификации записей, чтобы избежать беспорядка в организации записей.

  4. Присмотритесь к сетевой СКУД, когда будет нужен учёт сотрудников, а защищённых входов — больше двух.

  5. Настройте мониторинг СКУД, чтобы избежать сюрпризов.