从电力应用中发展起来的安保技术正在不断拓展其用途。基于Internet协议(IP)的视频技术大大增加了以太网基础设施的功能。
随着工业网络的演变,本地与网络安保手段正在经历一个殊途同归的发展时期。IP技术大大拓展了网络的灵活性,使得这两种安保手段之间形成互动发展的趋势。更重要的是,随着以太网带宽的迅速加大,光纤与铜质电缆能够传输更多的数据。数据传输量的增长IP监控、安保产品的发展起到了推波助澜的作用。包含P-T-Z(全方位移动及镜头变焦控制)模块,并带有指纹、身份证扫描识别器的视频摄像头就是其中一类产品。类似的产品还在不断涌现。
虽然同时采用本地和网络安保技术势必会增加成本,但这样做一般而言是很值得的。随着工业网络的功能及特点不断翻新,拥有一套可靠的工业网络不再是一种“奢侈”,相反已经成为一种“必须”了。工业设施和网络的地位越重要,它们所需要的安保技术就越多。室外停车场、仓储区域和远程设施(例如管道、油井、矿山、变电站和泵站)都有工业安保的用武之地。在本文中,我们将会看到两种截然不同的本地安保手段,并从中发现本地和网络安保在结构上的关联。
基于IP的电站安保方案
HG&E在实际安保系统中采用的主光缆同时也是其它一些IP网络功能的基础设备。然而,安全VLANs(虚拟局域网)会为安保网络传输开辟专门的资源,使其独立于数据、音频以及PLC操作指令传输。由于光缆已经预先铺设完成,这套网络的基础设施及安保组件成本已经缩减至最低。HG&E发现,整套系统中网络安保与本地安保是紧密结合的。网络作为本地安保数据的传输介质,在整个系统中占有举足轻重的地位。
本地安全功能与网络安全功能采用了相同的通信基础设施,两者相辅相成。
基于IP的体育公园安保方案
加利福尼亚州Temecula市政府为当地一座2006年秋季开业的P.H.Birdsall体育公园安装了基于IP的安保系统(如图所示)。该套安保系统由位于加州Santa Ana市的IPIntegration公司设计并安装。它的首要目的是为公园内价值4百万美元的人造草坪提供保护。此外,系统中包含的10部高分辨率摄像机既可以作为事故侦测设备,也能够对公园内的违法行为有一定的威慑作用。
由于采用了大量IP设备,这套安保系统与公园内其他的数据传输系统共享同一套光缆。摄像机通过互联网将信息传递给希望收看当天体育赛事的观众以及寻找最佳泊车位的车主。摄像机的分布必须保证44英亩内的大部分设备能够接收到远程图像信号。由于该系统是在公园建设过程中被安装的,IP传输线与公园内的照明器材导线等被埋在了同一条电缆沟道内。这样做能够节省一笔可观的开销。
本地安保
正如用户看到的那样,如果安保设备之间采用IP光缆连接,那么无论这些光缆原本是用作其他目的的还是重新铺设的,在增加本地安保设备时只需要对光缆作简单的延伸即可。与传统的模拟安保设备不同,基于IP的设备为用户传输和操纵数据提供了多种选择。出现安全漏洞时,IP光缆能够大大增加信号传输的速度和准确性。
目前为止,摄像机是使用最广泛的IP安保设备。采用基于IP的视频设备,能够简化摄像机的配置和监控,从而大大缩减视频安全系统的成本。按照一台监控摄像机的平均数据上传速率为每秒2Mb到4Mb计算,一台100Mb的光纤网络交换机能够为25台摄像机传输数据。同种光缆还能够支持1Gb交换机,从而为更多摄像机传输数据。
耐用性设计
由于拥有了强大的以太网交换机和PoE(以太网供电)技术,在工业环境下对IP安保设备实施配置与从前相比有很大不同。有些工业设备能工作在相对稳定、适宜的温度范围内,在这种条件下,一些普通的办公级产品还能够被使用。但是在许多应用场合,交换机可能会受到污染,还可能暴露在有腐蚀性物质的环境中,或者受到震动和电磁干扰(EMI)。这些应用中,我们需要一台极为耐用的交换机。耐用的交换机必须具备较好的MTBF(平均无故障时间),从而为使用者带来较低廉的成本。有些情况下,视频设备可能无法覆盖整个监控范围。例如,在BICSI指定的距离摄像机100米范围内,是无法实现通信的。为了防止上述情况的发生,我们可以将耐用 型交换机安装在金属照明设备杆或其他便于安装的位置,保证它们与指定摄像机及存取控制设备之间畅通连接。
与模拟设备相比,基于IP的视频设备能够提供更完整的视频监控,所需的成本也相对更低一些
仅仅把摄像机安装到位是远远不够,还必须搭配合适的软件。软件的功能是监视、控制并记录本地和网络中指向敏感区域的存取操作。工业环境的特殊性使得基于IT的简单安保解决方案无法胜任,各种方案需要结合使用。这样的话,能否找到一款既能够满足现场严格的存取要求,又比较简易的软件就很重要了。
如果某台设备的安装位置比较偏远或相对独立,那么能否找到一款满足工业耐用性要求的PoE系统就显得尤为关键了。如果在我们计划安装安保设备的位置,采用独立电源供电显得不方便、不经济甚至无法实现,那么就可以采用PoE技术。
分析、存储和IGMP
最近,工厂安保中的视频存取控制技术正受到越来越多的关注,相关设备的种类较之以往增加了许多,并且都具备了编译大量数据的功能。其实,数据本身并不是一种有用的信息。只有当我们从数据中识别、提取出关键信息,并传递给相关人员作分析时,才能体现出数据的价值。
有了存取控制技术后,
■ 什么人能获准进入指定区域;
■ 密码和更新协议;
■ 出现安全漏洞历史记录;
■ 报警/通告树型图;
■ 停工流程(例如,基于IP的大门控制器一旦收到报警信号,就会对大门实行保护,并对不同的存取规范作出响应)。
互联网组管理协议(IGMP)之类的带宽优化协议只允许网络将视频数据流发送到特殊的监控站点或存储位置,从而优化了关键数据的输出能力。一般而言,以太网交换机只支持“单播”数据包,这意味着数据源需要向每个可能的目的站发送一个确认数据包,这样做势必占用(或者说是浪费)大量带宽资源。符合IGMP协议的ISO第三层中心路由器必须具备“多点传送”能力,视频数据包通过单个虚拟网络连接被送到指定目的地。最新开发的IGMP-L2软件也能够做到这一点,它采用ISO第二层以太网交换机通过第三层实现路由,而且不需要增加任何成本和处理时间。
网络安保
IP通信的特点是配置简单、灵活,这些特点也使之成为了受攻击目标。如果说相关人员经过授权后能够获得数据,那么没有经过授权的人也有可能从传输路径中截获数据。这种情况不仅会在发生在工厂控制、监控数据上,还会发生在本地安全系统数据上。
IGMP设备通过优化信号分配的方式压缩了带宽使用量
网络安保失效可能是由于黑客攻击造成的,也有可能是由相关人员的疏忽大意造成的。我们必须认识到,那些缺乏系统性的安保措施也许在几年前还能够被容忍,但是如今已经不可以了。这些安保措施包括不严密的密码保护、不充分的证件检查以及不受保护的终端开放。举例而言,如果某人进入到一座安保建筑后就能够随意接触建筑中的任何东西,那么这座大楼的安保措施显然不够安全。
SNP-V3(简单网络管理协议)提供了包括密码保护在内的基本网络安保功能。但是当网络安保配置更为复杂时,就需要更先进的技术了。这些技术包括防火墙管理、存取授权机制、设备及用户实名制、数据记录以及端到端的控制。在电力行业中,北美安全电力公司(NERC)提出了一系列强制性的北美电力基础设施保护方针,旨在为重要网络资产及其他设施提供全面的保护。Crossbow资产保护管理器是一个将数据管理软件和网络系统整合的范例,可以执行严格的网络安保任务。它整合了IP防火墙、存取控制、事故记录、IPsec VPNs(虚拟私有网络)以及SSL/SSH编码等电子安保工具。它虽然是针对电力行业而设计的,但也能够应用到其他工业领域。
本文以及类似的文章只能蜻蜓点水般地对相关问题作简单的介绍。若干年前,本地和网络监控还是一项尖端技术;如今,这些技术正在迅速地强化、拓展并逐步取代模拟监控设备。身处工业领域的每个人都有责任用最高效的方式将自己掌握的知识和技术与他人分享,为设计最完善的安保系统出一份力 。为了抵御那些入侵者,我们必须做到“魔高一尺,道高一丈”。
更多咨讯,请访问:
www.garrettcom.com
www.hged.com
www.cityoftemecula.org
翻译:翁思健