1. Статьи
  2. Системы видеонаблюдения
  3. Храни меня, мой СХД

Храни меня, мой СХД

11 Сентябрь 2019

Деев Алексей Витальевич, глава российского офиса

Варламов Николай Евгеньевич, руководитель отдела сервисно-технической поддержки, SLMP PTE Ltd. коммерческо-маркетинговый представительSynology Inc. в России и СНГ

Корпорация ЕМС обнародовала результаты исследования Big Data, Bigger Digital Shadows and Biggest Growth in the Far East, проведенного IDC при поддержке компании ЕМС. Это исследование демонстрирует беспрецедентный рост информации в мире. Повсеместное распространение технологий и доступа к Интернету привели к удвоению объема информации за последние 2 года. Исследование оценило объем сгенерированных данных в 2012 году в 2,8 зеттабайта и прогнозирует к 2020 году увеличение объема до 40 зеттабайт, что превосходит прежние прогнозы на 14%.

Авторы публикаций по теме увеличения информации задаются, в основном, вопросами ее информационной защиты, наша цель — поговорить об организации хранения данных, увеличивающихся в объемах лавинообразно.

Жанр журнальной статьи не позволяет нам рассказать о сохранении информации всего человечества в целом, мы планируем рассказать об организации системы хранения данных (СХД) на примере промышленного предприятия: что хранить, где хранить, как хранить и какие службы обеспечивают хранение.

Промышленный объект в качестве приложения знаний выбран авторами за разнообразие информации, вырабатываемой подразделениями объекта: блок офисной информации; показания датчиков и данные контроллеров АСУ ТП — М2М (Machine-to-Machine communication) и, наконец, видеопотоки, данные СКУД, ОПС, пожаротушения и т.д.

Где хранить?

Вообразим себе промышленное предприятие, представленное производственными площадками, складским помещениями и центральным офисом. Каждое из отдельно стоящих зданий объекта предоставляет и не один, а несколько вышеописанных типов хранимой информации. Представим, что на предприятии произошел пожар в одном или нескольких зданиях — отсутствие дублирования хранимой в серверной здания информации приведет к ее потере. Такая стандартная ситуация наглядно демонстрирует необходимость дублирования хранимой информации на некотором физическом удалении. Как правило, центр резервного копирования располагается внутри или в непосредственной близости от главного офиса или заводского управления. Идеальным, если бы не пугающие цифры в сметах, был бы вариант удаленного (расположенного вне территории объекта) собственного хранилища верхнего уровня.

Но, скажет информированный читатель, к чему такие сложности, когда над заводами не только сгущаются тучи, но и мирно плывут облака? Почему нужно тратиться на содержание специалистов, закупать «железо» и ПО, оборудовать серверные по всем правилам пожарной безопасности, когда можно хранить необходимую информацию в облаках? Ведь, случись ЧП со своим хранилищем, то проблемы, траты, простои будут головной болью руководства предприятия, а в случае облачного хранилища можно рассчитывать на некоторое возмещение убытков со стороны владельцев DATA-центра.
Если договор составлен надлежащим образом…

Облачные сервисы, доступные для большинства промышленных предприятий, должны обладать DATA-центрами на территории Российской Федерации. В условиях недостаточно проработанной законодательной базы смена юридического лица компании, предоставляющей сервис, может привести к фатальным последствиям. Но даже предположив, что облачно хранилище безупречно, задайтесь вопросом, готовы ли вы доверить важнейшую информацию удаленному от вашего контроля хранению?

Что хранить?

С точки зрения хранения, нет разницы между цифровой информацией, поступающей от разных подразделений: и данные контроллера системы дымоудаления, и потоковое видео, и метаданные, и файлы офисного пакета требуют одинаковых условий хранения. Разница определяется степенью значимости информации. С этой точки зрения, хранение можно подразделять на оперативное — краткосрочное (online storage), хранение средней продолжительности (near-line storage), глубинное — долговременное (offline storage). Обозначив перечни крайних категорий, предоставим читателю определить наполнение средней категории с учетом особенностей его объекта.

Напомним, что после определения значимости информации для предприятия, необходимо проверить разобранные по категориям данные на соответствие законодательным нормам: к примеру, в статье 5 федерального закона «О персональных данных» учтен порядок обработки записей с камер видеонаблюдения. Персональные данные допускаются к сохранению до полной целевой обработки. При увольнении сотрудника работодатель обязан удалить все видеозаписи с его участием. Исключение составляют случаи, когда необходимо предоставить запись в суд.

К данным оперативного хранения могут быть отнесены: текущие данные технологических процессов, систем жизне обеспечения объекта, данные мониторинга работоспособности систем ивходящего в них оборудования и т.д.

Объектами глубинного хранения выступают, например:

  • принципиальные инженерные схемы объекта: в практике авторов был случай прорыва теплосети одного из волгоградских заводов постройки конца XIX века, бурные события века XX не уберегли строительных чертежей, и для устранения аварии пришлось останавливать производство;
  • патентная информация, важнейшая информация, относящаяся к производству;
  • данные кадрового учета — вспомним саркастичного Григория Горина: «У нас писарь в уезде был, в пачпортах, где год рождения, одну цифирку только обозначал. Чернила, шельмец, вишь, экономил. Потом дело прояснилось, его в острог, а пачпорта переделывать уж не стали. Документ все-таки»;
  • возможно, записи камер видеонаблюдения: произошедший в одном из столичных отелей пожар, выявил отсутствие пожарного рукава, а видеозаписи 4-месячной давности помогли установить причастного к краже рукава сотрудника, которому и был предъявлен счет за восстановительные работы.

Данные примеры приведены с целью показать, что затраты на СХД можно снизить за счет разбиения информации на группы хранения. Необходимым условием разбиения выступает внутренний регламент, описывающий принадлежностьк типу хранения всех информационныхпотоков предприятия и должностные задачи сотрудников, обслуживающих СХД.

Возможен также компромиссный вариант, снижающий затраты на содержание СХД, — с переводом оперативной и, возможно, средней длительности хранения информации во внешнее облако.

Как хранить?

Перечисленные выше типы информации по длительности хранения нуждаются в различных вариантах хранения.

Для краткосрочного хранения возможно использовать жесткий диск (или SSD) любого персонального компьютера. Для второго и третьего — обязательны внешние системы хранения DAS (Direct Attached Storage). Они могут строиться как массив внешних по отношению к компьютеру дисков (Disk Array) или СХД более сложной архитектуры: SAN (Storage Area Network) или NAS (Network attached Storage). Разница между SAN и NAS есть, и существенная.

В основу SAN положено создание отдельной внутренней сети, спроектированной специально для того, чтобы обеспечивать высокоскоростной трафик с устройствами хранения данных. Разделение сервера и устройств хранения данных, а также размещение всех накопителей непосредственно в сети Fibre Channel, позволило создавать многочисленные соединения между серверами и хранилищем, и наоборот. Этот подход обеспечил использование устройствами хранения данных преимуществ традиционных сетей, таких как улучшенная масштабируемость, доступность и производительность. Кроме того, резервирование данных перестало затрагивать оставшуюся часть сети, так как трафик, связанный с резервным копированием, выполняется в отдельной SAN, т.е. внелокальной вычислительной сети (ЛВС).

Использование SAN/NAS технологий с повышенным уровнем отказоустойчивости
Рис. 1. Использование SAN/NAS технологий с повышенным уровнем отказоустойчивости

Технология NAS выросла из концепции файловых серверов, как сервиса по управлению файлами для клиентов сети.Благодаря файловому серверу, большиесистемы хранения данных отделились отсервера и смогли обслуживать пользователей на пофайловой основе. Процессыуправления и резервного копирования таких данных могли быть централизованывне сервера. Впоследствии стало ясно,что для обслуживания файлов в полноценной сетевой операционной системенет необходимости, и урезанной версиитакой системы будет вполне достаточно.Специализированные сервер и операционная система с набором накопителей,установленные внутри корпуса, могутбыть размещены в сети для обеспечения функций хранения данных.

Простота и удобство в обслуживании серверов NAS, с достаточной гибкостью для дальнейших перспектив развития аппаратной структуры, готовностью выполнять функции NVR-серверов, что важно при экономии бюджета, дополнились разработкой полноценного программного обеспечения. Это позволило системам хранения NAS претендовать на звание СХД крупных объектов, в том числе, промышленных.

К гибкости решения относятся возможности масштабирования. Причем, речь идет не только о дисковом пространстве на какой-либо модели сервера, но и о возможностях использования нескольких серверов, разных моделей и их взаимодействия друг с другом. Оборудование приобретается под текущие задачи, без учета перспектив, а при необходимости расширения либо докупается дополнительное оборудование, либо производится миграция существующей системы на более производительную. Такой подход, основанный на программной и аппаратной совместимости, позволяет существенно снизить первоначальныевложения в систему.

Еще один способ экономически рационального использования серверов NAS — это выделение дискового пространства под хранение «образов» виртуальных машин (ВМ). На примере системы видеонаблюдения: хранение образов ВМ на NAS, которые, в свою очередь, могут выполнять функцию обработки видеопотоков и формировать видеоархив на тот же NAS-сервер, снимает с вычислительного сервера задачи по хранению какой-либо информации, что позволяет повысить производительность всей системы обработки и хранения. Возможно также замещение персональных компьютеров офисного сегмента предприятия на «тонких клиентов», с хранением образов ВМ на серверах NAS.

Полноценная операционная система серверов NAS открыла возможность создания на ее базе пакета офисных программ, внутреннего чата — удобного инструмента коммуникации сотрудников предприятия и почтового сервера. Последнее немаловажно с точки зрения информационной безопасности предприятия. Хранение всей переписки не в облаке Microsoft Outlook, Google или Mail.ru и т.д., а в «стенах» собственного предприятия защищает информацию клиентов от изменений политики конфиденциальности внешних почтовых программ. Сегодня прикладные пакеты в большей или меньшей степени реализованы флагманами разработки NAS-серверов и являются их конкурентным преимуществомсреди производителей.

Так как же необходимо определить требуемую технологию хранения для конкретного объекта?

Как правило, в больших корпорациях и/или закрытых предприятиях, создается своя IT-инфраструктура. Т.е. свои узлы коммутации, переадресации, внутренние ресурсы хранения, обработки данных, веб-ресурсы и т.п. Иными словами, свой локальный мир, со своим локальным «Интернетом» и, конечно же, со строго ограниченным списком сотрудников, что имеют возможность выхода в глобальную сеть. В таких закрытых структурах можно встретить оборудование разного уровня и разного ценового сегмента.

Топология отказоустойчивости на уровне коммутации и системы хранения
Рис. 2. Топология отказоустойчивости на уровне коммутации и системы хранения

Три примера, в какой-то степени, могут помочь определиться:

1. Оперативные данные. Требуются высокий уровень надежности аппаратных решений, скорости и целостности передачи, а также обработки данных (т.е. вычислительные процессы, от которых зависят производственные процессы) (рис. 1).

При подобных задачах, что требуют не просто хранения, а также и обработку, лучше рассматривать SAN-технологию.

2. Статистические данные. Требования немногим ниже: надежность на аппаратном уровне, целостность данных (как при передаче, так и при хранении), но скорость передачи не так уж и важна. Также не требует сложных вычислительных процессов. Тут уже можно опираться на бюджет, так как SAN-технология значительно дороже технологии NAS. Несмотря на то, что NAS-сервера одноконтролеррные, имеется в виду возможность создать кластер только по схеме Active — Passive, но за счет своей простоты, что не требует сертифицированного обслуживания и при большем количестве устройств, в качестве серверов резервирования, компания не теряет в надежности системы и получает решение значительно бюджетнее (рис. 2).

3. Архивные данные. Как правило, тут требуется только надежность. Скорость и аппаратная мощность попросту не важны. Технология NAS при таких задачах вне конкуренции.

Вне зависимости от того, какое оборудование для хранения информации вы выберете, стоит обратить внимание на защиту данных от кибератак. Следующие шаги помогут повысить защиту данных от программ-вымогателей: пользуйтесь старшей версией операционной системы, установите надежную антивирусную программу, не открывайте подозрительные файлы, отключите удаленный доступ к своему компьютеру, если в нем нет необходимости, а главное, не забывайте делать резервное копирование с сохранением нескольких версий данных (рис. 3).

Многоцелевое использование системы хранения NAS
Рис. 3. Многоцелевое использование системы хранения NAS

Кто хранит?

В начале статьи мы указывали, что унифицированность информации, предназначенной для хранения, увеличивает объем, но не сложность работ сотрудников IT-подразделения предприятия. Поэтому вопросами хранения данных, получаемых от систем безопасности, занимаются, как правило, IT-специалисты. Если сравнить перспективы хранения данных в облаке с привлечением IT-компании на аутсорсинговое обслуживание систем хранения, то второй вариант представляется более вероятным для малых и средних объектов.

В зоне ответственности сотрудников СБ: оперативное наблюдение, реагирование, обслуживание и составление регламента по хранению и резервированию информации от систем безопасности. Если говорить о перспективах взаимодействия IT- и СБ-структур, то вероятным сценария будущего нам представляется утверждение служб безопасности в качестве заказчика, в то время как IT-отдел возьмет на себя задачи по проектированию, монтажу, обслуживанию и, частично, по эксплуатации. Обычно на промышленном предприятии для СБ существует разделение функций операторов и физического реагирования систем пожаротушения и ОПС, с одной стороны, и систем видеонаблюдения и мониторинга, с другой.

Остановимся на роли и месте СХД вкаждой из подсистем.

В СБ входит довольно таки широкий список предоставляемого оборудования для различных систем и подсистем. К примеру, системы пожаротушения включает в себя не только батарею огнетушителей, подключенных в единую трубопроводную сеть, но и множество датчиков, тесно связанных также с системой оповещения. И еще в качестве примера можно привести систему от проникновения, взлома… Такие системы используются не только на предприятиях, но и в оборонной системе любой страны, но это уже несколько другой рынок и, как правило, с более жесткими требованиями и особой спецификацией.

Территориально-распределенная система видеонаблюдения и центр мониторинга
Рис. 4. Территориально-распределенная система видеонаблюдения и центр мониторинга

Данные, что поступают со всех этих датчиков, также должны фиксироваться, храниться и анализироваться. И вот на этом этапе в СБ входит IT, что имеет практически безграничные возможности по их хранению и аналитике. Как правило, информация, получаемая от подобных датчиков, не имеет каких-либо грандиозных объемов, в большинстве случаев сработка того или иного датчика заключается в замыкании/размыкании контактов. А вот программа, что фиксирует и анализирует данный сигнал, производит соответствующую запись с атрибутами данного события. Т.е. определение необходимого объема системы хранения возлагается на производителя данного программного обеспечения.

Но в СБ есть куда более емкая и не менее важная система — система видеонаблюдения. Мы не будем сейчас рассматривать детально какой-либо проект. Дело в том, что каким бы не был масштабным проект по видеонаблюдению, мы всегда берем начало от видеокамеры. Камеры могут использоваться как аналоговые, так и IP. Последние куда проще использовать в проектах не определенного масштаба, т.е. с перспективой дальнейшего масштабирования и с интеграцией к уже существующей системе с включением их в общий ситуационный блок мониторинга. Включение аналоговых камер в
структуру IT возможно, но для этого будет требоваться дополнительное оборудование, что будет оцифровывать видесигнал и передавать его в сеть IP. Также стоит отметить, что реализация проекта на IP-камерах менее затратна как в экономическом смысле, так и в практическом. Исходя из вышесказанного, далее будем опираться на технологию IP.

Многие NAS-сервера, благодаря своей программной гибкости, имеют возможность выполнять функцию видеорегистратора (NVR). Возможности таких NAS/NVR способны удовлетворить многие потребности, более того, их возможно использовать и как NAS и NVR одновременно. Напомним, что NAS-сервера имеют достаточно богатый функционал, в том числе, и для резервирования данных, что может оказаться очень полезным для видеоархива. Также производители NAS/NVR способны предложить не только распределенную систему видеофиксации, но и решение для единого центра мониторинга, независимо от территориальной распределенности и количества объектовс NAS/NVR-устройствами (рис. 4).

Что же до корректного выбора NAS/NVR, то каждый уважающий себя и своих клиентов производитель, предоставляет online-калькулятор на своем сайте. Подобные ресурсы, как правило, ведут грубый подсчет по требуемому дисковому пространству, но так, чтобы его точно было достаточно. Если же требуется более точный расчет, то лучше обратиться к калькулятору производителя камер. Как бы парадоксально это не звучало, но камеры с одинаковыми параметрами, но от разных производителей могут на выходе давать разный результат по объему.

Наша же рекомендация по подбору NAS/NVR заключается в добром совете выбирать оборудование не в предел его возможностей, а с запасом аппаратной мощности и дискового пространства, хотя бы на 20% больше.

Требования к глубине видеоархива могут быть разными. К примеру, в шесть месяцев, согласно букве закона, ну или год, исходя из уникальных условий объекта. Как бы там ни было, рассчитать объем требуемого дискового пространства не сложно. Битрейт камеры, переводим в сутки в мегабайтах, умножаем на количество дней. Если запись по детекции движения, то умножаем на коэффициент 0,8 (для каждого объекта может быть разным, определяет процентное соотношение временного пространства наличия события в объективе камеры) и получаем требуемый объем для одной камеры. Далее умножаем на количество камер. Главное помнить, что NAS/NVR используют технологию RAID-массивов, и мы рекомендуем рассчитывать, что на массив в 12–16 жестких дисков будет получен фактический объем 10–14 дисков. Это позволит получить отказоустойчивость системы до двух сломанных дисков без ущерба работы системы.

Также на сайте производителя NAS/NVR серверов есть список совместимости по жестким дискам и IP-камерам. Что же до IP-камер, то с некоторыми производителями есть совместно разработанные универсальные драйвера (API), что позволяют NAS/NVR серверу не искать их модель в списках (ее там может и не быть), а получить полную конфигурацию камеры автоматически, причем более полную,нежели использовать ONVIF.

Единого «рецепта» выстраивания коммуникации между службой безопасности и IT-подразделением в вопросах СХД не существует, но мы надеемся, что приведенные в статье доводы позволят решить эти вопросы оптимальным для конкретного объекта образом.