門禁系統(tǒng)的數(shù)據(jù)傳輸?shù)娘L險分析

　　采用RS485通訊方式的門禁系統(tǒng)受節(jié)點數(shù)量、傳輸距離、通訊速率等方面的制約，多在100門以下的門點使用。采用32位芯片的TCP/IP網(wǎng)絡通訊方式的門禁系統(tǒng)，具有無節(jié)點限制、覆蓋范圍廣、通訊響應速度快、干擾小等優(yōu)勢，全面領先于RS485總線方式，逐漸成為門禁系統(tǒng)主流應用系統(tǒng)，尤其是在大型跨區(qū)域聯(lián)網(wǎng)門禁管理系統(tǒng)的應用。

　　圖1跨區(qū)域聯(lián)網(wǎng)應用管理的系統(tǒng)

　　但不管是RS485還是TCP/IP網(wǎng)絡通訊方式，都容易被第三方竊聽和修改，從而導致門禁系統(tǒng)中的出入權限和管理員的用戶信息及密碼非常容易被截獲。最可怕的是，合法的通信信息被修改后，如被用于非法的出入，甚至攔截阻斷實時報警事件等，將會給客戶的安全造成難以估量的損失。

　　對于高安全應用的銀行門禁系統(tǒng)，很多應用系統(tǒng)都沒有網(wǎng)絡層的防侵入安全機制，對門禁系統(tǒng)的管理應用方面存在非常大的潛在風險。所以針對各個系統(tǒng)、環(huán)節(jié)進行加密是銀行這樣高安全場所的當務之急。

　　銀行門禁系統(tǒng)平臺與設備傳輸之間的通訊加密

　　不同廠家在平臺與設備端傳輸采用不同的通訊加密機制，比如AES加密、SSL加密或者自有協(xié)議的加密等。有效的保障了在通訊傳輸過程中被侵入泄密的風險。賽安納門禁系統(tǒng)中的平臺與設備之間就采用三重加密機制，降低了系統(tǒng)的被侵入的風險。

　　讀卡器與射頻卡傳輸之間的加密

　　ID卡的只讀序列號的方式存在巨大安全風險、IC卡加密破解的難題被攻破之后，對于射頻卡與讀卡器之間傳輸?shù)陌踩砸踩找媸艿街匾暋?/p>

　　目前常用的解決IC卡或CPU卡的安全問題的方法是：采用AES加密算法或者三重AES加密算法機制。國家針對射頻卡的安全性問題，出臺了國密認證的一卡一密的加密機制。也有采用IC卡的扇區(qū)加密方式來實現(xiàn)一卡一密進行卡片加密。

　　另外，基于高安全場所的安全性的考慮，指紋識別技術，活體指紋設備技術、靜脈圖象識別技術、虹膜識別技術等生物識別方式在銀行等高安全場所得到了大量的使用，

　　銀行門禁系統(tǒng)的軟件平臺不同客戶端安全操作管理

　　對于門禁系統(tǒng)平臺操作的安全管理也十分重要，如果所有權限操作人員都在同一軟件平臺上進行按照權限操作管理，比如設備維護人員，權限管理人員，發(fā)卡授權管理人員、安保監(jiān)控人員等都在同一軟件平臺下按照不同的權限進行不同密碼進入系統(tǒng)操作，可能會存在密碼泄露造成數(shù)據(jù)泄密從而更改系統(tǒng)設置等的風險。所以根據(jù)不同人員的管理權限采用不同的客戶端管理非常有必要，可根據(jù)需要指定使用權限范圍，保證系統(tǒng)的安全性和私密性，比如對于維護人員，只能采用維護工作客戶端進行設備維護和操作員權限管理;管理工作客戶端只能對人員資料管理和修改、人員發(fā)卡授權和權限變更等操作管理;對于保安等管理級別，只能登陸報警管理客戶端進行管理，通過電子地圖對各種報警情況進行處理，同時監(jiān)控各個門點的出入情況，并對系統(tǒng)的布防、撤防等進行操作，同時接受電話語音或短信等五級閉環(huán)報警并進行及時處理;對于金庫的特殊場合使用，可以采用銀行異地遠程管理客戶端;對于VIP室，可以采用銀行專用的VIP管理客戶端，這樣就可以有效的保障不同權限管理員在不同的客戶端進行管理，同時數(shù)據(jù)又能在同一數(shù)據(jù)庫進行操作管理。避免了不同操作人員在同一系統(tǒng)軟件下按權限管理的安全漏洞。

　　門禁系統(tǒng)的硬件設備安全穩(wěn)定性

　　對于門禁系統(tǒng)的硬件設備的穩(wěn)定性也非常重要，從常規(guī)的工業(yè)級設計、元器件選擇，生產，組裝，測試等各個環(huán)節(jié)到各個端口的安全處理都顯得非常重要。硬件設備對環(huán)境的應用牽涉到使用環(huán)境包含溫度、濕度、過流過壓測試，防雷、防浪涌等保護措施、防錯接、防反接、防靜電和防塵保護等方面的設計都牽涉到硬件的安全和穩(wěn)定性問題。對于在應用過程中對于設備在寬電壓的環(huán)境下也能穩(wěn)定運行等方面都是考驗硬件的穩(wěn)定的一個方面。其雙看門狗設計保證在應用中不出現(xiàn)死機的狀況，掉電保護電路設計可以有效的保護數(shù)據(jù)和硬件被損壞的情況，設備對于各種運行狀態(tài)如電源，通訊、輸入輸出等LED顯示也能隨時了解設備的運行狀況，讀卡器的寬電源設計和不同應用狀態(tài)的顯示燈和蜂敏器的不同反饋也能快速判斷故障信息等，這些基本的設計和保護措施構成硬件的安全和穩(wěn)定。

　　技防+人防+技防的安全管理

　　對于門禁的管理，實現(xiàn)門禁的出入安全管理(技防)，同時通過安保人員對各種出入狀態(tài)進行實時監(jiān)控和報警信息進行人工查看和處理(人防)。只依賴于人工的查看和管理，不可避免的會出現(xiàn)管理的遺漏。比如安保人員的疏忽或者離崗，會對一些重大突發(fā)安全事件信息不能及時的處理從而造成系統(tǒng)的安全風險。對于銀行這樣特殊的應用場合，應具有技防+人防+技防相結合，比如對于門禁系統(tǒng)故障、門點漏鎖、假鎖狀態(tài)、非法闖入，機箱被拆、讀卡器或控制器線被剪斷等情況，光靠人工進行系統(tǒng)屏幕查看很難及時的處理情況，這個時候還應該具有出現(xiàn)各種緊急報警的情況下，具有短信或電話報警功能，采用五級閉環(huán)報警模式(技防)，使得報警按照不同級別進行權限報警，并可以在下一級未及時處理的情況下自動報警到上一級，直到有人處理為止，有效的避免了報警信息的遺漏或延時處理，大大提高銀行門禁系統(tǒng)的安全級別，這個對于銀行這樣特殊的場合管理非常重要。

　　銀行門禁系統(tǒng)的不同門點的安全區(qū)別應用

　　銀行作為金融機構的特殊應用場合，對于其門禁系統(tǒng)的安全性和穩(wěn)定性應放在首要地位。

　　銀行門禁系統(tǒng)應分為普通的出入門點，標準的二道門，儲蓄柜、保險柜、金庫門等重要場所的門點，VIP室門點及銀行槍彈庫門點，這些門點的應用功能都有所不同。而為了保證整個系統(tǒng)的數(shù)據(jù)統(tǒng)一和管理，所有門禁系統(tǒng)都應該采用同一數(shù)據(jù)庫進行管理。

　　銀行門禁系統(tǒng)除了最基本的門禁出入權限管理、首卡開門、多卡組合開門、防尾隨、防脅迫、鎖狀態(tài)和門狀態(tài)的檢測，防拆防撬、報警聯(lián)動，電子地圖、實時監(jiān)控等的功能外，還應針對不同門點的安全級別的不同采用不同的控制器來進行管理提高系統(tǒng)的安全性。

　　1、 作為銀行的普通出入門點，可以采用普通的網(wǎng)絡門禁系統(tǒng)來進行設計，實現(xiàn)出入按權限進出控制，滿足門禁出入管理的基本應用。

　　2、 而作為銀行的二道門出入門點，應在基本的雙門互鎖的功能外，還應該要考慮在緊急情況下的雙開雙閉功能和一鍵戒嚴功能。支持五聯(lián)按鈕報警功能。其專用的二道門控制器應能支持接入報警系統(tǒng)設備，提高報警信息的準確性和穩(wěn)定性。

　　3、 而針對銀行金庫門，不單有普通的門禁系統(tǒng)的功能需求外，還應考慮其特殊的管理模式，采用N+1管理模式，既實現(xiàn)通過N張卡的分組組合刷卡或指紋，由遠程監(jiān)控中心人員對刷卡人員進行視頻遠程對比確認和刷卡確認后才能遠程開門，控制器應能接入紅外檢測設備、震動檢測模塊及市電檢測設備等，在異常情況下實現(xiàn)現(xiàn)場聲光報警和平臺報警，并可以支持短信和電話的五級閉環(huán)報警模式;實現(xiàn)大型的無人值守的管理模式，同時對于金庫遠程值守系統(tǒng)應取消系統(tǒng)的遠程開門的功能(N+1模式除外)?？梢源蟠笤黾酉到y(tǒng)的安全性，同時控制器可以接入報警設備和紅外檢測設備等，使得入侵報警系統(tǒng)與門禁系統(tǒng)的形成一個統(tǒng)一的應用系統(tǒng)。配合視頻聯(lián)動組成有效的金庫門的安全管理。這個是普通門禁系統(tǒng)無法實現(xiàn)的。

　　同時應可以實現(xiàn)省市級的大型聯(lián)網(wǎng)應用。

　　4、 對于銀行槍彈庫門管理，應對槍支彈藥具體使用情況實時的監(jiān)督，領取歸還流程實行完善登記、嚴格審批、嚴格監(jiān)管的制度。系統(tǒng)對整個流程完整的記錄，及時的告警提示。智能防暴槍彈管理系統(tǒng)支持人員信息的詳細登記;槍彈柜門開啟的多重身份認證;短信多級發(fā)送及回復授權;語音授權;系統(tǒng)告警多種方式通知;脫機信息的存儲及讀取;詳細的報表記錄與查詢等。應可以實現(xiàn)省級或市級的聯(lián)網(wǎng)應用

　　5、 對于銀行VIP室門禁出入管理，應對普通權限的銀行卡和VIP客戶銀行卡授權出入權限，對于VIP客戶可以根據(jù)銀行要求，設置按照不同的銀行卡儲蓄達到一定金額進行銀行卡權限自動授權或低于某儲蓄金額則自動取消VIP客戶權限，同時VIP客戶可以出入全市各個分行、支行和儲蓄網(wǎng)點的VIP室辦理業(yè)務等。有效避免為非VIP客戶而出入VIP室辦理業(yè)務的情況。對于專門的銀行VIP室控制器應具有大容量存儲需求，能滿足全市甚至全省VIP客戶的集中管理，為客戶提供良好的安全服務和便捷服務，可節(jié)省大量的人力成本。

　　銀行門禁系統(tǒng)的立體安防管理應用

　　視頻門禁也是提高銀行門禁系統(tǒng)安全性的措施之一，在門禁出入時進行視頻聯(lián)動抓拍或錄像，保證出入信息和報警信息能準確的對應人員出入記錄和視頻圖象的對應。

　　同時門禁系統(tǒng)與視頻監(jiān)控系統(tǒng)和入侵報警系統(tǒng)組成立體的安保管理，結合電話和短信報警的五級閉環(huán)模式可以大大的保證銀行的門禁系統(tǒng)的安全性。

　　云門禁和大系統(tǒng)聯(lián)網(wǎng)的智慧物聯(lián)網(wǎng)及智慧城市的建設熱點，也將促進門禁系統(tǒng)更為開放和廣闊的應用空間，門禁系統(tǒng)發(fā)展成為不同的應用方向如手機一卡通、NFC應用支付、城市一卡通、交通一卡通等，也代表了門禁系統(tǒng)在安防行業(yè)中占據(jù)越來越重要的地位，可以預計，隨著智慧物聯(lián)網(wǎng)的應用發(fā)展，今后我們的車輛的軌跡運行、人員乘車、旅游等通行權限及識別和生活中各種辦理業(yè)務等的身份識別及各種便利的支付手段，都將與門禁系統(tǒng)建立聯(lián)系。所以門禁系統(tǒng)越來越成為人們生活中不可或缺的部分。

　　(本文作者胡天元現(xiàn)任深圳市賽安納云安防技術有限公司營銷總監(jiān))