采用TCP/IP通信协议的门禁系统,由于其通信速度快、网络距离不受限制、容易访问网络资源、系统可以管理大量控制器等优点,已经成为大型门禁系统项目和远程管理门禁系统项目的主流产品。
采用TCP/IP通信协议的门禁系统,由于其通信速度快、网络距离不受限制、容易访问网络资源、系统可以管理大量控制器等优点,已经成为大型门禁系统项目和远程管理门禁系统项目的主流产品。
基于TCP/IP通信服务的网络访问控制系统的强大性能和便捷性是RS485、CANBUS等总线访问控制系统无法比拟的。
客户在使用网络门禁系统时,只从供应商那里了解到使用网络门禁系统的便利性和良好的用户体验,却不知道使用过程中安全问题的风险预警,从而埋下安全隐患。
TCP/IP协议是应用最广泛的网络通信协议,具有很强的通信能力。但是TCP/IP协议包在传输过程中很容易被专门的软件监控和截获,网络中的TCP/IP协议会话很容易被第三方窃听或修改。这种威胁的主要危险是访问控制系统中的访问权限和管理员的用户信息和密码容易被截获。最可怕的危险是法律沟通被修改的可能性。如果修改后的信息被用于非法出入境,甚至拦截和阻断实时报警事件,将对客户的安全造成不可估量的损失。
TCP/IP包拦截是在很多方面进行的。例如,更改信息的方向会导致网络上的主机更改它们在网络对话期间发送数据包的地址。
有意拦截对话的破坏者可能会使用某种方法来设置中继。中继损坏可能发生在网络中的任何地方,甚至远离客户端系统。中继机可以实时调整流量或记录数据包,供以后分析。中继机也可以改变传输的通信内容。
获取通信内容的方法只需要使用被动数据包监视器(通常称为“数据包采样器”)。包采样器可以以中继破坏的方式向破坏者提供记录的网络信息。
目前,TCP/IP门禁系统99%的产品用于地铁、机场、银行、无人值守机房、企业、电信电力、军队、州政府机关等大型项目。在网络层没有防入侵安全机制。因为客户不了解随时被非法入侵的潜在风险,一旦受到攻击,将直接威胁客户的正常运营,甚至造成重大的人员和财产损失。因此,解决TCP/IP访问控制系统的安全问题已成为当务之急。
以下是公司十几年来总结大型网络门禁系统项目和产品研发经验提供的两种解决方案,列举了三种具体的解决方案,并用案例和图表进行了分析。
解决方案一:用网络设计方法解决
案例一:利用VPN网络通道传输门禁系统通信的安全解决方案如图1所示。该方法解决了VPN隧道外非法计算机攻击的威胁。缺点是存在从VPN隧道内部进行非法计算机攻击的可能性。
图1。虚拟专用网络通道借用方法
案例二:每个控制器都配有独立的VPN设备,优点是系统中的每个设备都有独立的安全通道,有效解决了内外机攻击的威胁。缺点是投资成本非常高,维护成本高。
解决方案二:选择高安全性网络访问控制产品的方法
案例三:采用SSL通信加密的门禁安全系统,如西门子公司的SIPASS门禁系统或Digitalor2006e门禁系统、Digital People公司的DCU32X系列控制器,是目前世界上最安全的大型网络门禁安全系统的典型代表。此类产品的通信服务采用SSL加密技术,通过SSL加密、解密、身份认证等严格的安全检测机制,完成通信服务软件与管理客户端和控制器之间的通信。网上银行的安全加密也采用了SSL加密技术,这类门禁系统产品中的综合系统安全机制保证了复杂网络环境下客户的安全。该方案的特点是既满足了客户对整个系统高安全性的要求,又节约了成本,可以节省大量的使用和维护成本。这是一个非常有价值的计划。本案例中,Digitalor2006e系统已成功应用于商务部中国国际电子商务中心在中国50多家分支机构与北京总部之间的远程部署、中国工商银行乌鲁木齐分行项目、中国农业银行深圳分行项目、中国联通深圳分行项目。
图3。数字2006 e SSL加密门禁系统示意图
负责编辑:gt