采用TCP/IP通訊協(xié)議的門(mén)禁系統(tǒng)由于具有通信速度快�����、網(wǎng)絡(luò)不受距離限制、網(wǎng)絡(luò)資源容易獲得��、系統(tǒng)可管理的控制器數(shù)量龐大等優(yōu)點(diǎn)�����,已經(jīng)成為大型門(mén)禁系統(tǒng)項(xiàng)目和遠(yuǎn)程管理門(mén)禁系統(tǒng)項(xiàng)目的主流產(chǎn)品。
基于TCP/IP通信服務(wù)的網(wǎng)絡(luò)門(mén)禁系統(tǒng)的強(qiáng)大性能和使用上的便利是RS485和CANBUS等總線型的門(mén)禁系統(tǒng)無(wú)法比擬的����。
客戶(hù)使用網(wǎng)絡(luò)門(mén)禁系統(tǒng)時(shí)只是從供應(yīng)商處了解到使用網(wǎng)絡(luò)門(mén)禁系統(tǒng)管理的方便和良好用戶(hù)的體驗(yàn)�����,而沒(méi)獲知使用過(guò)程中存在安全問(wèn)題的風(fēng)險(xiǎn)提示�,從而埋下了安全隱患�。
TCP/IP協(xié)議是應(yīng)用最廣泛的網(wǎng)絡(luò)通信協(xié)議,通信能力強(qiáng)大�,但TCP/IP協(xié)議包在傳輸過(guò)程中非常容易通過(guò)專(zhuān)用軟件監(jiān)聽(tīng)和截獲�����,網(wǎng)絡(luò)中TCP/IP協(xié)議的對(duì)話很容易被第三者竊聽(tīng)或修改。這種威脅的主要危險(xiǎn)是門(mén)禁系統(tǒng)中的出入權(quán)限和管理員的用戶(hù)信息及密碼非常容易被截獲�����。最可怕的危險(xiǎn)是合法通信被修改的可能性�,被修改的信息用于非法的出入、甚至攔截阻斷實(shí)時(shí)報(bào)警事件等將會(huì)給客戶(hù)的安全造成難以估量的損失���。
TCP/IP通信包被攔截執(zhí)行于許多方面。如更改信息的方向���,引起網(wǎng)絡(luò)上的主機(jī)在網(wǎng)絡(luò)對(duì)話期間改變它們發(fā)送報(bào)文包的地址。
對(duì)截?cái)鄬?duì)話感興趣的破壞者可能會(huì)利用某一個(gè)方法設(shè)置中繼�。一個(gè)中繼破壞可能發(fā)生在網(wǎng)絡(luò)中任何地方����,甚至是距離客戶(hù)系統(tǒng)很遠(yuǎn)的位置�����。中繼機(jī)器能夠?qū)崟r(shí)調(diào)節(jié)通信量或記錄用于日后分析的報(bào)文包。中繼機(jī)器也能夠改變被傳輸?shù)耐ㄐ艃?nèi)容。
獲取通信內(nèi)容的方法只需要使用一種被動(dòng)包監(jiān)控器(常常稱(chēng)為“包取樣器”)。包取樣器能夠以中繼破壞的方式向破壞者提供被記錄的網(wǎng)絡(luò)信息。
目前在大型項(xiàng)目如地鐵����、機(jī)場(chǎng)���、銀行�、無(wú)人值守機(jī)房�����、企業(yè)��、電信電力、軍隊(duì)、國(guó)家政府機(jī)關(guān)等高安全場(chǎng)所使用的TCP/IP門(mén)禁系統(tǒng)的99%的產(chǎn)品沒(méi)有網(wǎng)絡(luò)層的防侵入安全機(jī)制���,由于客戶(hù)并不了解隨時(shí)存在被非法侵入的潛在風(fēng)險(xiǎn),一但遭到攻擊將直接威脅到客戶(hù)的正常運(yùn)營(yíng)��,甚至?xí)斐芍卮蟮娜藛T和財(cái)產(chǎn)損失�����,因此解決TCP/IP門(mén)禁系統(tǒng)的安全性問(wèn)題成為急待解決的問(wèn)題���。
以下為本公司總結(jié)十多年的大型網(wǎng)絡(luò)門(mén)禁系統(tǒng)項(xiàng)目和產(chǎn)品研發(fā)經(jīng)驗(yàn)所提供的2類(lèi)解決方案并列舉了3種具體解決方法用案例和示圖來(lái)分析����。
解決方案一:通過(guò)網(wǎng)絡(luò)設(shè)計(jì)方法解決
案例一�、借用VPN網(wǎng)絡(luò)通道傳輸門(mén)禁系統(tǒng)通訊的安全解決方法,如圖一。這種方法解決了VPN通道外的非法電腦攻擊的威脅����。缺點(diǎn)是還存在來(lái)自VPN通道內(nèi)部的非法電腦攻擊的可能性。
620)this.style.width=620;" border=0>
圖1 ���、借用VPN網(wǎng)絡(luò)通道方法
案例二、給每一個(gè)控制器配一個(gè)獨(dú)立的VPN設(shè)備�����,優(yōu)點(diǎn)是具有系統(tǒng)中每個(gè)設(shè)備獨(dú)立的安全通道�����,有效的解決了內(nèi)部和外部電腦攻擊的威脅�����。缺點(diǎn)是投資成本非常高及維護(hù)成本高����。
620)this.style.width=620;" border=0>
圖2�����、 設(shè)備獨(dú)立配置VPN的方法
解決方案二:選用高安全網(wǎng)絡(luò)門(mén)禁產(chǎn)品的方法解決
案例三�、采用具有SSL通訊加密的門(mén)禁安保系統(tǒng)如西門(mén)子公司的 SIPASS門(mén)禁系統(tǒng)或數(shù)碼人公司的Digitalor2006e門(mén)禁系統(tǒng)及DCU32X系列控制器等是目前全球最安全的大型網(wǎng)絡(luò)門(mén)禁安保系統(tǒng)的典型代表���,該類(lèi)產(chǎn)品通訊服務(wù)中采用了SSL加密技術(shù)�,通訊服務(wù)軟件與管理客戶(hù)端與控制器之間的通訊全部是通過(guò)SSL加密、解密、身份驗(yàn)證等嚴(yán)格的安全檢測(cè)機(jī)制來(lái)完成�。網(wǎng)上銀行安全加密也是采用SSL的加密技術(shù)�,該類(lèi)門(mén)禁系統(tǒng)產(chǎn)品中全面的系統(tǒng)的安全機(jī)制保障了客戶(hù)在復(fù)雜的網(wǎng)絡(luò)環(huán)境中的安全���。該方案的特點(diǎn)是即滿足了客戶(hù)對(duì)整個(gè)系統(tǒng)的高安全性的要求又相對(duì)節(jié)省成本���,還可以大量節(jié)約使用和維護(hù)成本����,是非常有價(jià)值的方案��。本案例中Digitalor2006e系統(tǒng)已經(jīng)成功用于商務(wù)部中國(guó)國(guó)際電子商務(wù)中心在全國(guó)的50多個(gè)分支機(jī)構(gòu)與北京總部之間的遠(yuǎn)程部署���、中國(guó)工商銀行烏魯木齊分行項(xiàng)目�����、中國(guó)農(nóng)業(yè)銀行深圳分行項(xiàng)目、中國(guó)聯(lián)通深圳分公司項(xiàng)目等成功應(yīng)用獲得了客戶(hù)的認(rèn)可���。
620)this.style.width=620;" border=0>
圖3、具有SSL加密的Digitalor2006e門(mén)禁系統(tǒng)案例示意圖
1
