采用TCP/IP由于通信速度快、网络成为大型门禁系统项目和远程门禁系统项目的主流产品,具有通信速度快、网络不受距离限制、网络资源容易获取、系统可管理控制器数量大等优点。
基于TCP/IP网络门禁系统通信服务性能强,使用方便RS485和CANBUS等总线门禁系统无法比拟。
当客户使用网络门禁系统时,他们只了解网络门禁系统管理的便利性和良好的用户体验,而不了解使用过程中存在安全问题的风险提示,从而埋下安全风险。
TCP/IP该协议是应用最广泛的网络通信协议,通信能力强,但TCP/IP协议包在传输过程中很容易通过专用软件进行监控和截获。TCP/IP第三方很容易窃听或修改协议对话。这种威胁的主要危险是门禁系统中的访问权限和管理员的用户信息和密码很容易被截获。最可怕的危险是修改合法通信的可能性。非法进出修改信息,甚至拦截实时报警事件,都会给客户的安全造成不可估量的损失。
TCP/IP通信包在很多方面都被拦截和执行。例如,改变信息的方向会导致网络上的主机在网络对话中改变他们发送文包的地址。
对切断对话感兴趣的破坏者可能会使用某种方法来设置中继器。中继器损坏可能发生在网络的任何地方,甚至远离客户系统。中继器可以实时调整通信量或记录未来分析的报纸包。中继器还可以改变传输的通信内容。
获取通信内容的方法只需使用被动包装监控器(通常称为包装取样器)。包装取样器可以通过中继损坏向损坏者提供记录的网络信息。
目前用于地铁、机场、银行、无人值守机房、企业、电信电力、军队、国家政府机关等大型项目TCP/IP99%的门禁系统产品没有网络层的防侵安全机制。由于客户不了解随时被非法侵入的潜在风险,一旦受到攻击,将直接威胁到客户的正常运营,甚至造成重大人员和财产损失。因此解决TCP/IP门禁系统的安全问题已成为亟待解决的问题。
以下是公司提供的两种解决方案,总结了十多年的大型网络门禁系统项目和产品研发经验,并列出了三种具体的案例和示图来分析解决方案。
解决方案1:通过网络设计解决方案
案例一、借用VPN网络通道门禁系统通信的安全解决方案如图1所示。这种方法已经解决了VPN非法计算机攻击在通道外的威胁。缺点是仍然有来自通道的威胁VPN通道内非法计算机攻击的可能性。
620)this.style.width=620;" border=0>
图1 、借用VPN网络通道法
案例二,为每个控制器配备一个独立的VPN该设备具有系统中各设备独立的安全通道,有效解决了内外计算机攻击的威胁。缺点是投资成本高,维护成本高。
620)this.style.width=620;" border=0>
图2、 独立配置设备VPN的方法
解决方案二:选择高安全网络门禁产品解决方案
案例三,具有SSL西门子公司等通信加密门禁安全系统 SIPASS数码人公司的门禁系统或门禁系统Digitalor2006e门禁系统及DCU32X该系列控制器是世界上最安全的大型网络门禁安全系统的典型代表,用于此类产品的通信服务SSL加密技术,通信服务软件与管理客户端与控制器之间的通信都是通过的SSL完成加密、解密、身份验证等严格的安全检测机制。网上银行安全加密也是如此SSL在此类门禁系统产品中,全面的系统安全机制保证了客户在复杂网络环境中的安全。网上银行安全加密也是如此SSL加密技术,门禁系统产品中的综合系统安全机制,保证了客户在复杂网络环境中的安全。该方案的特点是满足客户对整个系统的高安全要求,相对节约成本,节约了大量的使用和维护成本,是一个非常有价值的方案。本案例中Digitalor2006e该系统已成功应用于商务部中国国际电子商务中心、中国工商银行乌鲁木齐分行项目、中国农业银行深圳分行项目、中国联通深圳分行项目等50多家分行与北京总部之间的远程部署。
620)this.style.width=620;" border=0>
图3、具有SSL加密的Digitalor2006e门禁系统案例示意图