蘭州門禁系統是由各級設備和各功能模塊組成,其安全運行取決于各個環節是否能安全工作,說到系統安全具體可包括:識別安全、結構安全、傳輸安全和存儲安全,而其中.為重要的則是數據傳輸安全。
自CPU卡取代IC卡,以及3DES和國密算法的應用,識別安全已得到了解決;而系統結構是基于成熟的TCP/IP或TCP/IP + 總線架構,應該說這類架構是經過包括門禁和無數類似工業應用的考驗,所以說結構安全也不會有問題;系統數據主要存儲在數據庫和前端控制器中,數據存儲安全隱患主要在數據庫,因此數據庫密碼管理也已經有許多解決方案,數據庫中存儲的數據涉及核心的關鍵字段可采用部分加密;.后數據傳輸安全則是整個系統.重要的環節,其隱患主要在上位管理計算機與前端門禁控制器、控制器與讀卡器間的數據傳輸。
管理計算機與控制器間常采用TCP/IP或者RS-485協議傳輸,由于協議本身就存在一定的缺陷,容易在傳輸過程中被截獲。TCP/IP協議作為互聯網協議,雖然在數據傳輸速度上有其顯著的特點,卻在設計之初并未考慮到未來安全需要,協議中有諸多安全漏洞,特別計算機病毒,使得網絡門禁會面臨極大的危險。而RS485自成網絡,其傳輸速率低,傳輸數據長度受到制約,因此無法將數據加密,這樣通過RS-485傳輸線纜能輕松取得數據。
門禁控制器與讀卡器之間通常采用韋根協議,明碼傳輸,格式為26bit、34bit,因此,截取數據線即可獲取卡片信息。所以說對于前述的兩種組網方式的網絡安全性來講,任何一種網絡通訊都存在被第三方竊聽或修改的風險,RS485總線通訊技術比較簡單,更容易被攻擊。
TCP/IP協議是應用.廣泛的網絡通信協議,通信能力雖強大,但在傳輸過程中很容易通過專用軟件監聽和修改。這種威脅的主要危險是修改門禁出入權限和用戶信息、攔截實時報警事件、更改信息的方向和地址等,這將會給安全造成巨大的損失。
當前,為了保證門禁系統的數據和通信安全,可采用的網絡安全技術有:密碼技術、偽卡防范技術、設備認證技術、入侵檢測技術、數據傳輸加密技術、數據存儲備份和容災技術等。而可采取的措施也有從簡單到復雜,如在讀卡器與門禁控制器間采用RS-485通訊方式,其總比韋根明碼傳輸要好;在門禁一卡通中??山栌?span lang="EN-US">IT的網絡傳輸安全措施,譬如有業內行家建議采用VPN網絡通道技術,該方法解決了VPN通道外非法攻擊的威脅;又如采用SSL高加密技術的網絡門禁設備,則會使與控制器間的通訊全部通過SSL加密、解密、身份驗證等嚴格的安全檢測機制。