TCP/IP門(mén)禁系統的安全問(wèn)題及解決方案

　　采用TCP/IP通訊協(xié)議的門(mén)禁系統由于具有通信速度快、網(wǎng)絡(luò )不受距離限制、網(wǎng)絡(luò )資源容易獲得、系統可管理的控制器數量龐大等優(yōu)點(diǎn)，已經(jīng)成為大型門(mén)禁系統項目和遠程管理門(mén)禁系統項目的主流產(chǎn)品。

　　采用TCP/IP通訊協(xié)議的門(mén)禁系統由于具有通信速度快、網(wǎng)絡(luò )不受距離限制、網(wǎng)絡(luò )資源容易獲得、系統可管理的控制器數量龐大等優(yōu)點(diǎn)，已經(jīng)成為大型門(mén)禁系統項目和遠程管理門(mén)禁系統項目的主流產(chǎn)品。

　　基于TCP/IP通信服務(wù)的網(wǎng)絡(luò )門(mén)禁系統的強大性能和使用上的便利是RS485和CANBUS等總線(xiàn)型的門(mén)禁系統無(wú)法比擬的。

　　客戶(hù)使用網(wǎng)絡(luò )門(mén)禁系統時(shí)只是從供應商處了解到使用網(wǎng)絡(luò )門(mén)禁系統管理的方便和良好用戶(hù)的體驗，而沒(méi)獲知使用過(guò)程中存在安全問(wèn)題的風(fēng)險提示，從而埋下了安全隱患。

　　TCP/IP協(xié)議是應用最廣泛的網(wǎng)絡(luò )通信協(xié)議，通信能力強大，但TCP/IP協(xié)議包在傳輸過(guò)程中非常容易通過(guò)專(zhuān)用軟件監聽(tīng)和截獲，網(wǎng)絡(luò )中TCP/IP協(xié)議的對話(huà)很容易被第三者竊聽(tīng)或修改。這種威脅的主要危險是門(mén)禁系統中的出入權限和管理員的用戶(hù)信息及密碼非常容易被截獲。最可怕的危險是合法通信被修改的可能性，被修改的信息用于非法的出入、甚至攔截阻斷實(shí)時(shí)報警事件等將會(huì )給客戶(hù)的安全造成難以估量的損失。

　　TCP/IP通信包被攔截執行于許多方面。如更改信息的方向，引起網(wǎng)絡(luò )上的主機在網(wǎng)絡(luò )對話(huà)期間改變它們發(fā)送報文包的地址。

　　對截斷對話(huà)感興趣的破壞者可能會(huì )利用某一個(gè)方法設置中繼。一個(gè)中繼破壞可能發(fā)生在網(wǎng)絡(luò )中任何地方，甚至是距離客戶(hù)系統很遠的位置。中繼機器能夠實(shí)時(shí)調節通信量或記錄用于日后分析的報文包。中繼機器也能夠改變被傳輸的通信內容。

　　獲取通信內容的方法只需要使用一種被動(dòng)包監控器（常常稱(chēng)為“包取樣器”）。包取樣器能夠以中繼破壞的方式向破壞者提供被記錄的網(wǎng)絡(luò )信息。

　　目前在大型項目如地鐵、機場(chǎng)、銀行、無(wú)人值守機房、企業(yè)、電信電力、軍隊、國家政府機關(guān)等高安全場(chǎng)所使用的TCP/IP門(mén)禁系統的99%的產(chǎn)品沒(méi)有網(wǎng)絡(luò )層的防侵入安全機制，由于客戶(hù)并不了解隨時(shí)存在被非法侵入的潛在風(fēng)險，一但遭到攻擊將直接威脅到客戶(hù)的正常運營(yíng)，甚至會(huì )造成重大的人員和財產(chǎn)損失，因此解決TCP/IP門(mén)禁系統的安全性問(wèn)題成為急待解決的問(wèn)題。

　　以下為本公司總結十多年的大型網(wǎng)絡(luò )門(mén)禁系統項目和產(chǎn)品研發(fā)經(jīng)驗所提供的2類(lèi)解決方案并列舉了3種具體解決方法用案例和示圖來(lái)分析。

解決方案一：通過(guò)網(wǎng)絡(luò )設計方法解決

　　案例一、借用VPN網(wǎng)絡(luò )通道傳輸門(mén)禁系統通訊的安全解決方法，如圖一。這種方法解決了VPN通道外的非法電腦攻擊的威脅。缺點(diǎn)是還存在來(lái)自VPN通道內部的非法電腦攻擊的可能性。