采用TCP/IP通訊協議的門禁系統由于具有通信速度快、網絡不受距離限制、網絡資源容易獲得、系統可管理的控制器數量龐大等優點，已經成為大型門禁系統項目和遠程管理門禁系統項目的主流產品。

　　基于TCP/IP通信服務的網絡門禁系統的強大性能和使用上的便利是RS485和CANBUS等總線型的門禁系統無法比擬的。

　　客戶使用網絡門禁系統時只是從供應商處了解到使用網絡門禁系統管理的方便和良好用戶的體驗，而沒獲知使用過程中存在安全問題的風險提示，從而埋下了安全隱患。

　　TCP/IP協議是應用最廣泛的網絡通信協議，通信能力強大，但TCP/IP協議包在傳輸過程中非常容易通過專用軟件監聽和截獲，網絡中TCP/IP協議的對話很容易被第三者竊聽或修改。這種威脅的主要危險是門禁系統中的出入權限和管理員的用戶信息及密碼非常容易被截獲。最可怕的危險是合法通信被修改的可能性，被修改的信息用于非法的出入、甚至攔截阻斷實時報警事件等將會給客戶的安全造成難以估量的損失。
　　TCP/IP通信包被攔截執行于許多方面。如更改信息的方向，引起網絡上的主機在網絡對話期間改變它們發送報文包的地址。

　　對截斷對話感興趣的破壞者可能會利用某一個方法設置中繼。一個中繼破壞可能發生在網絡中任何地方，甚至是距離客戶系統很遠的位置。中繼機器能夠實時調節通信量或記錄用于日后分析的報文包。中繼機器也能夠改變被傳輸的通信內容。

　　獲取通信內容的方法只需要使用一種被動包監控器（常常稱為“包取樣器”）。包取樣器能夠以中繼破壞的方式向破壞者提供被記錄的網絡信息。

　　目前在大型項目如地鐵、機場、銀行、無人值守機房、企業、電信電力、軍隊、國家政府機關等高安全場所使用的TCP/IP門禁系統的99%的產品沒有網絡層的防侵入安全機制，由于客戶并不了解隨時存在被非法侵入的潛在風險，一但遭到攻擊將直接威脅到客戶的正常運營，甚至會造成重大的人員和財產損失，因此解決TCP/IP門禁系統的安全性問題成為急待解決的問題。

　　以下為本公司總結十多年的大型網絡門禁系統項目和產品研發經驗所提供的2類解決方案并列舉了3種具體解決方法用案例和示圖來分析。

　　解決方案一：通過網絡設計方法解決

　　案例一、借用VPN網絡通道傳輸門禁系統通訊的安全解決方法，如圖一。這種方法解決了VPN通道外的非法電腦攻擊的威脅。缺點是還存在來自VPN通道內部的非法電腦攻擊的可能性。 

620)this.style.width=620;" border=0>

圖1 、借用VPN網絡通道方法

　　案例二、給每一個控制器配一個獨立的VPN設備，優點是具有系統中每個設備獨立的安全通道，有效的解決了內部和外部電腦攻擊的威脅。缺點是投資成本非常高及維護成本高。 

620)this.style.width=620;" border=0>

圖2、 設備獨立配置VPN的方法

　　解決方案二：選用高安全網絡門禁產品的方法解決

　　案例三、采用具有SSL通訊加密的門禁安保系統如西門子公司的 SIPASS門禁系統或數碼人公司的Digitalor2006e門禁系統及DCU32X系列控制器等是目前全球最安全的大型網絡門禁安保系統的典型代表，該類產品通訊服務中采用了SSL加密技術，通訊服務軟件與管理客戶端與控制器之間的通訊全部是通過SSL加密、解密、身份驗證等嚴格的安全檢測機制來完成。網上銀行安全加密也是采用SSL的加密技術，該類門禁系統產品中全面的系統的安全機制保障了客戶在復雜的網絡環境中的安全。該方案的特點是即滿足了客戶對整個系統的高安全性的要求又相對節省成本，還可以大量節約使用和維護成本，是非常有價值的方案。本案例中Digitalor2006e系統已經成功用于商務部中國國際電子商務中心在全國的50多個分支機構與北京總部之間的遠程部署、中國工商銀行烏魯木齊分行項目、中國農業銀行深圳分行項目、中國聯通深圳分公司項目等成功應用獲得了客戶的認可。  

620)this.style.width=620;" border=0>       
圖3、具有SSL加密的Digitalor2006e門禁系統案例示意圖

1