IT +門禁系統(tǒng)它的安全我們真的能相信嗎？

時間：2020-07-28 22:27:02

關鍵字： it 門禁系統(tǒng)

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀] 越來越多的機構采用新的業(yè)務模型，在這些模型中，單一證卡或智能手機可以支持多種門禁方式及用于多種場景和多種身份融合。用戶攜帶獨立證卡或其他設備既可用于開門、登錄電腦和基于云端應用，同時也能夠實現(xiàn)其

越來越多的機構采用新的業(yè)務模型，在這些模型中，單一證卡或智能手機可以支持多種門禁方式及用于多種場景和多種身份融合。用戶攜帶獨立證卡或其他設備既可用于開門、登錄電腦和基于云端應用，同時也能夠實現(xiàn)其他高價值的應用，包括電子支付、考勤管理和安全打印管理等。

在這一套流程中，為單一證卡或智能手機提供IT和門禁系統(tǒng)憑證卡的需求日益增加。除了便利性外，將憑證卡融合到單一證卡或設備也可以顯著提高安全性并降低運營成本。此外，還可以集中管理身份和門禁，整合任務，使機構快速、有效地在其基礎設施內使用強大的身份驗證，以保護所有重要的門禁和IT資源。

新的集成憑證卡管理模型使組織朝四個重要方向發(fā)展：從證卡到智能手機；從讀卡器到更方便的“輕觸”式門禁；從公開密鑰基礎設施（Public Key Infrastructure，簡稱PKI）到更安全的簡化解決方案；以及從傳統(tǒng)PKI到真正融合的強大身份驗證門禁。

本白皮書專注于與IT和門禁融合解決方案相關的促成因素、挑戰(zhàn)、部署選擇和結果，也介紹了使用云端應用及服務、數(shù)據(jù)訪問和門禁應用時，無縫用戶體驗的價值所在。此外，本白皮書還解釋了將集中用戶身份用于多個IT安全應用和門禁系統(tǒng)的統(tǒng)一注冊流程的優(yōu)勢。

了解融合的促成因素

以前，各個機構專注于在周邊建立強大的安防系統(tǒng)，以保護他們的門禁和IT資源。傳統(tǒng)的門禁方法依靠用戶出示ID卡進入大樓，然后在大樓內部，使用靜態(tài)密碼驗證身份以訪問IT資源。鑒于目前的高級持續(xù)性威脅（Advanced Persistent Threat）的性質以及與自帶設備（Bring Your Own Device）相關的所有內部風險，這些安全訪問方法存在不足。

機構要求能夠在他們的基礎設施內更好地控制訪問和使用強大的身份驗證，以作為他們多層安全策略的一部分。但是，為企業(yè)數(shù)據(jù)保護選擇有效的身份驗證通常非常困難。市面上可用的絕大部分解決方案，或者在安全性方面存在問題，或者為機構帶來的成本和復雜度問題，或者為用戶帶來體驗方面的不足。

員工希望方便地使用單一證卡或設備即可快速、輕松地訪問其業(yè)務所需的資源。而為了實現(xiàn)該目標，機構必須部署一個可以保障從出入到訪問公司計算機、數(shù)據(jù)、應用和云端的整體安全解決方案。他們必須將傳統(tǒng)上獨立的門禁和IT安全整合到一起，以協(xié)調管理用戶的身份和門禁。

融合門禁的價值

真正融合的門禁包括一個安全策略、一個身份憑證卡和一個審核日志。一些組織通過定義門禁和資源使用權限的單一策略、單一主用戶庫以及用于簡化報告和審計的單一日志記錄，已經(jīng)成功地實現(xiàn)了用戶管理的融合。該方法可幫助企業(yè)：

●提供便利性——替換一次性密碼（One TIme Password，簡稱OTP）設備應用，用戶無需攜帶多個設備或重新輸入OTP，即可訪問他們所需的所有門禁和IT資源。

●提高安全性——在整個IT基礎設施的關鍵系統(tǒng)、應用甚至大門上實現(xiàn)強認證（而不是僅僅在周邊）。

●降低成本——減少對多種門禁解決方案的投資，集中管理，并且將任務整合到包括發(fā)證、換證和注銷證件的整套管理和流程中。

探索多種部署方案

在融合的門禁模式中，身份憑證卡可通過多種形式頒發(fā)，例如射頻卡、智能卡（如ID卡），甚至智能手機。根據(jù)企業(yè)的要求和現(xiàn)有基礎設施，建立該解決方案有多種方法。以下是三種最常見的模式：

傳統(tǒng)非接觸式證卡：使現(xiàn)有的基于證卡的門禁系統(tǒng)利用iCLASS、iCLASS Seos MIFARE和MIFARE DESFire等技術，將身份驗證擴展到企業(yè)網(wǎng)絡和應用。軟件需部署到最終用戶的工作站，并將非接觸式讀卡器連接至或嵌入到該工作站，由此無需實際插入讀卡器即可“讀取”該證卡。這為用戶帶來了便利，他們可以使用相同的證卡開門、輕觸登錄個人電腦或便攜式電腦，從而訪問他們的計算機、公司應用程式和云端服務。

該方法不使用通過證書授權將公開密鑰和用戶身份捆綁到一起的PKI.用于美國聯(lián)邦機構的PKI強認證，是各個聯(lián)邦機構及其承包商的計算機桌面登錄和數(shù)字文檔簽名的關鍵元素。數(shù)字證書包括用戶公開密鑰，其保存在個人身份驗證（Personal IdenTIficaTIon VerificaTIon，簡稱PIV）卡上，該證卡利用了智能卡和生物識別技術（一種數(shù)字簽名的指紋模板），并且支持多因子驗證方法。除了依賴共享的身份驗證密鑰，也可以使用一對公開密鑰和私人密鑰，這些密鑰聯(lián)系到一起，以便一個密鑰擁有的信息只能使用另一個密鑰進行解碼或驗證。Federal Bridge用于建立相互認證機構的PKI之間的互信渠道（即，單獨和獨立的基礎設施，每個擁有自身的根證書授權），從而保障參與Federal Bridge的政府機構之間安全交換數(shù)字簽名和證書。