IT +門禁系統(tǒng)它的安全我們真的能相信嗎？

越來越多的機(jī)構(gòu)采用新的業(yè)務(wù)模型，在這些模型中，單一證卡或智能手機(jī)可以支持多種門禁方式及用于多種場(chǎng)景和多種身份融合。用戶攜帶獨(dú)立證卡或其他設(shè)備既可用于開門、登錄電腦和基于云端應(yīng)用，同時(shí)也能夠?qū)崿F(xiàn)其他高價(jià)值的應(yīng)用，包括電子支付、考勤管理和安全打印管理等。

在這一套流程中，為單一證卡或智能手機(jī)提供IT和門禁系統(tǒng)憑證卡的需求日益增加。除了便利性外，將憑證卡融合到單一證卡或設(shè)備也可以顯著提高安全性并降低運(yùn)營(yíng)成本。此外，還可以集中管理身份和門禁，整合任務(wù)，使機(jī)構(gòu)快速、有效地在其基礎(chǔ)設(shè)施內(nèi)使用強(qiáng)大的身份驗(yàn)證，以保護(hù)所有重要的門禁和IT資源。

新的集成憑證卡管理模型使組織朝四個(gè)重要方向發(fā)展：從證卡到智能手機(jī)；從讀卡器到更方便的“輕觸”式門禁；從公開密鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，簡(jiǎn)稱PKI）到更安全的簡(jiǎn)化解決方案；以及從傳統(tǒng)PKI到真正融合的強(qiáng)大身份驗(yàn)證門禁。

本白皮書專注于與IT和門禁融合解決方案相關(guān)的促成因素、挑戰(zhàn)、部署選擇和結(jié)果，也介紹了使用云端應(yīng)用及服務(wù)、數(shù)據(jù)訪問和門禁應(yīng)用時(shí)，無縫用戶體驗(yàn)的價(jià)值所在。此外，本白皮書還解釋了將集中用戶身份用于多個(gè)IT安全應(yīng)用和門禁系統(tǒng)的統(tǒng)一注冊(cè)流程的優(yōu)勢(shì)。

以前，各個(gè)機(jī)構(gòu)專注于在周邊建立強(qiáng)大的安防系統(tǒng)，以保護(hù)他們的門禁和IT資源。傳統(tǒng)的門禁方法依靠用戶出示ID卡進(jìn)入大樓，然后在大樓內(nèi)部，使用靜態(tài)密碼驗(yàn)證身份以訪問IT資源。鑒于目前的高級(jí)持續(xù)性威脅（Advanced Persistent Threat）的性質(zhì)以及與自帶設(shè)備（Bring Your Own Device）相關(guān)的所有內(nèi)部風(fēng)險(xiǎn)，這些安全訪問方法存在不足。

機(jī)構(gòu)要求能夠在他們的基礎(chǔ)設(shè)施內(nèi)更好地控制訪問和使用強(qiáng)大的身份驗(yàn)證，以作為他們多層安全策略的一部分。但是，為企業(yè)數(shù)據(jù)保護(hù)選擇有效的身份驗(yàn)證通常非常困難。市面上可用的絕大部分解決方案，或者在安全性方面存在問題，或者為機(jī)構(gòu)帶來的成本和復(fù)雜度問題，或者為用戶帶來體驗(yàn)方面的不足。

員工希望方便地使用單一證卡或設(shè)備即可快速、輕松地訪問其業(yè)務(wù)所需的資源。而為了實(shí)現(xiàn)該目標(biāo)，機(jī)構(gòu)必須部署一個(gè)可以保障從出入到訪問公司計(jì)算機(jī)、數(shù)據(jù)、應(yīng)用和云端的整體安全解決方案。他們必須將傳統(tǒng)上獨(dú)立的門禁和IT安全整合到一起，以協(xié)調(diào)管理用戶的身份和門禁。

真正融合的門禁包括一個(gè)安全策略、一個(gè)身份憑證卡和一個(gè)審核日志。一些組織通過定義門禁和資源使用權(quán)限的單一策略、單一主用戶庫(kù)以及用于簡(jiǎn)化報(bào)告和審計(jì)的單一日志記錄，已經(jīng)成功地實(shí)現(xiàn)了用戶管理的融合。該方法可幫助企業(yè)：

●提供便利性——替換一次性密碼（One TIme Password，簡(jiǎn)稱OTP）設(shè)備應(yīng)用，用戶無需攜帶多個(gè)設(shè)備或重新輸入OTP，即可訪問他們所需的所有門禁和IT資源。

●提高安全性——在整個(gè)IT基礎(chǔ)設(shè)施的關(guān)鍵系統(tǒng)、應(yīng)用甚至大門上實(shí)現(xiàn)強(qiáng)認(rèn)證（而不是僅僅在周邊）。

●降低成本——減少對(duì)多種門禁解決方案的投資，集中管理，并且將任務(wù)整合到包括發(fā)證、換證和注銷證件的整套管理和流程中。

在融合的門禁模式中，身份憑證卡可通過多種形式頒發(fā)，例如射頻卡、智能卡（如ID卡），甚至智能手機(jī)。根據(jù)企業(yè)的要求和現(xiàn)有基礎(chǔ)設(shè)施，建立該解決方案有多種方法。以下是三種最常見的模式：

傳統(tǒng)非接觸式證卡：使現(xiàn)有的基于證卡的門禁系統(tǒng)利用iCLASS、iCLASS Seos MIFARE和MIFARE DESFire等技術(shù)，將身份驗(yàn)證擴(kuò)展到企業(yè)網(wǎng)絡(luò)和應(yīng)用。軟件需部署到最終用戶的工作站，并將非接觸式讀卡器連接至或嵌入到該工作站，由此無需實(shí)際插入讀卡器即可“讀取”該證卡。這為用戶帶來了便利，他們可以使用相同的證卡開門、輕觸登錄個(gè)人電腦或便攜式電腦，從而訪問他們的計(jì)算機(jī)、公司應(yīng)用程式和云端服務(wù)。

該方法不使用通過證書授權(quán)將公開密鑰和用戶身份捆綁到一起的PKI.用于美國(guó)聯(lián)邦機(jī)構(gòu)的PKI強(qiáng)認(rèn)證，是各個(gè)聯(lián)邦機(jī)構(gòu)及其承包商的計(jì)算機(jī)桌面登錄和數(shù)字文檔簽名的關(guān)鍵元素。數(shù)字證書包括用戶公開密鑰，其保存在個(gè)人身份驗(yàn)證（Personal IdenTIficaTIon VerificaTIon，簡(jiǎn)稱PIV）卡上，該證卡利用了智能卡和生物識(shí)別技術(shù)（一種數(shù)字簽名的指紋模板），并且支持多因子驗(yàn)證方法。除了依賴共享的身份驗(yàn)證密鑰，也可以使用一對(duì)公開密鑰和私人密鑰，這些密鑰聯(lián)系到一起，以便一個(gè)密鑰擁有的信息只能使用另一個(gè)密鑰進(jìn)行解碼或驗(yàn)證。Federal Bridge用于建立相互認(rèn)證機(jī)構(gòu)的PKI之間的互信渠道（即，單獨(dú)和獨(dú)立的基礎(chǔ)設(shè)施，每個(gè)擁有自身的根證書授權(quán)），從而保障參與Federal Bridge的政府機(jī)構(gòu)之間安全交換數(shù)字簽名和證書。