游政杰(柏聯科技股份有限公司 銷售總監) 隨著科技不斷往AIoT方向移動,企業的門禁管理也受到更多的挑戰,尤其製造業在導入智慧製造的過程中,如何確保生產空間不會遭受到任何惡意侵入,也成為ISO15408重要的認證內容。那麼,ISO15408對於門禁系統有哪些要求呢? 門禁系統是一種已行之有年的安防系統,主要作為人員出入的控管與考勤用途,也因此簡化了公共區域與商業領域的人員出入管理,而且透過系統的紀錄可以有效地得到所有人員出入的時間紀錄進而強化員工管理的目的。 ISO15408對門禁系統的要求 但隨著門禁系統的使用時間越久,在應用上也出現越來越多管理層次上的問題,包括:(1)代打卡:由於門禁卡方便提供給其他人,因此出入紀錄就容易失去真實的結果。(2)門禁卡片複製:這也是大多數企業難以避免的問題,因為所需管理的門禁卡片眾多,因此無法有效的稽核企業內部是否有重複的門禁卡片。 這樣的問題隨著科技不斷地往物聯網(IoT)與人工智慧(AI)方向移動後,企業的門禁管理也逐漸受到更多的挑戰,尤其製造業在工業4.0的浪潮下正快速數位升級、智慧轉型,在導入智慧製造的過程中,如何確保生產空間不會遭受到任何惡意地侵入,這樣的議題也成為了ISO15408重要的認證內容。那麼ISO15408對於門禁系統有哪些要求呢?主要有以下幾點:
以下將以HID Global為例,從4大面向說明門禁系統該如何滿足ISO15408的要求,亦可作為智慧化工廠(如半導體等)挑選/升級門禁系統安全時的參考。 如何提供加密門禁卡? 過去所使用的125kHz低頻門禁卡,眾所皆知完全沒有任何加密與防拷貝的機制,因此門禁卡的技術也逐漸轉為高頻的13.56MHz,而最普遍使用的就非Mifare莫屬了,這類門禁卡最廣為人知的就是捷運的悠遊卡。但由於目前的電腦運算能力都很強大,加上Mifare卡加密性不足,現在只要透過網路上銷售的拷貝器都可以輕鬆地拷貝;不過即使如此,還是有許多企業選擇了Mifare作為門禁卡的升級,畢竟此種卡片還是能提供加密保護的機制。但近年來電腦病毒、駭客入侵等資安威脅情況日益嚴峻,Mifare卡已經有保護機制不足的現象發生,簡單地說是加密等級不足,以現今的科技已經很容易遭受到破解。 而在ISO15408的規範下需要EAL 5等級的加密門禁卡,這也讓企業在面臨升級時陷入了兩難——如何能保有原有的系統架構,又同時可以擁有EAL 5加密門禁卡方案?因為普遍來說廠商都無法在一張卡片中同時提供Mifare和EAL 5兩個高頻加密技術,而業主也不可能因為要升級卡片就將原有的門禁系統設備全部汰換為安全等級更高的方案。而HID Global的雙頻加密門禁卡,則是將兩個13.56MHz高頻加密技術封裝在同一張卡片中,可讓企業用戶可以在不同場域均使用單一卡片——在一般場域感應Mifare技術,在有ISO15408要求的場域使用EAL 5加密技術,有效地解決企業門禁升級的困擾。 如何提供加密讀卡機? 以全新的Signo系列讀卡機為例,其可支援高/低頻同時讀取,還可提供藍芽介面進行讀卡機參數設定,有效地改善了過去的設定管理繁雜的問題。尤其過去企業在導入系統時總是會因為金屬表面的影響造成讀卡機無法有效發揮讀卡距離,但該款讀卡機即使貼在金屬表面上依然可以正常讀取並具備良好的讀取距離。更重要的是,讀卡機一樣具備讀取EAL 5加密卡的功能,還提供了E-lite與CP1000卡號機制給企業用戶,以保護供應商不得隨意銷售卡片給非授權的工程商。此外,讀卡機本身還提供了電容式密碼按鈕,即使戴上手套還是可以透過密碼進行開門,並且提供脅迫密碼,當按下該密碼即可觸發後端控制器發佈告警,更有效地加強了門禁安全。 如何提供加密的傳輸? 對於控制門禁各種電鎖與門位偵測用途的I/O控制模組,與加密讀卡機之間可採用最新的OSDPv2傳輸協議,簡單來說就是加密式的RS-485傳輸。過去的讀卡機絕大多數都是提供韋根(Wiegand)介面傳輸,或是透過轉換器將RS-485訊號轉為TCP/IP。但這些機制都有一個共通的問題就是明碼傳輸,這表示有心人士只要將線路串接之後即可以嘗試收到每一筆的卡號,這在實體線路層次一直都是一個很大的問題,因此如何在門禁管制區域範圍內確保這些卡號安全的傳輸,OSDP(Open Supervised Device Protocol)就是一個必要的傳輸機制了。 如何提供加密的出入資料? 權限控制模組是整個門禁系統權限的心臟,HID Global的權限控制模組提供了12.5萬人卡號可以儲存在單一設備中,因此即使後端門禁系統軟體斷線,依然可以在離線的條件下提供12.5萬人繼續出入門禁管制系統。這台權限控制模組跟I/O控制模組之間採用了AES(Advanced Encryption Standard)機密傳輸,與後端的軟體還提供了TLS(Transport Layer Security)加密傳輸,透過這樣的機制讓實體線路的傳輸與網路的封包傳輸都實現了安全的保護。而所有儲存在權限控制模組的設備都具備有資料保護機制,確保資料不會輕易的外流或是駭客攻擊取得卡號與權限資料。 結語 綜合上述4大面向,可以看出在ISO15408的資通訊安全防範要求下,必須將具有安全加密功能的門禁架構導入應用場域(如製造業)之中。而在萬物聯網、人工智慧愈趨成熟的現在,駭客的「功力」同樣與時俱進,企業如何透過這些加密的機制來確保門禁管制的安全,不讓數位升級、智慧轉型的努力輕易出現破口,甚至造成巨大損失,將是每個業主必須審慎思考的嚴肅課題。 HID Global門禁卡種類介紹 文章內容同步刊載於全球安防科技網站 https://www.asmag.com.tw/mobile/article_detail.aspx?aid=11793
近期發生DDoS攻擊事件,從今年3月開始就傳出監控攝影機和NVR遭駭,而在9月23日台灣電腦網路危機處理暨協調中心 TWCERT/CC也發佈出國內許多主機託管廠商遭到DDoS攻擊的新聞,攻擊來源可能是來自國內大量遭駭入的DVR監控系統 造成託管客戶的網站或部落格連線受影響,DDoS攻擊是什麼? 關於DoS的防護又有什麼方式? DDoS是DoS攻擊中的一種方法,但事實上DoS的攻擊方式有很多種。 DoS: Denial of Service的簡稱,即拒絕服務,造成DoS的攻擊行為稱之為DoS攻擊,目的是讓電腦或網路無法提供正常服務 駭客不斷的發請求,伺服器因無法應付過多的請求,最終導致癱瘓。 DDoS: Distributed Denial of Service的簡稱,意思是分散式拒絕服務攻擊。指處於不同位置的多個攻擊者同時向一個或數個目 標發動攻擊,或者一個攻擊者控制了位於不同位置的多台機器並利用這些機器對受害者同時實施攻擊。由於攻擊的發出 點是分佈在不同地方的,這類攻擊稱為分散式拒絕服務攻擊,從而成被地提高拒絕服務攻擊的威力。 針對監控攝影機和錄影主機有什麼防禦措施? DDoS攻擊因為會以看似正常的需求包裝,故較難以預防,但仍可以從以下三個大方向做強化: ●強化防火牆 透過高性能的防火牆裝置,限制異常的IP請求,降低大量佔用寬頻的無效數據,阻斷DDoS的攻擊可能。 ●提升設備性能和規格 提升設備的性能,讓其遭受攻擊時可爭取多一點的緩衝時間,在不讓監控設備癱瘓的情況下,即時針對攻擊模式 採取應對的防禦措施,將損害減至最低。 ●針對內部網路設備監控 普遍的資安防護做法為,裝設防火牆防禦來自外部網路的駭客攻擊。以維護網路的安全控管,但內部網路的部份 很容易被忽略,25年的英國安防品牌Indigovision的產品CyberVigilant可針對內部網路設備進行監控,針對可疑的 DoS攻擊做防禦,當發生異常狀況時,會即時與控制中心進行連線,檢測異常流量狀況並向控制台發出警報!!
以前,一串鑰匙腰間掛,走起路來匡喨喨,現在,一卡在手,考勤門禁一卡通。 加上智慧型手機的便利,連門禁卡都能複製在手機上了,但對一個企業來說,複製卡會給企業安防管理的隱憂和混亂,當門禁卡可隨意被複製時,資料可輕易被盜取,這樣的門禁系統形同虛設。然而很多企業卻並沒有意識到問題的嚴重性,這讓企業面臨著辦公室被入侵和資料洩漏的重大風險。 門禁卡複製一張卡只需2秒鐘 諸多媒體都已曝光過類似事件,可以在街邊隨意找一家配鑰匙的攤點,不需要提供任何身份證明,只要花上100元, 2秒鐘就可複製出一張門禁卡,現在很多修鎖店都有複製卡機。ID卡和沒有加密的IC卡最易複製,出入車庫IC卡、停車卡,還有電梯卡都存在隨意複製的問題和隱患。 過時門禁卡的加密演算法已被破解 可隨意複 國內許多門禁系統仍在使用MIFARE卡讀序號作為身份識別, MIFARE卡曾經一度是世界上使用量最大、技術最成熟的一種感應式智慧IC卡。然而早在2008年,MIFARE卡的加密演算法就被破解,掀起軒然大波,美國波士頓地鐵系統、倫敦公交系統都先後遭受了駭客攻擊,現在網上仍然存在大量討論如何破解MIFARE系統金鑰的文章。 我們目前常用的多個品牌的智慧手機都可以克隆MIFARE卡、網上也能找到大量複製MIFARE卡片的視頻教程或買到卡片複製的工具。 升級新一代Seos®智慧卡 更具安全 HID Global® Seos具備卓越的安全性,一流的加密技術為您的資料和隱私提供卓越保護,從而營造出比其他憑證卡技術更安全的環境,可取代各種傳統和現有憑證卡技術。 與傳統憑證卡技術相比,Seos 可提供更高級別的資料和隱私保護。這是因為 Seos 採用分層安全方法,並使用嚴格的演算法來進行資料保護。 Seos 及其相應的 iCLASS SE®和 multiCLASS® SE 讀卡器平臺採用分層安全方法,結合了多種緩解安全控制來保護資源和資料。其中一個安全層來自 Secure Identity Object (SIO),它是用於存儲安全身份識別資料(例如使用者 ID)的加密保護資料模型。 Seos SIO 包含四個可提供增強安全保護的定義特性,因此是獨一無二的:
Seos 採用與電子護照、安全簽名生成設備、EMV (Europay、Mastercard and Visa) 卡相同的標準。 其中包括金鑰管理、雙向身份驗證和安全通訊,是在久經考驗的全球開放標準基礎上開發而成。 其中包括:
全球第一的HID讀卡機6月份針對新款讀卡機 HID SIGNO舉辦線上研討會,你錯過了嗎? 沒關係7月份柏聯科技來分享新款讀卡機其中3大特點 (特點一) 讀卡機安裝環境有干擾源(背面或機器附近有金屬)讓RFID效能明顯降低,讀取不易? 新款HID Signo有自動表面偵測功能 (ASD),針對不同的RFID技術及其組合提供"可靠"的讀寫範圍,.讀寫器開啟電源後可自動校正讀寫範圍,使其讀寫範圍改善顯著,特別是固定在金屬上時。 (特點二) 擔心駭客可能會使用電子式暴力攻擊來開門? 新款HID SignoSigno內建速率攻擊偵測功能可偵測此種狀況,並提供多種方式來通知和管理該狀況。 (1) 觸發開路集電級/防拆輸出 (2) 發送狀態異常信號 (3) OSDP通知 (4) 完全封鎖讀寫器 (特點三) 機械式 按鍵損耗問題以及防水等級的困擾? HID Signo為 電容式鍵盤 (1)無活動零件機械性按鍵提供更完善的環境穩定性 (2)多道背光顏色選項 (3)視障模式協助視障人士輸入鍵盤 減少輸入密碼時的敏感性和額外時間 消除傳送非相關資料到面板的狀況 (4) IP65等級
AI 時代來臨,人臉辨識系統在各種場合情境應用, 門禁、出勤、訪客、 陌生人管理、黑白名單.....等,而人臉辨識產品也是令人眼花撩亂,該怎麼挑選 ? 重點為何? 那些功能是必要的 ? 柏聯科技提供評估 AI 人臉辨識產品的「黃金七大法則」。 (1) 生活照或證件照即可建檔 免除人員到攝影機一一拍照建檔,大大提升建檔效率,尤其對企業有眾多員工時,是一大考慮重點。 (2) 彩色照片建檔,在夜間時攝影機開啟紅外線模式也能正確比對 由於建檔資料是彩色資料庫,而紅外線攝影機所呈現出的為黑白畫面,可能會無法辨識。 (3) 帶任何眼鏡都能辨識 由於戴眼鏡會遮擋住面部及眼睛周圍特徵點,所以可能會導致系統無法識別。 (4) 戴口罩也能辨識 AI人臉辨識系統透過IP攝影機即時影像來辨識人臉,就算戴著口罩、眼鏡,全臉只露出眼睛以上部位,可進行人臉辨識。 (5) 光線反差大或強光環境下,亦能正確比對 在室內較暗的環境,或是有背光的情況下,無法順利進行人臉辨識。 (6) 可辨識黑/白人種 人臉辨識準確率,會依人種有所差異,以白人與黑人來說,主要是受限資料庫以及光影呈現。白人的膚色過白,或黑人的膚色過黑時,都有可能與光影或背景融合,導致辨識率不佳。 (7) 可防止以人形立牌、手機照片等,蒙混過關 用照片就能解鎖,臉部辨識安全堪憂,而目前也開發出許多活體偵測技術,做防偽機制。
|
|