文 / 许立辉　西安中核核仪器有限公司

　　出入口控制系统在设计与应用中会遇到各种问题。在高安全应用领域，围绕着“智能化”与安全、安全配置的均衡性、系统实时性与可靠性、多种复合识别及与生物特征系统数据整合的灵活配置以及非常态防范时的授权规则快速部署等多种问题，经常有多种不同的看法和解决方案。笔者长期从事安全防范系统，特别是针对核行业“实物保护系统”的设计与系统集成工作，在高安全出入口控制系统的设计与应用中积累了一些体会。本文从高安全出入口控制系统的几个常见问题入手，分析问题的实质，提出解决问题的思路，最后提出了总结与建议。

　　一、常见问题及解决方法

　　1.“智能化”与安全问题智能化、智慧化是大势所趋，可以为社会管理带来极大便利，提高掌控力度，同时也可以为商家带来丰厚的利益增长点，“新基建”的出台充分说明了这一点。但新技术也是一把“双刃剑”，在未能充分论证其可能带来的次生风险，未依照防范的技术“底线”设计系统和产品，而是先“摸着石头过河”，盲目地在高安全防范领域滥用“智能化”，将会带来新的安全风险与隐患。近年来出现的一些事件和讨论也充分说明了这点，如“小黑盒开锁”事件、对滥用人脸识别等生物特征技术的相关讨论、关键场所的视频图像遭黑客发布到公众APP等等。

　　出入口控制系统的防护能力是有多项指标要求的，如抵抗对手攻击的能力等。在出入口控制系统的国际标准IEC60839-11《电子出入口控制系统-系统与设备》，以及国家标准GB/T37078《出入口控制系统技术要求》中已提出了系统安全等级的概念，并对不同安全等级的系统和设备提出了相应要求，设置了“底线”，竖起了“篱笆”。这些“底线”与“篱笆”包括物理隔离、网络信息安全以及系统功能等诸多要素的最基本要求。安全等级越高的应用系统，其设置的“底线”与“篱笆”也越高，抵御对手攻击的能力也越强。

    现行标准与规范并不排斥创新，但它是“底线”，创新的前提必须遵守“底线”，没有“底线”的创新不但不解决问题，还会引入更大的风险。按照“摸着石头过河”，遇到问题再去解决的想法指导工作，在高风险领域可能引发不可逆转的灾难。

    从事高安全出入口控制系统的设计与应用时，更应遵照相关安防的标准和规范所设置的底线之上选择“智能化”系统和产品，而不是肆意撕破“篱笆”，不顾“底线”，提供“隐患”。只有这样才能更好地为高风险应用单位服务，满足用户对管理与安全的双重要求。

　　2.安全配置的均衡性问题

　　目前市场上提供出入口控制系统的产品制造商很多，但由于面对的市场客户群体不同，系统产品设计的安全性与管理要求也存在较大差异。一些制造商在推荐其产品时，往往热衷于介绍其个别“亮点”的高安全性指标功能，并以此“推导”出其系统和产品是高安全系统和产品，最为常见的“亮点推导”如：“拥有国密卡的系统=高安全系统”等，若应用集成单位和最终用户鉴别能力不高，则很容易误入歧途。在核工业行业应用的出入口控制系统对安全性要求很高，如何选择高安全的系统和产品是摆在应用集成单位和最终用户的重要问题。

　　首先要考虑“均衡性”问题，避免木桶效应。在国家标准GB/T37078中，出入口控制系统的安全等级是通过对出入口的控制要求、指示与通告要求、识别要求、胁迫、优先控制功能要求、通信要求、系统自我保护要求、电源要求以及防雷接地要求等九大部分，共约200多条指标，综合提出的从安全等级1到4级的要求，用户使用的系统要达到某个安全等级，必须要达到该级别所有指标的最低要求，而不是某一项或某几项指标。据悉与该系统标准配套的控制器及读卡器的设备标准已在2020年发布。目前正在起草的一些安防应用类的标准（包括核电行业的安防应用标准）已包含了系统必须达到GB/T37078相关安全等级的规定。应用集成单位和最终用户在选择产品时，对安全的均衡性选择终于有了依据。

　　其次，因为已发布的标准主要是设置“底线”与“篱笆”，这是基本要求，相关应用场景的其它需求还需制造商、集成商及用户在满足安全均衡性的基础上，根据安全管理与智能化等其它需求，定制与完善系统局部的更高安全及相关“智能化”应用的个性化指标来满足实际应用需要。

　　3.系统可靠性及实时性的问题

　　与入侵及紧急报警系统和视频监控系统相比，出入口控制系统除了需要满足对安全的需求外，还与日常的管理和工作结合更加紧密，当系统出现故障时可能对日常工作造成较大影响，如上班高峰期间打不开门，造成拥堵等。因此对出入口控制系统的可靠性和系统响应的实时性有更高的要求。高安全等级的出入口控制系统出于对系统的设备所在物理位置与其受控区权限级别要求的考虑，以及对网络传输安全性的考虑，一般会谨慎使用互联网、云服务，以及利用公网进行无线传输的方式等技术，通常会将系统只运行在与外界物理隔离的局域网下，并采用集散式控制方式，由前端的控制器实时处理现场的识读信息，进行权限判别，驱动出入口执行设备（电锁等）动作。

　　在核行业等高安全应用领域，出入口控制系统通常还需要处理复杂的逻辑功能，需要把每个人的位置信息以及受控区的安全策略配置信息等区域性实时信息进行实时处理，并同步到相关出入口控制点的控制器，以便能立即并正确地响应下一步识读操作等过程，完成多控制器间的受控区防返传、人员位置定位与区域人员限制等操作。

　　第一种应用方案是采用服务器“强处理”-->控制器“弱处理”的2级处理模式。在这种模式下，许多控制逻辑的运算是在服务器下进行的，现场控制器只承担识读信息采集和简单的逻辑判断，以及对执行设备的驱动等有限处理功能，控制器之间没有信息直接交互，系统响应的实时性较差，且一旦发生网络故障，对应的控制器将会丧失功能，若服务器发生故障，整个系统将会瘫痪，这不是简单地增加“热备服务器”所能彻底解决的问题。这种应用方案常见在原系统的控制器功能及性能的设计基础较差，大部分逻辑处理功能需要靠服务器软件定制的场景中，大量的软件定制也给应用的可靠性带来隐患。

　　第二种应用方案是采用主服务器“弱处理”--> 区域服务器“辅助处理”--> 控制器“强处理”的3级处理模式。该方案下主服务器仅承担配置、编辑、遥控以及信息显示工作，现场控制器承担主要的逻辑处理工作。但由于现场控制器之间没有信息直接交互，所以需要按照现场实际的应用情况将现场控制器分组，并增加区域服务器来辅助处理组内控制器的交互信息，完成多控制器间的受控区防返传等功能。这种应用方案常见在以前使用从国外引进的高安全系统产品中。这种方案下，应用配置灵活性不高，对系统实时性改善有限，还必须使用区域服务器备份的方案增加可靠性。

　　第三种应用方案是采用服务器“弱处理”--> 控制器“强处理”，现场控制器之间能直接实现信息交互的增强型2级处理模式。该方案下服务器的工作方式与方案二基本相同，现场控制器承担了所有逻辑处理工作，由于取消了区域服务器，所以单一设备的故障不会殃及其它设备，系统的可靠性显著改善，且更少的处理环节，使得系统响应的实时性明显提高。

　　目前我们已在核行业推广使用的出入口控制系统正是第三种应用方案，该系统不但在系统架构上适应了可靠性和实时性的要求，还在逻辑底层依照出入口控制系统安全等级 4 的要求进行了设计，用户只需简单配置即可完成复杂的功能要求，已成为高安全出入口控制系统中解决可靠性与实时性最优的应用方案选择。

　　4.多种复合识别灵活配置问题

　　多年来，“一人一卡”系统架构常被出入口控制系统的制造商采用，其基本特征是每个人在系统中拥有唯一的卡号（凭证内码），每个卡号（凭证内码）也对应唯一的人员。这种架构在处理复合识别时，控制器的逻辑处理比较简单（只需读一个卡号），复合识别的识读设备信号需串接处理，如读卡 + 人脸识别复合识别时，需现将读卡信息接入人脸识别终端（或由人脸识别终端内部集成读卡功能），再由人脸识别终端对读卡信息进行预处理，当人脸信息与卡号信息匹配时，再向控制器输出卡号，以此完成复合识别过程。在这一过程中，控制器只会记录一次读卡信息，不会记录复合识别的细节过程，且这种“硬”连接配置不易实现按时段对识别方式进行配置的管理要求（如时段 1 配置为只人脸识别，时段2设置为人脸或读卡，时段3设置为读卡 + 人脸等），其灵活性有限。

    为满足配置多变的识读方式，高安全的出入口控制系统往往采用“一人多卡（凭证）”的系统架构，可以将卡凭证内码、人脸识别凭证内码、指纹凭证内码以及虹膜凭证内码等多个凭证绑定到同一个人，再从不同的识读设备操作，产生不同的卡号（凭证编码），依次发送给控制器，由控制器依据预设逻辑进行处理，达到丰富的复合识别功能。

　　5.与生物特征系统数据的整合问题

　　如何更方便地将人脸识别、指纹识别以及虹膜识别等系统与原有的高安全出入口控制系统进行有机整合是当前需要解决的问题。通常需要将出入口控制系统和生物特征识别系统的数据库进行同步，对人员姓名、卡号、通行日志以及通行权限等统一管理。通常的做法是手工导入和导出，或根据项目需求定制开发同步应用接口模块，这些做法的安全性和可靠性都有待检验，操作也较为复杂。

    目前我们已在核行业使用的出入口控制系统是从高安全的出入口控制系统需求出发，设计了包含生物特征库在内的出入口控制系统数据库，整合了出入口控制设备与生物特征识读设备的管理，实现了卡凭证及生物特征凭证的统一授权管理，具有较高的可靠性和易用性。

　　6.快速实现授权规则转换问题

　　为适应治安反恐工作的需要，高安全的出入口控制系统还必须解决能实现常态防范与非常态防范下的出入口控制授权配置快速转换的问题，满足应用规范提出的：“系统应在非常态防范时提高出入口控制系统对各受控区的出入识别权限与核验规则配置，应采取降低受控区可停留人数以及降低访客比例等措施，强化出入口控制系统对各区域的人员管理。”的要求。

　　一般传统的做法是系统接收到从常态防范进入到非常态防范的指令后，根据预设规则对出入相关受控区的人员权限进行逐个设置，并将新的授权信息逐一下发到各个控制器中。这种方式对数据的操作较多，信息传输时间较长，还要考虑到恢复到常态防范时的整体配置恢复问题，可靠性和实时性较差，操作风险较高。

　　目前我们已在核行业使用的出入口控制系统，在底层逻辑设计时已充分考虑了高安全出入口控制系统的非常态防范应用需要，增加了“受控区安全级别”以及“个人安全级别”等安全管理的配置维度。如：开通“进入某受控区的人的安全级别必须大于等于该受控区的安全级别”的功能，在常态防范下将该受控区的安全等级设置为1，此时拥有该受控区出入权限且个人安全级别为1（100人）和2（50人）的人员（共150人）都可进入该受控区，当转换为非常态防范时，只需将该受控区的安全级别设置为2，即可立即实现仅有个人安全级别为2（共50人）的人员进入该受控区的功能。

　　二、总结与建议

　　在高安全的出入口控制系统设计和应用实践中，首先要立足于“安全”来思考问题，要清醒地认识到“智能化”带来便捷及可能的风险，要认真学习并深入把握相关出入口控制系统的标准与规范，认清安全的“底线”，要从“均衡防护”的角度来设计安全系统，要从系统架构的优劣以及安全设计的层次与维度等方面全方位思考高安全出入口控制系统的应用与发展，为用户提供既满足管理需要，又能实现高安全防护的系统。