門禁系統(tǒng)優(yōu)化石油天然氣的安全管理淺析

作者系HID Global 大中華區(qū)營銷總監(jiān)

保障石油天然氣的運營和資產(chǎn)的安全管理是一項極其大的挑戰(zhàn)。石油行業(yè)的產(chǎn)業(yè)鏈長，生產(chǎn)、運輸、銷售、服務過程中多與易燃易爆品打交道，安全事故風險和環(huán)境風險大，任何安全漏洞都會威脅到石油天然氣廠區(qū)的員工及附近人員的生命及財產(chǎn)安全，損害當?shù)丨h(huán)境和中斷生產(chǎn)。

面臨的多重安全挑戰(zhàn)

除了原材料危險，許多因素都會將石油及天然氣公司置于危險的境地。地處偏遠，以及本地基礎設施欠佳都會使得企業(yè)裝備容易受到惡意攻擊，而任何安全違規(guī)會對員工、當?shù)丨h(huán)境甚至國家的能源網(wǎng)絡基礎設施穩(wěn)定性造成潛在的安全隱患。不僅如此，這類因素還會隨著運營規(guī)模擴大而有所增加。石油與天然氣田可能延伸數(shù)千公里，大型石油天然氣企業(yè)的員工人數(shù)可能高達30，000人，其中包括工人、維修隊伍、工程師，以及技術、醫(yī)護和后勤人員。企業(yè)不僅要切實保障這些員工能夠安全工作與生活，還要具備必要的基礎設施來快速有效確認個人身份，向個人發(fā)放所需的憑證卡，根據(jù)個人職務及相應憑證卡要求的門禁權限來限制其在場內(nèi)的活動范圍。

在所有的政策、流程和程序中，管理、控制獲取信息和資源時需要考慮幾個重要方面：

現(xiàn)場門禁系統(tǒng)：門禁系統(tǒng)通過技防和人防相結合，謹慎從事，能確保所在區(qū)域的安全。這不僅包括公司員工的安全，還包括承包商、合作伙伴、來訪者以及公眾的安全。特別是，石油公司需要實時了解所在現(xiàn)場人員信息以及所處位置，并限制對高風險區(qū)域的訪問，以確保公眾不會意外闖入有害區(qū)域，例如危險品存放室或機房。通過采用含OPIN接口的開放式系統(tǒng)架構門禁系統(tǒng)，還能支持融合多維安防系統(tǒng)，通過強大的字定義規(guī)則引擎支持將系統(tǒng)硬件與常規(guī)應用（例如，消防、視頻監(jiān)控和報警）進行聯(lián)動，提供安防能力。

訪客管理系統(tǒng)：電子化的訪客預登記系統(tǒng)，對即將到訪客進行身份驗證，防止危險分子的混入。

計算機安全登錄：信息技術訪問控制程序，用于限制用戶訪問計算機及聯(lián)網(wǎng)的資源與數(shù)據(jù)。這些程序包括安全認證、數(shù)據(jù)加密、單一登錄和遠程虛擬專用網(wǎng)絡（VPN）訪問。

在石油天然氣行業(yè)沒有“一勞永逸”的萬能身份及門禁管理策略，各種風險漏洞、層出不窮的威脅以及周邊的實際環(huán)境都是需要考慮的因素。例如，上游地區(qū)會面對高溫、灰塵和爆炸風險等諸多環(huán)境挑戰(zhàn)，需要使用IP門禁管理解決方案解決布線難問題。在生產(chǎn)區(qū)域內(nèi)，傳統(tǒng)的巡更方式無法滿足對現(xiàn)場情況的實施監(jiān)控，因此可以借助門禁控制系統(tǒng)，使用在線式的巡更方案，實現(xiàn)對各種異常情況的快速處置。在辦公室環(huán)境中，實體攻擊或事故的風險幾率可能較低，但信息安全的風險卻相應增加，因此需要使用物理憑證卡作計算機登錄。將物理和邏輯門禁結合在一張智能卡，并部署多項用途，可大幅度節(jié)約成本。因此，要提供切實有效的提高安全管理，需要包括以下幾個方面：

門禁系統(tǒng)的開放性和智能化設計

采用開放式架構，支持IP 的智能化門禁系統(tǒng)平臺，具備全面的安全管理及故障排除機制，并通過安全防范，預警和報警的安全流程，提高石油天然氣企業(yè)的安全指數(shù)。在功能上，智能化設計的門禁解決方案包括實時監(jiān)控，功能全面的離線操作和基于IP 的遠程管理，不僅實現(xiàn)了門的智能化，而且優(yōu)化了安全管理，授權管理人員能直接在管理中心進行授權區(qū)域的分級限時權限設置。

例如：HID Global為中電福溪電廠設計的門禁系統(tǒng)，采用集成福溪電廠網(wǎng)絡基礎架構和設施管理的整體方法。實現(xiàn)了遠程門禁控制、員工分級授權及訪客出入管理，確保福溪發(fā)電廠廣大生產(chǎn)和設施區(qū)域的安全，有效地避免因用戶計算機故障、通信連接失敗，或部分門禁設備故障而影響整個門禁系統(tǒng)正常運行的情況發(fā)生。通過中央管理中心進行分級限時管理，擁有權限的管理人員可以通過電子地圖對各門點進行直接的開/閉控制，直接了解各個門禁點的開關狀態(tài)，當發(fā)生開門超時或強行開門等報警事件時，門圖標將發(fā)生變化并出現(xiàn)報警提示框。通過遠程的電子地圖管理，減少了人員巡邏的投入并提高了管理效率。

另外，OPIN?開放平臺是影響門禁系統(tǒng)靈活性和適應性的重要方面。OPIN?為客戶提供了更多的個人性安全管理應用，采用OPIN?接口的門禁系統(tǒng)平臺，客戶能夠自由的根據(jù)需要選擇或自定義開放軟件，并能通過OPIN?平臺，將能源系統(tǒng)接入智慧城市的整個管理平臺中。

單一智能卡集成多種應用

智能卡已成為石油天然氣行業(yè)解決方案的重要部分。因為智能卡可以保證較高級別的機密性和安全性，而通過采用單一智能卡解決方案除了能做到中央管理外，還能使員工無需隨身攜帶不同類卡完成各類應用，例如門禁、電腦登錄，考勤和安全打印管理系統(tǒng)及小額電子支付。在用戶更可在智能卡嵌入其他應用，包括生物識別技術，這需要擴展智能卡的數(shù)據(jù)存儲容量以容納生物識別模板。在理想的情況下，智能卡還應內(nèi)置視覺防偽技術及其他用于提高整體安全性的元件。

更重要的是，智能卡能在各種應用中采用多層安全保護，包括門禁、云端和設備上的數(shù)據(jù)保護。其中，最佳的身份驗證方式應超越簡易的密碼驗證，從而確保了個人信息的真實性。大部分企業(yè)通常集中保護網(wǎng)絡周邊的的安全，依靠靜態(tài)密碼來驗證防火墻內(nèi)的用戶身份。然而，這種認證方式不足以應付對于如今五花八門的高級持續(xù)性威脅(Advanced Persistent Threats)、黑客攻擊及采用自帶設備 (Bring Your Own Device, BYOD) 模式的相關風險。靜態(tài)密碼勢必進行擴展，并且應該納入其他多因子身份驗證方式。這種手段一直被視為免受攻擊的主要安全戰(zhàn)略，加上用戶仍然不愿意接受隨身攜帶一個單獨專用的動態(tài)密碼裝置。如今，非接觸式一次性密碼登錄解決方案解決了這個問題，它通過為用戶提供一張智能卡而得以實現(xiàn)的，用戶可以使用這些卡，輕松地拍卡執(zhí)行電腦登錄和注銷操作，同時設置了一道較強身份驗證的安全防線。

其他多層安全保護策略包括設備身份驗證（包括在企業(yè)網(wǎng)絡上或在云端上應用的個人設備）、瀏覽器保護、交易身份驗證/基于模式的智能及應用層安全性。這要求集成式多層身份驗證機制和實時的威脅檢測平臺的使用。欺詐檢測技術早已應用在網(wǎng)上銀行和電子商務中。目前，該技術有望應用于企業(yè)，為遠程訪問（如VPN或虛擬桌面）提供額外的安全保護。與此同時，對于雙因子身份驗證策略，它通常僅局限于動態(tài)密碼 (OTP Token)、顯示卡和其他設備，但市場上也推出了用于手機、平板電腦和瀏覽器令牌等用戶設備的“軟件令牌”(Soft token)。通過手機應用程序產(chǎn)生一次性密碼，或者通過短信將一次性密碼發(fā)送至手機。

智能卡進行云端的身份識別管理。隨著機構越來越多地利用軟件即服務 (Software as a Service,SaaS) 模式和移動身份識別解決方案。將數(shù)據(jù)遷移至云端不僅可以使用SaaS應用系統(tǒng)，也可以通過存儲在別處的內(nèi)部應用系統(tǒng)來完成，但最有效的方法可能是聯(lián)合身份識別管理，這可以讓用戶通過中央身份驗證后登錄多個應用程序。聯(lián)合 ID 管理支持多種身份驗證方式，通過中央管理審計記錄來滿足法規(guī)要求，而無需變更終端用戶設備。此外，聯(lián)合身份識別管理還用來保護系統(tǒng)免受高級持續(xù)性威脅、點對點黑客(ad hoc hacking)、員工惡意行為及內(nèi)部威脅（如員工欺詐）的攻擊，確保在卡片和智能手機上進行身份識別管理。

訪客管理改進安全和效率

訪客管理系統(tǒng)在石油行業(yè)的應用可極大地改善安全性和運營效率，同時提高以前使用紙質解決方案企業(yè)的專業(yè)水平。訪客管理技術將越來越多地整合到門禁系統(tǒng)中，以提供完整的安全解決方案，保護員工和臨時來訪人員的安全，防止擅自闖入的人員造成損害。訪客管理系統(tǒng)與門禁系統(tǒng)的整合使前臺服務人員能簡便、安全地通過訪客管理系統(tǒng)、而不是門禁系統(tǒng)為來賓提供臨時感應卡。在辦理進入手續(xù)時輸入到訪客管理系統(tǒng)中的信息被傳送到門禁系統(tǒng)中，以便激活發(fā)給訪客的感應卡。當訪客通過前廳訪客系統(tǒng)辦理離開手續(xù)時，該卡片被自動撤銷，過期日期和時間都自動傳送到門禁系統(tǒng)中，從而確保丟失或被盜的卡片不會再被使用。整合訪客管理系統(tǒng)和門禁系統(tǒng)還消除了一些問題，例如在前臺存放有效卡片以防員工忘記攜帶身份卡這種問題。訪客系統(tǒng)還記錄了所有接受過門禁卡的訪客信息，因此留下了完整的審計線索，包括卡片處于有效狀態(tài)的日期和時間。

此外，可視化安全管理對石油天然氣內(nèi)外部人員的安全發(fā)行及的卡片安全的的應用。石油天然氣企業(yè)的員工人數(shù)可能高達 30,000 人，其中包括工人、維修隊伍、工程師，以及技術、醫(yī)護和后勤人員。采用更高安全性與性能的發(fā)卡系統(tǒng)，能快速制作高清晰的安全證卡，防止卡片偽造。

HID Global FARGO?HDP5000打印機/編碼器的特殊性能使其能夠滿足大型賽事中，政府發(fā)卡的安防要求。HDP5000采用熱轉印打印技術熱轉印技術，并不直接將信息打印到證卡上，而是將打印圖像打印到覆膜上，然后將覆膜貼到證卡表面，使卡片更為耐用持久。此類卡片還具有防篡改功能，如有偽造者試圖撕開保護層，圖像基本上就會自行損壞。此外，HDP5000可增添壓膜模塊，提高卡片的視覺安全，例如全息覆膜；同時，該打印機支持磁條卡、感應卡和接觸式及非接觸式智能卡的編碼功能，可將員工的資料直接寫入卡片，方便核實身份。

結束語

石油天然氣公司安全的考慮因素包括：門禁系統(tǒng)的安全性，靈活性；智能卡的多功能應用，以及其他安全（如防偽造）功能等。對于石油天然氣行業(yè)的用戶而言，考慮到存儲數(shù)據(jù)的價值和敏感區(qū)域所需的物理門禁安全保護，安全的重要性將會越來越高。但是，方便與效率對管理數(shù)千員工的公司而言也同樣非常重要，因此集成了智能卡策略的門禁管理、電腦安全管理可以有效地解決這一難題。