从邯郸农行金库被盗,谈银行金库指纹门禁的应用作为前沿安防技术的高端应用客户,金融机构日益关注生物识别技术特别是指纹识别在银行金库的应用。
案件回放
2007年4月14日下午2点,河北邯郸农业银行金库的5100万元现金被盗,全国震惊。中央领导先后做出批示,要求公安机关全警动员。5100万元金库巨款被盗,农业银行邯郸分行负有不可推卸的责任。6天之后,两名犯罪嫌疑人落网,同时农业银行总行通报了对邯郸农行盗窃案的处理决定。
邯郸农行金库被盗案件应该是给所有银行都敲了警钟。如何做到金库的安全?邯郸农行知情人士认为,农行监管存在三个致命细节:第一,按照正常程序,打开金库的门锁需要三个人:主钥匙、副钥匙和密码,但是密码却泄露了;第二,查库不及时、不认真;第三,金库管理与保安押运在衔接上的疏漏。
金库门禁存在的问题
从现代门禁安全管理的角度来讲,以上三个问题在我国现行银行金库管理制度中或多或少都已存在。
采用主副钥匙和密码开启金库,这种传统的门禁管理制度本身就存在漏洞:
第一,主副钥匙是机械的,存在复制的可能,拥有密码的人若获得这两把钥匙就可以随时将金库门打开;
第二,密码易透露,本身存在安全隐患。密码持有者会有意或无意中将密码透给第三方,管理人员也会以为有主副两把钥匙而放松对密码的管理;
第三,开门按密码时易被其他人有意或无意间看到,从而不能确保密码的绝对安全(用门禁的术语讲,这是身份唯一性不能确定而导致的不安全性)。
第四,开启金库没有进出记录。两把钥匙和一个安全密码(不管多少人),只要三者物理上存在,就可以将金库打开,不留下任何痕迹。并且不需申请,更谈不上时区时段管制(用门禁的术语讲,没有人员进出记录,导致无据可查)。
第五,传统金库管理制度让金库管理人员与保安押运员更多相信的是人,而放松对金库管理制度的严格执行。他们会天真地以为,只要是熟人,大概不会出什么问题,须不知,“家贼难防”。
指纹识别的优势
指纹的两大基本特征“指纹终身不变”和“指纹各不相同”是指纹独一无二性的特性。“指纹终身不变性”是由人类学家奥克尔(Welker)在1856年提出的。“指纹各不相同”是由英国人亨利•福尔茨(Henry•Fulds)在日本传教期间提出。后来被法国巴黎大学教授勃太柴用数学方法进行了证明。指纹这一特征是整个指纹识别技术的基石,也是辨识人身份唯一性的有效手断和方法之一,因此,一直以来众多厂商依据此原理不断推出形状、性能和用途各异等指纹系列产品,广泛应用于:以指纹模块为应用核心的锁具考勤机、门禁、锁具类安防防盗市场、以PC周边为应用核心的指纹数码、存储产品及银行内控、驾校培训、社保医疗等行业。
形形色色的指纹应用,琳琳种种的广告宣传,难道所有指纹应用都如宣传那样可靠吗?
非也!只有目前正在使用和已经使用过指纹产品的用户最清楚。至今为止,国内真正使用得很好的指纹门禁产品并不多。在联网指纹考勤、门禁等安防领域,普遍存在的问题是:稳定性差,经常出现指纹机时间不统一、液晶显示错乱或不显示、使用一段时间后按指纹无反应、通讯不上、丢指纹数据等质量问题;其次是电脑下传给指纹机的指纹数据不能准确下传,或不能指定某个人或某些人的指纹向不同的指纹机下传;更严重的是指纹出错,经常张三按的指纹显示的是李四的信息,特别是指纹容量稍大一点的指纹机(如能容纳1500枚指纹容量以上的指纹机)。究其原因就是指纹厂家在追求快速识别指纹的同时,忽视了指纹产品的安全性,导致误识率高。
可能也有用户说:“我用了好几年的指纹保险柜(箱)等为什么没有问题呢?”因为指纹门锁、指纹保险箱(柜)、指纹笔记本电脑、指纹U盘等指纹设备存贮的指纹数只有几枚,不是联网使用,使用的次数少,频率低,所以出现错识的机率要较联网指纹机要小得多,而并非指纹设备的可靠性高。
联网指纹门禁的特点
第一,方便指纹采集、保存和下传。通过指纹采集仪可将指纹及时采集到电脑内,将指纹数据作为人事资料的一部份保存到数据库。后台管理软件根据员工分配的门禁权限,自动将该员工的指纹数据下传给对应的指纹机。
脱机指纹门禁需要在每个指纹机上一个一个注册指纹,这种注册指纹到指纹机的脱机方式需要每个员工到每个指纹机安装现场进行指纹登记注册,既费时费力,又显得不合情理,一旦指纹机更换,需要每个员工再次到指纹机安装现场重新注册指纹。
市面上还有一部分所谓的联网指纹门禁,由于采用的指纹读卡器是其他公司的产品,管理指纹的数据库与门禁数据库为两套独立的数据库,指纹读卡器到电脑之间的通讯不能采用控制器到电脑之间现有的通讯线路,导致施工环节多、系统维护复杂,指纹数据不能随员工门禁权限的分配自动下发给对应的指纹机。
第二,实时性。人员进出指纹门禁时,门禁管理软件可以及时看到人员进出每个通道的情况:谁、什么时间、在哪个地方、进还是出、门是否打开等信息可以实时显示在电脑监控画面上。完善的门禁管理软件不仅有电子地图显示每扇门的开关状态,而且可以显示进出人员的详细信息,包括姓名、部门、编号、卡号、照片等等。强大的门禁管理平台(如玺玛克SKEPS安防管理平台)可以与CCTV(闭路监控)系统进行联动。通过点击电子地图上某扇门对应的摄像机图标,实时看到当前门的影像资料。若安装云台,可通过软件控制云台的转动。如有需要,可直接录取一段影像资料,并备份到当地电脑。
第三,强大的报表处理能力。每扇门的出入记录和报警记录( 如强行开门和开门超时报警等)实时保存在数据库内。拥有使用权限的操作人员可以按人、门、设备、时间及记录事件(如开门超时,强行进入等)进行组合查询,生成不同的报表供查询、打印和导出。邯郸农行就是缺少事后出入查询,导致内部人员做案多次,保安人员都无从知晓。若安全人员每个月只要统计一下出入金库都是哪些人,打印一份报表一看,若某个内部人员出入很频繁,那就该引起重视,可以做到防微杜渐。
第四,防协迫安全机制。完善的联网指纹机在指纹采集时都备有几枚防协迫指纹,当遭遇歹徒劫持时,工作人员采用已注册的报警指纹开启通道,指纹机会同时向后台管理软件发送一个最优先级的报警信息,门禁管理软件立即显示被协持事件的人和地点等信息。后台软件也可以通过OPC服务器将报警信息传递给BA系统,实现与BA系统的实时联动,达到生命和财产的双重保护目的。
选择联网指纹机的标准
如何衡量和判断类似银行金库等特殊应用场合下联网指纹机的好坏?主要从辨识率、指纹容量和识别速度三个方面来比较。
辨识率、指纹容量和识别速度这三个参数相辅相成,不可顾此失彼,一味追求某一项参数指标都会导致指纹机的整体性能大大降低,因此一个高质量的指纹机必须是这三项参数的最佳组合。容量越小,辨识率越低,速度越快;反之,容量越大,辨识率越高,则识别速度相对要慢。如应用于保险柜上的指纹锁内的指纹机,因其指纹容量少,在保证同样辨识率的情况下,其识别速度较快,因此这类指纹机对芯片处理能力和外围电路要求不高,开发周期短,生产成本低,一般在200元以内。但联网指纹不仅要求指纹容量大,辨识精度高,还要求处理速度快,所以指纹识别模块对软硬件的要求就要高很多。通常采用专用的DSP芯片来处理,而且外围单片机都采用ARM芯片来处理,同时还要有一个专门的研发团队能够对该指纹算法不断升级,因此联网指纹机相对非联网指纹机而言,研发周期长,生产工艺严,产品成本高。
不要相信厂商承诺多少分之一的误识率、拒假率等一些乏味的数字,只要根据厂家宣称的指纹容量,测试它的极限值,判断其优劣即可。好的指纹机既要误识率低又要识别速度快。如:某系列标准指纹机的容量为1900枚(根据需要可以有9500枚),您可以采集1900枚(或9500枚)指纹至某几台指纹机内,再用这些人和一些未注册指纹的人在该机上反复测试(可以一个人注册多枚指纹),若1秒内不能准确识别出来,或出现张冠李戴的现象,即可判断其优劣。实践是检验真理的唯一标准,可适用于任何一款联网指纹机的测试。
联网指纹机的功能
指纹联网是指将指纹采集到数据库内,由后台软件通过485或TCP/IP的通讯方式下传给指定指纹机。一般联网指纹机厂商在研发过程中只注重指纹的备份。它们的采集方式是直接从某一台指纹机采集,备份在软件内生成一个文件,然后下传给每一台指纹机,这样每台指纹机内的指纹都一样。若需不同的进出权限,设置起来就很不方便。
指纹机的联网功能不仅要求指纹机具有严密的的通讯机制,同时对后台软件的指纹采集、存储和自动下传也提出了更高的要求。一个成熟的联网指纹门禁系统要求后台软件在采集指纹时实时呈现采集到的指纹图像,同时能够根据员工的门禁权限自动将员工的指纹数据下发到具有开门权限的指纹机,而不是所有的指纹机。下图显示了玺玛克SKEPS联网指纹门禁系统如何采集和保存指纹数据。
衡量一个指纹机的联网能力还在于指纹数据下传过程中的速度和数据的安全性。一般2000枚指纹通过485的方式下传的速度应小于30分钟,通过TCP/IP的方式应小于20分钟,并且数据要求非常准确无误,不能传2000枚,却只收到1000多枚。优质的联网指纹机还要求人员进出记录在脱机情况下,能保存在指纹机内。一旦指纹机与电脑联网,能自动上传进出记录并保存在数据库中,不得丢失任何一笔进出记录。 玺玛克指纹机联网方式如下图所示。
图中SK100T-NT-FOP为可直接接入网络交换机的网络指纹考勤机,SK100K-FOP为指纹读卡器。指纹读卡器与网络控制器的通讯方式包括两种,一种为韦根连接,用于传送校验指纹后的特征数据给控制器,另一种为485连接,用于将来自电脑的指纹数据通过控制器再转发给指纹读卡器,这种通讯设计方式保证了指纹下传的速度和准确性,同时避免了装在门外的指纹读卡器受到破坏后可以开启门或通道设备的事故发生。通常情况下,指纹机与门锁的电源分开,避免将指纹机的电源线短路后将门锁打开,同时将控制器安装在门内。
联网指纹机的适用性
联网指纹机适于安装在对门禁安防要求较高的重要场所(如监狱、银行金库、财务室等),以及为防止代打卡的考勤点名应用场所。考虑到有的人指纹很浅以及那些手指残疾的人群,优质的联网指纹机通常还兼有其他识别方式,如刷卡+密码等,从而保证指纹机能够适应所有人群。为实现友好的人机交互,指纹机要有中文液晶显示和蜂鸣提示。
高端的联网指纹机同时支持读取存储在IC卡内的指纹数据,这种方式最大的好处是指纹机的用户数量不再受指纹机内指纹存储空间限制,可以允许多达5万个用户使用同一台指纹机。一般一张IC卡(通常为Mifare1)要求存贮两枚指纹,当一枚指纹破坏时,第二枚指纹可以起到一个备份作用。
邯郸农行金库被盗给所有金库门禁及重要管制通道敲响一个警钟。联网指纹门禁应用于安防要求较高的重要场所无疑提供了一种彻底的解决方案。
(编辑:编辑部 来源:互联网)