AB門管控機制及信息邏輯研究

王濤，陳相登，劉明

武警西藏總隊參謀部，西藏拉薩，850000

0 引言

AB門是進出安保核心區的唯一通道，在各個安保場景均有廣泛應用。為有效降低安全風險、精準甄驗進出人員、嚴密管控通行流程，防止非法人員混入、脫逃，通常將AB門劃分為A、B兩個區域和A門、輥閘門、B門三道門禁[1]。其中A門、輥閘門及其門禁、查驗認證設備部署于A單位網絡，由A區安保人員管控。B門及其門禁、查驗認證設備部署于B單位網絡，由B區安保人員管控。通行人員進出安保核心區均需經A區、B區多次驗證，有效確保了通行的合法性。但受各類因素影響，現行管控機制仍存在門禁權限分配不夠合理、功能定位不夠準確、通行邏輯不夠嚴密等問題。為此，本文結合業務實踐，優化了AB門空間布局，深入評估了各門禁功能定位，研究了網絡物理隔離條件下數據同步問題，構建了完整的通行邏輯，為更加有效地管控AB門提供了借鑒。

1 AB門管控存在問題

（1）輥閘門權限分配不夠合理，安全責任不易界定。通常情況下，各單位要求A門和B門之間加裝輥閘門，由A區安保人員控制，進出人員一人一驗證、一人一開門、一人一放行。不難發現，輥閘門門禁實際上包含授權和控制兩個環節，均由A區安保人員掌握。即開啟輥閘門放行人員，完全依賴A區驗證結果，B區沒有權限或機會對其合法性做判定。但輥閘門作為A、B區之間的唯一屏障，不僅具有隔離安全風險的功能，如果疏于防范也會向對方區域釋放潛在危險。輥閘門完全由A區安保人員掌控顯然違反了“風險共御、責任共擔”原則。

（2）AB門功能定位不夠準確，驗證方式有待改進。由于A門、B門均為合頁式結構，“一人一放行”顯然較為影響通行效率。為此，各單位普遍采取“一人一驗證，驗證通過后統一放行”的做法兼顧排查非法人員和提高通行效率。同時，A單位普遍要求信息系統可對進出事件進行分析[2]。表面看，該做法既達到了排查非法人員的目的，又滿足了信息分析要求，還避免了頻繁的門禁動作，但由于機器邏輯隱含先天不足，若其中有一人鑒權失敗，A區安保人員必須通過軟件拒絕開門，而后全部重新鑒權，機器邏輯才能排除非法人員。加之A門和B門外側區域并未配置額外的安保力量，無法有效防范“尾隨”人員跟隨混入，難以達到“一人一驗證”要求。假設進、出AB門有M人，那么進出一次將高達N＝9M次驗證，流程不僅繁瑣，而且毫無必要。

（3） AB單位網絡物理隔離，通行邏輯不夠嚴密。AB門由多個門禁組成，門禁之間應具備較強的相關性。實踐經驗表明，一組互為關聯的門禁系統，每個門禁的開啟條件不僅依賴當前驗證比對結果，還取決于前次驗證的合法性。一次正常的通行是多次授權的結果，多次授權和門禁動作共同組成一次閉合的通行邏輯。顯然，AB門的任何設備都不能孤立存在，必須在確定每個設備網絡歸屬的前提下，研究確定數據同步和通行邏輯問題，進而消除雙方網絡物理隔離帶來的影響。但是，無論是各單位工程規范性文件，還是技術性規范文件，僅就AB門人行通道出入口安裝生物識別設備，并聯動人工控制門禁做了明確回應，并未回答各類設備網絡歸屬、網間數據同步及人員通行邏輯等問題。

2 AB門管控改進方法

綜上分析，結合業務實踐，提出AB門人行通道管控“互不信任、最短路徑、信息對稱、邏輯閉合”四項原則。

2.1 互不信任原則

互不信任原則，即A區或B區經輥閘門向對方區域放行人員時，互不信任對方驗證比對的結果，而是必須在雙方授權的情況下，輥閘門方可開啟。本文摒棄傳統的“一字形”設置方法，對AB門空間布局做了改進，如圖1所示：區分進、出方向，將輥閘門按進、出兩個通道遞次部署，每個通道均縱跨A區和B區。進、出人員在每個通道依序分別部署于雙方網絡的驗證設備上進行驗證，并保證在雙重驗證均合法的前提下人員方可通行。分析改進后的人員進出流程：人員在流程“↑②”（離開核心安保區時為流程“↓②”）驗證合法的前提下，向流程“↑③”設備同步驗證合法信息。流程“↑③”設備在收到合法信息且本處（離開核心安保區時為流程“↓③”）驗證同時合法的情況下，輥閘門方可開啟放行人員，以滿足雙重驗證要求，避免A區安保人員權限過大、安全責任不易界定等問題。

2.2 最短路徑原則

在滿足每名進出人員至少兩次驗證的基礎上，減少A門和B門驗證人員數量、縮短平均驗證路徑、節省平均驗證時間、提高平均通行效率。經前文分析，基于A門和B門“合頁式”結構特性，且輥閘門處已有兩次驗證，在此處不再要求“一人一驗證”。以進入核心安保區為例（如圖1所示）：在A門外，僅驗證申請開啟門禁的B單位人員G（一般為B單位帶隊人員），保證其合法性，A區安保人員開啟門禁，放行全部人員進入A區。而后利用A單位A區認證設備和B單位A區認證設備先后進行初驗和復驗，達到每名進出人員至少進行兩次驗證的目的，確保驗證的準確性和通行的高效性。離開核心安保區時驗證方法與之相反。現假設進、出AB門有M人，那么進出一次僅有N＝8+4(M-1)次驗證，相比現行做法，單次進出人員越多，該方式的優勢越明顯。

圖1 AB門改進布局、門禁部署及查驗流程示意圖

2.3 信息對稱原則

A、B單位網絡物理隔離致使部署于不同網絡的設備缺少信息交互，形成了信息孤島，進而影響門禁邏輯和通行流程的完整性和嚴謹性。解決網絡物理隔離和數據交互問題是進一步研究通行邏輯的前置條件。本文采取的方法如下：（1）網絡設備歸屬。將訪客一體機及A單位安保人員控制的認證設備和門禁部署于A單位網絡，反之部署于B單位網絡。（2）數據同步內容。可歸納為3類信息表：A、B單位安保人員等較為固定的“內部人員信息表”（表1）、訪客等變動較大人員的“臨時人員信息表”（表2）、以上人員通行AB門產生的“驗證比對信息表”（表3）。由于除B單位帶隊人員G外，其他人員無需在A門、B門驗證，因此需設計Depend_Info字段，綁定G的SSN_Info信息，以證明該人員由G帶入。其余字段均為常規或各認證設備的認證結果信息。（3）數據生成時機。“內部人員信息表”根據人員變動情況實時生成；“臨時人員信息表”由訪客一體機錄入信息時生成；“驗證比對信息表”區分G和其他人員，分別在A門外認證設備和A單位A區認證設備驗證時生成（如圖2所示）。（4）數據同步時機。“內部人員信息表”根據人員變動情況實時同步；“臨時人員信息表”生成后即刻同步，確保在部署于B單位網絡的設備驗證時有據可依；“驗證比對信息表”在A單位A區認證設備驗證后，B單位A區認證設備驗證前（離開核心安保區時B單位B區認證設備為先驗設備、A單位B區認證設備為后驗設備）同步，為雙重驗證創造條件。（5）數據同步方式。“內部人員信息表”可使用光盤等介質同步；“臨時人員信息表”和“驗證比對信息表”使用TCP/IP協議同步將帶來較大的網絡安全風險，且該類信息具有變動性大、實時性強等特點，使用光盤等介質同步效率較低。由于RS485串口通訊數據交互協議由通訊雙方約定，在未知悉具體協定的前提下無法輕易解析數據，也無法構建有效數據對系統業務產生影響。加之臨時人員通行量較小，使用RS485串口通訊有足夠的時間同步較大的數據，完全滿足本應用背景下，不同TCP/IP網絡之間數據同步需要[3-4]。因此，本文在A單位網絡和B單位網絡之間部署了RS485串行通訊設備，在保證網絡安全的前提下，實現了相關信息的實時同步。

表1 內部人員信息表

表2 臨時人員信息表

圖2 人員通行流程和邏輯

2.4 邏輯閉合原則

業務實踐中，為便于A、B單位安保人員、備勤小組進入工作區域或增援處突，一般會在A、B區人行通道設置進出工作區域和備勤區域的門禁系統。由此，人員就有機會不經A門抵達A區，或不經B門抵達B區，進而帶來安全隱患，因此研究AB門通行邏輯具有重要意義。通行邏輯由正常通行邏輯和中途退出邏輯兩個層面構成，核心在于“每道門禁驗證時都應具備先決條件”，否則無法驗證成功。

在正常通行邏輯下,進出人員依序進行逐個設備驗證。以表3定義為例，在進入核心安保區時，B單位帶隊人員G在完成A單位A區認證設備驗證前，A_Outside_Result==1應為真。在完成B單位A區認證設備驗證前，A_Outside_Result&&A_A_Result==1應為真。以此類推，在完成B門內認證設備驗證前，A_Outside_Result&&A_A_Result &&B_A_Result==1應為真。同理，其他人員均由G帶入A區，其Depend_Info字段值應為G的SSN_Info值，在B單位A區認證設備驗證前，A_A_Result&&Depend_Info==1應為真。離開核心安保區與此類似。

表3 驗證比對信息表

（2）在中途退出邏輯下，個別人員可能因特殊情況需要中途退出AB門，但信息系統中既不能存在只進不出的人員，也不能存在只出不進的人員，如果軟件實現考慮不足，信息系統就會存在大量異常信息。本文在解決中途退出問題時，采取回溯表3進入核心安保區記錄的方式，在每一個環節，每一個區域，均考慮了中途退出情況，確保通行邏輯閉合。綜上，進入核心安保區通行邏輯如圖2所示，離開時與之相反。特別說明，臨時人員在B單位登記室錄入訪客信息時，已與B單位帶隊人員G作了綁定，本文要求系統再次作了校驗。

3 結語

AB門管控是安保業務的焦點和難點。本文分析了現行管控機制存在的問題，結合業務實踐對AB門空間布局、網絡歸屬、數據交互、通行邏輯等做了有益探索，為進一步嚴密管控機制和安防設備廠家生產實踐提供了借鑒。但混入與反混入、脫逃與反脫逃的矛盾永遠在動態發展中不斷演變，一線安保人員時刻會面臨新的風險挑戰，因此，進一步有機融合管控制度、業務實踐和科技手段，打造三位一體的管控機制才是提高AB門安全性的根本舉措。