門禁系統(tǒng)是出入口控制系統(tǒng)的通俗稱謂，是對人員及物品的流動采取控制和管理的措施，在通常設計應用中把門禁系統(tǒng)僅僅作為對目標人員的管制是不夠全面的，在公安部GA/T394-2002《出入口控制系統(tǒng)技術要求》和國家標準GB50396-2007《出入口控制系統(tǒng)工程設計規(guī)范》中要求該系統(tǒng)必須具有放行、拒絕、記錄、報警這四個基本要素。門禁系統(tǒng)在安全技術防范中被稱為是一種主動式的防范系統(tǒng)，該系統(tǒng)不但能對人員及物品的流動做出有效的授權確認，還能迅速地完成識別、判斷，及時發(fā)出“放行”或“拒絕”的指令，同時將所有出入信息都被記錄保存，如果系統(tǒng)受到威脅和破壞，系統(tǒng)還應具有自身保護和報警功能。 

　　在GB50396-2007《出入口控制系統(tǒng)工程設計規(guī)范》國家標準中規(guī)定了五條為強制性條文，要求必須嚴格執(zhí)行。然而在實際項目設計中，有以下問題容易被忽視，甚至造成系統(tǒng)的嚴重缺陷。 

　　設備選型與系統(tǒng)防破壞和防技術開啟能力要求 

　　系統(tǒng)設計時應根據(jù)項目的安全等級要求，來選擇出入口控制系統(tǒng)的設備，這里主要指的是系統(tǒng)的防護能力，特別是防護面所用設備的防破壞能力、防技術開啟能力。在GB50396-2007《出入口控制系統(tǒng)工程設計規(guī)范》國家標準中將系統(tǒng)設備的這種防護能力由低到高分為A、B、C三個等級。但是必須指出的是，很多人錯誤地把“防破壞”理解為“防設備破壞”。而正確的應要看位于防護面的設備遭到破壞性攻擊時，出入口不被開啟的能力。如安裝在某出入口防護面的讀卡器，只用了1分鐘就遭到破壞性攻擊后徹底損壞了，但隨后的30分鐘內(nèi)，破壞者卻一直未能將出入口開啟。而另一個位于出入口防護面安裝的是一臺外觀非常堅固的一體化門禁機，企圖入侵者花了10分鐘才將它破壞，但隨后只用了1分鐘就把出入口打開了。這就是說外觀雖然非常堅固的后者防破壞能力反而不如前者。在實際應用設計中，要根據(jù)不同的安全等級與管理要求來選擇系統(tǒng)與產(chǎn)品，滿足“防破壞”及“防技術開啟”的要求。特別是要慎用識別、控制為一體的門禁機，包括有些指紋機其RESET鍵都暴露在防護面，只要有人破壞，用細針輕輕一點，所有存儲的信息資料全會被清除。 

　　控制設備安裝位置與系統(tǒng)自身的安全等級 

　　GB50396-2007《出入口控制系統(tǒng)工程設計規(guī)范》的強制性條文中對設備的安裝位置作出了明文規(guī)定，第6.0.2中的第2條指出：采用非編碼信號控制或驅(qū)動執(zhí)行部分的管理與控制設備，必須設置于該出入口的對應受控區(qū)、同級別受控區(qū)或高級別受控區(qū)內(nèi)。 

　　因為在出入口控制系統(tǒng)的設計中，經(jīng)常會采用多門門禁控制器，也就是說一個控制器能控制多個讀卡器，如雙門讀卡器、四門讀卡器、八門讀卡器等。但對于設計多門控制器的安裝位置，就更容易會涉及到系統(tǒng)本身的安全等級。請看圖示1： 

　　圖示1是標準的單門禁控制系統(tǒng)的安裝位置設計，由于出入口控制系統(tǒng)本身的特點，大多數(shù)情況下除了讀卡器只能安裝在受控區(qū)外面、處于防護面外，其控制器和電控鎖都應設計安裝在受控區(qū)內(nèi)，設備均處于非保護面，不會直接暴露在外而容易遭受破壞。但當設計采用多門控制器時，又應當如何來確定其安裝位置呢？ 

　　圖示2是一臺雙門控制器用于控制A區(qū)、B區(qū)的出入門，當設計A區(qū)、B區(qū)為同一級的受控區(qū)，控制器安裝在A區(qū)或B區(qū)都可以。但當要求A、B兩區(qū)為不同級的獨立受控區(qū)，控制器不管設計在哪個區(qū)都存有安全隱患。這是因為目前的控制器基本都是采用直流或脈沖信號等非編碼信號來直接驅(qū)動電控鎖具的，因此當控制器設計安裝在A區(qū)，B區(qū)就不安全；反之設計安裝在B區(qū)，A區(qū)就不安全。圖示2注示※處為最易遭攻擊的薄弱點。 

　　如果要求設計其中一個區(qū)的安全級別更高，那么可見圖示3，控制器應設計安裝在高級別的G區(qū)內(nèi)。 

　　圖示4是一個出入口控制系統(tǒng)綜合的設計案例，其中A、B、E區(qū)是工作室，工作人員既可進入A區(qū)，也可進入B區(qū)、E區(qū)，均為同級控制區(qū)，因此考慮在B區(qū)設計安裝一臺多門控制器；C區(qū)、D區(qū)為非同級的獨立控制區(qū)，分別有負責化學品和資料檔案的專人進出管理，所以在C區(qū)不能共用安裝在B區(qū)的控制器，只能在C區(qū)單獨設計一臺控制器。D區(qū)因緊連試驗室，而試驗室又將G區(qū)定為最高級別核心試驗室，這就可以在G區(qū)設計一臺多門控制器來控制G、F、D區(qū)。當然能進入F區(qū)的試驗人員不一定能進入G區(qū)核心試驗室；反之能進入最高級G區(qū)的人員一定能進入F區(qū)。D區(qū)的控制是來自安裝在最高級的G區(qū)控制器，因此該區(qū)的安全等級不會受影響。 

　　但是，D區(qū)的信號、控制線纜是經(jīng)過試驗室F區(qū)再到達G區(qū)控制器的；同樣在B區(qū)控制器連接E區(qū)的線纜也經(jīng)過了一個非控制區(qū)，為了保證控制區(qū)的安全等級，這就對系統(tǒng)管線的敷設也就提出了安全要求。 

　　另外，控制器設計安裝在監(jiān)控中心也是常見的，而且監(jiān)控中心一般都承擔編程設置、數(shù)據(jù)存儲與實時監(jiān)控任務，進入監(jiān)控中心的人員有可能通過各種手段對高級別受控區(qū)實施開啟。為保證系統(tǒng)的安全性，監(jiān)控中心要設置為系統(tǒng)的最高級別受控區(qū)。如果不是系統(tǒng)最高級別受控區(qū)，應對控制器、管理電腦、接口設備和網(wǎng)絡線纜加強保護，并應有對監(jiān)控中心采取監(jiān)控錄像的防護措施。 

　　執(zhí)行部件輸入線纜最易受到攻擊 

　　在出入口控制系統(tǒng)的設計中除了要根據(jù)受控區(qū)布局及其級別要求，來考慮現(xiàn)場設備的安裝位置，還有連接線纜的防護措施等因素也直接關聯(lián)到系統(tǒng)的安全。特別是執(zhí)行部件的連線離開本受控區(qū)、同級別受控區(qū)、高級別受控區(qū)敷設時，有可能成為被攻擊的薄弱點，就以圖示4的案例來分析，見圖示5： 

　　連接受控區(qū)E的執(zhí)行部件連線是經(jīng)過一段非控制區(qū)再進入在B區(qū)的控制器，所以當這一段線纜遭攻擊后，就很容易將E區(qū)打開；同樣D受控區(qū)的執(zhí)行部件盡管是經(jīng)過受控的F區(qū)再進入高級G區(qū)的，然而D區(qū)的要求是一個非級別的獨立受控區(qū)，如圖的設計也可能會在F區(qū)的線纜遭到攻擊后被打開。 

　　所以在GB50396-2007《出入口控制系統(tǒng)工程設計規(guī)范》的強制性條文中第7.0.4中規(guī)定：執(zhí)行部分的輸入電纜在該出入口的對應受控區(qū)、同級別受控區(qū)或高級別受控區(qū)外的部分應封閉保護，其保護結(jié)構的抗拉伸、抗彎折強度應不低于鍍鋅鋼管。由此可見，在設計這些部位的線纜一定要嚴格采取防護措施，減小其對安全等級的影響。 
　
　　另外在平常的大樓標準樓層的門禁系統(tǒng)設計時，經(jīng)常會遇到這樣的建筑結(jié)構布局，見圖示6： 

　　中間是一個建筑筒體，設置有電梯、強、弱電間、管道井等；一公共走道的外圈是建筑用房，常規(guī)的門禁設計均會把控制器放在現(xiàn)場的弱電間內(nèi)，而連接各功能用房的讀卡器、電控鎖線纜均走在公共走道的上方吊頂內(nèi)。這樣的系統(tǒng)設計安全系數(shù)就大大地減下來了，對此除了要加強公共走道吊頂上管線的防護措施，另外還要對弱電房（或井）采取防護措施，加強對控制器的保護，這些往往在設計工作中會被忽視的。 

　　出入口控制和消防緊急疏散 

　　出入口控制系統(tǒng)是一種主動式防范系統(tǒng)，在正常情況下，其執(zhí)行部件結(jié)合物防設施，形成有效的阻擋作用。但是，一旦遇到緊急情況，尤其是在建筑物中發(fā)生火災，快速疏散成了主要問題。為了安全起見，這就要求出入口控制系統(tǒng)和火災報警系統(tǒng)實現(xiàn)聯(lián)動，也有人簡單地將火災報警一旦發(fā)生，馬上聯(lián)動出入口控制系統(tǒng)，將所有受控區(qū)門全部打開，這是片面的、也是不合理的。應該根據(jù)建筑物和消防分區(qū)的現(xiàn)場實際情況來設計聯(lián)動，開啟相關的受控門。某些特殊的庫房門、重要的檔案室在緊急的情況下，不但不能隨意開啟更要求嚴加保護，只能對那些相關聯(lián)的疏散通道門用于閉鎖或阻擋作用的出入口控制執(zhí)行部件應能立即自動釋放，確保人員能迅速安全撤離。 

　　不可忽視的應急逃生按鈕 

　　有了消防聯(lián)動控制，是否就不需要再設計安裝緊急逃生按鈕？這里有兩個問題：一是消防聯(lián)動控制只能是接收火災報警信號來聯(lián)動釋放出入口控制執(zhí)行部件，如果在門禁建筑場所內(nèi)發(fā)生氣體泄漏、騷亂等其他突發(fā)事件而急需緊急疏散時，消防聯(lián)動控制是不起作用的，所以在國家標準GB50396-2007《出入口控制系統(tǒng)工程設計規(guī)范》的強制性條文中第9.0.1中規(guī)定：系統(tǒng)必須與火災報警系統(tǒng)及其他緊急疏散系統(tǒng)聯(lián)動，當發(fā)生火警或需緊急疏散時，人員不使用鑰匙應能迅速安全通過。二是消防聯(lián)動控制的方法一般有兩種，一種是門禁與消防兩個系統(tǒng)的協(xié)議開放、用軟件集成的方法；另一種是通過繼電器的干接點來聯(lián)動相對應的控制器。這些信號的執(zhí)行傳輸靠得還是電線電纜，當火災發(fā)生時控制器、傳輸電纜也都有可能已受到了火焰的攻擊而遭破壞。 

　　所以要保證系統(tǒng)的萬無一失，設計安裝緊急逃生按鈕是必不可少的。這種緊急逃生按鈕應安裝在通向疏散通道方向內(nèi)側(cè)的非防護面，其控制的對象不是門禁控制器、也不是出門按鈕，而是直接控制釋放出入口控制系統(tǒng)的執(zhí)行部件。這樣當發(fā)生火警或需緊急疏散時，只要在通向疏散通道方向內(nèi)側(cè)的非防護面就地破碎玻璃按鈕，便能立即開啟后快速通過，達到安全疏散的目的。