网闸实施方案

网闸实施方案网闸部署方案组网结构实施步骤。外网这边的服务器按照现有的部署不变，测试时候通过9100放出相对应的端口进行匹配。而内网这边新拿两台5700EI做实验，连接内网交换机。同时在网闸上做策略测试邮件与加密。列出相关业务开放的端口。邮件：pop3、143、443、994、993、80、18080加密：5558、5580考试：80远程服务器：QQ远程端口、teamview、VNC、SSHxx电子政务网络改造网闸实施方案北京网御星云信息技术有限公司2011年6月一、业务需求本项目为洛阳市电子政务网络建设项目，全网分为直接与互联网相连的电子政务外网和与省政府及各区县电子政务内网相连的市政府电子政务内网（专网）两部分网络。其中，电子政务外网和电子政务内网（专网）为两张独立的子网，之间必须实现物理隔离。但当前存在电子政务内网（专网）用户访问电子政务外网服务器区OA系统的应用需求，需要通过合理的方式在保证电子政务内网（专网）与电子政务外网相互独立的前提下，实现电子政务内网（专网）用户到电子政务外网服务器区域OA系统的访问需求。根据上述的描述，在与洛阳市政府信息中心用户沟通后，决定在电子政务内网与电子政务外网之间放置安全隔离与信息交换系统（网闸）。这样既能保证两个子网之间的数据隔离，也能使专网用户访问到电子政务外网服务器区域的OA系统，同时满足了用户的访问需求及安全要求。本次项目采用的安全隔离与信息交换系统（网闸）部署在洛阳市政府电子政务内网（专网）与洛阳市政府电子政务外网之间。安全隔离与信息交换系统（网闸）外端机与电子政务外网核心区域放置的启明星辰USG4000DUTM相连，网关指向UTM，外端机通讯地址：172.30.4.2/30；内端机与电子政务内网（专网）服务器区域启明星辰USG2000C防火墙相连，网关指向防火墙，内端机通讯地址：。安全隔离与信息交换系统（网闸）外端机安全通道模块内配置服务器端的普通访问策略，内端机安全通道模块内配置客户端的普通访问策略。安全隔离与信息交换系统使用：1/2外网OA对内网终端开放10.101.1.13上的21端口、4357端口、88端口内网用户需要通过访问16.24.1.10的21端口、4357端口、88端口2/2安全隔离网闸解决方案安全隔离网闸解决方案目录12前言1需求理解..22.1网络现状.22.2常规业务所面临的主要问题.22.3若直接连接内部、外部网络的安全隐患 22.4网络安全需求分析..32.5业务安全目标 32.5.1短期目标 32.5.2长期目标 3解决方案・・43・1设计目标・43・2解决方案.43.2.1解决方案一・・・43.2.2解决方案二.・・53.2.3基本功能实・・・53・3安全隔离网闸技术特色……63.3.1技术特点 63.3.2安全隔离网闸功能特性.73第i页安全隔离网闸解决方案1刖言Internet作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数己经达到4580万人，而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户，为商家提供了无限商机。同时，若通过Internet中进行传统业务，将大大节约运行成本。据统计，网上银行一次资金交割的成本只有柜台交割的13%。面对Internet如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用Internet这种新的运作方式，以适应面临的剧烈竞争。为了迎接WT0的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。但是作为基于Internet的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行，我们必须采用更先进的办法来解决这些问题。目刖，出现了一种新的网络安全产品联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息交流服务。1安全隔离网闸解决方案2需求理解2.1网络现状常规业务数据交换网络拓扑常规业务网络拓扑图2.2常规业务所面临的主要问题常规业务所面临的主要问题：1、实时性差2、工作量大3、容易造成人为的失误4、运行费用高5、很难实现7（天）X24（小时）的不间断服务6、业务扩展困难2.3若直接连接内部、外部网络的安全隐患若直接将两个网络连接起来，将出现以下安全隐患：1、来自网络外部非法用户的攻击和越权访问等。2、网络病毒的破坏。3、来自内部网络合法用户的无意泄密。第2页安全隔离网闸解决方案2.4网络安全需求分析1、 防止内网的主机遭受非法用户的非授权访问或恶意攻击。2、 加强对各种交流信息的检测，其中包括：检测来自内部和外部的数据内容。3、 加强对各种交流信息的病毒扫描和清除，其中包括：检测来自内部和外部的数据内容。4、 加强对各种交流信息的日志审计。2.5业务安全目标业务量越来越大，业务种类越来越多，对业务的性能要求越来越高，为了更好的、更有效的、更方便、更安全地提供网络业务服务，是实现业务的目标。实施网络安全系统项目，整体规划网络安全系统，作好以下几个方面的规划和实施：保密性、安全性、完整性、可用性。2.5.1短期目标目前迫在眉睫的工作是保护整个系统的网络完整性、系统的完整性及系统可用性，建立安全的网络逻辑结构，为今后的实施保密性奠定基础。网络完整性主要是对网络系统的保护，通过设置安全隔离网闸等保证通讯安全，保证系统资源受控可用；系统的完整性是信息系统的保护主要有防病毒、风险评估、入侵检测。2.5.2长期目标全面部署整体安全防御系统，巩固和完善网络安全及管理系统，使网络业务更好的行使职能。第3页安全隔离网闸解决方案3解决方案3.1设计目标1、 将内部网与其它外部网络安全隔离，拒绝非法访问，恶意攻击，保护网络边界的安全。2、 抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。3、强化对网络的控制，确保关键业务的网络带宽。3.2解决方案3.2.1解决方案一该方案使用安全隔离网闸的数据库同步方式，实现业务数据库和业务数据库副本之间的同步，使这两个数据库部分或全部内容实时地保持一致，从而实现业务数据的共享。对己有的业务系统进行改造是一个非常好的方案。第4页安全隔离网闸解决方案3.2.2解决方案二该方案使用安全隔离网闸的文件交流方式，web服务器将接收到的请求转换成文件，通过安全隔离网闸传输到业务网，业务网处理完该数据后，再将结果转换成文件通过安全隔离网闸传输给web服务器，从而实现业务处理。该方案比方案一成本低，但业务系统必须针对安全隔离网闸进行开发。对于新建的网上营业厅也是一种很好的方案。3.2.3基本功能实为保证网络系统安全可靠的运行，保障系统资源受控合法的使用，安全隔离网闸应具有或实现以下功能：1、 物理层安全隔离：在业务网和互联网之间必须实现严格的物理层安全隔离。防止通过安全隔离网闸从互联网直接与业务网相连。因此选用的安全隔离网闸产品必须具有严格的物理层隔离功能。2、 关键字过滤：对通过安全隔离网闸的数据，必须经过内容检测，保证进出内外网信息的合法性。因此选用的安全隔离网闸产品必须具有严格的关键字过滤功能。3、 查杀病毒：为了防止病毒通过安全隔离网闸从互联网扩散到业务网中，必须对经过安全隔离网闸的数据进行病毒的扫描和清除。因此选用的安全隔离网闸产品必须具有扫描和清除病毒的功能。第5页安全隔离网闸解决方案4、 日志审计：对经过安全隔离网闸的数据需要有详细的日志记录，便于安全审计和责任追宄。因此选用的安全隔离网闸产品必须具有详细的日志记录功能。5、 对信息流动方向的控制：由于业务需要，可能只需要实现数据的单向传输，即数据只从互联网传输到业务网，或只业务网从传输到互联网，因此选用的安全隔离网闸产品必须具有控制数据的单/双向流动功能。6、 实时性：业务系统对数据交流的实时性要求非常强。7、高性能：业务系统对数据交流的数据量要求特别大。3.3安全隔离网闸技术特色3.3.1技术特点1、物理层安全隔离遵循严格物理隔离的原则，在系统内设有安全开关。假设为了实现外网与内网之间的信息交流，当网闸开关模块与外网主机模块连接时断开与内网的通路；同理，当网闸开关模块与内网主机模块连接时断开与外网的通路，从而确保实现了网络间的物理隔离，提高了系统的安全性。2、关键字过滤可以根据设置的关键字对收、发或收发双向的文件内容进行过滤，保证进出内外网信息的合法性。3、 查杀病毒集成了专业杀毒公司的查杀毒引擎，能实现对交换的数据进行实时的病毒监测和清除。4、 日志审计带有日志审计功能。对于通过安全隔离网闸进行的信息交流，系统会自动记录日志，管理员可随时查看日志，方便管理。5、 信息单向或者双向流动系统所解决的信息交互问题是指外网信息通过网闸开关模块进入内网和内网信息通过网闸开关模块发送到外网，因此信息是双向流动的。同时也可以通过第6页安全隔离网闸解决方案设置屏蔽某个方向的信息流动，使之成为单向传输。6、高速的安全电子开关系统所采用的安全电子开关支持网络间信息的高速传递，安全隔离开关支持多种网络带宽，满足网络间信息高速交换的要求。同时，数据延时非常小，最小数据延时为50毫秒，最大数据延时为0.7秒。7、易用性本系统采用基于web的管理方式，使用非常方便。3.3.2安全隔离网闸功能特性1、文件交流功能1） 、自定义安全传输协议：系统在底层采用自定义的安全传输协议，自行完成对文件的分片、传递工作，在另一端负责对其进行重组、检测。在保证安全性的同时，这种措施也保证了在传输大文件时，文件的完整性和延时最小的特点。2） 、定时、实时文件交换：系统可以按照配置，定时将某个目录下的文件自动的传输到另一网络的某台主机上。也可以通过编程接口，向网闸提交文件，这个文件将被立刻发送，没有延时。3） 、支持单向、双向文件交换：可以进行传输方向的控制。文件可单向传输，也可双向传输。4） 、支持数字签名：系统要求用户传输的文件都必须附带数字签名。网闸对数字签名进行校验，校验可以起到身份认证、防否认的作用。5） 、支持内容过滤：系统支持基于白名单、黑名单的内容过滤机制。6）、支持病毒检查：系统捆绑商用防病毒软件，对传输的文件进行杀毒。2、邮件同步1） 、支持标准的SMTP服务2） 、本身具有邮件服务器模块：无论用户有或者没有邮件服务器，此邮件服务器均可部署。保护用户己有投3） 、安全、高可用性的邮件过滤策略：支持垃圾邮件过滤、数字签名校验、杀病毒、内容过滤。第7页安全隔离网闸解决方案4） 、可为每个用户配置不同的邮件交换策略：可单向交换、双向交换、禁止交换。5） 、内外网邮件镜像：系统可以将内网邮件服务器的部分或全部用户的邮箱在外网邮件代理上做镜像，从而使内网用户在外网环境下使用外网邮件代理进行收发邮件成为现实。6） 、支持web方式：支持web方式下的邮件收发、邮件回复、邮件转发等功能。系统完善的接口，使用户可以根据自己的需要自由定制自己的web邮件系统。3、数据库同步1） 、双向/单向数据同步：数据库同步可以是双向的，即在系统运行期间，内外网数据库中变化的内容可同时更新到对方数据库中，也可以是单向的。2） 、同步内容可定制：数据库同步的内容可以是整个数据库，也可以是数据库中部分表。用户可根据需求，设置和修改需要更新的内容。3） 、多种同步方式：系统提供全表更新、增量更新和全表复制等多种同步方式，用户可根据实际情况加以选择，以适应不同应用在数据库结构上对数据库同步的不同要求。4） 、数据可定时更新：可根据客户需求定制数据库的更新周期，定时自动更新数据库。5） 、支持多种数据库：支持0racIe、Sybase、lnfomix、DB2、SQLServer、Acce、MySql等多才中主流数据库。6） 、支持多种操作系统：基于Java平台，可支持多种操作系统。第8页需求分析某公安局网络安全报警处置中心发现网络犯罪、处置网络犯罪虚拟与现实之间架起的一座安全桥梁。报警处置中心可以对党政机关、金融机构、新闻媒体、能源交通、邮电通信、科研院所、大专院校、军工企业等重要领域的计算机信息系统，实施远程实时在线监测。对病毒侵蚀、黑客攻击、破坏系统以及其他网络违法犯罪行为，将实现实时预警、报警、应急响应和现场控制，打击网络犯罪有了一张无形有质的巨网。将24小时不间断接受来自网络的报警。报警者只需在该网站填写一张“报警单”（包括报警人的姓名、联系方法、报警内容等信息），而这些信息对外则完全保密。如何保护内部数据的安全是目前一个很重要的问题。某公安局网络的网络现状某公安局网络现在的网络拓扑图：2.1网络结构说明某公安局报警处置中心网和公安内网通过交换机组实现了网络的互联。3、 某公安局网络隔离与信息交换建设需求鉴于现有的网络状况，依据我某公安局信息化建设的规划，此次建设应达到以下目标：某公安局网闸使用建议方案1、 从管理和技术角度上，建立多层安全体系，保证局域网信息和各应用系统的安全性、保密性。同时在保持报警处置中心网和公安内网物理隔离的同时，进行适度的、可控的的数据交换。保护某公安局内部网络的安全，实现隔离，防止外网黑客的攻击。2、 实现报警处置中心网服务器和公安内网服务器之间的数据交换3、 对某公安局各个部门人员文件交换、上网进行身份认证控制，并实现分组管理。4、详细记录每个人员工通过网闸文件交换、上互联网及邮件传输日志，做到有案可查。4、某公安局网络隔离与信息交换设计拓扑图根据对某公安局网络建设需求分析，我们提出某公安局网络隔离与信息建设方案。根据某公安局的网络安全需求，我们在改变原结构情况下做统一平台管理规划。改造后的总体网络拓扑结构图：我们把TIPTOP物理隔离网闸内口联接某公安局报警处置中心网中心交换机，网闸外口连接某公安局电子政务交换机。通过网闸实现了某公安局报警处置中心与某公安局公安内网的隔离，但也可以实现一定安全度上的数据交换。通过TIPTOP网闸，某公安局报警处置中心网和公安内网的服务器能够进行数据交换。TIPTOP网闸还实现了对某公安局报警处置中心网和公安内网各部门文件交换身份认证与管理。新湖镇大闸小学平安校园建设实施方案为进一步加强学校安全管理，确保广大师生人身财产安全，以实际行动迎接党的十八大胜利召开，特制订本方案。一、 指导思想以邓小平理论和“三个代表”重要思想为指导，认真贯彻落实科学发展观，坚持以人为本和“安全第一，预防为主，综合治理”的方针，落实中央、省、市、县关于安全工作的一系列部署和要求，有效防止各类安全事故发生，确保政治更加稳定、校园秩序更加优化、法治环境更加规范，保障广大师生生命财产安全，创造安全稳定的校园环境。二、 创建目标通过开展平安校园建设活动，使广大师生安全意识进一步增强，安全管理更加规范，育人环境更加优化，师生防范能力明显增强，家长及社会对学校的满意度明显上升，确保校园内部和周边不出现任何问题。三、 主要任务（一）加强安全和法制教育，提高师生安全防范意识和自救自护能力1、 加强法制教育，努力增强学生法律意识。推进学校法制教育规范化，把法制教育纳入必修课，增强法制教育的针对性和实效性。坚持法制教育形式多样化，采取上法制课、主题队会、法律知识竞赛等多种形式，加强法制教育宣传，大力提高学生的法律意识。2、 举办法制教育及心理健康教育专题宣讲活动，普及法律知识和心理健康常识，提高学生的自我保护意识和防范能力。3、 家校联合，共同推进学生的法制意识和安全意识。学校通过召开法制教育及心理健康教育专题家长会等形式，集思广益，共同研究如何在小学生中进一步加强法制宣传教育和心理健康教育，客观分析当前学校安全工作存在的问题，有针对性地采取进一步优化校园环境的各项措施。4、构筑载体，开展多种形式的法律法规宣传教育。学校将举办以“遵纪守法从我做起”为主题的征文比赛和演讲比赛，组织学生人人参与，让他们切实感受到法律就在身边，充分认识到遵纪守法的必要性。5、加强师生安全教育，提高师生安全防范能力。积极采取各种形式，普及师生交通安全、交通法规、安全用电、防火、野外生存等安全知识，如何预防意外事故发生、溺水、触电、食物中毒、煤气中毒、药物中毒等急救常识，体育运动损伤、火灾、地震的避险救护等基本急救常识。通过采取消防紧急情况下自救自护演练、安全趣味运动会等多种活动，提高师生处理应急事件的能力。（二）维护校园治安，优化育人环境1、 全面落实学校安全工作责任制。明确学校安全责任人，层层落实责任制，签订安全目标责任书，逐步确立全员安全责任意识，建立健全学校安全管理制度和突发事件处置工作预警预案体系，制定安全工作应急预案，根据应急预案实施演练，建立畅通的信息传输渠道和严格的信息上报制度。2、 加强校园的人防、物防、技防和心防建设。提高安全防范设施的使用效能，建立完善校园报警系统或视频监控系统，提高校园安全防范的科技含量和实效，形成人防、物防、技防、心防于一体的安全防护网络。3、 加强学校门卫安全管理。严格实行来访登记，必要时实行验证检查。4、 严格校园值班巡逻、登记制度。对校园的建筑物、围墙、门窗、防护设施等进行全面检查，安全通道畅通，安全隐患及时整改。四、方法步骤（一） 宣传发动阶段（8月20日一8月31日）。成立相应的组织机构，结合各自实际，制订创建方案，明确目标任务，召开动员会议，进行宣传发动，营造浓厚氛围。（二） 组织实施阶段（9月1日一10月31日）。按照实施方案要求，精心组织安排，狠抓工作落实，确保平安校园创建活动取得实效。（三）检查验收阶段（11月1日一11月30日）。学校按照《东平县平安校园建设实施方案》要求，自查自评，然后迎接县里检查验收。（四）建立长效机制阶段（12月1日一12月31日）。和学校，根据职责分工和工作实际，建立健全各项长效管理制度，巩固和扩大平安校园创建成果，推进学校和幼儿园长治久安。五、工作要求1、加强领导，落实责任。为加强对“平安校园建设”的组织领导，学校成立由校长任组长的领导小组，负责整个活动的综合协调、组织推进、督办落实。3、强化宣传，营造氛围。在加强平安校园建设活动期间，采取灵活多样的宣传方式，加强宣传报导。充分利用升旗仪式、国旗下的讲话、队会、主题班会、手抄报、法制讲座等形式加强宣传，营造平安校园建设的浓厚氛围。出入口门禁控制系统解决方案第一部分门禁管理系统第一章前言随着二十一世纪的到来，人们逐步跨入了信息时代，建筑大楼的智能化建设方兴未艾，传统的钢筋水泥建筑被赋予聪慧之神经，借助各种智能系统，人们稳居帐中便可驰骋在信息高速公路上，决胜于千万里之外。出入口控制系统技术正广泛应用于社会的各个领域，在智能化大楼建设中也不例外。我公司近几年来通过对智能化大楼工程的实践，深感出入口控制对于小区的公共安全防范有着举足轻重的作用。首先，该技术扩展了智能化系统集成的应用范围，不但可以实现系统内部各分系统之间的信息交换、共享和统一管理，而且可以实现出入口控制系统与其他弱电系统之间的信息交换，统一管理和联动控制。其次，出入口控制系统技术增强了整个智能化小区的总体安保功能。出入口控制系统的应用，目前已经覆盖了人员身份识别、电子门禁、电梯控制、车辆进出口管理、保安巡更管理等等。由此可见，出入口控制系统已经渗透到了物业管理和业主生活的各个环节，使得各项管理工作更加高效、科学，为物业管理人员及业主日常的工作和生活带来便捷和安全。第二章综述在工厂、学校、科研机构、公司、医院、住宅、监狱、宾馆等多种场合，为了工作、生活的安全与有效，需要进行封闭式管理。传统的方法是传达室工作人员对出入人员进行登记放行。这种方法费事、费力又容易造成差错。随着技术的进步、出现了电子化的门禁系统来进行出入口的自动管理。门禁系统采用个人识别卡方式工作。给每个有权进入的人发一张个人识别卡，相当于一把钥匙。系统根据该卡的卡号和当前时间等信息,判断该卡持有人是否可以进入（或出去），如果可以，则系统自动开门.否则，则不开门。对于工厂、机关等需要考勤的场所，门禁系统还可以记录每个职工是否按时上下班。门禁系统的另一优点是可以随时增加和删除某一卡。而不必担心某一卡丢失后造成什么损失。门禁系统由读卡器、控制器、电磁锁、识别卡和计算机组。对识别卡读卡器来说,可分为两大类，即接触式和非接触式。所谓接触式的卡和读卡器是指必须将识别卡插入到读卡器内或在槽中划一下，才能读到卡号。如:磁卡,这类卡和读卡器有着不可避免的缺点，如:磁卡型的易受强磁干扰而丢失数据、易被复制，在摩擦、湿、热等条件下易丢失数据、使用寿命短。所谓非接触式的卡和读卡器相距一定的距离时就可以读出识别卡内的数据。显然，这种卡的使用非常方便，只要将卡挂在胸前，放在衣袋内、包件内走到门前，门就会自动打开。控制器是门禁系统核心。它由一台微处理机相应的外围电路组成。如果将读卡器比作系统的眼睛,将电磁锁比作系统的手，那么控制器就是系统的大脑,由它来决定某一张是否为本系统已注册的有效卡，该卡是否符合所了限定的时间段。从而控制电磁锁是否打开。为了更安全、合理的对进出人员的管理，本公司针对这一特定单位的特点选用了目前世界上先进的出入口管理系统一BIOCARD系列门禁系统。本系统可实现对主要场所进行监控管理；包括重要办公室、主要出入通道等，同时BIOCARD系列门禁软件兼容巡更软件。本系统主要有三部分组成：感应式读卡器、门禁控制器、通讯转换器、管理软件等。第三章系统设计依据、建设目标和设计原则1、 设计依据（1） 《民用建筑电气设计规范》（JGJ/T16-92）（2） 《建筑及建筑群综合布线系统式程设计规范》（CECS89-97）（3）《建筑与建筑群智能化工程设计规范》（EDB-03-95）（4）《安全防范工程程序与要求》（GA/T75-94）（5）《安全防范系统通用图形符号》（GA/T74-94）（6）《新疆维吾尔自治区公共安全防范工程管理暂行规定》2、 系统总体建设目标出入口管理系统可建立在大楼结构化综合布线系统之上，运用先进的计算机网络技术，通信技术及非接触式卡片技术，并将其整合为一体，同时可建立在大楼得到安防系统上，为大楼的各项功能提供现代化手段，以提高管理质量和水平。3、 设计原则（1）先进性出入口控制系统的建设要立足于当今世界先进且有发展前途的技术，由此实现的系统能随着未来信息技术的发展而不断平滑升级，（2）实用性出入口控制系统应充分体现内部管理的模式和特点，各应用系统的开发，应做到功能完善、使用方便、切合实际、运作高效。（3）安全性•系统采取服务器上安装防火墙软件、网络数据库备份。•采用工作站/服务器的体系结构，即使系统服务器出现故障，各站点仍能按单机操作方式工作，而不会使整个系统瘫痪。•系统采用严格的分级管理技术，管理人员分级按权限操作，有效地避免了非法越级操作。•控制器具备一定容量的数据存储能力，因此在总线出现问题，导致工作站与控制器之间无法实现实时通信时，控制器能够实现一定时间的脱机运行，保证系统数据的完整性和控制的安全性。•实时更新黑名单等多种有效措施，确保整个系统的安全性。（4）拓展性系统在容量和功能上不仅能满足目前用户的需求，而且也易于扩展以保障用户今后的扩容和升级，如：系统可以灵活增设硬件设备，实现快速查询。第四章系统解决方案及设备选型依据1、系统功能描述当用户进门时只需持卡靠近读卡器进行读卡对比，读卡器接到卡片信息后，门禁控制器首先判断该卡号是否合法。如合法则发出“滴”一声，绿灯点亮，同时开锁，并将该卡号、日期、时间等信息保存以供查询。否则门不打开，红灯亮，蜂鸣器发出“滴滴”两声。门禁系统主要功能有：（1）存储功能控制器将读卡器传来的所有记录信息存储于EEPROM中，并与事先设定的内部信息核查对比、整理加工、以作为查询或考勤的详细资料。（2）集中管理功能工作站可建立用户资料库：用户1、用户2等，定期或实时采集每个门的进出资料，同时可按各用户进行汇总、查询、分类及打印等。控制器的各种参数均可通过门禁管理工作站设置。（3）权限管理功