Anti-passback trong data center hoạt động như thế nào?

Anti-passback (APB) ngăn một người dùng credential của mình để mở cửa cho người khác theo vào sau (tailgating). Hard APB: nếu A đã được ghi nhận là vào phòng (vào lúc 10:00), thì đến 10:05 hệ thống sẽ từ chối credential của A tại lối vào cùng phòng đó — A phải ra trước mới được vào lại. Điều này bắt buộc mỗi người phải quét riêng, không thể một người giữ cửa cho nhiều người lọt vào.

Mantrap là gì và khi nào cần lắp?

Mantrap (hay airlock) là khoang đệm giữa 2 cửa bảo mật: người phải qua cửa 1 → chờ trong khoang → qua cửa 2. Cửa 1 chỉ mở khi cửa 2 đóng và ngược lại. Camera trong khoang xác nhận chỉ 1 người đang trong khoang. Mantrap là biện pháp chống tailgating vật lý tuyệt đối — không thể lọt vào dù đứng sát nhau. Tier 3–4 data center bắt buộc mantrap tại cửa phòng máy chính.

ISO 27001 yêu cầu gì về KSRV server room?

ISO 27001:2022 Annex A 7.2 (Physical Entry) yêu cầu: kiểm soát ra vào khu vực xử lý thông tin có tài liệu/quy trình; log tất cả truy cập (ai, lúc nào, thời gian bao lâu); audit định kỳ log truy cập; thu hồi quyền ngay khi nhân viên nghỉ việc; kiểm tra quyền truy cập tối thiểu mỗi 6 tháng. Hệ thống KSRV của An Ninh Số có module export báo cáo đúng format cho audit ISO 27001.

2-factor (face + PIN) có thực sự cần thiết cho server room nhỏ không?

Phụ thuộc vào mức độ nhạy cảm dữ liệu. Nếu server room lưu dữ liệu khách hàng, dữ liệu tài chính, hoặc thuộc phạm vi PCI DSS/ISO 27001: có, bắt buộc 2-factor. Nếu chỉ là server nội bộ nhỏ không lưu dữ liệu nhạy cảm: face ID đơn lẻ là đủ. An Ninh Số sẽ đánh giá mức độ rủi ro và đề xuất phù hợp — không bán 2-factor khi 1-factor là đủ.

Mất điện thì server room KSRV xử lý thế nào?

Data center không thể có downtime do mất điện. Giải pháp: (1) UPS riêng cho toàn bộ hệ thống KSRV, tách biệt với UPS server; (2) Controller lưu offline — quyền truy cập và log được xử lý cục bộ ngay cả khi mất kết nối server trung tâm; (3) Fail-Secure: cửa khóa khi mất điện (không mở toang) — nhân viên cần key cơ khí khẩn cấp; (4) Generator backup tự khởi động trong 10–30 giây.

Video surveillance trong server room có cần tích hợp với KSRV không?

Có, và đây là best practice. Tích hợp VMS + KSRV: khi có sự kiện KSRV (cửa mở, cảnh báo tailgating, credential bị từ chối), hệ thống tự động hiện video clip camera tương ứng trong cùng timeframe. Security officer không cần tua video thủ công — hệ thống đưa đúng clip liên quan. Điều này rất quan trọng cho forensic khi có sự cố.

Tất cả bài viết

GP2 26 tháng 6, 2026 10 phút đọc

KSRV Face ID cho Data Center & Server Room: Anti-passback, Mantrap và tuân thủ ISO 27001

Data center và server room yêu cầu KSRV đa lớp nghiêm ngặt nhất: mantrap, anti-passback cứng, face ID + PIN 2-factor, audit log cho ISO 27001. Hướng dẫn thiết kế đúng chuẩn.

Data center và server room là tài sản vật lý quan trọng nhất của doanh nghiệp số — một lần xâm nhập trái phép có thể dẫn đến rò rỉ dữ liệu hàng triệu khách hàng, vi phạm ISO 27001, và thiệt hại uy tín không thể phục hồi. KSRV cho môi trường này không chỉ là đầu đọc thẻ — mà là hệ thống đa lớp với anti-passback, mantrap, 2-factor, và audit log đạt chuẩn kiểm toán.

Kiến trúc KSRV đa lớp cho data center

Thiết kế KSRV data center theo nguyên tắc Defense in Depth — nhiều lớp bảo vệ độc lập, phá vỡ một lớp không đủ để xâm nhập vào lớp tiếp theo.

Lớp 1: Perimeter — Tòa nhà / Tầng

KSRV tòa nhà hoặc tầng nơi data center đặt. Chỉ nhân viên IT, security, và vendor được cấp phép mới được vào tầng. Face ID hoặc thẻ HID Signo — không cần 2-factor ở lớp này.

Lớp 2: Data Hall Entry — Cửa phòng máy chính

2-factor bắt buộc: face ID + PIN 6 chữ số. Mantrap (airlock) cho data center Tier 3–4: camera trong khoang xác nhận chỉ 1 người, cân (optional) để phát hiện tailgating, cửa 2 chỉ mở sau khi cửa 1 đóng hoàn toàn. Hard anti-passback: phải ra mới được vào lại.

Lớp 3: Cage / Row / Cabinet Lock

Tủ rack hoặc cage riêng cho từng tenant/khách hàng. Khóa điện với đầu đọc thẻ hoặc face mini. Mỗi lần mở tủ rack ghi log đầy đủ — quan trọng cho multi-tenant data center cần chứng minh cách ly vật lý với khách thuê.

Anti-passback — Tính năng không thể thiếu

Tailgating (lợi dụng người khác mở cửa để lọt vào theo) là rủi ro hàng đầu của data center. Anti-passback loại bỏ khả năng này:

Soft APB (cảnh báo)

Hệ thống cho phép qua nhưng ghi log cảnh báo. Phù hợp cho giai đoạn triển khai ban đầu khi nhân viên chưa quen quy trình.

Hard APB (từ chối cứng)

Credential bị từ chối nếu logic vào/ra không nhất quán. Nhân viên phải ra qua cửa ra (có đầu đọc) mới được vào lại. Áp dụng cho phòng máy chính của data center từ ngày đầu.

Timed APB

APB reset tự động sau N phút. Dùng cho khu vực mà nhân viên cần vào/ra nhiều lần liên tiếp (phòng kỹ thuật lắp đặt) — giảm friction mà vẫn kiểm soát được.

Mantrap — Kiểm soát vật lý tuyệt đối

Mantrap là biện pháp chống tailgating mạnh nhất, bắt buộc với data center Tier 3–4 và nhiều tiêu chuẩn như SSAE 18, SOC 2, PCI DSS. Cấu trúc:

Khoang đệm 1,5m × 1,5m hoặc 1,2m × 2m, đủ rộng cho 1 người và trolley thiết bị
Camera hồng ngoại phát hiện nhiều người trong khoang — tự động từ chối mở cửa 2
Cân sàn (optional): phát hiện nếu trọng lượng >120kg (2 người trung bình)
Toàn bộ quá trình trong mantrap được ghi hình và lưu

Phân quyền theo role và nguyên tắc Least Privilege

ISO 27001 yêu cầu quyền truy cập tối thiểu — mỗi người chỉ có quyền vào đúng khu vực cần thiết cho công việc:

System Admin: Vào được toàn bộ data hall trong giờ làm việc
Storage Engineer: Chỉ vào được khu vực storage, không vào network rack
Vendor / Contractor: Quyền tạm thời trong khung giờ cụ thể, hết giờ tự động vô hiệu
Security Guard: Vào được hành lang và khu SOC, không vào data hall
Auditor (bên ngoài): Escort access — phải có nhân viên IT đi kèm, không tự vào một mình

Audit log cho ISO 27001 và SOC 2

Audit log KSRV phải đáp ứng:

Lưu ít nhất 1 năm on-site, 3 năm offsite (ISO 27001 khuyến nghị)
Tamper-proof: không thể sửa/xóa bởi admin thường
Export format: CSV hoặc syslog tương thích SIEM (Splunk, ELK, QRadar)
Alert real-time: cảnh báo khi phát hiện unauthorized access attempt, tailgating, cửa để lâu không đóng
Báo cáo tự động hàng tuần cho Security Manager

Chi phí thiết kế và triển khai

Server room nhỏ (1 cửa, <20m²): 30–60 triệu đồng (2-factor + camera)
Data center colocation (5–10 cửa, cage lock): 150–300 triệu đồng
Data center Tier 3+ (mantrap + đa lớp đầy đủ): 300–700 triệu đồng

Data center hoặc server room của bạn cần đạt chuẩn ISO 27001 hoặc SOC 2? An Ninh Số thiết kế KSRV đa lớp theo đúng yêu cầu kiểm toán — cung cấp đầy đủ tài liệu kỹ thuật cho auditor. Liên hệ đội giải pháp enterprise.

FAQ · Câu hỏi thường gặp

Câu hỏi thường gặp

Anti-passback trong data center hoạt động như thế nào?: Anti-passback (APB) ngăn một người dùng credential của mình để mở cửa cho người khác theo vào sau (tailgating). Hard APB: nếu A đã được ghi nhận là vào phòng (vào lúc 10:00), thì đến 10:05 hệ thống sẽ từ chối credential của A tại lối vào cùng phòng đó — A phải ra trước mới được vào lại. Điều này bắt buộc mỗi người phải quét riêng, không thể một người giữ cửa cho nhiều người lọt vào.
Mantrap là gì và khi nào cần lắp?: Mantrap (hay airlock) là khoang đệm giữa 2 cửa bảo mật: người phải qua cửa 1 → chờ trong khoang → qua cửa 2. Cửa 1 chỉ mở khi cửa 2 đóng và ngược lại. Camera trong khoang xác nhận chỉ 1 người đang trong khoang. Mantrap là biện pháp chống tailgating vật lý tuyệt đối — không thể lọt vào dù đứng sát nhau. Tier 3–4 data center bắt buộc mantrap tại cửa phòng máy chính.
ISO 27001 yêu cầu gì về KSRV server room?: ISO 27001:2022 Annex A 7.2 (Physical Entry) yêu cầu: kiểm soát ra vào khu vực xử lý thông tin có tài liệu/quy trình; log tất cả truy cập (ai, lúc nào, thời gian bao lâu); audit định kỳ log truy cập; thu hồi quyền ngay khi nhân viên nghỉ việc; kiểm tra quyền truy cập tối thiểu mỗi 6 tháng. Hệ thống KSRV của An Ninh Số có module export báo cáo đúng format cho audit ISO 27001.
2-factor (face + PIN) có thực sự cần thiết cho server room nhỏ không?: Phụ thuộc vào mức độ nhạy cảm dữ liệu. Nếu server room lưu dữ liệu khách hàng, dữ liệu tài chính, hoặc thuộc phạm vi PCI DSS/ISO 27001: có, bắt buộc 2-factor. Nếu chỉ là server nội bộ nhỏ không lưu dữ liệu nhạy cảm: face ID đơn lẻ là đủ. An Ninh Số sẽ đánh giá mức độ rủi ro và đề xuất phù hợp — không bán 2-factor khi 1-factor là đủ.
Mất điện thì server room KSRV xử lý thế nào?: Data center không thể có downtime do mất điện. Giải pháp: (1) UPS riêng cho toàn bộ hệ thống KSRV, tách biệt với UPS server; (2) Controller lưu offline — quyền truy cập và log được xử lý cục bộ ngay cả khi mất kết nối server trung tâm; (3) Fail-Secure: cửa khóa khi mất điện (không mở toang) — nhân viên cần key cơ khí khẩn cấp; (4) Generator backup tự khởi động trong 10–30 giây.
Video surveillance trong server room có cần tích hợp với KSRV không?: Có, và đây là best practice. Tích hợp VMS + KSRV: khi có sự kiện KSRV (cửa mở, cảnh báo tailgating, credential bị từ chối), hệ thống tự động hiện video clip camera tương ứng trong cùng timeframe. Security officer không cần tua video thủ công — hệ thống đưa đúng clip liên quan. Điều này rất quan trọng cho forensic khi có sự cố.

Đọc thêm

GP5

Đếm hành khách xe buýt bằng AI: Tối ưu lộ trình, giảm chi phí vận hành & tăng doanh thu vé 2026

Xe buýt không biết tuyến nào đông, giờ nào thiếu chỗ, trạm nào ít khách nhất. Camera AI đếm hành khách theo thời gian thực giải quyết tất cả — không cần soát vé thủ công.

Đọc bài viết GP5

Đếm hành khách metro, tàu điện ngầm & tàu thuyền bằng camera AI: Quản lý tải và an toàn 2026

Metro và phà cần biết chính xác số hành khách trên mỗi toa, mỗi chuyến — để tối ưu biểu đồ chạy, đảm bảo an toàn tải trọng, và cải thiện trải nghiệm hành khách.

Đọc bài viết

Sẵn sàng triển khai trong 7 — 14 ngày

Trao đổi cụ thể với chuyên gia an ninh

Đặt lịch tư vấn 30 phút — không bán hàng, chỉ là buổi trao đổi để hiểu doanh nghiệp của bạn cần gì.

Đặt lịch khảo sát Gọi 0796 700 777