將考試命題過程納入視頻監(jiān)控網(wǎng)絡(luò)所涉及的網(wǎng)絡(luò)安全問題經(jīng)驗談

楊天鴻，張春明

（東北大學(xué)資源與土木工程學(xué)院，沈陽110006）

0 引言

為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟社會信息化健康發(fā)展，2017 年6 月1 日正式施行的《中華人民共和國網(wǎng)絡(luò)安全法》。教育部也將網(wǎng)絡(luò)空間安全作為新的一級學(xué)科，充分體現(xiàn)了我們國家對網(wǎng)絡(luò)安全教育的重視程度。網(wǎng)絡(luò)空間安全目前設(shè)五個學(xué)科方向：安全基礎(chǔ)、密碼學(xué)及應(yīng)用、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全。它對培養(yǎng)我國自己的網(wǎng)絡(luò)安全人才具有十分重要的戰(zhàn)略意義。

網(wǎng)絡(luò)安全的未來發(fā)展方向一定是堅持網(wǎng)絡(luò)安全與信息化發(fā)展并重。信息化與網(wǎng)絡(luò)安全工作是相輔相成的關(guān)系，缺一不可。沒有信息化，就談不上網(wǎng)絡(luò)安全，而沒有網(wǎng)絡(luò)安全，信息化也失去了保護(hù)。我們要遵循積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針，推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和互聯(lián)互通，鼓勵網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用，支持培養(yǎng)網(wǎng)絡(luò)安全人才，建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護(hù)能力。

金屬礦山巖石力學(xué)與安全開采虛擬仿真教學(xué)實驗中心是國家級虛擬仿真教學(xué)實驗中心，承擔(dān)著本科生和研究生的實驗教學(xué)任務(wù)。我們一直十分重視網(wǎng)絡(luò)安全問題，如安裝防火墻產(chǎn)品和殺毒軟件，定期進(jìn)行安全檢測，實施網(wǎng)絡(luò)管控。由于中心各類設(shè)施比較完善，因此，有時也會承擔(dān)其他相關(guān)教務(wù)，如考試命題等。鑒于學(xué)校要求命題過程全程錄像，涉密電腦與外網(wǎng)隔離，命題結(jié)束后磁盤上不能保存與命題相關(guān)的任何資料，我們利用實驗室現(xiàn)有條件均能夠輕松滿足。例如，電腦每次重啟后自動恢復(fù)初始狀態(tài)，一切痕跡全無；再如，只要拔掉實驗室與外界連接的網(wǎng)線即可實現(xiàn)涉密電腦與外界的物理隔離；至于全程錄像，更是實驗室內(nèi)建24/7 全天候視頻監(jiān)控系統(tǒng)的拿手好戲。不過，由于校園網(wǎng)的網(wǎng)絡(luò)環(huán)境及相關(guān)政策發(fā)生了很大變化，必須針對性地進(jìn)行調(diào)整，對可能涉及到的網(wǎng)絡(luò)安全問題必須給予高度重視，并逐一解決，使之更適合于考試命題過程的監(jiān)控。

1 原有視頻監(jiān)控網(wǎng)絡(luò)

圖1 實驗室內(nèi)部視頻監(jiān)控網(wǎng)絡(luò)拓?fù)鋱D及與各網(wǎng)絡(luò)之間的關(guān)系圖

為方便布線，業(yè)內(nèi)普遍采用基于TCP/IP 協(xié)議的網(wǎng)絡(luò)攝像頭和POE（Power Over Ethernet）供電方式，即在現(xiàn)有以太網(wǎng)CAT5 基礎(chǔ)架構(gòu)不做任何改動的情況下，利用現(xiàn)存標(biāo)準(zhǔn)以太網(wǎng)傳輸電纜傳送數(shù)據(jù)信號，并可同時為相關(guān)設(shè)備提供直流供電，省去了單獨布設(shè)電源線的麻煩。本實驗室內(nèi)部視頻監(jiān)控系統(tǒng)便采用了上述技術(shù)和設(shè)備。它是由4 個分布在不同點位的POE 網(wǎng)絡(luò)攝像頭和一臺硬盤錄像機組成。該系統(tǒng)自身構(gòu)成一個基于局域網(wǎng)的視頻監(jiān)控網(wǎng)絡(luò)，見圖1。

從圖中可以看到，本實驗室擁有若干局域網(wǎng)、工控網(wǎng)和視頻監(jiān)控網(wǎng)絡(luò)。實驗室在建設(shè)之初就已明確內(nèi)部教學(xué)網(wǎng)絡(luò)上的每臺機器除了能夠訪問實驗室內(nèi)部的教學(xué)資源之外，還能夠接入校園網(wǎng)，即訪問實驗室外部的校園網(wǎng)資源。有需要時，學(xué)生通過其校園網(wǎng)賬號還能訪問教育網(wǎng)和Internet 上的資源。由于實驗室內(nèi)部的教學(xué)網(wǎng)絡(luò)具有訪問外網(wǎng)功能，因此，也簡稱外網(wǎng)，其他的內(nèi)部局域網(wǎng)則簡稱內(nèi)網(wǎng)，包括連接和控制各種硬件設(shè)備的中控網(wǎng)絡(luò)（以無線和有線方式通信的小型物聯(lián)網(wǎng)，因此本實驗室也可稱為智慧實驗室）以及視頻監(jiān)控網(wǎng)絡(luò)。其中，中控網(wǎng)絡(luò)與外界完全隔離，因此不存在網(wǎng)絡(luò)安全問題。而視頻監(jiān)控網(wǎng)絡(luò)由于其特殊性，最初也是連接到外網(wǎng)的，改造后才與外網(wǎng)實現(xiàn)隔離的。

當(dāng)初在設(shè)計視頻監(jiān)控網(wǎng)絡(luò)時，希望能從外部任何地點觀看到實驗室內(nèi)的監(jiān)控畫面，因此將視頻監(jiān)控網(wǎng)絡(luò)的交換機級聯(lián)到實驗室內(nèi)部教學(xué)網(wǎng)絡(luò)的交換機，再與校園網(wǎng)相連，并通過校園網(wǎng)接入Internet。其中硬盤錄像機的IP 地址設(shè)置為自動獲?。ㄐ@網(wǎng)IP 地址），即自動從校園網(wǎng)當(dāng)前網(wǎng)段的DHCP 服務(wù)器（一般為網(wǎng)關(guān)）獲得。校園網(wǎng)各局域網(wǎng)的網(wǎng)關(guān)默認(rèn)禁止手工設(shè)置IP地址，手工設(shè)置的IP 地址是不可以訪問除本網(wǎng)段以外的網(wǎng)絡(luò)的，甚至出現(xiàn)IP 地址沖突。其他網(wǎng)絡(luò)攝像頭的IP 地址設(shè)置方法與此類似，不再重復(fù)。

原有視頻監(jiān)控網(wǎng)絡(luò)之所以這樣設(shè)計，是因為我們可以通過校園網(wǎng)內(nèi)部的免費郵件系統(tǒng)，結(jié)合POP3 和SMTP 協(xié)議，將攝像頭實時采集或定時采集的信號以及動態(tài)觸發(fā)的信號和遠(yuǎn)程報警信號發(fā)送到管理員郵箱。不過，校園網(wǎng)現(xiàn)在改用統(tǒng)一身份認(rèn)證，并且使用統(tǒng)一的認(rèn)證界面（網(wǎng)頁）。很多原有協(xié)議不再適用，尤其是郵件系統(tǒng)的POP3、SMTP 和IMAP 協(xié)議已不允許使用。這樣一來，是不是繼續(xù)使用校園網(wǎng)的IP 地址，對視頻監(jiān)控系統(tǒng)來說已經(jīng)意義不大。

2 改造后的視頻監(jiān)控網(wǎng)絡(luò)

如果我們?nèi)匝赜迷芯W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，即網(wǎng)絡(luò)地址仍使用校園網(wǎng)的IP 地址，那么，在考試命題過程中，為視頻監(jiān)控網(wǎng)絡(luò)自身安全而直接斷開外網(wǎng)后，會造成一些難以預(yù)料的問題。由于硬盤錄像機的IP 地址是自動獲取的（實際是由DHCP 服務(wù)器動態(tài)分配），而斷網(wǎng)后無法繼續(xù)訪問校園網(wǎng)當(dāng)前的網(wǎng)段（主要指DHCP 服務(wù)器，一般為網(wǎng)關(guān)），那么，過了一段時間后，該IP 地址將自動失效，進(jìn)而導(dǎo)致網(wǎng)絡(luò)攝像頭與硬盤錄像機之間無法通信，最終造成錄像失敗。有鑒于此，我們需要對原有視頻監(jiān)控網(wǎng)絡(luò)進(jìn)行改造，使之適應(yīng)新的網(wǎng)絡(luò)環(huán)境，并勝任考試命題監(jiān)控這一全新的任務(wù)。

（1）將視頻監(jiān)控系統(tǒng)硬盤錄像機和網(wǎng)絡(luò)攝像頭的IP 地址從動態(tài)獲取修改為靜態(tài)設(shè)置，并且盡可能使用與其他設(shè)備不同屬于一個網(wǎng)絡(luò)分段的地址（邏輯分段），外加特殊子網(wǎng)掩碼。在實際操作中，只需保證去掉1 個網(wǎng)絡(luò)地址和1 個廣播地址后，子網(wǎng)的主機數(shù)大等于5 即可，由此可以算出網(wǎng)絡(luò)地址長達(dá)29 位。劃分為若干邏輯網(wǎng)段的好處是可以控制網(wǎng)絡(luò)廣播范圍。我們知道，局域網(wǎng)多為基于廣播技術(shù)的以太網(wǎng)，任何兩個節(jié)點之間的數(shù)據(jù)包除這兩個節(jié)點外還可以被同一以太網(wǎng)上的其他網(wǎng)卡偵聽到并截獲。以往采用的共享式集線器便存在這種問題，進(jìn)而構(gòu)成局域網(wǎng)的安全隱患。如今，以交換技術(shù)為核心的交換機采用單播方式，即僅在源和目的節(jié)點之間傳送數(shù)據(jù)包，可以有效控制網(wǎng)絡(luò)廣播風(fēng)暴，防止黑客非法偵聽。此外，還可以利用交換機的訪問控制功能和三層交換功能，將網(wǎng)絡(luò)劃分為多個基于交換機端口的VLAN（虛擬局域網(wǎng)）。各VLAN內(nèi)部采用全交換連接方式，實現(xiàn)了互不干擾，可防止大部分網(wǎng)絡(luò)偵聽。

（2）為確保網(wǎng)絡(luò)安全，視頻監(jiān)控網(wǎng)絡(luò)不應(yīng)再接入實驗室內(nèi)的教學(xué)網(wǎng)絡(luò)，但可以與實驗室的中控系統(tǒng)共享同一物理網(wǎng)絡(luò)，并確保其分屬不同的廣播域，同時仍能保證內(nèi)網(wǎng)與校園網(wǎng)的物理隔離。由于中控系統(tǒng)的操作頻率較低，因此，視頻監(jiān)控系統(tǒng)的接入不會對中控系統(tǒng)造成任何影響，而且采用全交換網(wǎng)絡(luò)后也不會產(chǎn)生廣播風(fēng)暴的問題。當(dāng)然也可不接入任何其他網(wǎng)絡(luò)，成為獨立的視頻監(jiān)控局域網(wǎng)，實現(xiàn)完全隔離。

（3）考試命題期間，拔掉外網(wǎng)（指校園網(wǎng)）的接入線，實現(xiàn)內(nèi)外網(wǎng)完全隔離。

（4）將視頻監(jiān)控網(wǎng)絡(luò)的攝像頭分辨率適當(dāng)降低，以免監(jiān)控畫面無意中泄露了試題。

3 結(jié)語

以前一直認(rèn)為網(wǎng)絡(luò)安全只是需要連接外網(wǎng)（互聯(lián)網(wǎng)）時才需要考慮的事情，而實際上物聯(lián)網(wǎng)、某些工控系統(tǒng)，尤其是核心的工業(yè)控制系統(tǒng)、甚至內(nèi)部局域網(wǎng)也都屬于網(wǎng)絡(luò)安全范疇。本文詳細(xì)闡明了將考試命題過程納入視頻監(jiān)控網(wǎng)絡(luò)需要考慮的網(wǎng)絡(luò)安全問題，防止未經(jīng)授權(quán)用戶非法訪問敏感的網(wǎng)絡(luò)資源。