將考試命題過程納入視頻監控網絡所涉及的網絡安全問題經驗談

楊天鴻，張春明

（東北大學資源與土木工程學院，沈陽110006）

0 引言

為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，2017 年6 月1 日正式施行的《中華人民共和國網絡安全法》。教育部也將網絡空間安全作為新的一級學科，充分體現了我們國家對網絡安全教育的重視程度。網絡空間安全目前設五個學科方向：安全基礎、密碼學及應用、系統安全、網絡安全、應用安全。它對培養我國自己的網絡安全人才具有十分重要的戰略意義。

網絡安全的未來發展方向一定是堅持網絡安全與信息化發展并重。信息化與網絡安全工作是相輔相成的關系，缺一不可。沒有信息化，就談不上網絡安全，而沒有網絡安全，信息化也失去了保護。我們要遵循積極利用、科學發展、依法管理、確保安全的方針，推進網絡基礎設施建設和互聯互通，鼓勵網絡技術創新和應用，支持培養網絡安全人才，建立健全網絡安全保障體系，提高網絡安全保護能力。

金屬礦山巖石力學與安全開采虛擬仿真教學實驗中心是國家級虛擬仿真教學實驗中心，承擔著本科生和研究生的實驗教學任務。我們一直十分重視網絡安全問題，如安裝防火墻產品和殺毒軟件，定期進行安全檢測，實施網絡管控。由于中心各類設施比較完善，因此，有時也會承擔其他相關教務，如考試命題等。鑒于學校要求命題過程全程錄像，涉密電腦與外網隔離，命題結束后磁盤上不能保存與命題相關的任何資料，我們利用實驗室現有條件均能夠輕松滿足。例如，電腦每次重啟后自動恢復初始狀態，一切痕跡全無；再如，只要拔掉實驗室與外界連接的網線即可實現涉密電腦與外界的物理隔離；至于全程錄像，更是實驗室內建24/7 全天候視頻監控系統的拿手好戲。不過，由于校園網的網絡環境及相關政策發生了很大變化，必須針對性地進行調整，對可能涉及到的網絡安全問題必須給予高度重視，并逐一解決，使之更適合于考試命題過程的監控。

1 原有視頻監控網絡

圖1 實驗室內部視頻監控網絡拓撲圖及與各網絡之間的關系圖

為方便布線，業內普遍采用基于TCP/IP 協議的網絡攝像頭和POE（Power Over Ethernet）供電方式，即在現有以太網CAT5 基礎架構不做任何改動的情況下，利用現存標準以太網傳輸電纜傳送數據信號，并可同時為相關設備提供直流供電，省去了單獨布設電源線的麻煩。本實驗室內部視頻監控系統便采用了上述技術和設備。它是由4 個分布在不同點位的POE 網絡攝像頭和一臺硬盤錄像機組成。該系統自身構成一個基于局域網的視頻監控網絡，見圖1。

從圖中可以看到，本實驗室擁有若干局域網、工控網和視頻監控網絡。實驗室在建設之初就已明確內部教學網絡上的每臺機器除了能夠訪問實驗室內部的教學資源之外，還能夠接入校園網，即訪問實驗室外部的校園網資源。有需要時，學生通過其校園網賬號還能訪問教育網和Internet 上的資源。由于實驗室內部的教學網絡具有訪問外網功能，因此，也簡稱外網，其他的內部局域網則簡稱內網，包括連接和控制各種硬件設備的中控網絡（以無線和有線方式通信的小型物聯網，因此本實驗室也可稱為智慧實驗室）以及視頻監控網絡。其中，中控網絡與外界完全隔離，因此不存在網絡安全問題。而視頻監控網絡由于其特殊性，最初也是連接到外網的，改造后才與外網實現隔離的。

當初在設計視頻監控網絡時，希望能從外部任何地點觀看到實驗室內的監控畫面，因此將視頻監控網絡的交換機級聯到實驗室內部教學網絡的交換機，再與校園網相連，并通過校園網接入Internet。其中硬盤錄像機的IP 地址設置為自動獲取（校園網IP 地址），即自動從校園網當前網段的DHCP 服務器（一般為網關）獲得。校園網各局域網的網關默認禁止手工設置IP地址，手工設置的IP 地址是不可以訪問除本網段以外的網絡的，甚至出現IP 地址沖突。其他網絡攝像頭的IP 地址設置方法與此類似，不再重復。

原有視頻監控網絡之所以這樣設計，是因為我們可以通過校園網內部的免費郵件系統，結合POP3 和SMTP 協議，將攝像頭實時采集或定時采集的信號以及動態觸發的信號和遠程報警信號發送到管理員郵箱。不過，校園網現在改用統一身份認證，并且使用統一的認證界面（網頁）。很多原有協議不再適用，尤其是郵件系統的POP3、SMTP 和IMAP 協議已不允許使用。這樣一來，是不是繼續使用校園網的IP 地址，對視頻監控系統來說已經意義不大。

2 改造后的視頻監控網絡

如果我們仍沿用原有網絡拓撲結構，即網絡地址仍使用校園網的IP 地址，那么，在考試命題過程中，為視頻監控網絡自身安全而直接斷開外網后，會造成一些難以預料的問題。由于硬盤錄像機的IP 地址是自動獲取的（實際是由DHCP 服務器動態分配），而斷網后無法繼續訪問校園網當前的網段（主要指DHCP 服務器，一般為網關），那么，過了一段時間后，該IP 地址將自動失效，進而導致網絡攝像頭與硬盤錄像機之間無法通信，最終造成錄像失敗。有鑒于此，我們需要對原有視頻監控網絡進行改造，使之適應新的網絡環境，并勝任考試命題監控這一全新的任務。

（1）將視頻監控系統硬盤錄像機和網絡攝像頭的IP 地址從動態獲取修改為靜態設置，并且盡可能使用與其他設備不同屬于一個網絡分段的地址（邏輯分段），外加特殊子網掩碼。在實際操作中，只需保證去掉1 個網絡地址和1 個廣播地址后，子網的主機數大等于5 即可，由此可以算出網絡地址長達29 位。劃分為若干邏輯網段的好處是可以控制網絡廣播范圍。我們知道，局域網多為基于廣播技術的以太網，任何兩個節點之間的數據包除這兩個節點外還可以被同一以太網上的其他網卡偵聽到并截獲。以往采用的共享式集線器便存在這種問題，進而構成局域網的安全隱患。如今，以交換技術為核心的交換機采用單播方式，即僅在源和目的節點之間傳送數據包，可以有效控制網絡廣播風暴，防止黑客非法偵聽。此外，還可以利用交換機的訪問控制功能和三層交換功能，將網絡劃分為多個基于交換機端口的VLAN（虛擬局域網）。各VLAN內部采用全交換連接方式，實現了互不干擾，可防止大部分網絡偵聽。

（2）為確保網絡安全，視頻監控網絡不應再接入實驗室內的教學網絡，但可以與實驗室的中控系統共享同一物理網絡，并確保其分屬不同的廣播域，同時仍能保證內網與校園網的物理隔離。由于中控系統的操作頻率較低，因此，視頻監控系統的接入不會對中控系統造成任何影響，而且采用全交換網絡后也不會產生廣播風暴的問題。當然也可不接入任何其他網絡，成為獨立的視頻監控局域網，實現完全隔離。

（3）考試命題期間，拔掉外網（指校園網）的接入線，實現內外網完全隔離。

（4）將視頻監控網絡的攝像頭分辨率適當降低，以免監控畫面無意中泄露了試題。

3 結語

以前一直認為網絡安全只是需要連接外網（互聯網）時才需要考慮的事情，而實際上物聯網、某些工控系統，尤其是核心的工業控制系統、甚至內部局域網也都屬于網絡安全范疇。本文詳細闡明了將考試命題過程納入視頻監控網絡需要考慮的網絡安全問題，防止未經授權用戶非法訪問敏感的網絡資源。