將考試命題過(guò)程納入視頻監(jiān)控網(wǎng)絡(luò)所涉及的網(wǎng)絡(luò)安全問(wèn)題經(jīng)驗(yàn)談

楊天鴻，張春明

（東北大學(xué)資源與土木工程學(xué)院，沈陽(yáng)110006）

0 引言

為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展，2017 年6 月1 日正式施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。教育部也將網(wǎng)絡(luò)空間安全作為新的一級(jí)學(xué)科，充分體現(xiàn)了我們國(guó)家對(duì)網(wǎng)絡(luò)安全教育的重視程度。網(wǎng)絡(luò)空間安全目前設(shè)五個(gè)學(xué)科方向：安全基礎(chǔ)、密碼學(xué)及應(yīng)用、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全。它對(duì)培養(yǎng)我國(guó)自己的網(wǎng)絡(luò)安全人才具有十分重要的戰(zhàn)略意義。

網(wǎng)絡(luò)安全的未來(lái)發(fā)展方向一定是堅(jiān)持網(wǎng)絡(luò)安全與信息化發(fā)展并重。信息化與網(wǎng)絡(luò)安全工作是相輔相成的關(guān)系，缺一不可。沒(méi)有信息化，就談不上網(wǎng)絡(luò)安全，而沒(méi)有網(wǎng)絡(luò)安全，信息化也失去了保護(hù)。我們要遵循積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針，推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和互聯(lián)互通，鼓勵(lì)網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用，支持培養(yǎng)網(wǎng)絡(luò)安全人才，建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護(hù)能力。

金屬礦山巖石力學(xué)與安全開(kāi)采虛擬仿真教學(xué)實(shí)驗(yàn)中心是國(guó)家級(jí)虛擬仿真教學(xué)實(shí)驗(yàn)中心，承擔(dān)著本科生和研究生的實(shí)驗(yàn)教學(xué)任務(wù)。我們一直十分重視網(wǎng)絡(luò)安全問(wèn)題，如安裝防火墻產(chǎn)品和殺毒軟件，定期進(jìn)行安全檢測(cè)，實(shí)施網(wǎng)絡(luò)管控。由于中心各類設(shè)施比較完善，因此，有時(shí)也會(huì)承擔(dān)其他相關(guān)教務(wù)，如考試命題等。鑒于學(xué)校要求命題過(guò)程全程錄像，涉密電腦與外網(wǎng)隔離，命題結(jié)束后磁盤上不能保存與命題相關(guān)的任何資料，我們利用實(shí)驗(yàn)室現(xiàn)有條件均能夠輕松滿足。例如，電腦每次重啟后自動(dòng)恢復(fù)初始狀態(tài)，一切痕跡全無(wú)；再如，只要拔掉實(shí)驗(yàn)室與外界連接的網(wǎng)線即可實(shí)現(xiàn)涉密電腦與外界的物理隔離；至于全程錄像，更是實(shí)驗(yàn)室內(nèi)建24/7 全天候視頻監(jiān)控系統(tǒng)的拿手好戲。不過(guò)，由于校園網(wǎng)的網(wǎng)絡(luò)環(huán)境及相關(guān)政策發(fā)生了很大變化，必須針對(duì)性地進(jìn)行調(diào)整，對(duì)可能涉及到的網(wǎng)絡(luò)安全問(wèn)題必須給予高度重視，并逐一解決，使之更適合于考試命題過(guò)程的監(jiān)控。

1 原有視頻監(jiān)控網(wǎng)絡(luò)

圖1 實(shí)驗(yàn)室內(nèi)部視頻監(jiān)控網(wǎng)絡(luò)拓?fù)鋱D及與各網(wǎng)絡(luò)之間的關(guān)系圖

為方便布線，業(yè)內(nèi)普遍采用基于TCP/IP 協(xié)議的網(wǎng)絡(luò)攝像頭和POE（Power Over Ethernet）供電方式，即在現(xiàn)有以太網(wǎng)CAT5 基礎(chǔ)架構(gòu)不做任何改動(dòng)的情況下，利用現(xiàn)存標(biāo)準(zhǔn)以太網(wǎng)傳輸電纜傳送數(shù)據(jù)信號(hào)，并可同時(shí)為相關(guān)設(shè)備提供直流供電，省去了單獨(dú)布設(shè)電源線的麻煩。本實(shí)驗(yàn)室內(nèi)部視頻監(jiān)控系統(tǒng)便采用了上述技術(shù)和設(shè)備。它是由4 個(gè)分布在不同點(diǎn)位的POE 網(wǎng)絡(luò)攝像頭和一臺(tái)硬盤錄像機(jī)組成。該系統(tǒng)自身構(gòu)成一個(gè)基于局域網(wǎng)的視頻監(jiān)控網(wǎng)絡(luò)，見(jiàn)圖1。

從圖中可以看到，本實(shí)驗(yàn)室擁有若干局域網(wǎng)、工控網(wǎng)和視頻監(jiān)控網(wǎng)絡(luò)。實(shí)驗(yàn)室在建設(shè)之初就已明確內(nèi)部教學(xué)網(wǎng)絡(luò)上的每臺(tái)機(jī)器除了能夠訪問(wèn)實(shí)驗(yàn)室內(nèi)部的教學(xué)資源之外，還能夠接入校園網(wǎng)，即訪問(wèn)實(shí)驗(yàn)室外部的校園網(wǎng)資源。有需要時(shí)，學(xué)生通過(guò)其校園網(wǎng)賬號(hào)還能訪問(wèn)教育網(wǎng)和Internet 上的資源。由于實(shí)驗(yàn)室內(nèi)部的教學(xué)網(wǎng)絡(luò)具有訪問(wèn)外網(wǎng)功能，因此，也簡(jiǎn)稱外網(wǎng)，其他的內(nèi)部局域網(wǎng)則簡(jiǎn)稱內(nèi)網(wǎng)，包括連接和控制各種硬件設(shè)備的中控網(wǎng)絡(luò)（以無(wú)線和有線方式通信的小型物聯(lián)網(wǎng)，因此本實(shí)驗(yàn)室也可稱為智慧實(shí)驗(yàn)室）以及視頻監(jiān)控網(wǎng)絡(luò)。其中，中控網(wǎng)絡(luò)與外界完全隔離，因此不存在網(wǎng)絡(luò)安全問(wèn)題。而視頻監(jiān)控網(wǎng)絡(luò)由于其特殊性，最初也是連接到外網(wǎng)的，改造后才與外網(wǎng)實(shí)現(xiàn)隔離的。

當(dāng)初在設(shè)計(jì)視頻監(jiān)控網(wǎng)絡(luò)時(shí)，希望能從外部任何地點(diǎn)觀看到實(shí)驗(yàn)室內(nèi)的監(jiān)控畫(huà)面，因此將視頻監(jiān)控網(wǎng)絡(luò)的交換機(jī)級(jí)聯(lián)到實(shí)驗(yàn)室內(nèi)部教學(xué)網(wǎng)絡(luò)的交換機(jī)，再與校園網(wǎng)相連，并通過(guò)校園網(wǎng)接入Internet。其中硬盤錄像機(jī)的IP 地址設(shè)置為自動(dòng)獲?。ㄐ@網(wǎng)IP 地址），即自動(dòng)從校園網(wǎng)當(dāng)前網(wǎng)段的DHCP 服務(wù)器（一般為網(wǎng)關(guān)）獲得。校園網(wǎng)各局域網(wǎng)的網(wǎng)關(guān)默認(rèn)禁止手工設(shè)置IP地址，手工設(shè)置的IP 地址是不可以訪問(wèn)除本網(wǎng)段以外的網(wǎng)絡(luò)的，甚至出現(xiàn)IP 地址沖突。其他網(wǎng)絡(luò)攝像頭的IP 地址設(shè)置方法與此類似，不再重復(fù)。

原有視頻監(jiān)控網(wǎng)絡(luò)之所以這樣設(shè)計(jì)，是因?yàn)槲覀兛梢酝ㄟ^(guò)校園網(wǎng)內(nèi)部的免費(fèi)郵件系統(tǒng)，結(jié)合POP3 和SMTP 協(xié)議，將攝像頭實(shí)時(shí)采集或定時(shí)采集的信號(hào)以及動(dòng)態(tài)觸發(fā)的信號(hào)和遠(yuǎn)程報(bào)警信號(hào)發(fā)送到管理員郵箱。不過(guò)，校園網(wǎng)現(xiàn)在改用統(tǒng)一身份認(rèn)證，并且使用統(tǒng)一的認(rèn)證界面（網(wǎng)頁(yè)）。很多原有協(xié)議不再適用，尤其是郵件系統(tǒng)的POP3、SMTP 和IMAP 協(xié)議已不允許使用。這樣一來(lái)，是不是繼續(xù)使用校園網(wǎng)的IP 地址，對(duì)視頻監(jiān)控系統(tǒng)來(lái)說(shuō)已經(jīng)意義不大。

2 改造后的視頻監(jiān)控網(wǎng)絡(luò)

如果我們?nèi)匝赜迷芯W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，即網(wǎng)絡(luò)地址仍使用校園網(wǎng)的IP 地址，那么，在考試命題過(guò)程中，為視頻監(jiān)控網(wǎng)絡(luò)自身安全而直接斷開(kāi)外網(wǎng)后，會(huì)造成一些難以預(yù)料的問(wèn)題。由于硬盤錄像機(jī)的IP 地址是自動(dòng)獲取的（實(shí)際是由DHCP 服務(wù)器動(dòng)態(tài)分配），而斷網(wǎng)后無(wú)法繼續(xù)訪問(wèn)校園網(wǎng)當(dāng)前的網(wǎng)段（主要指DHCP 服務(wù)器，一般為網(wǎng)關(guān)），那么，過(guò)了一段時(shí)間后，該IP 地址將自動(dòng)失效，進(jìn)而導(dǎo)致網(wǎng)絡(luò)攝像頭與硬盤錄像機(jī)之間無(wú)法通信，最終造成錄像失敗。有鑒于此，我們需要對(duì)原有視頻監(jiān)控網(wǎng)絡(luò)進(jìn)行改造，使之適應(yīng)新的網(wǎng)絡(luò)環(huán)境，并勝任考試命題監(jiān)控這一全新的任務(wù)。

（1）將視頻監(jiān)控系統(tǒng)硬盤錄像機(jī)和網(wǎng)絡(luò)攝像頭的IP 地址從動(dòng)態(tài)獲取修改為靜態(tài)設(shè)置，并且盡可能使用與其他設(shè)備不同屬于一個(gè)網(wǎng)絡(luò)分段的地址（邏輯分段），外加特殊子網(wǎng)掩碼。在實(shí)際操作中，只需保證去掉1 個(gè)網(wǎng)絡(luò)地址和1 個(gè)廣播地址后，子網(wǎng)的主機(jī)數(shù)大等于5 即可，由此可以算出網(wǎng)絡(luò)地址長(zhǎng)達(dá)29 位。劃分為若干邏輯網(wǎng)段的好處是可以控制網(wǎng)絡(luò)廣播范圍。我們知道，局域網(wǎng)多為基于廣播技術(shù)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的數(shù)據(jù)包除這兩個(gè)節(jié)點(diǎn)外還可以被同一以太網(wǎng)上的其他網(wǎng)卡偵聽(tīng)到并截獲。以往采用的共享式集線器便存在這種問(wèn)題，進(jìn)而構(gòu)成局域網(wǎng)的安全隱患。如今，以交換技術(shù)為核心的交換機(jī)采用單播方式，即僅在源和目的節(jié)點(diǎn)之間傳送數(shù)據(jù)包，可以有效控制網(wǎng)絡(luò)廣播風(fēng)暴，防止黑客非法偵聽(tīng)。此外，還可以利用交換機(jī)的訪問(wèn)控制功能和三層交換功能，將網(wǎng)絡(luò)劃分為多個(gè)基于交換機(jī)端口的VLAN（虛擬局域網(wǎng)）。各VLAN內(nèi)部采用全交換連接方式，實(shí)現(xiàn)了互不干擾，可防止大部分網(wǎng)絡(luò)偵聽(tīng)。

（2）為確保網(wǎng)絡(luò)安全，視頻監(jiān)控網(wǎng)絡(luò)不應(yīng)再接入實(shí)驗(yàn)室內(nèi)的教學(xué)網(wǎng)絡(luò)，但可以與實(shí)驗(yàn)室的中控系統(tǒng)共享同一物理網(wǎng)絡(luò)，并確保其分屬不同的廣播域，同時(shí)仍能保證內(nèi)網(wǎng)與校園網(wǎng)的物理隔離。由于中控系統(tǒng)的操作頻率較低，因此，視頻監(jiān)控系統(tǒng)的接入不會(huì)對(duì)中控系統(tǒng)造成任何影響，而且采用全交換網(wǎng)絡(luò)后也不會(huì)產(chǎn)生廣播風(fēng)暴的問(wèn)題。當(dāng)然也可不接入任何其他網(wǎng)絡(luò)，成為獨(dú)立的視頻監(jiān)控局域網(wǎng)，實(shí)現(xiàn)完全隔離。

（3）考試命題期間，拔掉外網(wǎng)（指校園網(wǎng)）的接入線，實(shí)現(xiàn)內(nèi)外網(wǎng)完全隔離。

（4）將視頻監(jiān)控網(wǎng)絡(luò)的攝像頭分辨率適當(dāng)降低，以免監(jiān)控畫(huà)面無(wú)意中泄露了試題。

3 結(jié)語(yǔ)

以前一直認(rèn)為網(wǎng)絡(luò)安全只是需要連接外網(wǎng)（互聯(lián)網(wǎng)）時(shí)才需要考慮的事情，而實(shí)際上物聯(lián)網(wǎng)、某些工控系統(tǒng)，尤其是核心的工業(yè)控制系統(tǒng)、甚至內(nèi)部局域網(wǎng)也都屬于網(wǎng)絡(luò)安全范疇。本文詳細(xì)闡明了將考試命題過(guò)程納入視頻監(jiān)控網(wǎng)絡(luò)需要考慮的網(wǎng)絡(luò)安全問(wèn)題，防止未經(jīng)授權(quán)用戶非法訪問(wèn)敏感的網(wǎng)絡(luò)資源。