摄像头、门禁、楼控控制器一旦联网,就不再是”内网设备”,而是整个建筑的安全边界。把监控网和办公网”一锅炖”,等于给攻击者留了一扇敞开的门。

一、先分区,再谈防护

按业务影响把网络分成几个逻辑区:

  • 设备网:楼控 DDC、照明、环控等,实时性要求高、不容许卡顿。
  • 安防网:视频监控、门禁、报警,对时延不敏感但对完整性敏感。
  • 办公/访客网:人员上网、Wi-Fi,风险最高。
  • 运维管理网:集中管理平台、日志服务器,权限最集中。

核心原则:高安全区不主动连低安全区,跨区访问走受控通道并做审计。

二、VLAN 是低成本的第一道墙

用 VLAN 把上述分区在二层隔离,配合 ACL(访问控制列表) 限制跨 VLAN 的访问方向。例如安防网可以主动上报给运维管理网,但办公网默认不能主动访问安防网。

注意:VLAN 不是加密,只是隔离。关键链路仍建议上 802.1X 做端口准入,防止私接设备接入。

三、收敛暴露面

  • 摄像头的 onvif / web 管理端口默认开放,应在交换机侧限制可访问的管理 IP;
  • 门禁控制器、DDC 的默认口令必须改,且不用统一弱口令;
  • 关闭不必要的服务(telnet、ftp),改用 ssh / sftp;
  • 录像存储做独立网段 + 只读访问,防勒索篡改。

四、远程运维怎么安全地做

需要厂商远程排障时,最忌”把 22 端口直接映射到公网”。推荐做法:

  • 通过 IPsec / SSL VPN 接入后再访问内网设备;
  • 或采用零信任网关,按身份与设备做最小授权;
  • 所有远程会话留日志,事后可审计。

五、一个常被忽略的点:固件与生命周期

很多楼控、安防设备的固件多年不升级,漏洞越积越多。建议在运维合同中明确固件升级与漏洞巡检职责,而不是”装完即终点”。

网络安全不是买一堆盒子,而是把”谁能访问什么”想清楚、配清楚、管清楚。分区 + VLAN + 收敛暴露面 + 受控远程,是大多数建筑都该做到的基线。