摄像头、门禁、楼控控制器一旦联网,就不再是”内网设备”,而是整个建筑的安全边界。把监控网和办公网”一锅炖”,等于给攻击者留了一扇敞开的门。
一、先分区,再谈防护
按业务影响把网络分成几个逻辑区:
- 设备网:楼控 DDC、照明、环控等,实时性要求高、不容许卡顿。
- 安防网:视频监控、门禁、报警,对时延不敏感但对完整性敏感。
- 办公/访客网:人员上网、Wi-Fi,风险最高。
- 运维管理网:集中管理平台、日志服务器,权限最集中。
核心原则:高安全区不主动连低安全区,跨区访问走受控通道并做审计。
二、VLAN 是低成本的第一道墙
用 VLAN 把上述分区在二层隔离,配合 ACL(访问控制列表) 限制跨 VLAN 的访问方向。例如安防网可以主动上报给运维管理网,但办公网默认不能主动访问安防网。
注意:VLAN 不是加密,只是隔离。关键链路仍建议上 802.1X 做端口准入,防止私接设备接入。
三、收敛暴露面
- 摄像头的 onvif / web 管理端口默认开放,应在交换机侧限制可访问的管理 IP;
- 门禁控制器、DDC 的默认口令必须改,且不用统一弱口令;
- 关闭不必要的服务(telnet、ftp),改用 ssh / sftp;
- 录像存储做独立网段 + 只读访问,防勒索篡改。
四、远程运维怎么安全地做
需要厂商远程排障时,最忌”把 22 端口直接映射到公网”。推荐做法:
- 通过 IPsec / SSL VPN 接入后再访问内网设备;
- 或采用零信任网关,按身份与设备做最小授权;
- 所有远程会话留日志,事后可审计。
五、一个常被忽略的点:固件与生命周期
很多楼控、安防设备的固件多年不升级,漏洞越积越多。建议在运维合同中明确固件升级与漏洞巡检职责,而不是”装完即终点”。
网络安全不是买一堆盒子,而是把”谁能访问什么”想清楚、配清楚、管清楚。分区 + VLAN + 收敛暴露面 + 受控远程,是大多数建筑都该做到的基线。