劉海蕓

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在廣播電視臺(tái)的廣泛應(yīng)用，各臺(tái)基本實(shí)現(xiàn)了采、編、播的全程文件化。臺(tái)內(nèi)網(wǎng)整體安全體系的主要任務(wù)就是保障業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)安全。本文從網(wǎng)絡(luò)存在的威脅、網(wǎng)間安全解決方案、安全方案比較及綜合安全隔離應(yīng)用范圍等方面對(duì)廣播電視臺(tái)的媒體業(yè)務(wù)網(wǎng)絡(luò)的網(wǎng)間安全進(jìn)行分析。

關(guān)鍵詞：廣播電視 媒體業(yè)務(wù)網(wǎng)絡(luò) 網(wǎng)間安全 物理隔離

隨著網(wǎng)絡(luò)技術(shù)在各級(jí)廣播電視臺(tái)廣泛使用，各臺(tái)均已實(shí)現(xiàn)了采、編、播的全程文件化，極大地提高了工作效率和播出質(zhì)量，但同時(shí)也帶來了網(wǎng)絡(luò)安全問題。如何保障廣播電視臺(tái)業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行和相關(guān)資源得以合法訪問，使業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)免受病毒、惡意軟件、黑客或其他不良意圖的攻擊就顯得尤為重要。如何既能嚴(yán)格執(zhí)行國(guó)家相關(guān)規(guī)定將內(nèi)外網(wǎng)絡(luò)物理隔離，解決好網(wǎng)絡(luò)的安全，而又能實(shí)現(xiàn)各網(wǎng)絡(luò)的信息系統(tǒng)數(shù)據(jù)方便地安全交換呢？我們常常采用下列方法。

殺毒軟件也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計(jì)算機(jī)威脅的一類軟件。殺毒軟件通常集成監(jiān)控識(shí)別，病毒掃描和清除、自動(dòng)升級(jí)病毒庫(kù)，主動(dòng)防御等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)、防范黑客入侵、網(wǎng)絡(luò)流量控制等功能，是計(jì)算機(jī)防御系統(tǒng)的重要組成部分。殺毒軟件適用單機(jī)使用，方便易用。但存在漏殺和誤殺、工作效率低、升級(jí)有風(fēng)險(xiǎn)等不足。

防火墻是最常用的網(wǎng)絡(luò)隔離手段。防火墻設(shè)計(jì)原理來自于數(shù)據(jù)包過濾與應(yīng)用代理技術(shù)，工作在OSI七層協(xié)議的1至4層，主要執(zhí)行訪問控制策略，可以通過設(shè)置ICMP或TCP/IP參數(shù)對(duì)數(shù)據(jù)包IP地址或MAC地址進(jìn)行過濾。防火墻的邏輯是在保證連接聯(lián)通的情況下盡可能安全，不對(duì)數(shù)據(jù)格式進(jìn)行深度檢測(cè)。防火墻對(duì)于安全要求初級(jí)的隔離是可以的，但對(duì)于需要深層次的網(wǎng)絡(luò)隔離就顯得不足了。另外還存在物理通道、未設(shè)置策略無效、協(xié)議漏洞威脅、無數(shù)據(jù)的檢測(cè)等問題。

網(wǎng)閘即采用隔離卡架構(gòu)，以物理方式將一臺(tái)PC虛擬為兩個(gè)電腦，實(shí)現(xiàn)工作站的雙重狀態(tài)，既可在安全狀態(tài)，又可在公共狀態(tài)，兩個(gè)狀態(tài)是完全隔離的，從而使一部工作站可在完全安全狀態(tài)下聯(lián)結(jié)內(nèi)、外網(wǎng)。網(wǎng)閘做到了物理上不同時(shí)連接，對(duì)攻擊防護(hù)好，但協(xié)議的代理對(duì)病毒防護(hù)仍然依賴當(dāng)前技術(shù)，只適合定期的批量數(shù)據(jù)交換，不適合多應(yīng)用的穿透。另外，無數(shù)據(jù)的檢測(cè)、低級(jí)名單識(shí)別、數(shù)據(jù)威脅需要輔助、無廣電特點(diǎn)是其硬傷。

USB隔離采用兩臺(tái)PC機(jī)作主機(jī)，分別連在內(nèi)、外網(wǎng)系統(tǒng)上，在內(nèi)、外網(wǎng)主機(jī)之間，使用USB雙端電纜連接，在兩臺(tái)主機(jī)上分別安裝USB驅(qū)動(dòng)程序和專用程序，用于存儲(chǔ)轉(zhuǎn)發(fā)芯片的控制和文件檢測(cè)、傳輸，但USB隔離在防攻擊方面存在問題。一是PC機(jī)系統(tǒng)自身的防病毒、防攻擊穩(wěn)定性問題；二是黑客進(jìn)入外網(wǎng)主機(jī)破壞USB驅(qū)動(dòng)程序造成網(wǎng)橋中斷工作；三是采用通用的USB協(xié)議取代TCP/IP協(xié)議；四能阻斷網(wǎng)絡(luò)攻擊但容易傳播USB病毒；五是無深度檢測(cè)，需配殺毒軟件做輔助檢測(cè)；六是病毒庫(kù)升級(jí)需連接外網(wǎng)，安全與風(fēng)險(xiǎn)并存。

系統(tǒng)異構(gòu)是指硬件平臺(tái)、操作系統(tǒng)、并發(fā)控制、訪問方式和通信能力等的不同，這里主要指兩個(gè)或兩個(gè)以上的操作系統(tǒng)不同。操作系統(tǒng)是管理和控制計(jì)算機(jī)硬件與軟件資源的計(jì)算機(jī)程序，是用戶和計(jì)算機(jī)的接口，同時(shí)也是計(jì)算機(jī)硬件和其他軟件的接口。操作系統(tǒng)交換數(shù)據(jù)是采用先殺毒再導(dǎo)入的工作模式，適用環(huán)境有安全要求的節(jié)點(diǎn)。異構(gòu)網(wǎng)絡(luò)存在不足：先殺毒再導(dǎo)入的模式；系統(tǒng)病毒和文件病毒毫無隔離功能；無深度檢測(cè)，需要選配殺毒軟件檢測(cè)。

綜合安全隔離應(yīng)該是軟硬結(jié)合的安全隔離，主要是進(jìn)行通道控制，并實(shí)現(xiàn)內(nèi)容檢查。通道控制主要采用物理隔離技術(shù)，內(nèi)網(wǎng)與外網(wǎng)沒有物理連接；依靠電子開關(guān)和數(shù)據(jù)緩存池分時(shí)導(dǎo)通，隔離開關(guān)擺渡傳輸數(shù)據(jù)，保證在任意時(shí)刻內(nèi)外網(wǎng)都是斷開的。內(nèi)容檢查的核心是檢測(cè)數(shù)據(jù)文件真?zhèn)魏褪欠裼袏A帶，首先根據(jù)擴(kuò)展名對(duì)傳輸文件與特定數(shù)據(jù)格式進(jìn)行分析、比對(duì)，判斷文件的真?zhèn)?。在確定文件真正身價(jià)后，再全文掃描，確認(rèn)文件是否有夾帶，比如含執(zhí)行代碼語言等。這就從根本上斷絕了病毒數(shù)據(jù)的擴(kuò)散，保證了內(nèi)網(wǎng)的安全。

安全方案比較

以上幾種安全解決方案各有優(yōu)缺點(diǎn)，各機(jī)構(gòu)應(yīng)該根據(jù)本單位的實(shí)際情況，選擇安全解決方案。根據(jù)我臺(tái)的實(shí)際情況，我們?cè)诟黝惥W(wǎng)絡(luò)系統(tǒng)中采用綜合隔離方案。

一、制作播出安全隔離。綜合安全隔離設(shè)備部署在制作網(wǎng)與播出網(wǎng)之間，制作網(wǎng)向播出網(wǎng)傳輸?shù)牟コ鏊夭?，必須通過綜合安全隔離設(shè)備的檢測(cè)后，才能夠進(jìn)入播出的二級(jí)存儲(chǔ)中，再通過轉(zhuǎn)碼軟件遷移到播出服務(wù)器中。通過該設(shè)備可徹底杜絕來自網(wǎng)絡(luò)通道的威脅（網(wǎng)絡(luò)攻擊及木馬程序等），并依靠數(shù)據(jù)深度檢測(cè)徹底避免非法文件及病毒的入侵，進(jìn)而全面保護(hù)播出網(wǎng)，保證播出安全運(yùn)行。

二、外部素材安全導(dǎo)入。綜合安全隔離設(shè)備部署在廣播電視臺(tái)外來素材的安全導(dǎo)入環(huán)節(jié)。通過安裝在不同部門的上傳工作站進(jìn)行外部數(shù)據(jù)的交換和共享，可以避免因需要導(dǎo)入外來數(shù)據(jù)而帶來安全隱患，避免因使用外部介質(zhì)（U盤、移動(dòng)硬盤、P2卡等）而帶來的各種病毒進(jìn)入內(nèi)網(wǎng)。

三、外網(wǎng)數(shù)據(jù)安全交互。部署多臺(tái)綜合安全隔離設(shè)備用于廣播電視臺(tái)各個(gè)網(wǎng)絡(luò)之間的安全隔離，其中有部署在廣告中心和制作網(wǎng)之間的，也有部署在幾個(gè)不同的制作網(wǎng)之間的。保證網(wǎng)絡(luò)之間的數(shù)據(jù)交換和共享，同時(shí)可以避免相互之間的網(wǎng)絡(luò)攻擊和病毒傳播。

四、遠(yuǎn)程數(shù)據(jù)安全上傳。部署綜合安全隔離設(shè)備，通過FTP方式，將外地?cái)?shù)據(jù)素材上傳到外網(wǎng)上載客戶端，之后上載客戶端經(jīng)過綜合安全隔離，將素材傳到內(nèi)網(wǎng)服務(wù)器。通過安全隔離設(shè)備安全地將廣播電視臺(tái)的數(shù)據(jù)素材傳輸?shù)椒蔷幘W(wǎng)中，保證數(shù)據(jù)的安全交換，同時(shí)可以避免相互之間的網(wǎng)絡(luò)攻擊和病毒傳播。

五、文稿數(shù)據(jù)安全交互。綜合安全隔離設(shè)備部署于內(nèi)部網(wǎng)絡(luò)與制作網(wǎng)互聯(lián)，辦公網(wǎng)用戶使用自動(dòng)上傳方式向制作網(wǎng)上傳文件，將客戶端安裝在FTP服務(wù)器上，用戶通過ftp將文件傳輸?shù)椒?wù)器上各個(gè)賬戶指定的自動(dòng)上傳目錄來傳輸?shù)桨踩W(wǎng)絡(luò)中。每個(gè)記者使用自己的特定ftp賬號(hào)，互相之間看不到任何有關(guān)傳輸文件的信息。

隨著黑客和病毒的攻擊方式的不斷變換，任何防護(hù)手段都是相對(duì)的，只有提高安全意識(shí)，多方面采取安全措施，不斷研究探討新的防護(hù)手段，不斷更新提高防護(hù)技術(shù)，才能保證內(nèi)網(wǎng)與互聯(lián)網(wǎng)安全、高效交換信息。

（作者單位：江西廣播電視臺(tái)）