高 歌

錫林郭勒盟廣播電視臺(tái) 內(nèi)蒙古 錫林浩特市 026000

近年來(lái)，隨著電視節(jié)目高清化的發(fā)展，錫林郭勒盟廣播電視臺(tái)現(xiàn)有非編制作網(wǎng)絡(luò)已經(jīng)無(wú)法滿足現(xiàn)有需求?，F(xiàn)有制作網(wǎng)絡(luò)于2008年建成，如今設(shè)備老化，工作站機(jī)器性能配置低，非編軟件版本低，沒(méi)有高清節(jié)目編輯能力，加之以前在防病毒等方面防護(hù)不夠，造成整個(gè)非編制作網(wǎng)絡(luò)病毒蔓延，經(jīng)常影響節(jié)目制作。為了滿足現(xiàn)有制作高清節(jié)目的要求，提高整個(gè)制作網(wǎng)絡(luò)的安全性，錫林郭勒盟廣播電視臺(tái)于2017年投資建設(shè)了新的高清非編制作網(wǎng)絡(luò)。筆者作為臺(tái)網(wǎng)絡(luò)管理中心負(fù)責(zé)人，負(fù)責(zé)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行規(guī)劃和設(shè)計(jì)，在安全性方面，我們采取了相應(yīng)的技術(shù)和措施，保證整個(gè)非編制作網(wǎng)絡(luò)的安全運(yùn)行。

1 原有網(wǎng)絡(luò)存在的安全問(wèn)題

1.1 病毒泛濫

原有制作網(wǎng)絡(luò)是與互聯(lián)網(wǎng)物理隔離的，無(wú)法及時(shí)的安裝系統(tǒng)補(bǔ)丁，殺毒軟件也無(wú)法實(shí)時(shí)在線更新。同時(shí)，網(wǎng)絡(luò)內(nèi)工作站的USB 口沒(méi)有禁用，攝像人員及工作人員可隨意進(jìn)行移動(dòng)存儲(chǔ)設(shè)備的使用。同時(shí)整個(gè)網(wǎng)絡(luò)內(nèi)工作站之間使用windows 操作系統(tǒng)的文件夾共享方式進(jìn)行文件素材的交互。一旦一臺(tái)工作站感染病毒，就會(huì)迅速的傳播給網(wǎng)內(nèi)的所有工作站，嚴(yán)重時(shí)可導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，工作站無(wú)法正常工作。

1.2 操作人員誤操作

因臺(tái)內(nèi)制作人員對(duì)計(jì)算機(jī)操作知識(shí)掌握不足，經(jīng)常無(wú)意之中進(jìn)行誤操作，誤刪系統(tǒng)關(guān)鍵文件，導(dǎo)致工作站系統(tǒng)無(wú)法正常工作。同時(shí)，部分制作素材存儲(chǔ)在工作站本地硬盤上，不同的工作人員可操作同一臺(tái)工作站，經(jīng)常導(dǎo)致部分素材誤刪除。

2 網(wǎng)絡(luò)拓?fù)?/h2>

結(jié)合錫林郭勒盟廣播電視臺(tái)實(shí)際情況，我們把全臺(tái)網(wǎng)絡(luò)分為播出內(nèi)網(wǎng)，制作內(nèi)網(wǎng)和辦公互聯(lián)網(wǎng)三個(gè)區(qū)域。如圖1所示。

圖1 臺(tái)內(nèi)網(wǎng)絡(luò)分類

三個(gè)網(wǎng)絡(luò)區(qū)域采用物理隔離，采用獨(dú)立的交換機(jī)獨(dú)立組網(wǎng)。根據(jù)實(shí)際業(yè)務(wù)情況，三個(gè)網(wǎng)絡(luò)區(qū)域之間有如下的業(yè)務(wù)文件交換需求：

（1）制作網(wǎng)需要向播出上傳節(jié)目；

（2）制作網(wǎng)需要從外網(wǎng)下載旗縣上傳的素材；

（3）制作網(wǎng)需要通過(guò)外網(wǎng)把節(jié)目發(fā)送給自治區(qū)廣播電視臺(tái)。

為了滿足以上的業(yè)務(wù)交換需求，我們采用了一臺(tái)數(shù)字視頻網(wǎng)絡(luò)安全網(wǎng)關(guān)，三個(gè)網(wǎng)絡(luò)區(qū)域中的文件交換都通過(guò)該網(wǎng)關(guān)進(jìn)行交換。

3 數(shù)字視頻網(wǎng)絡(luò)安全網(wǎng)關(guān)

實(shí)際上，殺毒軟件用于內(nèi)網(wǎng)的環(huán)境清理更合適，如果邊界的數(shù)據(jù)進(jìn)入僅僅依賴于殺毒軟件為過(guò)濾機(jī)制，是存在漏殺可定性的（因?yàn)椴《編?kù)的升級(jí)永遠(yuǎn)落后于病毒的產(chǎn)生）。而防火墻作為網(wǎng)間隔離設(shè)備，因?yàn)槭沁壿嫺綦x設(shè)備，不具有物理隔離功能，所以內(nèi)網(wǎng)被攻擊的可能性是存在的。網(wǎng)閘類產(chǎn)品，雖然具有物理隔離功能（避免攻擊），但是對(duì)于數(shù)據(jù)內(nèi)容本身的安全性不做檢測(cè)，存在應(yīng)用數(shù)據(jù)攜帶危險(xiǎn)信息的可能性。即便再配合殺毒軟作輔助過(guò)濾，仍然存在漏殺的可能性。

數(shù)字視頻網(wǎng)絡(luò)安全網(wǎng)關(guān)是新一代網(wǎng)絡(luò)邊界防護(hù)設(shè)備，是專門為廣電行業(yè)進(jìn)行定制開發(fā)的，其根據(jù)事先的配置，對(duì)經(jīng)過(guò)其的所有文件根據(jù)文件類型進(jìn)行文件解析過(guò)濾，并對(duì)數(shù)據(jù)內(nèi)容作全文解析過(guò)濾，支持廣電行業(yè)內(nèi)部所有的文件類型，徹底杜絕來(lái)自網(wǎng)絡(luò)通道和數(shù)據(jù)內(nèi)部非法及危險(xiǎn)信息的通過(guò)。其獨(dú)特的安全防護(hù)技術(shù)，克服了殺毒軟件、防火墻及網(wǎng)閘等傳統(tǒng)技術(shù)的缺點(diǎn)和漏洞，使得內(nèi)部網(wǎng)絡(luò)在與外部交換數(shù)據(jù)時(shí)，實(shí)現(xiàn)傳輸信道的物理隔離。

該網(wǎng)關(guān)支持使用windows 文件共享和FTP 協(xié)議進(jìn)行文件傳輸。這里我們采用FTP 進(jìn)行文件的交換，因?yàn)镕TP 比windows 文件共享更方便的進(jìn)行權(quán)限控制及運(yùn)維管理。我們?cè)诓コ鼍W(wǎng)內(nèi)和辦公互聯(lián)網(wǎng)內(nèi)分別搭建FTP 服務(wù)器，分別用于制作網(wǎng)向播出上傳節(jié)目和制作網(wǎng)和辦公互聯(lián)網(wǎng)進(jìn)行文件交互。

4 網(wǎng)絡(luò)中采取的其他網(wǎng)絡(luò)安全措施

4.1 在線式編輯模式

這次升級(jí)改造中，非編制作軟件采用了在線式編輯模式，整個(gè)制作網(wǎng)絡(luò)中使用了一臺(tái)EMC isilon260 NAS 存儲(chǔ)，所有非編工作站上掛載該網(wǎng)絡(luò)存儲(chǔ)，所有非編素材和工程文件存儲(chǔ)在NAS 存儲(chǔ)上，制作人員可在任意一臺(tái)工作站上打開自己創(chuàng)建的工程進(jìn)行節(jié)目的編輯制作。假如一臺(tái)非編制作工作站故障，可在另一臺(tái)上接著進(jìn)行工作，不存在工作站單點(diǎn)故障。我們按用戶進(jìn)行權(quán)限的劃分，每個(gè)制作用戶只可以訪問(wèn)自己的文件，這樣也避免了多用戶操作造成的誤刪除操作。

4.2 USB口隔離

移動(dòng)存儲(chǔ)設(shè)備的使用是內(nèi)部網(wǎng)絡(luò)感染病毒的重要途徑。制作網(wǎng)絡(luò)內(nèi)部需要使用USB 口進(jìn)行攝像素材的上傳。在這次新的網(wǎng)絡(luò)設(shè)計(jì)中，我們指定了幾臺(tái)工作站為素材上載機(jī)，其余所有工作站我們?cè)贐IOS 配置了USB 口的禁用。用戶使用上載機(jī)進(jìn)行素材的上傳，直接把素材存放到網(wǎng)絡(luò)存儲(chǔ)上，制作時(shí)可直接在任意一臺(tái)工作站上進(jìn)行編輯制作。

在上載機(jī)上，我們采用了一款專門為廣電行業(yè)開發(fā)的USB 安全隔離器。該隔離器是一款基于ARM 微處理器開發(fā)的隔離設(shè)備，內(nèi)部運(yùn)行Linux操作系統(tǒng)，它可以對(duì)文件進(jìn)行深度檢測(cè)，可配置允許通過(guò)的文件類型，支持廣電行業(yè)內(nèi)的全部文件類型。通過(guò)對(duì)文件格式的深度檢測(cè)，可以阻止所有的病毒木馬及無(wú)效文件通過(guò)。安裝好該USB隔離盒的驅(qū)動(dòng)后，該驅(qū)動(dòng)會(huì)禁用上載機(jī)上的所有USB 口，只允許通過(guò)該隔離盒上的USB 口進(jìn)行移動(dòng)設(shè)備的讀寫操作。

4.3 Windows域控

我們所有的工作站都運(yùn)行著Windows 7 操作系統(tǒng)，這里我們采用Windows 域控統(tǒng)一對(duì)所有工作站用戶進(jìn)行權(quán)限控制。我們?cè)谥谱骶W(wǎng)絡(luò)內(nèi)搭建一臺(tái)域控服務(wù)器，在域控服務(wù)器上對(duì)域控用戶賬號(hào)進(jìn)行如下權(quán)限配置：

（1）在桌面禁用右鍵操作

（2）禁止用戶安裝/卸載程序

（3）禁止用戶對(duì)系統(tǒng)盤的訪問(wèn)

（4）禁止用戶對(duì)注冊(cè)表的訪問(wèn)和操作

每臺(tái)工作站用戶使用事先分配好的域控賬號(hào)進(jìn)行登錄。通過(guò)對(duì)用戶權(quán)限的限制，可有效的防止用戶的誤操作導(dǎo)致工作站系統(tǒng)崩潰或軟件被破壞。

總 結(jié)

在整個(gè)網(wǎng)絡(luò)的設(shè)計(jì)時(shí)，網(wǎng)絡(luò)安全性和可靠性是網(wǎng)絡(luò)規(guī)劃建設(shè)的重點(diǎn)，通過(guò)使用如上介紹的措施和方法，很好的保證了網(wǎng)絡(luò)的安全。整個(gè)網(wǎng)絡(luò)通過(guò)實(shí)際運(yùn)行，經(jīng)受住了考驗(yàn)，沒(méi)有發(fā)生過(guò)任何的網(wǎng)絡(luò)安全問(wèn)題，取得了令人滿意的效果。