黃永芳

隨著信息產(chǎn)業(yè)與新媒體行業(yè)的快速發(fā)展，廣播電視呈現(xiàn)信息化，網(wǎng)絡(luò)化的趨勢，尤其是5G網(wǎng)絡(luò)牌照的發(fā)放，給未來廣播電視帶來了極大的機(jī)遇與挑戰(zhàn)。網(wǎng)絡(luò)在廣播電視系統(tǒng)中廣泛應(yīng)用，為廣播電視節(jié)目制作與播出帶來了極大便捷。但是由于網(wǎng)絡(luò)的開放性，網(wǎng)絡(luò)安全問題日益突出。計(jì)算機(jī)網(wǎng)絡(luò)病毒層出不窮，也為網(wǎng)絡(luò)安全帶來了極大挑戰(zhàn)。為實(shí)現(xiàn)廣播電視數(shù)字化的總體目標(biāo)，隨著廣電行業(yè)數(shù)字化建設(shè)進(jìn)程加快，廣電行業(yè)的數(shù)字化建設(shè)也呈現(xiàn)出新的特點(diǎn)。制作類業(yè)務(wù)逐漸向利用混合型網(wǎng)絡(luò)環(huán)境轉(zhuǎn)變，新媒體等與制播網(wǎng)絡(luò)隨時(shí)頻繁大量交換數(shù)據(jù)，給制播網(wǎng)絡(luò)邊界數(shù)據(jù)交換提出了新的安全效率要求。

1 廣播電臺(tái)制播網(wǎng)絡(luò)邊界數(shù)據(jù)交換現(xiàn)狀

傳統(tǒng)業(yè)務(wù)模式中制播與外部網(wǎng)絡(luò)沒有直接的網(wǎng)絡(luò)連接，各類數(shù)據(jù)通過P2P卡或者藍(lán)光等介質(zhì)承載在上下載工作站導(dǎo)入導(dǎo)出，在工作站上進(jìn)行數(shù)據(jù)傳送，這樣的數(shù)據(jù)交換方式在一定程度上限制了網(wǎng)絡(luò)化制播業(yè)務(wù)發(fā)展需求。同時(shí)制播系統(tǒng)邊界業(yè)務(wù)類型復(fù)雜，包括媒資檢索瀏覽，節(jié)目生產(chǎn)管理信息交換等新增業(yè)務(wù)的發(fā)展，對于網(wǎng)絡(luò)化提出了更高的要求。而傳統(tǒng)業(yè)務(wù)需要攜帶介質(zhì)到上載工作站操作，影響節(jié)目制作的時(shí)效性；移動(dòng)存儲(chǔ)設(shè)備在網(wǎng)絡(luò)環(huán)境中使用，工作站殺毒軟件只能離線更新，則存在很大的安全風(fēng)險(xiǎn)[1]。

網(wǎng)絡(luò)安全是保證廣播電視正常應(yīng)用的前提，只有加強(qiáng)網(wǎng)絡(luò)安全技術(shù)措施的應(yīng)用，才能保證廣播電視系統(tǒng)安全運(yùn)行。當(dāng)前流行的網(wǎng)絡(luò)安全技術(shù)主要有病毒防護(hù)技術(shù)，數(shù)字身份認(rèn)證技術(shù)，數(shù)據(jù)加密技術(shù)，訪問控制技術(shù)等。

為解決數(shù)據(jù)交換時(shí)效性問題，一些單位采用共享存儲(chǔ)體交換設(shè)備進(jìn)行邊界數(shù)據(jù)交換，通常在制播系統(tǒng)邊界部署跨網(wǎng)段存儲(chǔ)設(shè)備，由制播網(wǎng)絡(luò)終端設(shè)備取回?cái)?shù)據(jù)，媒體數(shù)據(jù)交換設(shè)備分為內(nèi)外兩個(gè)模塊，模塊間基于USB等非線纜開發(fā)軟件，但只能解決數(shù)據(jù)交換時(shí)效性問題。目前一些新建全臺(tái)網(wǎng)絡(luò)系統(tǒng)在部署多種安全設(shè)備，但如何進(jìn)行有機(jī)結(jié)合，缺乏完善的解決方案。

2 廣播電臺(tái)制播網(wǎng)絡(luò)邊界數(shù)據(jù)交換需求

制播網(wǎng)絡(luò)邊界數(shù)據(jù)交換行為按涉及的制播業(yè)務(wù)系統(tǒng)分為制作系統(tǒng)、媒資系統(tǒng)、收錄系統(tǒng)等。制作系統(tǒng)包括原始的音視頻文件，以及通過視音頻共享系統(tǒng)下載的外來文件等，還有低碼率文件瀏覽，如新聞部門編導(dǎo)在辦公網(wǎng)中瀏覽新聞素材。

媒資系統(tǒng)包括低碼率文件瀏覽，通過多種檢索方式查詢。下載請求，外部用戶提交下載請求，將資源在制播系統(tǒng)內(nèi)遷移。節(jié)目調(diào)用，提交資源調(diào)用，媒資系統(tǒng)將資源進(jìn)行跨邊界傳輸。

審片系統(tǒng)是用戶在辦公網(wǎng)絡(luò)中審閱成片。收錄系統(tǒng)是外部用戶想制播網(wǎng)絡(luò)中收錄系統(tǒng)提交約傳單。其他系統(tǒng)有新員工身份信息需同步至制播網(wǎng)絡(luò)內(nèi)身份認(rèn)證系統(tǒng)，需要送至制播系統(tǒng)，節(jié)目生產(chǎn)管理系統(tǒng)需獲得節(jié)目制作進(jìn)度等信息。

2.1 交換類型與流程

數(shù)據(jù)交換需求類別包括文件交換，存在系統(tǒng)交互的數(shù)據(jù)交換，流媒體數(shù)據(jù)交換。制播網(wǎng)絡(luò)邊界上文件交換需按帶編目信息與不帶編目信息分別考慮，以FTP協(xié)議為例討論文件交換流程。

不帶編目信息文件可直接使用FTP協(xié)議下載到制播網(wǎng)絡(luò)，帶編目信息文件通常業(yè)務(wù)部門調(diào)用節(jié)目，調(diào)用節(jié)目流程由外部用戶向媒資系統(tǒng)提交請求，將媒體文件推送至制播網(wǎng)絡(luò)外的某FTP服務(wù)器。節(jié)目歸檔采用FTP交換，制播網(wǎng)絡(luò)內(nèi)接口服務(wù)器運(yùn)行守護(hù)進(jìn)程，外部用戶將媒體文件放置到特定位置，守護(hù)進(jìn)程發(fā)現(xiàn)下載XML文件[2]。

目前常見的媒資等業(yè)務(wù)系統(tǒng)用戶使用界面大多采用B/S架構(gòu)設(shè)計(jì)，訪問系統(tǒng)服務(wù)器獲得需要信息提交數(shù)據(jù)到制播系統(tǒng)內(nèi)服務(wù)器端處理。

與媒資、文稿系統(tǒng)的交互過程需要進(jìn)行低碼率文件內(nèi)容瀏覽，外部客戶首先訪問Web服務(wù)器，Web服務(wù)器返回流媒體服務(wù)器地址等信息，客戶端向流媒體服務(wù)器請求內(nèi)容，向客戶端發(fā)送請求內(nèi)容。一些特定應(yīng)用需在制播系統(tǒng)與外部系統(tǒng)間進(jìn)行制定端口數(shù)據(jù)交換。

2.2 安全需求

在信息系統(tǒng)中，業(yè)務(wù)功能主要通過應(yīng)用操作與網(wǎng)絡(luò)通信環(huán)節(jié)實(shí)現(xiàn)，如信息系統(tǒng)中使用者經(jīng)認(rèn)證，其操縱符合規(guī)定，可認(rèn)為系統(tǒng)中不會(huì)產(chǎn)生攻擊性安全事故。

制播網(wǎng)絡(luò)主要面臨漏洞供給，口令猜測等安全風(fēng)險(xiǎn)，實(shí)現(xiàn)邊界數(shù)據(jù)交換安全，需要通過邊界服務(wù)器端采用可靠的操作系統(tǒng)，適應(yīng)密文傳輸FTP服務(wù)器端軟件強(qiáng)化安全配置，包括賬戶管理策略，更改軟件banner，建立完善的防惡意代碼機(jī)制，清除木馬等，流媒體服務(wù)可使用加密技術(shù)。Web服務(wù)器部署可靠的安全策略，包括防止跨站腳本攻擊等攻擊非法手段。專有應(yīng)用數(shù)據(jù)交換應(yīng)盡量采用自定義端口，對制播網(wǎng)絡(luò)外數(shù)據(jù)源進(jìn)行安全加固處理。

3 廣播電視網(wǎng)絡(luò)數(shù)據(jù)邊界交換策略

為減少業(yè)務(wù)板塊間的邊界數(shù)量，在全臺(tái)網(wǎng)中建立數(shù)據(jù)交換區(qū)，作為數(shù)據(jù)交換的安全實(shí)現(xiàn)區(qū)域。臺(tái)內(nèi)網(wǎng)業(yè)務(wù)區(qū)域通過數(shù)據(jù)交換區(qū)網(wǎng)絡(luò)設(shè)施連接，制播網(wǎng)絡(luò)邊界數(shù)據(jù)安全交換的基礎(chǔ)是保證交換區(qū)網(wǎng)絡(luò)安全連通。需在數(shù)據(jù)交換區(qū)與業(yè)務(wù)區(qū)間采用主備鏈路實(shí)現(xiàn)冗余備份。在數(shù)據(jù)交換區(qū)與辦公網(wǎng)絡(luò)，電臺(tái)業(yè)務(wù)區(qū)域間分別部署防火墻進(jìn)行訪問控制。數(shù)據(jù)交換區(qū)內(nèi)部采用支持雙機(jī)熱備的交換機(jī)。

3.1 文件交換功能設(shè)計(jì)

對區(qū)域內(nèi)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固，在數(shù)據(jù)交換區(qū)與辦公網(wǎng)絡(luò)，電臺(tái)業(yè)務(wù)域部署安全網(wǎng)關(guān)系系統(tǒng)，通過光纖級(jí)聯(lián)，檢測網(wǎng)絡(luò)流量。分散區(qū)域內(nèi)的安全設(shè)備管理權(quán)限，使操作與日志審核員分屬不同角色。

實(shí)際運(yùn)用中，可將新媒體業(yè)務(wù)域與電視臺(tái)業(yè)務(wù)域的邊界進(jìn)行合并防護(hù)，通過虛擬防火墻對三個(gè)邊界進(jìn)行邏輯隔離，可利用私有協(xié)議降低蠕蟲攻擊行為的威脅[3]。

對純文件的交換，采用SFTP協(xié)議進(jìn)行，SFTP是FTP協(xié)議的替代，實(shí)現(xiàn)文件加密傳輸，避免被安全威脅。SFTP客戶端將文件上傳至指定目錄，通過用戶身份認(rèn)證機(jī)制進(jìn)行安全控制。SFTP客戶端通過身份認(rèn)證后下載文件。

3.2 系統(tǒng)交換功能設(shè)計(jì)

全臺(tái)網(wǎng)是為完成特定信息共享進(jìn)行交互的端系統(tǒng)相關(guān)資源集合。辦公，電臺(tái)等業(yè)務(wù)板塊可視為應(yīng)用區(qū)多子區(qū)域。區(qū)域網(wǎng)關(guān)通過安全插件實(shí)現(xiàn)身份認(rèn)證等安全策略。網(wǎng)關(guān)在網(wǎng)絡(luò)平臺(tái)獲得可靠數(shù)據(jù)傳輸服務(wù)。每個(gè)子區(qū)域通信在邏輯上隔離。

數(shù)據(jù)交換區(qū)是各區(qū)域互聯(lián)的網(wǎng)關(guān)，需保證離開邊界數(shù)據(jù)被授權(quán)得到保護(hù)，需保證只有合法訪問請求才能通過邊界。設(shè)計(jì)數(shù)據(jù)交換區(qū)可采用反向代理服務(wù)器實(shí)現(xiàn)對會(huì)話的封裝，代理服務(wù)器將接收到的服務(wù)請求進(jìn)行身份認(rèn)證，將請求發(fā)送到制播網(wǎng)絡(luò)中實(shí)際媒資系統(tǒng)服務(wù)器，可依據(jù)邊界通信流量設(shè)置多臺(tái)反向代理服務(wù)器。

首先需保護(hù)代理服務(wù)器操作系統(tǒng)安全可靠。需通過操作系統(tǒng)賦予服務(wù)器系統(tǒng)主動(dòng)防御能力。通過強(qiáng)制訪問控制機(jī)制限制用戶權(quán)限，防止越權(quán)訪問。缺乏服務(wù)器重要數(shù)據(jù)無法被非法泄露。通過執(zhí)行程序真實(shí)性確保服務(wù)器操作系統(tǒng)無法被病毒等惡意代碼破壞，通過數(shù)據(jù)加密保護(hù)機(jī)制，確保非授權(quán)用戶無法獲取重要數(shù)據(jù)。

通過用戶行為審計(jì)機(jī)制，防違規(guī)行為抵賴。漏洞掃描系統(tǒng)對數(shù)據(jù)交換區(qū)進(jìn)行脆弱性掃描。通過在代理服務(wù)器使用安全功能插件，對數(shù)據(jù)提供機(jī)安全防偽。典型的安全服務(wù)包括加密，病毒防護(hù)，審計(jì)等。

3.3 流媒體數(shù)據(jù)交換功能設(shè)計(jì)

流媒體瀏覽業(yè)務(wù)應(yīng)用分為數(shù)據(jù)量較小及數(shù)據(jù)量較大的情況，數(shù)據(jù)量較小的情況，可直接訪問流媒體服務(wù)器獲得資源，控制能訪問流媒體資源的用戶身份。

數(shù)據(jù)量較大的情況，可在部署流媒體服務(wù)器，將制播網(wǎng)絡(luò)中的流媒體資源同步到交換區(qū)。對各區(qū)域?qū)Ｓ袘?yīng)用業(yè)務(wù)，可啟用定制規(guī)則實(shí)現(xiàn)數(shù)據(jù)交換。

4 結(jié)語

網(wǎng)絡(luò)安全在廣播電視傳播中是重要的系統(tǒng)工程，需要仔細(xì)考慮安全技術(shù)要求，結(jié)合各種安全技術(shù)，才能形成高效安全的廣播電視系統(tǒng)。必須加強(qiáng)對網(wǎng)絡(luò)安全技術(shù)的研究，實(shí)現(xiàn)廣播電視持續(xù)發(fā)展，本文分析了全臺(tái)網(wǎng)絡(luò)制播系統(tǒng)邊界數(shù)據(jù)交換行為，借鑒對應(yīng)用區(qū)域邊界安全體系結(jié)構(gòu)模型研究成果，簡化全臺(tái)網(wǎng)業(yè)務(wù)板塊數(shù)據(jù)交換，實(shí)現(xiàn)制播網(wǎng)絡(luò)邊界數(shù)據(jù)的安全高效交換。