侯云峰

(黑龍江廣播電視臺(tái)，黑龍江 哈爾濱 150090)

黑龍江廣播電視臺(tái)文件安全傳輸設(shè)計(jì)與規(guī)劃

侯云峰

(黑龍江廣播電視臺(tái)，黑龍江 哈爾濱 150090)

介紹了黑龍江廣播電視臺(tái)數(shù)字化、網(wǎng)絡(luò)化之后，對(duì)文件安全傳輸系統(tǒng)建設(shè)的各個(gè)需求點(diǎn)的梳理分析，以及建設(shè)安全傳輸系統(tǒng)過(guò)程中在安全性、可靠性方面的詳細(xì)設(shè)計(jì)情況，并對(duì)此系統(tǒng)未來(lái)在業(yè)務(wù)范圍發(fā)生變化后的擴(kuò)展性應(yīng)用做了具體規(guī)劃。

安全；效率；PCI-E私有協(xié)議

近年來(lái)，傳統(tǒng)媒體和新媒體呈現(xiàn)融合發(fā)展趨勢(shì)，電視臺(tái)內(nèi)部業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)和互聯(lián)網(wǎng)在持續(xù)性交互，由于臺(tái)內(nèi)系統(tǒng)全部網(wǎng)絡(luò)化，節(jié)目信息和節(jié)目資源交互文件化，節(jié)目資源流轉(zhuǎn)的安全風(fēng)險(xiǎn)非常高，特別是電視臺(tái)業(yè)務(wù)內(nèi)網(wǎng)和互聯(lián)網(wǎng)直接產(chǎn)生數(shù)據(jù)交互，構(gòu)建一套安全性高、傳輸效率高、管理效率高的數(shù)據(jù)安全傳輸系統(tǒng)已經(jīng)迫在眉睫。經(jīng)過(guò)多方調(diào)研，結(jié)合本臺(tái)實(shí)際情況，對(duì)安全傳輸系統(tǒng)進(jìn)行了設(shè)計(jì)、集成、測(cè)試，最終成功運(yùn)行。

1 需求分析

隨著互聯(lián)網(wǎng)快速發(fā)展，電視臺(tái)節(jié)目制作和互聯(lián)網(wǎng)的粘合度越來(lái)越高，互聯(lián)網(wǎng)和節(jié)目制作網(wǎng)的數(shù)據(jù)交互越來(lái)越頻繁，現(xiàn)有的交互模式安全級(jí)別相對(duì)較低，資源交互效率也滿足不了現(xiàn)階段及未來(lái)發(fā)展的需求，目前臺(tái)內(nèi)數(shù)據(jù)交互安全性要求較高的部分如圖1所示。

圖1 業(yè)務(wù)系統(tǒng)位置圖

1.1 數(shù)據(jù)交互范圍分析

需要數(shù)據(jù)交互的系統(tǒng)位置為1號(hào)樓12層制作網(wǎng)、13層制作網(wǎng)、3號(hào)樓5層制作網(wǎng)，這3個(gè)制作網(wǎng)每天都有來(lái)自互聯(lián)網(wǎng)的節(jié)目資源，1號(hào)樓和3號(hào)樓之間還需要進(jìn)行數(shù)據(jù)交換。目前對(duì)數(shù)據(jù)安全傳輸?shù)男枨笾饕w現(xiàn)在兩個(gè)方面，一方面是大量來(lái)自于互聯(lián)網(wǎng)或者其他節(jié)目發(fā)行單位的節(jié)目及素材導(dǎo)入電視臺(tái)內(nèi)部業(yè)務(wù)系統(tǒng)(互聯(lián)網(wǎng)節(jié)目資源導(dǎo)入1號(hào)樓12層、13層制作網(wǎng)，互聯(lián)網(wǎng)節(jié)目資源導(dǎo)入到3號(hào)樓5層制作網(wǎng))，而這種外來(lái)節(jié)目的體量還在逐步加大，這里節(jié)目傳輸帶寬及系統(tǒng)安全上的設(shè)計(jì)要求較高。另一方面，1號(hào)樓和3號(hào)樓之間也需要數(shù)據(jù)交互，主要是3個(gè)制作網(wǎng)之間的交互。

1.2 數(shù)據(jù)交互的安全性分析

系統(tǒng)安全性問(wèn)題在目前電視臺(tái)的應(yīng)用環(huán)境中已經(jīng)不可或缺，互聯(lián)網(wǎng)和遠(yuǎn)端回傳到電視臺(tái)內(nèi)部業(yè)務(wù)系統(tǒng)的大量數(shù)據(jù)都必須經(jīng)過(guò)安全處理才能進(jìn)入內(nèi)網(wǎng)，原有的方法是通過(guò)1臺(tái)專用的PC安裝專業(yè)的殺毒軟件進(jìn)行殺毒[1]，確認(rèn)安全后通過(guò)人工拷貝到制作網(wǎng)的1個(gè)專用機(jī)器上進(jìn)行入庫(kù)。這種安全機(jī)制完全靠殺毒軟件，沒(méi)有更全面的安全防護(hù)措施，一旦殺毒軟件沒(méi)有查殺到惡意程序，進(jìn)入系統(tǒng)后整個(gè)制作網(wǎng)就會(huì)被病毒感染，可能導(dǎo)致系統(tǒng)停止運(yùn)轉(zhuǎn)或者數(shù)據(jù)丟失，造成重大損失。

新建的安全傳輸系統(tǒng)必須要考慮更加有效的安全防護(hù)措施，確保數(shù)據(jù)、系統(tǒng)的安全，因此可以采用多級(jí)安全處理流程來(lái)實(shí)現(xiàn)。

1.3 傳輸效率分析

目前互聯(lián)網(wǎng)接入采用專用U盤，人工殺毒拷貝，效率非常低，2個(gè)大樓之間采用光纖連接，大量高清素材傳輸時(shí)，效率也非常低。按照目前每天的節(jié)目傳輸量及增加量進(jìn)行推算，現(xiàn)在這套傳輸方式在效率上完全不能滿足以后的傳輸需求。

傳輸效率提高必須從基礎(chǔ)網(wǎng)絡(luò)到傳輸流程的大范圍變革才能起到應(yīng)有的效果，大樓間的交互升級(jí)為萬(wàn)兆鏈路，互聯(lián)網(wǎng)和業(yè)務(wù)內(nèi)網(wǎng)的交互采用多通道千兆鏈路。傳輸流程盡量自動(dòng)化，減少人為拷貝次數(shù)，優(yōu)化審核流程，按照這種思路部署傳輸系統(tǒng)在效率上可滿足需求。

2 建設(shè)目標(biāo)

2.1 高安全

系統(tǒng)建設(shè)必須確保較高的安全性，擁有完善的安全機(jī)制，確?；ヂ?lián)網(wǎng)數(shù)據(jù)安全傳輸?shù)綐I(yè)務(wù)網(wǎng)絡(luò)。

2.2 高效率

系統(tǒng)建設(shè)必須確保較高的傳輸帶寬，確保大量的素材資源快速地導(dǎo)入業(yè)務(wù)內(nèi)網(wǎng)。

2.3 可擴(kuò)展

系統(tǒng)可以根據(jù)臺(tái)內(nèi)業(yè)務(wù)系統(tǒng)的變化進(jìn)行相應(yīng)的調(diào)整，安全手段和傳輸性能、可靠性等方面都可以進(jìn)行彈性部署，方便擴(kuò)展。

3 系統(tǒng)架構(gòu)設(shè)計(jì)

3.1 系統(tǒng)結(jié)構(gòu)

系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2 安全傳輸系統(tǒng)結(jié)構(gòu)圖

系統(tǒng)部署在互聯(lián)網(wǎng)和節(jié)目制作網(wǎng)之間[2]，互聯(lián)網(wǎng)和數(shù)據(jù)安全傳輸系統(tǒng)之間采用專業(yè)的媒體安全網(wǎng)關(guān)進(jìn)行隔離。數(shù)據(jù)安全傳輸系統(tǒng)和非編網(wǎng)之間采用非以太網(wǎng)鏈路連接，在物理上隔絕以太網(wǎng)通信，鏈路層安全手段必不可少。

3.2 系統(tǒng)拓?fù)浣Y(jié)構(gòu)

如圖3所示，在辦公網(wǎng)區(qū)域分為3個(gè)導(dǎo)入?yún)^(qū)，不同欄目的上傳人員到相應(yīng)的導(dǎo)入?yún)^(qū)上傳數(shù)據(jù)。每個(gè)導(dǎo)入?yún)^(qū)和2臺(tái)4口安全網(wǎng)關(guān)連接，安全網(wǎng)關(guān)通過(guò)2出入設(shè)置，每個(gè)導(dǎo)入?yún)^(qū)共有4條千兆鏈路接入，安全傳輸系統(tǒng)后臺(tái)部署殺毒解析服務(wù)器4臺(tái)，部署萬(wàn)兆接口Linux異構(gòu)型臨時(shí)混存2臺(tái)互為主備[3]，配置2臺(tái)轉(zhuǎn)碼服務(wù)器實(shí)現(xiàn)外來(lái)文件按照制作網(wǎng)可編輯格式進(jìn)行轉(zhuǎn)碼，配置萬(wàn)兆接口的遷移服務(wù)器4臺(tái)實(shí)現(xiàn)數(shù)據(jù)間的遷移服務(wù)，配置6對(duì)私有鏈路傳輸服務(wù)器，每?jī)山M負(fù)責(zé)一個(gè)制作網(wǎng)的數(shù)據(jù)交互，可設(shè)置并行傳輸模式和主備傳輸模式。

圖3 安全傳輸系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D

3.3 系統(tǒng)流程設(shè)計(jì)

系統(tǒng)流程設(shè)計(jì)如圖4所示，具體流程為：

1)辦公網(wǎng)PC端上傳文件，選擇上傳目標(biāo)地址提交上傳任務(wù)；

2)通過(guò)安全網(wǎng)關(guān)的掃描過(guò)濾檢查，安全網(wǎng)關(guān)上會(huì)對(duì)文件的格式進(jìn)行白名單認(rèn)證，通過(guò)后進(jìn)入異構(gòu)緩存暫存，沒(méi)有通過(guò)則提示客戶端傳輸失敗，按照設(shè)定的策略進(jìn)行處理；

3)殺毒解析服務(wù)器對(duì)傳輸?shù)疆悩?gòu)緩存上的節(jié)目文件進(jìn)行殺毒，殺毒可根據(jù)配置殺毒軟件的種類進(jìn)行多次查殺；

4)殺毒完成后會(huì)對(duì)該節(jié)目文件進(jìn)行深度解析，獲取文件的特征碼和對(duì)應(yīng)的特征碼進(jìn)行比對(duì)，比對(duì)成功后進(jìn)入轉(zhuǎn)碼流程(如需轉(zhuǎn)碼)；

5)轉(zhuǎn)碼完成后根據(jù)目標(biāo)板塊信息，文件分發(fā)服務(wù)器將節(jié)目文件通過(guò)私有傳輸協(xié)議推送到對(duì)應(yīng)的接收端；

6)非編網(wǎng)獲取到節(jié)目后進(jìn)行編輯。

圖4 安全傳輸系統(tǒng)流程圖

整個(gè)流程全部自動(dòng)化完成，如果任何一個(gè)流程節(jié)點(diǎn)不成功，系統(tǒng)都會(huì)反饋信息給任務(wù)的上傳者，管理員也可以通過(guò)系統(tǒng)監(jiān)控軟件實(shí)時(shí)查看任務(wù)狀態(tài)，系統(tǒng)對(duì)流程節(jié)點(diǎn)處理失敗時(shí)都制定了相應(yīng)的處理策略，管理員也可根據(jù)情況手動(dòng)處理不成功的任務(wù)。

4 系統(tǒng)安全設(shè)計(jì)

4.1 多層級(jí)安全協(xié)同管理機(jī)制確保數(shù)據(jù)安全

系統(tǒng)在數(shù)據(jù)安全保護(hù)方面設(shè)計(jì)了多層級(jí)安全協(xié)同管理，采用多種安全處理機(jī)制協(xié)同配合的理念，包括：硬件安全網(wǎng)關(guān)和殺毒軟件“軟硬協(xié)同”，文件白名單認(rèn)證和文件深度解析的“表里協(xié)同”，Windows平臺(tái)和Linux平臺(tái)組成的“異構(gòu)系統(tǒng)協(xié)同”，TCP/IP協(xié)議和PCI-E私有協(xié)議組成的“異構(gòu)協(xié)議協(xié)同”，整個(gè)系統(tǒng)從多個(gè)安全維度進(jìn)行協(xié)同組合，非常有效地保護(hù)了數(shù)據(jù)的安全。

4.2 不同傳輸協(xié)議接力傳輸確保系統(tǒng)安全

為了確保擁有足夠高的安全級(jí)別，系統(tǒng)采用了不同標(biāo)準(zhǔn)的傳輸協(xié)議來(lái)完成一個(gè)文件的傳輸過(guò)程。首先，系統(tǒng)采用了通用的IT架構(gòu)，同時(shí)在前半部分采用TCP/IP通用協(xié)議，在按群傳輸系統(tǒng)和內(nèi)網(wǎng)連接的邊界處采用定制的 PCI-E 私有傳輸協(xié)議，兩種協(xié)議的接力配合既有通用性的方便，又有私密性的安全，數(shù)據(jù)和系統(tǒng)的安全級(jí)別將進(jìn)一步提高。

4.3 多種安全應(yīng)急處理機(jī)制確保系統(tǒng)可靠性

安全傳輸系統(tǒng)在確保數(shù)據(jù)安全的同時(shí)，還需要確保系統(tǒng)的安全可靠，系統(tǒng)可持續(xù)的安全運(yùn)行是業(yè)務(wù)流暢性的基本要求，安全傳輸系統(tǒng)本身才有模塊化構(gòu)建，系統(tǒng)由安全隔離模塊、病毒查殺模塊、認(rèn)證解析模塊、私有協(xié)議傳輸模塊、轉(zhuǎn)碼模塊、遷移模塊、監(jiān)控模塊、異構(gòu)緩存模塊組成，每個(gè)功能模塊之間都采用松耦合連接，各個(gè)模塊都采用冗余設(shè)計(jì)或集群設(shè)計(jì)，任何一個(gè)模塊出現(xiàn)故障，系統(tǒng)自動(dòng)轉(zhuǎn)移任務(wù)到其他相同功能模塊上完成，系統(tǒng)同時(shí)也會(huì)修復(fù)或重啟出現(xiàn)故障的功能模塊，整個(gè)系統(tǒng)沒(méi)有單一潰點(diǎn)。這些軟件模塊也能根據(jù)業(yè)務(wù)性能需求進(jìn)行靈活的增減配置。

硬件設(shè)計(jì)上，安全網(wǎng)關(guān)、存儲(chǔ)、服務(wù)器全部采用主備設(shè)計(jì)或集群設(shè)計(jì)，任何一臺(tái)硬件設(shè)備出現(xiàn)故障，其中所部屬的軟件模塊所執(zhí)行的任務(wù)將自動(dòng)轉(zhuǎn)移到其他服務(wù)器執(zhí)行，系統(tǒng)監(jiān)控服務(wù)會(huì)提示對(duì)應(yīng)的硬件設(shè)備故障問(wèn)題，管理員可以根據(jù)監(jiān)控顯示及時(shí)排除硬件故障。

系統(tǒng)中提供的監(jiān)控系統(tǒng)將整個(gè)系統(tǒng)的硬件運(yùn)行情況、軟件運(yùn)行情況、軟件所執(zhí)行的任務(wù)運(yùn)行情況、網(wǎng)絡(luò)運(yùn)行情況全部通過(guò)監(jiān)控系統(tǒng)直觀地顯示出來(lái)，系統(tǒng)管理人員只需打開(kāi)監(jiān)控軟件就能對(duì)整個(gè)系統(tǒng)進(jìn)行監(jiān)看，而且能通過(guò)監(jiān)控系統(tǒng)對(duì)設(shè)備、軟件、任務(wù)進(jìn)程進(jìn)行開(kāi)啟、關(guān)閉及優(yōu)先級(jí)調(diào)整等操作。

5 系統(tǒng)性能設(shè)計(jì)

5.1 異步并行處理機(jī)制確保高效性

任務(wù)執(zhí)行序列采用多任務(wù)異步并行處理機(jī)制，這種方式在處理多個(gè)任務(wù)時(shí)效率將顯著提升，避免了大量任務(wù)排隊(duì)的問(wèn)題如圖5所示。

圖5 異步并行任務(wù)處理圖

如果同時(shí)傳輸A、B、C這3個(gè)文件，傳統(tǒng)的做法是先傳輸文件A到臨時(shí)存儲(chǔ)，執(zhí)行殺毒、解析服務(wù)、遷移服務(wù)。這種方式后面的文件B、C都必須等待A處理完成后才能開(kāi)始任務(wù)。而異步并行傳輸模式只要文件A完成一個(gè)階段，不用等所有階段完成，這樣在處理多個(gè)文件傳輸時(shí)效率非常高。

5.2 萬(wàn)兆鏈路、PCI-E鏈路確保高帶寬

系統(tǒng)中數(shù)據(jù)流轉(zhuǎn)通道采用萬(wàn)兆以太網(wǎng)設(shè)計(jì)，可以確保高清、超高清文件對(duì)鏈路帶寬的需求，在傳輸系統(tǒng)和內(nèi)網(wǎng)邊界部署的PCI-E單條鏈路帶寬可達(dá)到400 Mbit/s以上，PCI-E鏈路可根據(jù)業(yè)務(wù)需求進(jìn)行靈活配置，每增加一條鏈路，傳輸帶寬就增加400 Mbit/s，完全滿足高清素材、超高清文件的傳輸需求。

6 系統(tǒng)升級(jí)擴(kuò)展應(yīng)用方向

6.1 基于傳統(tǒng)媒體和新媒體安全交互

目前本臺(tái)通過(guò)安全傳輸系統(tǒng)解決了外網(wǎng)文件、外來(lái)文件安全傳輸?shù)礁鱾€(gè)節(jié)目生產(chǎn)網(wǎng)的問(wèn)題，本臺(tái)傳統(tǒng)媒體和新媒體的融合也在逐步實(shí)施，業(yè)務(wù)流程融合后，系統(tǒng)層面的融合相對(duì)容易，單融合后數(shù)據(jù)及網(wǎng)絡(luò)安全問(wèn)題必須解決。而網(wǎng)臺(tái)的互聯(lián)網(wǎng)屬性導(dǎo)致和互聯(lián)網(wǎng)緊密聯(lián)系在一起，融合后又和傳統(tǒng)的業(yè)務(wù)網(wǎng)絡(luò)連接，傳統(tǒng)的生產(chǎn)業(yè)務(wù)網(wǎng)、媒資業(yè)務(wù)和新媒體網(wǎng)絡(luò)如何實(shí)現(xiàn)數(shù)據(jù)安全交互，數(shù)據(jù)安全傳輸系統(tǒng)的應(yīng)用特點(diǎn)完全可以實(shí)現(xiàn)電視臺(tái)的生產(chǎn)網(wǎng)絡(luò)、媒資網(wǎng)等和網(wǎng)絡(luò)電視臺(tái)進(jìn)行安全的連接并實(shí)現(xiàn)數(shù)據(jù)交互，在傳統(tǒng)媒體和新媒體交互業(yè)務(wù)流程上增加安全傳輸系統(tǒng)的業(yè)務(wù)流程即可，數(shù)據(jù)安全傳輸系統(tǒng)則把它們之間的交互作為兩個(gè)網(wǎng)絡(luò)之間的安全交互來(lái)處理，并按照內(nèi)網(wǎng)與外網(wǎng)之間的交互進(jìn)行安全級(jí)別配置，網(wǎng)絡(luò)帶寬可以根據(jù)需求動(dòng)態(tài)調(diào)配。

6.2 基于私有云和公有云的安全交互

云對(duì)廣電系統(tǒng)來(lái)說(shuō)已經(jīng)不再陌生，業(yè)務(wù)層面的融合最終導(dǎo)致支撐業(yè)務(wù)的技術(shù)系統(tǒng)的融合或者升級(jí)，現(xiàn)階段能快速實(shí)現(xiàn)技術(shù)平臺(tái)融合的就是建立云平臺(tái)，云平臺(tái)也是電視臺(tái)未來(lái)業(yè)務(wù)系統(tǒng)發(fā)展的主要方向之一，建立電視臺(tái)自己的云平臺(tái)來(lái)完成融合業(yè)務(wù)的部署和運(yùn)行也同樣需要用到數(shù)據(jù)安全傳輸系統(tǒng)。根據(jù)電視臺(tái)的特殊屬性，需要在電視臺(tái)內(nèi)部建立私有云平臺(tái)，但在公有云上也要部署和運(yùn)行一些全媒體業(yè)務(wù)，這種公有云和私有云相結(jié)合的方式可以完善地建立電視臺(tái)融合媒體發(fā)展所需要的技術(shù)環(huán)境。

云平臺(tái)內(nèi)部的安全由云系統(tǒng)自行保障，電視臺(tái)私有云和互聯(lián)網(wǎng)上的公有云在進(jìn)行數(shù)據(jù)交互或信息通信的時(shí)候還需要保證云間數(shù)據(jù)傳輸安全，因此本臺(tái)建立了數(shù)據(jù)安全傳輸平臺(tái)，未來(lái)也可以通過(guò)局部升級(jí)完成云間安全交互。數(shù)據(jù)安全交互系統(tǒng)通過(guò)對(duì)公有云平臺(tái)和私有云平臺(tái)的PASS層、SASS層進(jìn)行安全隔離，通過(guò)定制的私有傳輸協(xié)議及鏈路提供信息、文件的傳輸服務(wù)，從而保障云間數(shù)據(jù)傳輸?shù)陌踩玔4]。

7 總結(jié)

結(jié)合目前廣電行業(yè)技術(shù)發(fā)展，所建立的各種業(yè)務(wù)網(wǎng)絡(luò)都會(huì)發(fā)生聯(lián)系或進(jìn)行整合，但在IT系統(tǒng)架構(gòu)下，必須要保證數(shù)據(jù)安全、系統(tǒng)安全，才能讓業(yè)務(wù)可持續(xù)運(yùn)行下去，數(shù)據(jù)安全傳輸系統(tǒng)經(jīng)過(guò)這段時(shí)間的使用，在數(shù)據(jù)流轉(zhuǎn)效率上有顯著提高，在安全管理成本上顯著下降，有理由相信數(shù)據(jù)安全傳輸系統(tǒng)會(huì)成為電視臺(tái)在業(yè)務(wù)系統(tǒng)建設(shè)中不可或缺的重要板塊之一。

[1] 巫黎黎.文件安全傳輸系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2013.

[2] 蔣云山.海量素材與非線性編輯網(wǎng)絡(luò)文件傳輸系統(tǒng)設(shè)計(jì)[J].影視制作，2015(1)：65-69.

[3] 宋強(qiáng)，齊貴寶，曹沖，宋占偉.基于嵌入式Linux下安全文件傳輸系統(tǒng)的設(shè)計(jì)[J].吉林大學(xué)學(xué)報(bào)：信息科學(xué)版，2012，30(4)：397-402.

[4] 池俐英.云安全體系架構(gòu)及關(guān)鍵技術(shù)研究[J].電腦開(kāi)發(fā)與應(yīng)用，2012(6)：20-22.

Design and Planning of File Security Transmission in Heilongjiang Radio and TV Station

HOU Yunfeng

(HeilongjiangRadioandTVStation，Harbin150090，China)

In this paper， the analysis of the various needs of the file security transmission system, and the detailed design of the security and reliability in the process of building the security and reliability of the Heilongjiang radio and TV station are all introduced.

security；efficiency；PCI-E private protocol

TN948

B

10.16280/j.videoe.2015.18.016

2015-08-10

【本文獻(xiàn)信息】侯云峰.黑龍江廣播電視臺(tái)文件安全傳輸設(shè)計(jì)與規(guī)劃[J].電視技術(shù),2015，39(18).

侯云峰(1980— )，工程師，從事網(wǎng)絡(luò)技術(shù)維護(hù)及后期制作。

責(zé)任編輯：許 盈