高 歌

錫林郭勒盟廣播電視臺 內(nèi)蒙古 錫林浩特市 026000

近年來，隨著電視節(jié)目高清化的發(fā)展，錫林郭勒盟廣播電視臺現(xiàn)有非編制作網(wǎng)絡(luò)已經(jīng)無法滿足現(xiàn)有需求?，F(xiàn)有制作網(wǎng)絡(luò)于2008年建成，如今設(shè)備老化，工作站機(jī)器性能配置低，非編軟件版本低，沒有高清節(jié)目編輯能力，加之以前在防病毒等方面防護(hù)不夠，造成整個非編制作網(wǎng)絡(luò)病毒蔓延，經(jīng)常影響節(jié)目制作。為了滿足現(xiàn)有制作高清節(jié)目的要求，提高整個制作網(wǎng)絡(luò)的安全性，錫林郭勒盟廣播電視臺于2017年投資建設(shè)了新的高清非編制作網(wǎng)絡(luò)。筆者作為臺網(wǎng)絡(luò)管理中心負(fù)責(zé)人，負(fù)責(zé)對整個網(wǎng)絡(luò)進(jìn)行規(guī)劃和設(shè)計，在安全性方面，我們采取了相應(yīng)的技術(shù)和措施，保證整個非編制作網(wǎng)絡(luò)的安全運(yùn)行。

1 原有網(wǎng)絡(luò)存在的安全問題

1.1 病毒泛濫

原有制作網(wǎng)絡(luò)是與互聯(lián)網(wǎng)物理隔離的，無法及時的安裝系統(tǒng)補(bǔ)丁，殺毒軟件也無法實時在線更新。同時，網(wǎng)絡(luò)內(nèi)工作站的USB 口沒有禁用，攝像人員及工作人員可隨意進(jìn)行移動存儲設(shè)備的使用。同時整個網(wǎng)絡(luò)內(nèi)工作站之間使用windows 操作系統(tǒng)的文件夾共享方式進(jìn)行文件素材的交互。一旦一臺工作站感染病毒，就會迅速的傳播給網(wǎng)內(nèi)的所有工作站，嚴(yán)重時可導(dǎo)致整個網(wǎng)絡(luò)癱瘓，工作站無法正常工作。

1.2 操作人員誤操作

因臺內(nèi)制作人員對計算機(jī)操作知識掌握不足，經(jīng)常無意之中進(jìn)行誤操作，誤刪系統(tǒng)關(guān)鍵文件，導(dǎo)致工作站系統(tǒng)無法正常工作。同時，部分制作素材存儲在工作站本地硬盤上，不同的工作人員可操作同一臺工作站，經(jīng)常導(dǎo)致部分素材誤刪除。

2 網(wǎng)絡(luò)拓?fù)?/h2>

結(jié)合錫林郭勒盟廣播電視臺實際情況，我們把全臺網(wǎng)絡(luò)分為播出內(nèi)網(wǎng)，制作內(nèi)網(wǎng)和辦公互聯(lián)網(wǎng)三個區(qū)域。如圖1所示。

圖1 臺內(nèi)網(wǎng)絡(luò)分類

三個網(wǎng)絡(luò)區(qū)域采用物理隔離，采用獨(dú)立的交換機(jī)獨(dú)立組網(wǎng)。根據(jù)實際業(yè)務(wù)情況，三個網(wǎng)絡(luò)區(qū)域之間有如下的業(yè)務(wù)文件交換需求：

（1）制作網(wǎng)需要向播出上傳節(jié)目；

（2）制作網(wǎng)需要從外網(wǎng)下載旗縣上傳的素材；

（3）制作網(wǎng)需要通過外網(wǎng)把節(jié)目發(fā)送給自治區(qū)廣播電視臺。

為了滿足以上的業(yè)務(wù)交換需求，我們采用了一臺數(shù)字視頻網(wǎng)絡(luò)安全網(wǎng)關(guān)，三個網(wǎng)絡(luò)區(qū)域中的文件交換都通過該網(wǎng)關(guān)進(jìn)行交換。

3 數(shù)字視頻網(wǎng)絡(luò)安全網(wǎng)關(guān)

實際上，殺毒軟件用于內(nèi)網(wǎng)的環(huán)境清理更合適，如果邊界的數(shù)據(jù)進(jìn)入僅僅依賴于殺毒軟件為過濾機(jī)制，是存在漏殺可定性的（因為病毒庫的升級永遠(yuǎn)落后于病毒的產(chǎn)生）。而防火墻作為網(wǎng)間隔離設(shè)備，因為是邏輯隔離設(shè)備，不具有物理隔離功能，所以內(nèi)網(wǎng)被攻擊的可能性是存在的。網(wǎng)閘類產(chǎn)品，雖然具有物理隔離功能（避免攻擊），但是對于數(shù)據(jù)內(nèi)容本身的安全性不做檢測，存在應(yīng)用數(shù)據(jù)攜帶危險信息的可能性。即便再配合殺毒軟作輔助過濾，仍然存在漏殺的可能性。

數(shù)字視頻網(wǎng)絡(luò)安全網(wǎng)關(guān)是新一代網(wǎng)絡(luò)邊界防護(hù)設(shè)備，是專門為廣電行業(yè)進(jìn)行定制開發(fā)的，其根據(jù)事先的配置，對經(jīng)過其的所有文件根據(jù)文件類型進(jìn)行文件解析過濾，并對數(shù)據(jù)內(nèi)容作全文解析過濾，支持廣電行業(yè)內(nèi)部所有的文件類型，徹底杜絕來自網(wǎng)絡(luò)通道和數(shù)據(jù)內(nèi)部非法及危險信息的通過。其獨(dú)特的安全防護(hù)技術(shù)，克服了殺毒軟件、防火墻及網(wǎng)閘等傳統(tǒng)技術(shù)的缺點(diǎn)和漏洞，使得內(nèi)部網(wǎng)絡(luò)在與外部交換數(shù)據(jù)時，實現(xiàn)傳輸信道的物理隔離。

該網(wǎng)關(guān)支持使用windows 文件共享和FTP 協(xié)議進(jìn)行文件傳輸。這里我們采用FTP 進(jìn)行文件的交換，因為FTP 比windows 文件共享更方便的進(jìn)行權(quán)限控制及運(yùn)維管理。我們在播出網(wǎng)內(nèi)和辦公互聯(lián)網(wǎng)內(nèi)分別搭建FTP 服務(wù)器，分別用于制作網(wǎng)向播出上傳節(jié)目和制作網(wǎng)和辦公互聯(lián)網(wǎng)進(jìn)行文件交互。

4 網(wǎng)絡(luò)中采取的其他網(wǎng)絡(luò)安全措施

4.1 在線式編輯模式

這次升級改造中，非編制作軟件采用了在線式編輯模式，整個制作網(wǎng)絡(luò)中使用了一臺EMC isilon260 NAS 存儲，所有非編工作站上掛載該網(wǎng)絡(luò)存儲，所有非編素材和工程文件存儲在NAS 存儲上，制作人員可在任意一臺工作站上打開自己創(chuàng)建的工程進(jìn)行節(jié)目的編輯制作。假如一臺非編制作工作站故障，可在另一臺上接著進(jìn)行工作，不存在工作站單點(diǎn)故障。我們按用戶進(jìn)行權(quán)限的劃分，每個制作用戶只可以訪問自己的文件，這樣也避免了多用戶操作造成的誤刪除操作。

4.2 USB口隔離

移動存儲設(shè)備的使用是內(nèi)部網(wǎng)絡(luò)感染病毒的重要途徑。制作網(wǎng)絡(luò)內(nèi)部需要使用USB 口進(jìn)行攝像素材的上傳。在這次新的網(wǎng)絡(luò)設(shè)計中，我們指定了幾臺工作站為素材上載機(jī)，其余所有工作站我們在BIOS 配置了USB 口的禁用。用戶使用上載機(jī)進(jìn)行素材的上傳，直接把素材存放到網(wǎng)絡(luò)存儲上，制作時可直接在任意一臺工作站上進(jìn)行編輯制作。

在上載機(jī)上，我們采用了一款專門為廣電行業(yè)開發(fā)的USB 安全隔離器。該隔離器是一款基于ARM 微處理器開發(fā)的隔離設(shè)備，內(nèi)部運(yùn)行Linux操作系統(tǒng)，它可以對文件進(jìn)行深度檢測，可配置允許通過的文件類型，支持廣電行業(yè)內(nèi)的全部文件類型。通過對文件格式的深度檢測，可以阻止所有的病毒木馬及無效文件通過。安裝好該USB隔離盒的驅(qū)動后，該驅(qū)動會禁用上載機(jī)上的所有USB 口，只允許通過該隔離盒上的USB 口進(jìn)行移動設(shè)備的讀寫操作。

4.3 Windows域控

我們所有的工作站都運(yùn)行著Windows 7 操作系統(tǒng)，這里我們采用Windows 域控統(tǒng)一對所有工作站用戶進(jìn)行權(quán)限控制。我們在制作網(wǎng)絡(luò)內(nèi)搭建一臺域控服務(wù)器，在域控服務(wù)器上對域控用戶賬號進(jìn)行如下權(quán)限配置：

（1）在桌面禁用右鍵操作

（2）禁止用戶安裝/卸載程序

（3）禁止用戶對系統(tǒng)盤的訪問

（4）禁止用戶對注冊表的訪問和操作

每臺工作站用戶使用事先分配好的域控賬號進(jìn)行登錄。通過對用戶權(quán)限的限制，可有效的防止用戶的誤操作導(dǎo)致工作站系統(tǒng)崩潰或軟件被破壞。

總 結(jié)

在整個網(wǎng)絡(luò)的設(shè)計時，網(wǎng)絡(luò)安全性和可靠性是網(wǎng)絡(luò)規(guī)劃建設(shè)的重點(diǎn)，通過使用如上介紹的措施和方法，很好的保證了網(wǎng)絡(luò)的安全。整個網(wǎng)絡(luò)通過實際運(yùn)行，經(jīng)受住了考驗，沒有發(fā)生過任何的網(wǎng)絡(luò)安全問題，取得了令人滿意的效果。