顧文濤,王 超
昆山電視臺(tái)技術(shù)和制作部,江蘇昆山 215300
由于電視臺(tái)在媒體宣傳中的特殊性,其安全性至關(guān)重要。網(wǎng)絡(luò)安全是電視臺(tái)整體安全的重要保障。
網(wǎng)絡(luò)安全是指信息數(shù)據(jù)的安全。為防止非法用戶利用網(wǎng)絡(luò)系統(tǒng)的安全缺陷進(jìn)行數(shù)據(jù)的竊取、偽造和破壞,必須建立制播網(wǎng)絡(luò)系統(tǒng)的安全服務(wù)體系。在制播網(wǎng)絡(luò)系統(tǒng)建設(shè)中要充分考慮以太網(wǎng)和FC網(wǎng)絡(luò)的安全性。首先統(tǒng)一建立安全模型,具體策略設(shè)置可由部署實(shí)現(xiàn)。在網(wǎng)絡(luò)安全體系模型下可為制播網(wǎng)絡(luò)系統(tǒng)提供端到端的安全保障機(jī)制,最大程度的保證網(wǎng)絡(luò)層面的安全。
安全防范體系不是一個(gè)簡(jiǎn)單、孤立的系統(tǒng),它是由各個(gè)層次軟硬件及管理規(guī)范組成的聯(lián)動(dòng)防范體系。從安全模型角度,以時(shí)間、空間、網(wǎng)絡(luò)層次為三維模型實(shí)現(xiàn)端到端的安全防護(hù)體系。由于我臺(tái)非編網(wǎng)絡(luò)不與外網(wǎng)直接連接,所以暫時(shí)不考慮網(wǎng)絡(luò)攻擊的防護(hù)。
在網(wǎng)絡(luò)層次的方向,解決網(wǎng)絡(luò)層次傳送安全和網(wǎng)絡(luò)層服務(wù)安全問(wèn)題;在用戶層上解決用戶的身份識(shí)別、驗(yàn)證授權(quán)、服務(wù)授權(quán)的安全問(wèn)題,在業(yè)務(wù)應(yīng)用層解決業(yè)務(wù)應(yīng)用、平臺(tái)服務(wù)、管理審計(jì)的安全問(wèn)題。
對(duì)于來(lái)自制播網(wǎng)絡(luò)系統(tǒng)外部的訪問(wèn),包括通過(guò)以太網(wǎng)接入的各種其他站點(diǎn),采用不同的安全服務(wù)等級(jí)和策略,既可以實(shí)現(xiàn)外部合法用戶對(duì)內(nèi)網(wǎng)的訪問(wèn),避免對(duì)內(nèi)部網(wǎng)絡(luò)和服務(wù)器的攻擊,也可以防范內(nèi)部用戶對(duì)服務(wù)中心的未授權(quán)訪問(wèn)、機(jī)密竊取和服務(wù)攻擊。整個(gè)構(gòu)架充分體現(xiàn)了網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用與安全融合的整體解決方案思路,全面解決用戶各方面各層次的安全需求。
昆山電視臺(tái)非編網(wǎng)絡(luò)由新聞制作網(wǎng)和專題制作網(wǎng)組成,他們是并行類似網(wǎng)。在具體實(shí)施上,由于這兩個(gè)制作網(wǎng)絡(luò)同時(shí)存在的情況,有其特殊性。通過(guò)具體部署,達(dá)到兩個(gè)網(wǎng)絡(luò)在業(yè)務(wù)層面的不為互通,網(wǎng)絡(luò)層面的相互互聯(lián)。
具體部署:
在FTP工作站和內(nèi)網(wǎng)之間構(gòu)筑硬件防火墻和防毒墻,F(xiàn)TP服務(wù)器上對(duì)進(jìn)入的文件類型進(jìn)行限制,F(xiàn)TP工作站安裝殺毒軟件并且病毒庫(kù)實(shí)時(shí)更新,使用專用的移動(dòng)存儲(chǔ)介質(zhì)拷貝素材。
結(jié)構(gòu)如圖1。
隨著網(wǎng)絡(luò)的逐漸發(fā)展,病毒傳播的速度也是越來(lái)越快。我臺(tái)非編網(wǎng)絡(luò)安全體系的設(shè)計(jì)中同樣考慮到病毒的問(wèn)題,通過(guò)防毒墻,防火墻,殺毒機(jī)聯(lián)合打造出具有鮮明特色的防病毒策略。
具體部署:
屏蔽所有終端的USB接口、光驅(qū),包括有卡工作站,無(wú)卡工作站,文稿工作站,所有站點(diǎn)不能通過(guò)數(shù)據(jù)接口直接從外部拷貝數(shù)據(jù)進(jìn)入內(nèi)網(wǎng)。
外來(lái)數(shù)據(jù)素材文件拷貝由網(wǎng)管統(tǒng)一管理,經(jīng)過(guò)殺毒機(jī)全面殺毒后,再通過(guò)FTP軟件由FTP擺渡工作站擺渡到FTP擺渡服務(wù)器上,在擺渡的過(guò)程中經(jīng)過(guò)了專業(yè)的防火墻防毒墻,才能到達(dá)FTP服務(wù)器上。使用時(shí),再拷貝到素材盤中。通過(guò)FTP軟件制定安全策略,只允許固定文件通過(guò)FTP傳輸?shù)紽TP擺渡服務(wù)器上。
全面使用P2卡存儲(chǔ)介質(zhì)。采購(gòu)P2驅(qū)動(dòng)器時(shí)選擇具有PCI-E接口的驅(qū)動(dòng)器。同時(shí),在每臺(tái)具有P2驅(qū)動(dòng)器的上載工作站上安裝P2查毒軟件,當(dāng)P2卡插入上載工作站時(shí)對(duì)P2卡進(jìn)行掃描。此軟件可以刪除不是由P2攝像機(jī)產(chǎn)生的任何可疑文件。
定期升級(jí)殺毒機(jī)病毒庫(kù),定時(shí)對(duì)殺毒機(jī)和FTP擺渡工作站進(jìn)行全盤掃描殺毒。
防固然重要,但不能保證事故的不發(fā)生,因此,整個(gè)安全體系中,還應(yīng)該包括應(yīng)急備份,這樣才能做到有備無(wú)患。整個(gè)新聞制作網(wǎng),承載著兩套日播節(jié)目的制作,因此備份對(duì)于新聞制作網(wǎng)來(lái)說(shuō)尤為重要。
具體部署:
硬件備份:整個(gè)網(wǎng)絡(luò)中,重要服務(wù)器、以太網(wǎng)交換機(jī)、FC交換機(jī),都是以主備形式存在。特別提出的是,為了保證新聞網(wǎng)絡(luò)數(shù)據(jù)的安全,我們采用了設(shè)備集成商提供的數(shù)據(jù)備份軟件FISEC。我們將原有網(wǎng)絡(luò)中的存儲(chǔ)作為新聞制作網(wǎng)中的備存儲(chǔ),通過(guò)FISEC對(duì)新聞制作網(wǎng)中的素材進(jìn)行實(shí)時(shí)的備份。當(dāng)主存儲(chǔ)出現(xiàn)故障的時(shí)候,F(xiàn)IESC會(huì)自動(dòng)切換到備存儲(chǔ),各個(gè)工作站點(diǎn)直接從備存儲(chǔ)讀取素材。并且這個(gè)切換過(guò)程是在后臺(tái)實(shí)行切換,前臺(tái)的工作站點(diǎn)感覺(jué)不到異常,不影響文稿、非編各站點(diǎn)的使用。
軟件備份:每臺(tái)服務(wù)器、工作站的系統(tǒng)都做好備份工作,一旦單臺(tái)機(jī)器發(fā)生故障,可以快速及時(shí)的進(jìn)行恢復(fù),非編軟件安裝包,軟件包,都保留在內(nèi)網(wǎng)的共享盤中。
節(jié)目備份:將兩臺(tái)特定的上載工作站點(diǎn)作為應(yīng)急備份機(jī)。在這兩臺(tái)應(yīng)急備份機(jī)上備份兩套節(jié)目的相關(guān)總串信息,并且共享這兩個(gè)站點(diǎn)的備份文件夾。對(duì)于每個(gè)編輯來(lái)說(shuō),需要對(duì)當(dāng)天的節(jié)目進(jìn)行打包,再保存到網(wǎng)絡(luò)中備份盤符。此盤符是應(yīng)急備份機(jī)中備份文件夾的映射盤符。發(fā)生斷網(wǎng)情況下,可以在這兩臺(tái)應(yīng)急備份工作站上將非編軟件切換到單機(jī)模式,然后對(duì)當(dāng)日節(jié)目進(jìn)行總串操作。
再穩(wěn)固的系統(tǒng),也會(huì)有潛在風(fēng)險(xiǎn),操作和管理規(guī)范是一個(gè)系統(tǒng)安全的重要基石。在嚴(yán)格遵守安全體系的前提下,規(guī)范使用人員、網(wǎng)管的操作,定期做好應(yīng)急演練,只有警鐘長(zhǎng)鳴才能使得系統(tǒng)堅(jiān)若磐石。
[1]肖運(yùn)虹,胡小波.電視技術(shù)[M].3版.西安電子科技大學(xué)出版社,2010.
[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2008.
[3]蘇劍飛,王景偉.網(wǎng)絡(luò)攻擊技術(shù)與網(wǎng)絡(luò)安全探討[J].通訊技術(shù),2010.