昆山電視臺(tái)非編網(wǎng)絡(luò)安全體系

顧文濤，王 超

昆山電視臺(tái)技術(shù)和制作部，江蘇昆山 215300

1 網(wǎng)絡(luò)安全

由于電視臺(tái)在媒體宣傳中的特殊性，其安全性至關(guān)重要。網(wǎng)絡(luò)安全是電視臺(tái)整體安全的重要保障。

2 安全體系模型

網(wǎng)絡(luò)安全是指信息數(shù)據(jù)的安全。為防止非法用戶利用網(wǎng)絡(luò)系統(tǒng)的安全缺陷進(jìn)行數(shù)據(jù)的竊取、偽造和破壞，必須建立制播網(wǎng)絡(luò)系統(tǒng)的安全服務(wù)體系。在制播網(wǎng)絡(luò)系統(tǒng)建設(shè)中要充分考慮以太網(wǎng)和FC網(wǎng)絡(luò)的安全性。首先統(tǒng)一建立安全模型，具體策略設(shè)置可由部署實(shí)現(xiàn)。在網(wǎng)絡(luò)安全體系模型下可為制播網(wǎng)絡(luò)系統(tǒng)提供端到端的安全保障機(jī)制，最大程度的保證網(wǎng)絡(luò)層面的安全。

安全防范體系不是一個(gè)簡(jiǎn)單、孤立的系統(tǒng)，它是由各個(gè)層次軟硬件及管理規(guī)范組成的聯(lián)動(dòng)防范體系。從安全模型角度，以時(shí)間、空間、網(wǎng)絡(luò)層次為三維模型實(shí)現(xiàn)端到端的安全防護(hù)體系。由于我臺(tái)非編網(wǎng)絡(luò)不與外網(wǎng)直接連接，所以暫時(shí)不考慮網(wǎng)絡(luò)攻擊的防護(hù)。

在網(wǎng)絡(luò)層次的方向，解決網(wǎng)絡(luò)層次傳送安全和網(wǎng)絡(luò)層服務(wù)安全問(wèn)題；在用戶層上解決用戶的身份識(shí)別、驗(yàn)證授權(quán)、服務(wù)授權(quán)的安全問(wèn)題，在業(yè)務(wù)應(yīng)用層解決業(yè)務(wù)應(yīng)用、平臺(tái)服務(wù)、管理審計(jì)的安全問(wèn)題。

對(duì)于來(lái)自制播網(wǎng)絡(luò)系統(tǒng)外部的訪問(wèn)，包括通過(guò)以太網(wǎng)接入的各種其他站點(diǎn)，采用不同的安全服務(wù)等級(jí)和策略，既可以實(shí)現(xiàn)外部合法用戶對(duì)內(nèi)網(wǎng)的訪問(wèn)，避免對(duì)內(nèi)部網(wǎng)絡(luò)和服務(wù)器的攻擊，也可以防范內(nèi)部用戶對(duì)服務(wù)中心的未授權(quán)訪問(wèn)、機(jī)密竊取和服務(wù)攻擊。整個(gè)構(gòu)架充分體現(xiàn)了網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用與安全融合的整體解決方案思路，全面解決用戶各方面各層次的安全需求。

3 安全體系的具體實(shí)現(xiàn)手段

3.1 網(wǎng)絡(luò)架構(gòu)

昆山電視臺(tái)非編網(wǎng)絡(luò)由新聞制作網(wǎng)和專題制作網(wǎng)組成，他們是并行類似網(wǎng)。在具體實(shí)施上，由于這兩個(gè)制作網(wǎng)絡(luò)同時(shí)存在的情況，有其特殊性。通過(guò)具體部署，達(dá)到兩個(gè)網(wǎng)絡(luò)在業(yè)務(wù)層面的不為互通，網(wǎng)絡(luò)層面的相互互聯(lián)。

具體部署：

在FTP工作站和內(nèi)網(wǎng)之間構(gòu)筑硬件防火墻和防毒墻，F(xiàn)TP服務(wù)器上對(duì)進(jìn)入的文件類型進(jìn)行限制，F(xiàn)TP工作站安裝殺毒軟件并且病毒庫(kù)實(shí)時(shí)更新，使用專用的移動(dòng)存儲(chǔ)介質(zhì)拷貝素材。

結(jié)構(gòu)如圖1。

3.2 防病毒

隨著網(wǎng)絡(luò)的逐漸發(fā)展，病毒傳播的速度也是越來(lái)越快。我臺(tái)非編網(wǎng)絡(luò)安全體系的設(shè)計(jì)中同樣考慮到病毒的問(wèn)題，通過(guò)防毒墻，防火墻，殺毒機(jī)聯(lián)合打造出具有鮮明特色的防病毒策略。

具體部署：

屏蔽所有終端的USB接口、光驅(qū)，包括有卡工作站，無(wú)卡工作站，文稿工作站，所有站點(diǎn)不能通過(guò)數(shù)據(jù)接口直接從外部拷貝數(shù)據(jù)進(jìn)入內(nèi)網(wǎng)。

外來(lái)數(shù)據(jù)素材文件拷貝由網(wǎng)管統(tǒng)一管理，經(jīng)過(guò)殺毒機(jī)全面殺毒后，再通過(guò)FTP軟件由FTP擺渡工作站擺渡到FTP擺渡服務(wù)器上，在擺渡的過(guò)程中經(jīng)過(guò)了專業(yè)的防火墻防毒墻，才能到達(dá)FTP服務(wù)器上。使用時(shí)，再拷貝到素材盤中。通過(guò)FTP軟件制定安全策略，只允許固定文件通過(guò)FTP傳輸?shù)紽TP擺渡服務(wù)器上。

全面使用P2卡存儲(chǔ)介質(zhì)。采購(gòu)P2驅(qū)動(dòng)器時(shí)選擇具有PCI-E接口的驅(qū)動(dòng)器。同時(shí)，在每臺(tái)具有P2驅(qū)動(dòng)器的上載工作站上安裝P2查毒軟件，當(dāng)P2卡插入上載工作站時(shí)對(duì)P2卡進(jìn)行掃描。此軟件可以刪除不是由P2攝像機(jī)產(chǎn)生的任何可疑文件。

定期升級(jí)殺毒機(jī)病毒庫(kù)，定時(shí)對(duì)殺毒機(jī)和FTP擺渡工作站進(jìn)行全盤掃描殺毒。

4 應(yīng)急與備份

防固然重要，但不能保證事故的不發(fā)生，因此，整個(gè)安全體系中，還應(yīng)該包括應(yīng)急備份，這樣才能做到有備無(wú)患。整個(gè)新聞制作網(wǎng)，承載著兩套日播節(jié)目的制作，因此備份對(duì)于新聞制作網(wǎng)來(lái)說(shuō)尤為重要。

具體部署：

硬件備份：整個(gè)網(wǎng)絡(luò)中，重要服務(wù)器、以太網(wǎng)交換機(jī)、FC交換機(jī)，都是以主備形式存在。特別提出的是，為了保證新聞網(wǎng)絡(luò)數(shù)據(jù)的安全，我們采用了設(shè)備集成商提供的數(shù)據(jù)備份軟件FISEC。我們將原有網(wǎng)絡(luò)中的存儲(chǔ)作為新聞制作網(wǎng)中的備存儲(chǔ)，通過(guò)FISEC對(duì)新聞制作網(wǎng)中的素材進(jìn)行實(shí)時(shí)的備份。當(dāng)主存儲(chǔ)出現(xiàn)故障的時(shí)候，F(xiàn)IESC會(huì)自動(dòng)切換到備存儲(chǔ)，各個(gè)工作站點(diǎn)直接從備存儲(chǔ)讀取素材。并且這個(gè)切換過(guò)程是在后臺(tái)實(shí)行切換，前臺(tái)的工作站點(diǎn)感覺(jué)不到異常，不影響文稿、非編各站點(diǎn)的使用。

軟件備份：每臺(tái)服務(wù)器、工作站的系統(tǒng)都做好備份工作，一旦單臺(tái)機(jī)器發(fā)生故障，可以快速及時(shí)的進(jìn)行恢復(fù)，非編軟件安裝包，軟件包，都保留在內(nèi)網(wǎng)的共享盤中。

節(jié)目備份：將兩臺(tái)特定的上載工作站點(diǎn)作為應(yīng)急備份機(jī)。在這兩臺(tái)應(yīng)急備份機(jī)上備份兩套節(jié)目的相關(guān)總串信息，并且共享這兩個(gè)站點(diǎn)的備份文件夾。對(duì)于每個(gè)編輯來(lái)說(shuō)，需要對(duì)當(dāng)天的節(jié)目進(jìn)行打包，再保存到網(wǎng)絡(luò)中備份盤符。此盤符是應(yīng)急備份機(jī)中備份文件夾的映射盤符。發(fā)生斷網(wǎng)情況下，可以在這兩臺(tái)應(yīng)急備份工作站上將非編軟件切換到單機(jī)模式，然后對(duì)當(dāng)日節(jié)目進(jìn)行總串操作。

5 結(jié)論

再穩(wěn)固的系統(tǒng)，也會(huì)有潛在風(fēng)險(xiǎn)，操作和管理規(guī)范是一個(gè)系統(tǒng)安全的重要基石。在嚴(yán)格遵守安全體系的前提下，規(guī)范使用人員、網(wǎng)管的操作，定期做好應(yīng)急演練，只有警鐘長(zhǎng)鳴才能使得系統(tǒng)堅(jiān)若磐石。

[1]肖運(yùn)虹，胡小波.電視技術(shù)[M].3版.西安電子科技大學(xué)出版社，2010.

[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，2008.

[3]蘇劍飛，王景偉.網(wǎng)絡(luò)攻擊技術(shù)與網(wǎng)絡(luò)安全探討[J].通訊技術(shù)，2010.