非編系統(tǒng)的安全方案設計與物理隔離設備的應用

龍廷波 尹麗娜 徐州廣播電視傳媒集團

1．前言

節(jié)目的安全播出是電視臺的重中之重，其中安全播出的重要環(huán)節(jié)即非編系統(tǒng)的安全性，直接關系到電視節(jié)目的制作和播出。

病毒滲透、惡意軟件破壞、黑客攻擊等都會對非編網(wǎng)系統(tǒng)造成巨大傷害，影響正常的廣電制作和播出的安全運行，因此需要加強對外部攻擊的預防，抵御局域網(wǎng)外的惡意攻擊，隔斷非編網(wǎng)與互聯(lián)網(wǎng)的直接連接。然而節(jié)目的制作需要豐富的素材，包括編輯記者在互聯(lián)網(wǎng)上查找的圖片和音樂，后期包裝人員制作的欄目角標，廣告公司制作的視頻廣告等等。大量類似的數(shù)據(jù)文件需要導入非編網(wǎng)，但外來文件的導入必然會增加感染病毒的風險，因此需要構建非編系統(tǒng)的病毒隔離機制，防范病毒的入侵。

2．物理隔離設備MRG9000工作原理及關鍵技術

非編網(wǎng)絡的外來數(shù)據(jù)導入面臨數(shù)據(jù)遷移有可能伴隨病毒和攻擊同時引入，如何能做到既可以交換數(shù)據(jù)，又能隔離威脅是需要重點考慮的問題。我臺選擇了MRG9000 數(shù)字視頻網(wǎng)絡安全系統(tǒng)，將它部署在外網(wǎng)和內網(wǎng)（非編網(wǎng)）之間，用于保護內網(wǎng)的安全。

2.1　工作原理

MRG系統(tǒng)選用雙核 CPU 技術，在其中一個CPU內核上運行支持標準協(xié)議（TCP/IP等）的專有系統(tǒng)，通過外網(wǎng)接口連接外部計算機，接收可能存在安全隱患的數(shù)據(jù)文件；另一個 CPU內核則運行Linux操作系統(tǒng)，用來完成文件深度分析（白名單檢測）功能，并通過內網(wǎng)接口與服務器交換數(shù)據(jù)文件。兩個系統(tǒng)之間采用硬件隊列技術進行數(shù)據(jù)擺渡，實現(xiàn)分時導通的物理隔離。

圖1　MRG 物理隔離技術

采用電子開關技術，分時控制緩存池的導通方向，緩存池永遠只和其中的一個網(wǎng)絡連通，所以從整體上看，內外網(wǎng)之間在任一時刻都是斷開的，這樣也就實現(xiàn)了內網(wǎng)和外網(wǎng)之間的物理隔離，其原理如圖1 所示。

2.2　關鍵技術

2.2.1文件格式的深度檢測

任何計算機文件都有獨特的數(shù)據(jù)格式，MRG將文件擴展名與特定的數(shù)據(jù)格式相對應，在文件數(shù)據(jù)傳輸?shù)絻染W(wǎng)文件服務器上之前，MRG文件格式分析模塊對文件數(shù)據(jù)進行格式分析、比對，只有數(shù)據(jù)格式與擴展名一致并且該擴展名在白名單以內的才允許傳輸。這就從根本上斷絕了病毒數(shù)據(jù)的擴散，保證了內網(wǎng)安全。

2.2.2內網(wǎng)拓撲隱蔽功能

SAT（服務器地址轉換功能）能夠將內部的服務器地址映射為MRG外端機對外訪問IP地址，外部用戶訪問MRG的外部IP時，等于訪問被保護的內部網(wǎng)絡服務器地址，如果用戶直接訪問內部服務器IP地址和特定的通信端口，則這種訪問將被拒絕。

2.2.3訪問控制功能

MRG實現(xiàn)了從網(wǎng)絡接口層到應用層的訪問控制功能，通過貫穿整個協(xié)議棧的訪問控制能夠有效過濾非法連接、數(shù)據(jù)的非法傳輸。由表1可以看出在OSI模型的具體層級是如何實現(xiàn)訪問控制功能的。

表1　訪問控制功能表

3．非編系統(tǒng)安全方案

3.1　非編系統(tǒng)安全策略

外網(wǎng)數(shù)據(jù)來源復雜，使得數(shù)據(jù)容易攜帶威脅進入到非編網(wǎng)，這些威脅一旦進入，有可能影響非編工作站的正常工作，例如系統(tǒng)不能正常啟動，或是大量占用系統(tǒng)內存導致非編軟件自動退出，甚至會造成整個非編系統(tǒng)網(wǎng)絡癱瘓，直接影響節(jié)目的制作和送播。我臺在制作網(wǎng)前端部署網(wǎng)絡安全設備，所有進入到制作網(wǎng)的素材都需要通過 MRG9000過濾和分析。

如圖2所示，我們將MRG9000部署在內網(wǎng)（非編網(wǎng)）和外網(wǎng)之間，并將內網(wǎng)所有工作站的USB端口和DVD禁用，給工作站設置BIOS密碼，防止病毒從工作站進入系統(tǒng)。

所有數(shù)據(jù)文件進入非編系統(tǒng)只有兩條安全途徑：

（1）通過藍光盤驅動器、SXS讀卡器或P2讀卡器連接上載工作站進行記者外拍素材的采集上載；

（2）通過MRG工作站上安裝的客戶端軟件進行外來素材的導入，有安全性潛在威脅的文件必須通過安全設備的過濾和分析才能進入非編網(wǎng)。

圖2　非編系統(tǒng)安全示意圖

圖3　非編系統(tǒng)安全隔離網(wǎng)絡圖

3.2　非編系統(tǒng)安全隔離網(wǎng)絡結構

從圖3中可以看出，我臺有三套各自獨立的非編系統(tǒng)，每套非編系統(tǒng)有獨立的服務器、存儲和工作站，都統(tǒng)一連接到一個交換機。為此，我們對交換機進行了VLAN劃分，將三套非編系統(tǒng)劃分到三個相應的VLAN中。每個非編系統(tǒng)都配置一個MRG網(wǎng)閘與外網(wǎng)交換數(shù)據(jù)，每個網(wǎng)閘的內網(wǎng)網(wǎng)口連接到交換機相應的VLAN中，另一網(wǎng)口與外網(wǎng)相連。對每個非編網(wǎng)的存儲建立一個共享文件夾，用于存放和外網(wǎng)之間的交換數(shù)據(jù)，MRG工作站上的客戶端軟件通過網(wǎng)閘可以與該文件夾相互傳輸數(shù)據(jù)，由此完成內外網(wǎng)之間的數(shù)據(jù)交換。

3.3　MRG的軟件設置

3.3.1網(wǎng)絡接口配置

網(wǎng)絡連接設計好后，需要給MRG配置內網(wǎng)和外網(wǎng)分配IP地址，使設備可以連接到內網(wǎng)和外網(wǎng)，圖4是網(wǎng)絡接口配置界面。

3.3.2傳輸目錄配置

在非編網(wǎng)的存儲上建立共享文件夾，用于存放需要傳輸?shù)臄?shù)據(jù)，圖5為共享文件夾的管理配置。

圖4　網(wǎng)絡接口配置

圖5　傳輸目錄配置

圖6　白名單設置

圖7　客戶端軟件使用界面

3.3.3白名單設置

白名單上設置的是能夠通過MRG的數(shù)據(jù)文件類型，白名單以外的數(shù)據(jù)文件都不能通過。廣電網(wǎng)絡涉及的文件類型主要包括視音頻文件、圖片文件和文稿文件等，采用白名單的方式可以提高檢測和傳輸?shù)男省?/p>

管理員可以用白名單的方式對通過 MRG9000 傳輸?shù)奈募愋瓦M行控制。為了避免某些不在白名單之內的文件逃避安全檢查，即使攻擊者將文件的后綴修改了，使其符合白名單的規(guī)范也難以通過，因為MRG9000實現(xiàn)了文件的一致性檢查，這種檢查不但停留在尾綴識別，還要做特征碼分析、語義分析和邏輯結構分析等深度解析，徹底避免假冒文件通過。當傳輸文件中被注入惡意代碼時，能識別出其結構的變化并加以阻斷和警告。圖6為白名單設置界面。

3.4　客戶端操作

當用戶需要在外網(wǎng)和內網(wǎng)之間傳輸數(shù)據(jù)時，在MRG工作站上打開客戶端軟件，如圖7所示，窗口右側是非編網(wǎng)的共享文件夾路徑，窗口左側是本地目錄（包括所映射的外網(wǎng)網(wǎng)盤目錄），如果需要從非編網(wǎng)傳輸文件到外網(wǎng)，選中共享目錄下的文件，右擊鼠標，選擇“下載文件”，文件即可傳輸。從圖中可以看到，傳輸速度能達到7MBps左右，當然這是參考值，因為和網(wǎng)絡帶寬、存儲讀取帶寬也有很大關系。如果選擇的文件是白名單之外的類型，在傳輸失敗窗口軟件會提示詳細原因。

4．總結

本文提出了非編系統(tǒng)安全的重要性，需要與外網(wǎng)交換文件的特殊性，根據(jù)這些需求在內外網(wǎng)之間部署了MRG9000 數(shù)字視頻網(wǎng)絡安全系統(tǒng)， 介紹了MRG的工作原理和關鍵技術，著重介紹了我臺非編系統(tǒng)網(wǎng)絡安全方案和網(wǎng)絡結構，并對MRG軟件的幾個重要配置做了簡單介紹。

根據(jù)我臺近些年MRG9000的使用情況來看，設備較為穩(wěn)定，軟件操作簡單，傳輸速度能夠滿足非編網(wǎng)和外網(wǎng)之間文件的傳輸要求，成功的完成了內外網(wǎng)之間的病毒物理隔離任務，很好的保障了非編系統(tǒng)的安全。