淺析廣電媒體業(yè)務(wù)網(wǎng)絡(luò)的綜合安全隔離系統(tǒng)

羅蘊(yùn)軍

（新余市廣播電視臺，新余 338000）

淺析廣電媒體業(yè)務(wù)網(wǎng)絡(luò)的綜合安全隔離系統(tǒng)

羅蘊(yùn)軍

（新余市廣播電視臺，新余 338000）

本文從網(wǎng)間安全方式、安全解決方案比較、綜合安全隔離系統(tǒng)防范功能測試及應(yīng)用范圍，對廣電媒體業(yè)務(wù)網(wǎng)絡(luò)的網(wǎng)間安全進(jìn)行分析。

廣播電視；媒體業(yè)務(wù)網(wǎng)絡(luò)；網(wǎng)間安全；內(nèi)外網(wǎng)隔離

1 引言

隨著數(shù)字化技術(shù)、電視制作技術(shù)和計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，基于計算機(jī)網(wǎng)絡(luò)系統(tǒng)的廣播電視臺的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)（包含綜合制作網(wǎng)、播出網(wǎng)、新聞制作網(wǎng)、錄音網(wǎng)、收錄網(wǎng)、綜合信息網(wǎng)、新媒體服務(wù)、廣告制作網(wǎng)等）在各級廣播電視臺廣泛使用，各臺均已實現(xiàn)了采、編、播的全程文件化，在網(wǎng)絡(luò)系統(tǒng)極大地提高了工作效率和播出質(zhì)量同時，也帶來了網(wǎng)絡(luò)安全問題。在這種情況下，如何保障廣播電視臺業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、相關(guān)資源得以合法訪問，使業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)免受病毒、惡意軟件、黑客或其他不良意圖的攻擊就顯得尤為重要。

2 網(wǎng)間安全方式

如何解決既能嚴(yán)格執(zhí)行國家相關(guān)規(guī)定將內(nèi)外網(wǎng)絡(luò)物理隔離，解決好網(wǎng)絡(luò)的安全，而又能實現(xiàn)各網(wǎng)絡(luò)的信息系統(tǒng)數(shù)據(jù)方便地安全交換呢？

2.1 傳統(tǒng)安全方式

傳統(tǒng)安全方式主要有：殺毒軟件、防火墻、網(wǎng)閘、USB隔離、異構(gòu)等。

（1）殺毒軟件。也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機(jī)威脅的一類軟件。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除、自動升級病毒庫、主動防御等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)、防范黑客入侵，網(wǎng)絡(luò)流量控制等功能，是計算機(jī)防御系統(tǒng)的重要組成部分。殺毒軟件適用單機(jī)使用，方便易用。但存在漏殺和誤殺，工作效率低，升級有風(fēng)險等不足。

（2）防火墻。是最常用的網(wǎng)絡(luò)隔離手段。防火墻設(shè)計原理來自于包過濾與應(yīng)用代理技術(shù)，工作在OSI七層協(xié)議的1至4層，主要執(zhí)行訪問控制策略，可以通過設(shè)置ICMP或TCP/IP參數(shù)對數(shù)據(jù)包IP地址或MAC地址進(jìn)行過濾，防火墻的邏輯是在保證連接聯(lián)通的情況下盡可能安全，不對數(shù)據(jù)格式進(jìn)行深度檢測。防火墻對于安全要求初級的隔離是可以的，但對于需要深層次的網(wǎng)絡(luò)隔離就顯得不足了。另外還存在物理通道，未設(shè)置策略無效，協(xié)議漏洞威脅，無數(shù)據(jù)的檢測。

（3）網(wǎng)閘。即采用隔離卡架構(gòu)，以物理方式將一臺PC虛擬為兩個電腦，實現(xiàn)工作站的雙重狀態(tài)，既可在安全狀態(tài)，又可在公共狀態(tài)，兩個狀態(tài)是完全隔離的，從而使一部工作站可在完全安全狀態(tài)下聯(lián)結(jié)內(nèi)、外網(wǎng)。網(wǎng)閘做到了物理上不同時連接，對攻擊防護(hù)好，但協(xié)議的代理對病毒防護(hù)依賴當(dāng)前技術(shù)；只適合定期的批量數(shù)據(jù)交換，但不適合多應(yīng)用的穿透；無數(shù)據(jù)的檢測；低級名單識別；數(shù)據(jù)威脅需要輔助；通用設(shè)備，無廣電特點。

（4）USB隔離。采用兩臺PC機(jī)作主機(jī)，分別連在內(nèi)、外網(wǎng)系統(tǒng)上，在內(nèi)、外網(wǎng)主機(jī)之間，使用USB雙端電纜連接，在兩臺主機(jī)上分別安裝USB驅(qū)動程序和專用程序，用于存儲轉(zhuǎn)發(fā)芯片的控制和文件檢測、傳輸。但USB隔離在防攻擊方面存在問題：PC機(jī)系統(tǒng)自身的防病毒、防攻擊穩(wěn)定性問題；黑客進(jìn)入外網(wǎng)主機(jī)破壞USB驅(qū)動程序造成網(wǎng)橋中斷工作；采用通用的USB協(xié)議取代TCP/IP協(xié)議；能阻斷網(wǎng)絡(luò)攻擊但容易傳播USB病毒；無深度檢測，需配殺毒軟件做輔助檢測；病毒庫升級需連接外網(wǎng)，安全與風(fēng)險并存。

（5）異構(gòu)。是指硬件平臺、操作系統(tǒng)、并發(fā)控制、訪問方式和通信能力等的不同。這里主要指兩個或以上的操作系統(tǒng)不同，數(shù)據(jù)的操作系統(tǒng)可以是Microsoft Windows，Windows NT，各種版本的Linux，UNIX，IBM OS/2，Macintosh等。操作系統(tǒng)交換數(shù)據(jù)是采用先殺毒再導(dǎo)入的工作模式。適用環(huán)境：有安全要求的節(jié)點。異構(gòu)網(wǎng)絡(luò)存在不足：先殺毒再導(dǎo)入的模式；系統(tǒng)病毒和文件病毒毫無隔離功能；無深度檢測，需要選配殺毒軟件檢測。

各種傳統(tǒng)安全方式的運(yùn)維性都比較差，同時在單機(jī)內(nèi)環(huán)境存在漏殺誤殺，工作效率低；物理通道存在策略及協(xié)議威脅，內(nèi)容檢查級別低；殺毒軟件輔助的內(nèi)容檢查級別低。

2.2 更優(yōu)安全方式

主要以綜合安全隔離產(chǎn)品為代表的更優(yōu)安全方式，保密性和安全強(qiáng)度均高于傳統(tǒng)安全手段，具有更適合、更便攜、更有效、更權(quán)威四大特點。

綜合安全隔離系統(tǒng)是結(jié)合通道控制、內(nèi)容檢查、協(xié)議轉(zhuǎn)換等機(jī)制的軟硬一體的安全產(chǎn)品。通道控制主要采用電子開關(guān)和數(shù)據(jù)緩存池分時導(dǎo)通，物理隔離技術(shù)，內(nèi)網(wǎng)與外網(wǎng)沒有物理連接，依靠隔離開關(guān)擺渡傳輸數(shù)據(jù)，保證任意時刻兩個業(yè)務(wù)子網(wǎng)都是物理斷開。內(nèi)容檢查的核心是檢測數(shù)據(jù)文件真?zhèn)魏褪欠裼袏A帶，綜合安全隔離系統(tǒng)根據(jù)擴(kuò)展名對傳輸文件與特定數(shù)據(jù)格式進(jìn)行分析、比對，判斷文件的真?zhèn)危辉诖_定文件真正身份后，再全文掃描，確認(rèn)文件是否有夾帶，比如含執(zhí)行代碼語言等；這就從根本上斷絕了病毒數(shù)據(jù)通過文件載體的擴(kuò)散，保證了內(nèi)網(wǎng)的安全。

具有廣電特性：白名單數(shù)據(jù)文件傳送，最大近百種文件格式類型；最大主持10個網(wǎng)段連接；支持高標(biāo)清大視頻數(shù)據(jù)的斷點續(xù)傳；支持未發(fā)布視頻的拒絕下載（版權(quán)保護(hù)）；支持在線檢測視頻數(shù)據(jù)錯誤（數(shù)據(jù)錯誤引起的圖像變形及畫面跳動等）；支持小文件實時傳輸，小文件可以不用等待前邊的視頻大文件而直接傳輸。

3 安全解決方案比較

通過各種安全解決方案之間的比較分析，安全解決方案各有優(yōu)缺點，廣播電視臺根據(jù)行業(yè)的特點及單位的實際情況應(yīng)采用綜合安全隔離系統(tǒng)的解決方案。

表1 各種安全解決方案之比較

4 綜合安全隔離系統(tǒng)防范功能測試

文件數(shù)據(jù)深度解析是綜合安全隔離系統(tǒng)的核心技術(shù)，通過對白名單文件的深入研究，系統(tǒng)根據(jù)白名單對文件類型做深度檢查，除了尾綴識別外，還要做特征碼分析、語義分析和邏輯結(jié)構(gòu)分析等深度解析，徹底避免假冒文件通過；當(dāng)傳輸文件中被其他代碼（包括惡意代碼)時，綜合安全隔離系統(tǒng)應(yīng)能夠準(zhǔn)確識別其結(jié)構(gòu)的變化并加以阻斷和告警。我們針對產(chǎn)品相關(guān)功能進(jìn)行常用文件傳輸測試，只有通過相關(guān)測試的產(chǎn)品才可使用。

（1）視頻文件測試。測試樣本A是一段在4秒處有數(shù)據(jù)錯誤的視頻。使用暴風(fēng)影音觀看，現(xiàn)象非常明顯，在數(shù)據(jù)損壞處有馬賽克出現(xiàn)。綜合安全隔離系統(tǒng)的深度檢測功能應(yīng)可以檢測出視頻數(shù)據(jù)是否損壞，如果出現(xiàn)數(shù)據(jù)損壞該文件應(yīng)被綜合安全隔離系統(tǒng)成功攔截，禁止傳輸。

（2）圖片文件測試。測試樣本B是后綴為JPG圖片文件，文件中包含了文本文件，如果把此文件后綴更名為TXT文件后雙擊打開，會在正中間的位置看到一段文字。這說明，后綴為JPG圖片文件雖然能夠正常打開，但是其結(jié)構(gòu)已經(jīng)發(fā)生了變化，包含了本不屬于JPG文件的文本信息。通過綜合安全隔離系統(tǒng)的數(shù)據(jù)文件深度檢測功能，應(yīng)可以檢測出這種變化的。

測試樣本C是一個包含壓縮包炸彈的后綴為JPG圖片文件，如果把此文件后綴更名為ZIP文件，雙擊后可以看它其是一組含病毒的可執(zhí)行文件，非常危險！通過綜合安全隔離系統(tǒng)的應(yīng)可以把它檢測出來并禁止傳輸。

（3）文本文件測試。測試樣本D是含非法字符的后綴名為TXT的文本文件，通過綜合安全隔離系統(tǒng)也應(yīng)被攔截。

5 綜合安全隔離系統(tǒng)應(yīng)用范圍

（1）制作播出安全隔離。部署在制作網(wǎng)與播出網(wǎng)之間，制作網(wǎng)向播出網(wǎng)傳輸?shù)牟コ鏊夭?，須通過綜合安全隔離系統(tǒng)的檢測后，才能夠進(jìn)入播出的二級存儲中，再通過轉(zhuǎn)碼軟件遷移到播出服務(wù)器中。通過綜合安全隔離系統(tǒng)徹底杜絕來自網(wǎng)絡(luò)通道的威脅（網(wǎng)絡(luò)攻擊及木馬程序等），并依靠綜合安全隔離系統(tǒng)數(shù)據(jù)深度檢測徹底避免非法文件及病毒的入侵，進(jìn)而全面保護(hù)播出網(wǎng)，保證播出安全運(yùn)行。

（2）外部素材安全導(dǎo)入。部署在廣播電視臺外來素材的安全導(dǎo)入。通過安裝在不同部門的上傳工作站進(jìn)行外部數(shù)據(jù)的交換和共享，可以避免因需要導(dǎo)入外來數(shù)據(jù)而帶來安全隱患，避免因使用外部介質(zhì)（U盤、移動硬盤、P2卡等等）而帶來的各種病毒進(jìn)入業(yè)務(wù)內(nèi)網(wǎng)。

（3）外網(wǎng)數(shù)據(jù)安全交互。部署多臺綜合安全隔離產(chǎn)品用于廣播電視臺各個網(wǎng)絡(luò)之間的安全隔離，其中有部署在廣告中心和制作網(wǎng)之間的，也有部署在幾個不同的制作網(wǎng)之間的。保證網(wǎng)絡(luò)之間的數(shù)據(jù)交換和共享，同時可以避免相互之間的網(wǎng)絡(luò)攻擊和病毒傳播。

（4）遠(yuǎn)程數(shù)據(jù)安全上傳。部署綜合安全隔離產(chǎn)品作為隔離設(shè)備，通過FTP方式，將外網(wǎng)數(shù)據(jù)素材上傳到外網(wǎng)上載客戶端，之后上載客戶端經(jīng)過綜合安全隔離系統(tǒng)隔離，將素材傳到內(nèi)網(wǎng)服務(wù)器。通過的安全隔離，安全的將廣播電視臺的數(shù)據(jù)素材傳輸?shù)椒蔷幘W(wǎng)中，保證多個業(yè)務(wù)點之間實現(xiàn)數(shù)據(jù)的安全交換，同時可以避免相互之間的網(wǎng)絡(luò)攻擊和病毒傳播。

（5）文稿數(shù)據(jù)安全交互。部署于內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)與制作網(wǎng)互聯(lián)，辦公網(wǎng)用戶使用自動上傳方式向制作網(wǎng)上傳文件，將客戶端安裝在FTP服務(wù)器上，用戶通過FTP將文件傳輸?shù)椒?wù)器上各個賬戶指定的自動上傳目錄來傳輸?shù)桨踩W(wǎng)絡(luò)中。每個記者使用自己的特定FTP賬號，互相之間看不到任何有關(guān)傳輸文件的信息。

6 結(jié)束語

隨著黑客和病毒的攻擊方式的不斷變換，任何防護(hù)手段都是相對的，只有提高安全意識，多方面采取安全措施，不斷研究探討新的防護(hù)手段，不斷更新提高防護(hù)技術(shù)，才能保證內(nèi)網(wǎng)與互聯(lián)網(wǎng)安全、高效交換信息。

[1] 羅蘊(yùn)軍．淺析電視臺制播系統(tǒng)的內(nèi)外網(wǎng)安全隔離[J]．?dāng)?shù)字通信世界，2011(3): 46-49

[2] 羅蘊(yùn)軍．基于USB數(shù)據(jù)傳輸技術(shù)的信息高安全區(qū)建設(shè)[J]．電視技術(shù)，2010(5): 91-93

撬動衛(wèi)星車聯(lián)網(wǎng)市場的關(guān)鍵因素

去年，豐田宣布投資10億美元用于自動駕駛技術(shù)和人工智能，以幫助提高車輛安全性。上個月，Continental和Inmarsat宣布建立有關(guān)車聯(lián)網(wǎng)的合作伙伴關(guān)系，通過衛(wèi)星傳輸車輛的更新和遠(yuǎn)程信息處理。

車聯(lián)網(wǎng)正在成為汽車行業(yè)的標(biāo)準(zhǔn)，這是由在道路上提高安全性、節(jié)省資金的需求驅(qū)動的。但是車聯(lián)網(wǎng)的夢想不僅僅是故障診斷，它還用于實時上網(wǎng)和娛樂系統(tǒng)。找到使夢想成為現(xiàn)實的正確方式在未來十年可能都不會發(fā)生，至少不會通過衛(wèi)星實現(xiàn)。

NSR的相關(guān)報告《陸地移動衛(wèi)星通信第4版》指出，預(yù)計到2025年，使用衛(wèi)星寬帶連接的陸地車輛數(shù)量仍將很少。市場幾乎完全由高速鐵路系統(tǒng)占據(jù)，因為其它車聯(lián)網(wǎng)車輛通常依賴于無線或蜂窩覆蓋。

這是一個重要的關(guān)鍵點，是對衛(wèi)星車聯(lián)網(wǎng)的相當(dāng)大的挑戰(zhàn)。信號衰減限制了衛(wèi)星通信的效率。高速移動加上惡劣天氣的影響，另外還必須配置堅固耐用且昂貴的車載平板天線設(shè)備。此外，地面業(yè)務(wù)幾乎無處不在，使得衛(wèi)星難以競爭。尋求上網(wǎng)和娛樂的乘客可以簡單地使用他們的智能手機(jī)，只有在最偏遠(yuǎn)的信號覆蓋差的地區(qū)，這種服務(wù)才會令人不滿意。

由于以上原因，車聯(lián)網(wǎng)的發(fā)展已經(jīng)植根于與蜂窩服務(wù)提供商的合作，例如SK電信與愛立信和寶馬的項目，通用汽車與AT＆T的OnStar服務(wù)，以及克萊斯勒與Sprint，雖然最后合作由于連接汽車的安全問題而引起風(fēng)波。不過，雖然這種類似的合作伙伴關(guān)系繼續(xù)不斷出現(xiàn)，但衛(wèi)星服務(wù)提供商和汽車制造商之間幾乎沒有溝通，特別是關(guān)于網(wǎng)絡(luò)覆蓋和可用性，在無線運(yùn)營商對這些服務(wù)的免責(zé)聲明中是非常重要的條款。但是Inmarsat-Continental合作伙伴關(guān)系是朝正確方向邁出的一步，旨在將系統(tǒng)和服務(wù)直接集成到車輛中。然而，如上所述，難點依然是使用衛(wèi)星服務(wù)的時間有多長，花費將是多少，以及誰將買單？

沒有這種合作伙伴關(guān)系，任何車聯(lián)網(wǎng)汽車的衛(wèi)星選項將是一個外部設(shè)備，在車輛銷售后才可添加。有些人會提到衛(wèi)星電臺的成功，但值得注意的是，直到它被整合到車輛的制造之后才算真正成功，其成本包含在車輛購買價格中。因此，很明顯OEM交易是在車載系統(tǒng)中實現(xiàn)基于衛(wèi)星連接的關(guān)鍵因素。

與此同時，天線制造商并不熱衷于追求這個市場，覺得車聯(lián)網(wǎng)市場潛力不大。雖然有一些正在開發(fā)的車聯(lián)網(wǎng)附加產(chǎn)品，大多數(shù)將是某種形式的混合設(shè)備，在合適的情況下切換地面和衛(wèi)星業(yè)務(wù)，只有少數(shù)幾個作為獨立衛(wèi)星系統(tǒng)開發(fā)，用于在偏遠(yuǎn)環(huán)境中工作的企業(yè)最終用戶。諸如高速鐵路等乘客要求在偏遠(yuǎn)地區(qū)實時上網(wǎng)和娛樂的企業(yè)，將在可預(yù)見的未來構(gòu)成絕大多數(shù)的車聯(lián)網(wǎng)車輛。

NSR的報告預(yù)測，衛(wèi)星車聯(lián)網(wǎng)將集中在北美、歐洲和亞洲。像Gilat-Renfe項目在西班牙連接高鐵列車、中國“一帶一路”倡議下的Gilat與中國人民銀行的的伙伴關(guān)系以及Amtrak在美國西南部的試驗列車項目，展現(xiàn)了在這些地區(qū)進(jìn)一步發(fā)展這項服務(wù)的強(qiáng)烈興趣。

陸地移動寬帶衛(wèi)星通信當(dāng)然沒有徹底消亡和毫無前景，但是它的市場不大。依然存在一些技術(shù)和經(jīng)濟(jì)方面的挑戰(zhàn)，阻礙衛(wèi)星通信業(yè)務(wù)融入陸地移動車輛聯(lián)網(wǎng)。就目前而言，鐵路將在這個市場占有一席之地，克服挑戰(zhàn)并提供對高流量地區(qū)如歐洲乘客的實時上網(wǎng)需要。（北方天空研究院Dallas Kasabosk/文，邵曉紅/譯）

Analysis of the Integrated Security Isolation System of Radio and Television Media Business Network

Luo Yunjun
(Xinyu Radio and Television Station, Xinyu, 338000)

This article from the network security mode, the comparison of security solutions and comprehensive security isolation system protection features, test and application scope of radio and television media business network of network security are analyzed.

Radio and Television; Media business network; Network security; Internal and external network

10.3969/J.ISSN.1672-7274.2017.03.011

TP393.08文獻(xiàn)標(biāo)示碼：B

1672-7274（2017）03-0041-04

羅蘊(yùn)軍，1973年生，高級工程師，供職于江西省新余市廣播電視臺，從事廣播電視工程方向的工作。