義烏廣播技術應對“勒索病毒”來襲案例解析

文/方達星

義烏廣播技術應對“勒索病毒”來襲案例解析

文/方達星

隨著廣播技術的發(fā)展，廣播節(jié)目的制作和播出跟互聯網的結合越來越緊密。在病毒傳播越來越猖獗的今天，如何構建一個對于主持人來說幾乎透明的跨網系統，同時在最大范圍內保障節(jié)目的播出安全，是每個廣播技術從業(yè)者面臨的挑戰(zhàn)。

勒索病毒；全臺網；網閘；多倍速快錄系統

1. 勒索病毒傳播情況和預防要求

2017年5月12日，一種名為“想哭”的勒索病毒襲擊全球150多個國家和地區(qū)，影響領域包括政府部門、醫(yī)療服務、公共交通、郵政、通信和汽車制造業(yè)。勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網頁掛馬的形式進行傳播。一旦進入本地，就會自動運行，同時刪除勒索軟件樣本以躲避查殺和分析。接下來，勒索病毒利用本地的互聯網訪問權限連接至黑客的C&C服務器，進而上傳本機信息并下載加密私鑰與公鑰，利用私鑰和公鑰對文件進行加密。加密完成后，還會修改壁紙，在桌面等明顯位置生成勒索提示文件，指導用戶去繳納贖金。這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。病毒可以導致重要文件無法讀取，關鍵數據被損壞，給用戶的正常工作帶來了極為嚴重的影響。

5月18日義烏市宣傳部通知：近日，全球爆發(fā)勒索蠕蟲病毒,各單位要落實專人對本單位電腦進行查看，有中毒情況向市網信辦匯報。同時，要組織實施人員和支持公司完成防火墻、交換機的端口關閉和系統補丁升級工作，并抓緊安裝360等能夠查殺加密勒索蠕蟲的殺毒軟件和專殺工具，具體關閉的端口為：TCP/UDP∶135、137、138、139、9995、9996、593、445 以及 tcp∶5554、4444 和 udp∶1434。

2. 義烏廣播的基本情況

2.1 義烏廣播音頻全臺網情況

義烏廣播采用的是英夫美迪的全臺網系統（圖1），全臺網內部分為播出網和制作網。為保證播出安全，廣播的播出網一直在變小，一個簡單高效的播出網，專注于播出更能確保播出網的安全，所以，一套節(jié)目的播出站點一般不會超過3臺。而制作網為滿足業(yè)務和發(fā)展需求，一直在變大，廣播節(jié)目制作的各種要求以及面向客戶、面向節(jié)目發(fā)展趨勢的功能，一個大的制作系統可以滿足用戶的各種功能要求而不用擔心功能的增加會影響到播出的安全。制作網是集節(jié)目采、編、播于一體的大制作系統，包含多媒體新聞子系統、節(jié)目制作子系統、發(fā)布子系統、媒體資產管理等多個子系統。這些子系統都圍繞著節(jié)目播出這個中心，彼此協調運作。首先，新聞子系統負責新聞節(jié)目的采集、新聞稿件的生成和管理；而節(jié)目制作子系統則負責音頻節(jié)的制作和管理，制作好的節(jié)目可以送往播出系統供播出使用，也可以通過發(fā)布系統發(fā)布給其他的應用系統使用。無論是新聞管理子系統還是節(jié)目制作子系統生產的節(jié)目，都可以通過內容發(fā)布子系統進行發(fā)布。除了可以發(fā)布到播出系統供播出使用外，還可以發(fā)布給其他的應用系統使用。義烏廣播制作、播出系統當時設計的時候，為了便于擴容，實施的是跨網段的布署，制作網和互聯網通過網閘相連(制作網和互聯網以非IP的方式連接)，而制作站點則小部分部署在內網，大部分都布署在外網。外網制作站可以通過網閘透明的訪問位于內網的制作、播出服務器，其操作和使用與位于內網的制作站完全一樣。但是制作站直接布置在外網，使制作節(jié)目能調度的各種互聯網素材和時效素材大大增加，對于節(jié)目的精品化和應景化有很大好處，和其他的應用系統可以通過標準的接口，直接瀏覽、查詢制作系統的節(jié)目數據和播出系統上每套播出節(jié)目的編排情況，并能在系統授權權限許可范圍內的下載使用和變更播單。系統用的媒體專用網閘，提供簡化版的HTTP、FTP、UDP等基礎協議的支持。這就能確保業(yè)務應用所必須的webservice應用、FTP文件傳輸應用、媒資等能夠順利運行。正是有了這些中間應用的支持，制作內網、綜合業(yè)務網、互聯網的節(jié)目制作能透明穿透網閘，實現節(jié)目的安全、高效、協同制作?，F在關閉這么多端口，哪些端口是系統在用的，也只能把交換機的端口關閉后，一步步地走節(jié)目的采編播流程。

2.2 義烏廣播音頻制作采編播流程和網絡構架

節(jié)目編播流程：（1）用戶登錄制作管理軟件XStudio系統；（2）進入我的工程區(qū)進行節(jié)目制作。新建工程，調用音頻編輯器，完成音頻錄制編輯，發(fā)送成品節(jié)目；（3）在任務審核列表中，能夠進行權限查詢?yōu)g覽、審核功能；（4）制作任務列表中，能夠看到制作節(jié)目的審核狀態(tài)；（5）發(fā)送到制作庫的節(jié)目，保存在素材成品區(qū)中；（6）發(fā)送到播出庫的節(jié)目，保存在播出成品區(qū)中；（7）節(jié)目發(fā)播，包括發(fā)送到線性節(jié)目單、發(fā)送到JINGLE單、發(fā)送到播出成品庫供查詢檢索播出調用。

節(jié)目編排播出除了用XStudio節(jié)目發(fā)播外，還能利用LogEditor對日播出節(jié)目單進行編排。

圖1 系統的網絡結構圖

3. 義烏廣播技術應對措施

3.1 確保整個工藝流程順利實現

廣播節(jié)目所采用的素材大致分為三類：第一類是國家級的廣播電視的節(jié)目、省級廣播電視節(jié)目及兄弟臺的廣播電視節(jié)目的同期慢速錄音；第二類是互聯網的音頻資料，包括最新的歌曲和各種聲音音效；第三類自己主持人制作的精品節(jié)目和節(jié)目的文稿系統。第一類同期慢速錄音采用的是聯匯的PRODS慢速錄音系統，以文件夾網絡共享的方式，進行文件的訪問，關閉勒索病毒傳播端口后，同樓層可以訪問，但是跨樓層慢錄系統就讀取不了文件。第二類互聯網的音頻資料，外網工作站往制作網傳送文件的時候，走的是HTTP，FTP兩種協議，對互聯網的音頻資料可以實現跨網段，跨樓層使用。第三類自己主持人制作的節(jié)目，一般在制作網內完成，不存在跨網的問題，文稿系統采用的是HTTP協議，關閉端口對文稿系統沒有影響。解決慢錄不能垮樓層使用，廣播技術通過在制作網內，增加內網的工作站予以解決，這樣整個廣播播出的各種工藝流程在關閉勒索病毒傳播端口后，通過內部測試和內部的網絡結構的微調整，還是確保整個廣播采制編播的順利進行。

3.2 對網間安全進行優(yōu)化

在滿足整個廣播采制編播工藝流程后，廣播技術對整個廣播的網間安全作了優(yōu)化。

制作網和互聯網之間使用2臺NetGap200網閘隔離，兩臺網閘互做備份。2臺網閘采用并行方式，每臺承擔一個樓層的網絡流量。NetGap200是第二代安全網絡隔離與信息交

換系統網絡安全產品。它把網絡分為可信任網絡和不可信任兩部分，網閘的初始設置在可信網絡端,不可信網絡端只能接受和傳送可信網絡端給它規(guī)定的通道、端口和文件制式進行數據交換。同時數據交互通過專用的數據傳輸部件進行傳輸，對于非通道內、非端口、非合格制式的數據,系統實行高效屏蔽,可以防止各種基于網絡層和操作系統層的攻擊，并通過基于硬件的 SGAP系統，實現高速實時的數據傳輸。網閘系統從網絡模型的應用層將數據還原為原始數據，然后以“擺渡原始數據”的形式來傳遞數據，網絡命令和 TCP/IP 協議包無法穿透隔離系統。NetGap200 還具備強大的協議終止、協議檢查、內容審查等功能，可確?？尚啪W絡不受攻擊，并保護網絡間資源、信息和數據交換的安全進行。NetGap200 具有針對廣電系統用戶的特殊需求進行的優(yōu)化，可根據廣播的節(jié)目制作工藝要求配置允許通過的文件格式。并對要通過的音頻文件進行加密和解密來實現文件傳輸的安全，對篡改文件名后綴、音頻文件中嵌入惡意代碼之類欺騙方式均能有效甄別并阻止。對于能傳輸進內網的文件，我們進行優(yōu)化，讓系統只能通過廣播音頻的S48文件。

3.3 啟動多倍速快錄系統并對整個制播網進行再優(yōu)化

啟用多倍速快錄系統實現制作網和互聯網的徹底的物理隔離。多倍速快錄系統基本原理就是音頻對錄，這是一種安全又保守的做法，原來的音頻對錄需要人操作，多倍速快錄系統就是讓對錄自己自動開始和停止，不需要其他的通訊機制，就依靠音頻信號自身去觸發(fā)。音頻的開始對錄、停止對錄等命令，音頻文件名、文件的用戶名等信息，也是用音頻發(fā)電報的方式對錄過去，因為正常的音頻是可能以這樣連續(xù)短脈沖，系統就把這樣的音頻短脈沖識別為編碼并對其進行解析。在對錄完成的音頻文件中不會有這樣的音頻脈沖編碼信號。實現了系統自動的讓對錄開始和停止。選擇AES3或MADI進行音頻對錄，并采用倍速采樣率的方式，比如，對于一個48KHz的音頻文件，我們采用192KHz進行對錄，這樣對錄時間可以縮短4倍。并且采用多通道聲卡對一個文件進行同步對錄，如果采用8個AES3通道的聲卡，則首先將要傳輸的音頻文件切分為8個音頻文件，再同時將這8個音頻文件用8個AES通道4倍速對錄，則總的對錄效率是8×4=32倍。義烏廣播采用64通道MADI，則對錄效率甚至可高達64×4=256倍。通過這些手段，數十倍地縮短音頻對錄的時間，1個小時的音頻文件1、2分鐘就完成網間傳輸了，而且還可以不需要人守著電腦操作，內網和外網實現徹底物理隔離，只靠音頻線進行對錄。

多倍速對錄系統本質上是一個音頻設備（圖2～3），跟其他系統的集成是以文件為唯一載體的，需要傳輸的音頻文件只需要送到多倍速系統監(jiān)測的文件夾中，多倍速系統就會自動開始對錄，通過多倍速系統廣播就可以輕松實現在臺外的記者將音頻素材傳輸到內網，簡單的方式（圖4多倍速系統連接簡易方式）是架設FTP或HTTP服務接收音頻文件傳輸，并將音頻文件自動送多倍速，而復雜的方式（圖5多倍速系統連接復雜方式）包括諸如將部署在外網的新聞采編系統與多倍速對錄系統進行集成。這樣就實現了內外網系統的徹底的物理隔離。

圖2 外網音頻輸入內網示意圖

圖3 內網音頻文件輸出外網示意圖

圖4 多倍速系統連接簡易方式

圖5 多倍速系統連接復雜方式

在多倍速系統啟用后，相對于網閘的邏輯隔離，多倍速系統的純物理隔離在播出安全保障的級別更高，但是義烏廣播技術并沒有放棄網閘系統，而是讓整個系統平時運行在多倍速系統中，網閘是一個備用系統，萬一多倍速系統出現問題，網閘也可以發(fā)揮作用。這樣義烏廣播技術在網間安全保障方面擁有了多種保障手段。

[1]彭澎，何紹丹.基于云計算的廣播制播系統研究與設計[J].廣播與電視技術，2013，（7）.

[2]丁琳.“疫情”席卷全球，它為何如此兇猛[J].科學之友（上半月），2017（07）.

G222

A

1671-0134（2017）11-076-03

10.19483/j.cnki.11-4653/n.2017.11.024

浙江省義烏廣播電視傳媒集團）