沈敏華

(上海廣播電視臺，上海 200041)

責任編輯:任健男

高清非編系統(tǒng)具備獨立編輯，統(tǒng)一審片的業(yè)務需求，辦公區(qū)域與節(jié)目制作業(yè)務網的安全邊際規(guī)范，在高清非編系統(tǒng)設計中，采用綜合的安全邊際方案，充分利用安全邊界上專業(yè)安全硬件設備的防護功能，同時也在FTP軟件上體現自動化、人性化的設計，實現高清非編系統(tǒng)的節(jié)目內容能安全迅速地在兩個不同安全級別的網絡上傳遞，實現高清非編的高效運行［1］。

1 具體方案

高清非編安全邊界示意圖如圖1所示。

圖1 高清非編安全邊界示意圖

1)高清非編系統(tǒng)中各大板塊節(jié)目都獨立制作，各大節(jié)目板塊的網絡作為每個獨立的VLAN，相互之間不可相互訪問，每個板塊的網段VLAN上都有存儲服務器。節(jié)目編輯分別在自己網絡中的非編工作站制作編排節(jié)目，完成后按照文件的命名規(guī)范存入該節(jié)目板塊的存儲服務器的指定目錄中。

2)高清非編的存儲服務器上安裝FTP的自動上傳軟件AGENT，該軟件作為服務器的服務進程自動運行。同時，存儲服務器安裝合規(guī)的防病毒軟件，并定期升級防病毒軟件的病毒庫，檢查系統(tǒng)漏洞安裝系統(tǒng)補丁，以確保各大非編板塊的存儲服務器的安全穩(wěn)定運行。

3)高清非編的存儲服務器上運行的FTP上傳AGENT將24 h監(jiān)控指定目錄中的文件變化，一旦發(fā)現有新的節(jié)目文件生產，在檢測該視頻文件完整性后，調用視頻轉碼程序將高碼流的文件轉換成低碼流的文件;FTP上傳AGENT首先上傳低碼流的文件到業(yè)務網絡FTP服務器上，在得到審片的確認結果之后，再將高碼流文件上傳到FTP服務器上。在建立FTP上傳文件隊列時，該程序進程會檢查文件命名規(guī)范，只有符合文件命名規(guī)范的文件才會被獲取建立FTP上傳隊列，同時存儲服務器上的防病毒軟件會檢查FTP上傳隊列的文件，以確保FTP上傳文件的安全。

4)建立在高清業(yè)務網的FTP服務器，分別為各大板塊節(jié)目建立目錄，存儲制作好的節(jié)目資源，以備審片調用。

5)高清業(yè)務網的FTP服務器采用雙機運行方式，同時邊界的網絡安全設備將采用雙鏈路方式。FTP上傳AGENT在上傳文件時，可以詢問FTP服務器A/B的工作狀態(tài)，如果FTP服務器A正在接受上傳文件，可以自動再連接FTP服務器B，以充分利用FTP服務器雙機和網絡安全設備雙鏈路的網絡優(yōu)勢。

6)建議在資源共享區(qū)增加網絡入侵檢測設備McAfee IPS，以阻擋病毒蠕蟲的傳播以及黑客DOS/DDOS攻擊和滲透入侵行為，拒絕其他服務器對業(yè)務網絡的非法訪問。

2 設備選型

2.1 McAfee IPS 2950［2］

McAfee IPS基于完整的攻擊分析方法而構建，并引入了業(yè)界最為全面的網絡攻擊特征檢測、異常檢測以及拒絕服務檢測技術，在可以探測阻擋網路攻擊和入侵滲透的同時，還可以探測檢測病毒蠕蟲和后門程序的傳播，使得其具備了完整的網絡安全邊際功能，充分保證在實現媒體資源共享的同時，業(yè)務網絡不會受到網絡攻擊、入侵滲透以及病毒蠕蟲的傳播和控制，滿足SMG業(yè)務網絡的邊界安全標準。

McAfee IPS 2950的優(yōu)點有:

1)提供全面的安全防護，既可以探測阻擋網絡入侵滲透，又可阻擋病毒蠕蟲的傳播。

2)具備無可比擬的檢測準確性。為了實現高性能的網絡攻擊特征檢測，IPS體系結構不僅采用了創(chuàng)新的專利技術，而且集成了全面的狀態(tài)檢測引擎、完善的特征規(guī)范語言、“用戶自定義特征”以及實時特征庫更新，確保了IPS能夠提供并維護業(yè)界最為全面、更新最及時的攻擊簽名數據庫，目前簽名特征超過4500種，解碼協(xié)議超過106種。對已知的SQL攻擊和蠕蟲攻擊可提供非常有效的攔截。

3)新一代的DOS/DDOS網絡突發(fā)訪問的防護，既提供基于自動記憶以及基于閾值的檢測，又可以采用多項檢查模式(智能化簽名檢測、異常檢測以及拒絕服務防護技術)的互動操作，以提高應對DOS/DDOS網絡突發(fā)訪問的保護能力。

4)具備風險識別功能的入侵防護，可以基于對內部網絡的安全風險檢測結果，有針對性的提供特別的防護策略。

2.2 網閘

推薦使用網御星云 SIS－3000－Z6101［3］，部署在邊界處的網閘實現了對網絡數據包的網絡隔離和擺渡交換，從而滿足了非編制作OA網絡與業(yè)務網絡的安全防護需求。內網外網示意圖如圖2所示。

圖2 內網外網示意圖

網閘SIS－3000－Z6101的優(yōu)點有:

1)高安全性。提供安全的硬件隔離體系和操作系統(tǒng)。FTP文件訪問協(xié)議的數據包通過網閘的內部的擺渡機制，以實現內外網段的數據交換。

2)高性能。運用并行處理技術、雙擺渡傳輸技術、鏈路集合技術以提高數據包的傳輸能力。

3)高適用性。能夠靈活地多網隔離和安裝部署。

4)高可靠性。端口冗余，雙機熱備，動態(tài)負載均衡。

5)網御星云SIS－3000－Z6101內外網分別提供4個100/1000 Mbit/s自適應網絡接口和1個管理端口，可以將4個外網端口分別連接4個節(jié)目板塊的網絡，內部端口連接內部的網絡交換機，FTP支持的流量為850 Mbit/s。

6)高管理性。具有高效的集中式管理系統(tǒng)、完善的日志和審計、友好的管理界面。

3 方案說明及數據訪問流程

高清非編人員在完成節(jié)目資料編輯后，可以將制作好的節(jié)目文件拷貝到相對應的存儲服務器指定的目錄上，這時存儲服務器上的防病毒軟件會自動對該文件進行掃描。存儲服務器上運行的FTP AGENT在檢測到有新的節(jié)目文件后，會建立FTP文件上傳隊列，將新編輯的節(jié)目文件上傳到業(yè)務網絡上的FTP服務器。業(yè)務網絡上的FTP服務器在接收到上傳的文件后，會通過CIFS協(xié)議將該文件寫入后臺的NAS存儲，同時完成對文件二次安全掃描，以確保文件在傳遞上安全。

將McAfee IPS 2950和網御星云網閘SIS－3000－Z6101以串聯的方式連接在NAS存儲FTP服務器和各大節(jié)目制作平臺，實現兩個不同安全級別的網段之間網絡鏈路隔離、蠕蟲病毒的防護以及網絡入侵滲透的阻斷。在邊界安全設備上通過訪問策略，可以限定存儲服務器允許向業(yè)務網的FTP服務器上傳節(jié)目文件，從而防止其他工作站對業(yè)務網的非法訪問，同時也完成了節(jié)目資源上傳業(yè)務網的業(yè)務需求。

4 小結

目前越來越多的高清非編網絡在電視臺內使用，作為以頻道為單位的網絡化制播模式，高清非編網絡系統(tǒng)為節(jié)目生產帶來便捷的同時，也使節(jié)目的生產流程和方式產生了根本的變化。但從系統(tǒng)安全性角度考慮，邊界的安全將越來越引起使用者的重視，安全、高效、管理便捷將成為系統(tǒng)設計的依據。

［1］國家廣播電影電視總局.廣播電視安全播出管理規(guī)定［EB/OL］.［2012－08－20］.http://www.sarft.gov.cn/articles/2009/12/21/20091221171804840035.html.

［2］McAfee IPS 2950［EB/OL］.［2012－08－20］.www.mcafee.com/us/resources/data－sheets/ds－network－security－platform.pdf.

［3］聯想 SIS－3000 系列安全隔離網閘白皮書［EB/OL］.［2012－08－20］.http://wenku.baidu.com/view/a5922ebd960590c69ec376c5.html.