宋志堅

（溫州廣播電視傳媒集團電視臺，浙江 溫州 325002）

責任編輯:任健男

1 全臺網(wǎng)播出系統(tǒng)的特點

IT技術的快速發(fā)展與電視臺節(jié)目井噴式擴張，激發(fā)了電視臺對播出環(huán)節(jié)更高效的業(yè)務需求，促使播出系統(tǒng)不得不從傳統(tǒng)的“孤島模式”向著“全臺網(wǎng)”模式更新和發(fā)展。在播出系統(tǒng)從“孤島模式”向“全臺網(wǎng)模式”轉化的過程中，要經(jīng)歷文件化、網(wǎng)絡化和流程化三個方面的演變。

1）文件化

播出系統(tǒng)的文件化始于硬盤播出時代，是一場用硬盤介質代替磁帶介質的播出系統(tǒng)革命，避免了磁帶播出中的機械問題，為網(wǎng)絡化播出提供了技術基礎。

2）網(wǎng)絡化

在硬盤播出時代，網(wǎng)絡化不能實施與推廣主要在于:

（1）沒有統(tǒng)一的文件格式封裝標準

硬盤播出系統(tǒng)核心設備視頻服務器，僅有統(tǒng)一的MPEG-2編碼標準，沒有統(tǒng)一的文件封裝格式標準，不同品牌的視頻服務器編碼的文件根本不能交換使用，這種狀況一直到SMPET-377M標準和MXF格式文件出現(xiàn)才發(fā)生改變。

（2）制作和播出的碼率不一致

為了使電視圖像質量達到廣播甲級標準，在制作域采用MPEG-2 I幀 25 Mbit/s的編碼，1 h的節(jié)目文件的大小達到18～20 Gbyte。播出對節(jié)目質量有很高的要求，在當時存儲和網(wǎng)絡傳輸條件下，使用這么大的文件進行播出幾乎是不可能的事情。而在播出域采用的是MPEG-2 IBP Long GOP的編碼方式，采用8 Mbit/s碼率。正是制作域和播出域的節(jié)目文件碼率不一致，受限于當時的轉碼技術和CPU等，那時候轉碼效率還很低，實現(xiàn)網(wǎng)絡化文件備播困難重重。

（3）千兆以太網(wǎng)絡還沒有廣泛應用

即使是采用MPEG-2 IBP幀8 Mbit/s的編碼壓縮方式，1 h的4～5 Gbyte大小的文件對于網(wǎng)絡遷移來說也是非常沉重的負擔。當時千兆以太網(wǎng)絡還沒有普及，大部分視頻服務器還在使用昂貴的FC網(wǎng)絡和SCSI協(xié)議，這些也都阻礙了網(wǎng)絡化播出的發(fā)展。

（4）對于網(wǎng)絡安全還沒有深刻認識

由于那時網(wǎng)絡普及時間不長，人們幾乎沒有網(wǎng)絡安全意識，這就會造成大量的人為引起的網(wǎng)絡安全問題，加上當時針對網(wǎng)絡安全的解決方案也不完善，使得一些電視臺在網(wǎng)絡化播出上采用封閉、保守的策略。

3）流程化

現(xiàn)階段，上述制約網(wǎng)絡化播出的問題已經(jīng)得到很好的解決，使更高的備播效率成為可能。但需要解決文件化備播的業(yè)務流程問題。

2 全臺網(wǎng)播出系統(tǒng)的關鍵點

從硬盤播出到全臺網(wǎng)播出，傳輸介質、系統(tǒng)架構、業(yè)務流程都發(fā)生了變化，但是播出對系統(tǒng)安全的要求反而更高。

2.1 文件與內容安全

當播出系統(tǒng)實現(xiàn)網(wǎng)絡化以后，原來隱藏的文件與內容安全問題紛紛顯現(xiàn)出來，這就需要一個全新的由MD5校驗、自動技審、人工復檢、頭尾檢測組成的節(jié)目質量保證體系來確保文件內容安全。

2.1.1 MD5校驗

MD5校驗是解決文件在傳輸過程中不被篡改的有效辦法，通過將文件遷移之前算出的MD5碼與文件傳輸之后算出的MD5碼相對比，即可得知文件是否經(jīng)過修改，即使是1個字節(jié)的修改，MD5校驗都能夠發(fā)現(xiàn)。

2.1.2 自動技審

當播出系統(tǒng)成為開放的系統(tǒng)以后，節(jié)目數(shù)字化的過程將會前移，播出系統(tǒng)的上載不再是唯一的播出節(jié)目數(shù)字化通道，播出系統(tǒng)將會直接接收各個業(yè)務域傳送過來的節(jié)目文件，這就會給播出系統(tǒng)帶來新的文件格式與封裝的風險，主要原因為:

1）幾乎所有電視臺的各個業(yè)務系統(tǒng)都是異構結構，即電視臺的新聞、制作、收錄、媒資等都采用不同公司的業(yè)務系統(tǒng)；

2）SMPTE-377M標準中對MXF文件的定義不夠嚴謹，其中有很多Option的字段，可供開發(fā)人員自行發(fā)揮；

3）各公司的編碼工程師對標準有不同的理解，同樣根據(jù)標準協(xié)議編碼生成的MXF很有可能會出現(xiàn)相互不兼容的情況。

而在傳統(tǒng)的封閉的播出系統(tǒng)中，由于所有播出節(jié)目都要到播出系統(tǒng)中進行上載，所以這種不兼容的情況根本不會出現(xiàn)。

節(jié)目播出文件除了兼容性與合法性的問題，節(jié)目技術質量問題也是威脅播出安全的重要問題:1）節(jié)目中出現(xiàn)馬賽克等編碼問題；2）節(jié)目中出現(xiàn)夾幀、黑場、彩條、靜音等技術問題。

在傳統(tǒng)方式中，解決這一類節(jié)目質量問題的辦法是人工瀏覽審看，但是這種方式也存在著嚴重的弊端，主要有兩個方面的問題:

1）準確性問題

用肉眼觀察節(jié)目圖像和用耳朵聆聽節(jié)目聲音以判斷視音頻是否正常的方法，是十分耗費時間和精力的，人不可能長時間、日復一日地對視音頻進行準確的判斷，很可能一走神，某個重要的錯誤就被漏掉了。

2）一致性問題

人的主觀評價本身就很難用一個統(tǒng)一標準來進行衡量，同一個觀測者在不同時間、不同環(huán)境下對同一幅畫面的檢測結果可能出現(xiàn)不一致。另外，不同技能和經(jīng)驗的觀測者，對同一幅畫面檢測的結果也可能出現(xiàn)不一致。

自動技審技術可以很好地解決以上問題。自動技審并非簡單地審核節(jié)目內容，其主要包括文件結構的檢測、編碼合法性的檢測和視音頻內容檢測。

1）文件結構的檢測

對于符合SMPTE-377M標準的MXF文件來說，文件結構的檢測主要包括文件索引的合法性、視頻的寬高比、分辨力、隱形字幕數(shù)據(jù)、色度格式、圖像掃描類型、碼率、KLV結構檢測、AFD信息等。

2）編碼合法性的檢測

編碼合法性檢查主要包括視音頻基本參數(shù)檢測和視音頻基本流合法性檢測。通過合法檢測的基本流可以保證被解碼器正常解碼，不會出現(xiàn)解碼器死機、圖像破損的情況，這些都與采用的具體編碼技術有關。最常使用的是MPEG-2編碼，與其相關的檢測項目見表1。

表1 視音頻基本流合法性檢測列表

3）視音頻內容檢測

視音頻內容檢測主要包括節(jié)目中是否有黑場、藍底、綠底、100%彩條、75%彩條、靜幀、YUV超標、RGB超標、靜音、立體聲相位、UV超標、峰值超標、電平偏移、響度等視音頻指標的檢測。

2.1.3 人工復檢

根據(jù)自動技審的原理，可以確保100%不會出現(xiàn)漏檢的情況，但是無法避免出現(xiàn)誤檢的情況，這就需要人工對自動技審的素材再次進行確認，稱為人工復檢。

簡單的說，人工復檢就是根據(jù)自動技審的結果將出現(xiàn)問題的關鍵點再人工核對一遍。但是人工復檢并不等同于傳統(tǒng)播出系統(tǒng)中的審片，與審片相比，人工復檢的特點有:1）人工復檢的對象可以是任務性的，也可以是隨機性的；2）人工復檢可以連續(xù)瀏覽問題片段，并且可以連續(xù)瀏覽單一問題片段或幾個問題組合后的片段。

2.1.4 頭尾檢測

由于不同的視頻服務器對遷入的素材有不同的處理，不能使用MD5校驗的方式確認播出二級存儲到視頻服務器段的遷移是否安全，所以在節(jié)目文件素材遷入視頻服務器以后，還需要對素材進行實際解碼以確定文件素材沒有被破壞，這就是頭尾檢測。

頭尾檢測的重點是檢查播出視頻服務器上待播節(jié)目文件的可用性，結合效率方面的因素，僅僅檢查文件頭部和尾部可用就可以達到確認的目的。

頭尾檢測軟件可以控制主備播出視頻服務器上各一個審片通道進行播出節(jié)目文件的播放，軟件在指定時間讀取本組內所有頻道即將播出的節(jié)目單，將所有需要播出的節(jié)目按照播出時間的先后順序排列，并對重復的節(jié)目進行過濾，然后按照列表中節(jié)目的先后順序對已經(jīng)存在于主備播出視頻服務器存儲中的播出節(jié)目文件進行頭尾檢測播放，以確認遷移到視頻服務器中的素材可用。

2.2 系統(tǒng)架構的安全

播出系統(tǒng)網(wǎng)絡化以后，對傳統(tǒng)的硬盤播出系統(tǒng)會有比較大的影響，主要體現(xiàn)在兩個方面:一是對播出系統(tǒng)架構有比較大的影響；二是帶來了網(wǎng)絡安全的問題。

2.2.1 兩級存儲架構

播出系統(tǒng)的網(wǎng)絡化使播出系統(tǒng)和外部業(yè)務系統(tǒng)之間需要增加一個“文件閘艙”，其作用是保護視頻服務器系統(tǒng)的安全。這個“文件閘艙”就是播出二級存儲，主要作用有:1）避免外系統(tǒng)直接影響播出視頻服務器的帶寬，增加其網(wǎng)絡負載；2）作為自動技審、人工復檢等檢測手段的目標資源池；3）協(xié)同接口服務器對外系統(tǒng)遷入的文件進行安全檢查和過濾；4）提高播出系統(tǒng)節(jié)目的存儲容量。

2.2.2 網(wǎng)絡安全

在全臺網(wǎng)中建設的播出系統(tǒng)基本不存在來自廣域網(wǎng)的攻擊，所有的信息都是在局域網(wǎng)內部傳輸。然而，在局域網(wǎng)內部傳輸?shù)臄?shù)據(jù)和信息有被竊聽和篡改的風險。

根據(jù)國家廣電總局的信息等保要求，在安全等級不同的區(qū)域進行網(wǎng)絡連接、數(shù)據(jù)交換時，應進行網(wǎng)絡審計，對網(wǎng)絡的各種行為進行記錄分析，以便及時發(fā)現(xiàn)異常行為。一些不應被訪問的數(shù)據(jù)，如核心數(shù)據(jù)庫數(shù)據(jù)，應設置敏感標記，當發(fā)生不應存在的數(shù)據(jù)訪問、系統(tǒng)服務操作時，應及時報警。

網(wǎng)絡風險主要來自于以下方面:1）來自于播出外網(wǎng)的安全威脅

（1）播出系統(tǒng)的接口服務器和FTP服務器是對外網(wǎng)開放的，惡意的訪問者通過黑客工具，對接口服務器的操作系統(tǒng)漏洞進行掃描。利用嗅探工具來掃描網(wǎng)絡中的主機端口，如主機名稱及對應的IP地址、操作系統(tǒng)軟件、端口等，尋找漏洞伺機進行破壞行為。

（2）播出外網(wǎng)的應用會通過用戶名和密碼登錄播出系統(tǒng)的接口服務器和FTP服務器等播出的服務器進行數(shù)據(jù)訪問，不法人員可以通過網(wǎng)絡監(jiān)聽等手段獲得用戶名、口令等信息，從而訪問播出系統(tǒng)內部數(shù)據(jù)。

（3）通過黑客工具對系統(tǒng)的用戶名和口令進行暴力破解，獲得訪問權以后，訪問系統(tǒng)中的敏感數(shù)據(jù)，修改服務器配置，運行黑客程序，留下后門。

2）內部局域網(wǎng)的安全威脅

對播出部而言，最大的網(wǎng)絡威脅是來自內部的:

（1）播出部的網(wǎng)絡管理員有意或無意泄露了系統(tǒng)的用戶名和密碼；

（2）如果播出部人員誤運行了木馬程序等含有惡意代碼的文件，會導致播出網(wǎng)內部的機器受到攻擊；

（3）播出部人員有意或無意訪問播出系統(tǒng)的關鍵核心數(shù)據(jù)，對其進行修改、刪除等操作；

（4）播出網(wǎng)內隨意使用移動介質，比如U盤、活動硬盤、光碟等，導致從外網(wǎng)攜帶的病毒、蠕蟲傳播。

3）網(wǎng)絡設備的安全隱患

如今播出系統(tǒng)采購使用的設備一般都是IT行業(yè)中比較先進和高端的網(wǎng)絡設備，比如路由器、交換機、防火墻、多功能網(wǎng)關等，功能強大、參數(shù)復雜，而一般電視臺內的網(wǎng)管人員不具備較高的網(wǎng)絡技術水平，無法正確進行設備配置和維護，經(jīng)常使用一些設備的默認配置和口令，導致網(wǎng)絡系統(tǒng)存在重大安全隱患。

（1）設備的老化，導致網(wǎng)絡接口不穩(wěn)定，發(fā)生網(wǎng)線短路等狀況，引起網(wǎng)絡風暴；

（2）布線施工的不合理，使網(wǎng)線、光纖等網(wǎng)絡鏈路長期處于高強度彎曲狀態(tài)，最終導致網(wǎng)絡斷開或時斷時續(xù)、信息嚴重丟包等故障。

通過上面的分析可知，由于播出系統(tǒng)不直接連接廣域網(wǎng)，所以受到來自于廣域網(wǎng)的直接攻擊的可能性很小，而對于播出系統(tǒng)威脅最大的則是來自其他業(yè)務網(wǎng)絡的威脅以及不受限制地使用移動存儲介質，即來自病毒的威脅。

預防病毒斗爭是一項長期艱苦的工作，其主要內容還可分為技術方面和非技術方面。

1）技術方面

預防病毒威脅在技術方面的措施主要包括:采用異構操作系統(tǒng)作為播出系統(tǒng)與其他業(yè)務系統(tǒng)互聯(lián)的接口服務器，通過對系統(tǒng)加固和補丁升級，使接口服務器成為堡壘服務器，隔離外界的病毒。

選擇市面上具有高可靠度的殺毒引擎防病毒軟件，并具備網(wǎng)絡殺毒的功能，更新服務端的病毒庫，即可讓客戶機自動升級，從而保持對最新病毒的識別能力。一個優(yōu)秀的企業(yè)版防病毒軟件除了卓越的查毒引擎外，至少應具有集中管理界面、自動更新病毒庫、可對客戶端進行遠程安裝、對客戶端強制執(zhí)行查病毒操作、系統(tǒng)資源消耗少等特點。

集中式病毒防護控制體系如圖1所示。

同時需要嚴格執(zhí)行防病毒系統(tǒng)工作流程:

（1）定期從網(wǎng)上獲取最新的防病毒升級軟件包；

（2）使用移動介質拷貝軟件包，并使用2種以上的防病毒軟件對移動介質進行殺毒操作；

（3）使用移動介質將防病毒服務器的病毒庫升級；

（4）防病毒服務器更新網(wǎng)絡中所有的防病毒客戶端。

2）非技術方面

病毒預防僅僅依靠技術層面還遠遠不夠，還需要使用非技術層面的手段進行配合，包括:

（1）加強內部人員的網(wǎng)絡安全培訓，提高其網(wǎng)絡安全意識；

（2）封閉網(wǎng)絡中可能與外借進行文件交互的接口，所有需要與外部交互的文件均通過專門的接口進行；

（3）制定定期的病毒庫維護和升級的計劃和應急預案；

（4）制定網(wǎng)絡安全相關的規(guī)章制度，確保各中安全措施能夠長期有效的執(zhí)行。

2.3 業(yè)務流程的安全

網(wǎng)絡化文件備播離不開業(yè)務流程，而流程的引入也會給播出系統(tǒng)帶來不小的影響，其中主要影響來自于流程遲滯和突發(fā)故障兩個方面。

2.3.1 流程遲滯

由于播出備播的業(yè)務流程是自動化、文件化、多樣化的，如果流程由于某種原因產生停滯而又不能及時發(fā)現(xiàn)的話，將會給播出安全帶來嚴重的影響。所以針對業(yè)務流程的監(jiān)控顯得非常重要。

針對業(yè)務流程的監(jiān)控主要是對節(jié)目單的狀態(tài)進行監(jiān)控和對待播素材的位置狀態(tài)進行監(jiān)控，操作界面如圖2所示。系統(tǒng)通過可配置的業(yè)務規(guī)則判斷出發(fā)生異常的流程節(jié)點，并及時進行報警處理。

2.3.2 突發(fā)故障

正常情況下播出系統(tǒng)的業(yè)務流程可以正常進行，但是在突發(fā)故障的情況下，要保證業(yè)務流程還能夠正常進行，就需要在系統(tǒng)設計中有更深入的考慮。

1）播出二級存儲故障

如果二級存儲是鏡像配置，那么系統(tǒng)會自動切換至備存儲體工作，不影響系統(tǒng)運行。如果二級存儲是單一配置，或者鏡像的2個存儲均發(fā)生故障，可以通過切換遷移路徑、應急上載等方式應對。

2）播出服務器故障

播出服務器均為主備鏡像，單臺發(fā)生故障時不影響播出。雙臺都發(fā)生故障時，可以使用第三備份進行播出。

3）播出在線存儲到播出服務器傳輸故障

遷移服務器為集群式設計，單臺故障不會影響遷移工作，只影響部分遷移效率。

4）播出數(shù)據(jù)庫系統(tǒng)故障

數(shù)據(jù)庫為主備冗余設計，單臺故障時系統(tǒng)自動切換到備份服務器，系統(tǒng)業(yè)務不會中斷。當主備數(shù)據(jù)庫服務器都發(fā)生故障時，播出軟件可以脫離數(shù)據(jù)庫工作一天。節(jié)目單、系統(tǒng)配置都會在播控工作站本地保存。播出軟件可以根據(jù)播出服務器中的節(jié)目進行簡單的編單。

流程化的播出系統(tǒng)可以根據(jù)不同的故障問題及時自動調整文件備播的業(yè)務流程，使新的流程最大限度滿足備播業(yè)務的需要，同時結合流程監(jiān)控系統(tǒng)，如果發(fā)現(xiàn)待播文件不能及時準備，可發(fā)出告警并采取人工干預手段。

3 總結

全臺網(wǎng)播出系統(tǒng)與傳統(tǒng)封閉結構的播出系統(tǒng)相比，不僅帶來了工作模式和業(yè)務流程的變革，而且其系統(tǒng)結構更為復雜，流程更為多樣，故障也動態(tài)多變，這些都給播出系統(tǒng)安全提出了新的挑戰(zhàn)和需求。

本文依據(jù)目前的網(wǎng)絡技術和應用成果，結合溫州廣播電視傳媒集團播出實際業(yè)務的特點，從文件化、網(wǎng)絡化、流程化三個方面總結出了影響網(wǎng)絡化播出安全的主要問題和應對策略。相信隨著科技的不斷發(fā)展，會有更多、更新、更優(yōu)的解決方案出現(xiàn)，將播出系統(tǒng)推向一個新的時代。