顧文濤，王 超

昆山電視臺技術(shù)和制作部，江蘇昆山 215300

1 網(wǎng)絡安全

由于電視臺在媒體宣傳中的特殊性，其安全性至關(guān)重要。網(wǎng)絡安全是電視臺整體安全的重要保障。

2 安全體系模型

網(wǎng)絡安全是指信息數(shù)據(jù)的安全。為防止非法用戶利用網(wǎng)絡系統(tǒng)的安全缺陷進行數(shù)據(jù)的竊取、偽造和破壞，必須建立制播網(wǎng)絡系統(tǒng)的安全服務體系。在制播網(wǎng)絡系統(tǒng)建設(shè)中要充分考慮以太網(wǎng)和FC網(wǎng)絡的安全性。首先統(tǒng)一建立安全模型，具體策略設(shè)置可由部署實現(xiàn)。在網(wǎng)絡安全體系模型下可為制播網(wǎng)絡系統(tǒng)提供端到端的安全保障機制，最大程度的保證網(wǎng)絡層面的安全。

安全防范體系不是一個簡單、孤立的系統(tǒng)，它是由各個層次軟硬件及管理規(guī)范組成的聯(lián)動防范體系。從安全模型角度，以時間、空間、網(wǎng)絡層次為三維模型實現(xiàn)端到端的安全防護體系。由于我臺非編網(wǎng)絡不與外網(wǎng)直接連接，所以暫時不考慮網(wǎng)絡攻擊的防護。

在網(wǎng)絡層次的方向，解決網(wǎng)絡層次傳送安全和網(wǎng)絡層服務安全問題；在用戶層上解決用戶的身份識別、驗證授權(quán)、服務授權(quán)的安全問題，在業(yè)務應用層解決業(yè)務應用、平臺服務、管理審計的安全問題。

對于來自制播網(wǎng)絡系統(tǒng)外部的訪問，包括通過以太網(wǎng)接入的各種其他站點，采用不同的安全服務等級和策略，既可以實現(xiàn)外部合法用戶對內(nèi)網(wǎng)的訪問，避免對內(nèi)部網(wǎng)絡和服務器的攻擊，也可以防范內(nèi)部用戶對服務中心的未授權(quán)訪問、機密竊取和服務攻擊。整個構(gòu)架充分體現(xiàn)了網(wǎng)絡設(shè)備、業(yè)務應用與安全融合的整體解決方案思路，全面解決用戶各方面各層次的安全需求。

3 安全體系的具體實現(xiàn)手段

3.1 網(wǎng)絡架構(gòu)

昆山電視臺非編網(wǎng)絡由新聞制作網(wǎng)和專題制作網(wǎng)組成，他們是并行類似網(wǎng)。在具體實施上，由于這兩個制作網(wǎng)絡同時存在的情況，有其特殊性。通過具體部署，達到兩個網(wǎng)絡在業(yè)務層面的不為互通，網(wǎng)絡層面的相互互聯(lián)。

具體部署：

在FTP工作站和內(nèi)網(wǎng)之間構(gòu)筑硬件防火墻和防毒墻，F(xiàn)TP服務器上對進入的文件類型進行限制，F(xiàn)TP工作站安裝殺毒軟件并且病毒庫實時更新，使用專用的移動存儲介質(zhì)拷貝素材。

結(jié)構(gòu)如圖1。

3.2 防病毒

隨著網(wǎng)絡的逐漸發(fā)展，病毒傳播的速度也是越來越快。我臺非編網(wǎng)絡安全體系的設(shè)計中同樣考慮到病毒的問題，通過防毒墻，防火墻，殺毒機聯(lián)合打造出具有鮮明特色的防病毒策略。

具體部署：

屏蔽所有終端的USB接口、光驅(qū)，包括有卡工作站，無卡工作站，文稿工作站，所有站點不能通過數(shù)據(jù)接口直接從外部拷貝數(shù)據(jù)進入內(nèi)網(wǎng)。

外來數(shù)據(jù)素材文件拷貝由網(wǎng)管統(tǒng)一管理，經(jīng)過殺毒機全面殺毒后，再通過FTP軟件由FTP擺渡工作站擺渡到FTP擺渡服務器上，在擺渡的過程中經(jīng)過了專業(yè)的防火墻防毒墻，才能到達FTP服務器上。使用時，再拷貝到素材盤中。通過FTP軟件制定安全策略，只允許固定文件通過FTP傳輸?shù)紽TP擺渡服務器上。

全面使用P2卡存儲介質(zhì)。采購P2驅(qū)動器時選擇具有PCI-E接口的驅(qū)動器。同時，在每臺具有P2驅(qū)動器的上載工作站上安裝P2查毒軟件，當P2卡插入上載工作站時對P2卡進行掃描。此軟件可以刪除不是由P2攝像機產(chǎn)生的任何可疑文件。

定期升級殺毒機病毒庫，定時對殺毒機和FTP擺渡工作站進行全盤掃描殺毒。

4 應急與備份

防固然重要，但不能保證事故的不發(fā)生，因此，整個安全體系中，還應該包括應急備份，這樣才能做到有備無患。整個新聞制作網(wǎng)，承載著兩套日播節(jié)目的制作，因此備份對于新聞制作網(wǎng)來說尤為重要。

具體部署：

硬件備份：整個網(wǎng)絡中，重要服務器、以太網(wǎng)交換機、FC交換機，都是以主備形式存在。特別提出的是，為了保證新聞網(wǎng)絡數(shù)據(jù)的安全，我們采用了設(shè)備集成商提供的數(shù)據(jù)備份軟件FISEC。我們將原有網(wǎng)絡中的存儲作為新聞制作網(wǎng)中的備存儲，通過FISEC對新聞制作網(wǎng)中的素材進行實時的備份。當主存儲出現(xiàn)故障的時候，F(xiàn)IESC會自動切換到備存儲，各個工作站點直接從備存儲讀取素材。并且這個切換過程是在后臺實行切換，前臺的工作站點感覺不到異常，不影響文稿、非編各站點的使用。

軟件備份：每臺服務器、工作站的系統(tǒng)都做好備份工作，一旦單臺機器發(fā)生故障，可以快速及時的進行恢復，非編軟件安裝包，軟件包，都保留在內(nèi)網(wǎng)的共享盤中。

節(jié)目備份：將兩臺特定的上載工作站點作為應急備份機。在這兩臺應急備份機上備份兩套節(jié)目的相關(guān)總串信息，并且共享這兩個站點的備份文件夾。對于每個編輯來說，需要對當天的節(jié)目進行打包，再保存到網(wǎng)絡中備份盤符。此盤符是應急備份機中備份文件夾的映射盤符。發(fā)生斷網(wǎng)情況下，可以在這兩臺應急備份工作站上將非編軟件切換到單機模式，然后對當日節(jié)目進行總串操作。

5 結(jié)論

再穩(wěn)固的系統(tǒng)，也會有潛在風險，操作和管理規(guī)范是一個系統(tǒng)安全的重要基石。在嚴格遵守安全體系的前提下，規(guī)范使用人員、網(wǎng)管的操作，定期做好應急演練，只有警鐘長鳴才能使得系統(tǒng)堅若磐石。

[1]肖運虹，胡小波.電視技術(shù)[M].3版.西安電子科技大學出版社，2010.

[2]謝希仁.計算機網(wǎng)絡[M].北京：電子工業(yè)出版社，2008.

[3]蘇劍飛，王景偉.網(wǎng)絡攻擊技術(shù)與網(wǎng)絡安全探討[J].通訊技術(shù)，2010.