【摘要】本文介紹了網(wǎng)絡安全隔離網(wǎng)閘的基本概念和原理，及網(wǎng)閘運用在媒體數(shù)據(jù)交換應用中的作用，并針對在媒體數(shù)據(jù)交換的特性問題提出了解決方法。希望能夠與業(yè)內(nèi)同行分享交流并提出寶貴意見。

【關鍵字】物理隔離 網(wǎng)閘 媒體數(shù)據(jù)交換 網(wǎng)絡安全

一.前言

廣電行業(yè)信息化和網(wǎng)絡化已經(jīng)涉及到各大電視機構的方方面面，網(wǎng)絡化開放性和自由性的特點成為實現(xiàn)現(xiàn)信息收集處理、加強交流、提高工作效率和質(zhì)量的重要手段。國家廣播電影電視總局2011年七月發(fā)布的《廣播電視安全播出管理規(guī)定》（廣電局第62號令）電視中心實施細則第十四條第三小點，明確要求：“節(jié)目制作網(wǎng)與播出網(wǎng)之間的傳輸鏈路應采取配置網(wǎng)閘或采用平臺異構方式、設置高安全區(qū)等安全措施；系統(tǒng)中應禁止接入移動存儲介質(zhì)（如U盤、移動硬盤等）。應配置網(wǎng)絡管理系統(tǒng)，實現(xiàn)網(wǎng)絡和系統(tǒng)提前預警和實時報警，并實時記錄網(wǎng)絡和系統(tǒng)運行日志?！痹诂F(xiàn)在的大環(huán)境下，安全隔離網(wǎng)閘的使用，是物理隔離網(wǎng)絡之間數(shù)據(jù)交換的最佳選擇。下面就對網(wǎng)閘和市面上幾種常見的網(wǎng)閘品牌及網(wǎng)閘在媒體數(shù)據(jù)交換中的應用進行介紹。

二.網(wǎng)閘的概念

物理隔離網(wǎng)閘是使用帶有多種控制功能的通道開關連接兩個獨立主機系統(tǒng)的信息安全設備。數(shù)據(jù)文件在不存在通信的物理鏈接、邏輯鏈接、信息傳輸命令、信息傳輸協(xié)議的兩個由物理隔離網(wǎng)閘所鏈接的獨立網(wǎng)絡系統(tǒng)之間進行無協(xié)議擺渡傳輸，在物理層切斷各網(wǎng)絡系統(tǒng)之間的物理鏈接，在網(wǎng)絡層中斷TCP會話，IP包“還原”為一個應用數(shù)據(jù)，阻擋了基于TCP協(xié)議的攻擊。在系統(tǒng)內(nèi)部，采用了專用高速數(shù)據(jù)處理部件，使系統(tǒng)具有了極高的數(shù)據(jù)吞吐能力。通過在專用操作系統(tǒng)內(nèi)核中嵌入特有協(xié)議和認證機制，使得安全隔離的能力進一步增強。從根本上解決了基于應用協(xié)議漏洞的、基于TCP/IP協(xié)議漏洞的、基于命令的、基于包的這四種攻擊，實現(xiàn)真正安全的網(wǎng)絡連接。

三.主流安全隔離網(wǎng)閘產(chǎn)品

目前市面上有很多的安全隔離網(wǎng)閘品牌，各個品牌的網(wǎng)閘產(chǎn)品間有著相似的功能也有面向各個應用領域的特色功能，下面對幾個公司的安全隔離網(wǎng)閘產(chǎn)品進行簡單介紹：

從表1可以看出，主流的安全隔離網(wǎng)閘產(chǎn)品有很多相似之處，基本都是使用比較成熟“2+1”的系統(tǒng)結構和ASIC芯片，并將數(shù)據(jù)協(xié)議剝離轉(zhuǎn)換成各廠商的自有協(xié)議通過運行自有系統(tǒng)的雙主機“2+1”系統(tǒng)結構進行安全的數(shù)據(jù)交換。天行網(wǎng)安公司的Topwalk-GAP擁有十分強大的數(shù)據(jù)交換能力，達到280-1200Mbps，滿足公安城市監(jiān)控為代表的音視頻數(shù)據(jù)傳輸需求，天行安全隔離網(wǎng)閘流媒體交換模塊根據(jù)音視頻數(shù)據(jù)特有的數(shù)據(jù)格式、編碼格式、傳輸方式進行了針對性的優(yōu)化設計。

偉思公司的ViGap針對大型網(wǎng)絡的應用提供了雙機熱備功能，最大支持32臺設備的負載平衡系統(tǒng)來實現(xiàn)高可用性，并通過負載平衡系統(tǒng)通過仲裁網(wǎng)絡流量方式實現(xiàn)流量分配，從而將處理性能大幅提升，齊全的產(chǎn)品線滿足各政府、軍隊、電信、金融、企事業(yè)等重要機構需求。

聯(lián)想網(wǎng)御SIS多重冗余協(xié)議支持自身端口冗余、雙機熱備、2～32臺安全隔離網(wǎng)閘負載均衡，保障了用戶網(wǎng)絡和應用的高可靠性，是國內(nèi)安全隔離網(wǎng)閘業(yè)內(nèi)產(chǎn)品線較全、市場占有率較高的廠商，較多面向政府、金融、交通、能源、教育等信息類的數(shù)據(jù)交換。

天融信公司的安全隔離網(wǎng)閘TopRules采用了高速的專用硬件處理設備，具有了極高的數(shù)據(jù)吞吐能力；全面解析網(wǎng)絡傳輸信息，通過深層次細粒度的內(nèi)容過濾，預先攔截內(nèi)、外網(wǎng)用戶禁止訪問的內(nèi)容，還具有避免常見的掩飾手段（如拆分敏感關鍵詞、加入標點、換行等）干擾的特點，達到了完全內(nèi)容檢測CCI（Complete Content Inspection）；同時仲裁系統(tǒng)對所有信息交換數(shù)據(jù)和行為進行審計記錄，可以及時獲知網(wǎng)絡使用情況。

四.安全隔離網(wǎng)閘在媒體數(shù)據(jù)交換中的應用

1.安全隔離網(wǎng)閘在媒體數(shù)據(jù)交換的案例

廣東電視臺在2012年對自動播控系統(tǒng)進行了升級改造，加入了自動技審系統(tǒng)，從以前節(jié)目審看只能純靠人眼進行一比一的審看或者快速播放進行粗略審看到現(xiàn)在利用自動技審系統(tǒng)對播出素材文件進行精確的節(jié)目內(nèi)容審看和文件結構檢測，從而提高播出安全性。

由圖2可以看出，節(jié)目素材上載到自動播控系統(tǒng)的播出集群，經(jīng)過安全隔離網(wǎng)閘傳輸?shù)郊紝彊z測服務器，并且經(jīng)安全隔離網(wǎng)閘從播出集群取得這個節(jié)目素材的文件回到技審檢測服務器進行檢測，通過技審管理工作站管理技審服務器和在回看審片工作站進行節(jié)目審片后，將技審的結果展示在技審管理工作站和回看審片工作站中。而播出集群里面的節(jié)目素材文件的重要性和技審檢測服務器需要各種人為操作使其成為了一個需要用安全隔離網(wǎng)閘物理斷開而又要有數(shù)據(jù)傳輸?shù)膬?nèi)外網(wǎng)關系。安全隔離網(wǎng)閘使數(shù)據(jù)和命令只能從播出集群傳向技審檢測服務器，既提高審看工作效率，又方便管理，減少人為誤操作影響到播出集群的節(jié)目素材，保證了播出集群節(jié)目素材安全。

2.安全隔離網(wǎng)閘在媒體數(shù)據(jù)交換應用中出現(xiàn)的問題

安全隔離網(wǎng)閘應用在媒體數(shù)據(jù)交換中最重要的就是傳輸速度。在實際測試中發(fā)現(xiàn)，安全隔離網(wǎng)閘在和視頻服務器進行數(shù)據(jù)交換過程中，并不能達到理想的傳輸速度，甚至連最基本的用網(wǎng)線連接兩臺計算機間傳輸文件的速度都不如，傳輸速度一直保持在高清素材一倍速，標清素材四倍速，這遠遠低于媒體數(shù)據(jù)傳輸?shù)囊?。根?jù)此速度，廣東電視臺在播22個標清頻道，3個高清頻道一天24小時播出文件進行傳輸大概需要100多個小時，這非但不能提高工作效率，反而大大影響正常播出秩序。為此，最先考慮到的是：是否因為經(jīng)過多次的協(xié)議轉(zhuǎn)換和層層的過濾審查，影響了傳輸速率。對此，關掉所有安全審查，病毒查殺，訪問控制等一系列功能，傳輸速度問題依然存在。

其次，考慮到安全隔離網(wǎng)閘兩端的視頻服務器網(wǎng)絡和技審檢測服務器網(wǎng)絡的IP段不同，是否會因為網(wǎng)絡或者協(xié)議的兼容性問題導致傳輸受到限制，但將技審服務器IP設置成和視頻服務器在同一個IP段后測試任然不能解決問題。

然后，根據(jù)以往經(jīng)驗，媒體數(shù)據(jù)往往都是大文件的形式存在，是否能支持巨型幀功能對媒體數(shù)據(jù)傳輸起到十分重要的作用。巨型幀是把以太網(wǎng)的最大幀長擴展到9K，減少網(wǎng)絡中數(shù)據(jù)包的個數(shù)，減輕網(wǎng)絡設備處理包頭的額外開銷，在傳輸速率，系統(tǒng)吞吐量和CPU占用率都有極大的優(yōu)勢。因此，安全隔離網(wǎng)閘若運用在媒體數(shù)據(jù)傳輸環(huán)節(jié)上時，必須支持巨型幀功能。打開安全隔離網(wǎng)閘巨型幀功能后，數(shù)據(jù)傳輸速度明顯提升，但始終無法滿足日常播出需要，傳輸無論任何時段都被限制在一定的網(wǎng)絡帶寬占有率。

最后，在多次與安全隔離網(wǎng)閘和視頻服務器廠家溝通與實驗后發(fā)現(xiàn)，雖然安全隔離網(wǎng)閘對隔離的兩端網(wǎng)絡的各種市面常用網(wǎng)絡協(xié)議都有很好的兼容性，但是在視頻服務器行業(yè)卻往往并不是用通用協(xié)議，而也是每個廠家利用自己的私有傳輸協(xié)議進行媒體數(shù)據(jù)傳輸，以達到最優(yōu)化傳輸和編解碼的工作效率。廣東電視臺使用的播出視頻服務器是SeaChange公司的設備，其內(nèi)部傳輸協(xié)議SeaSS支持FTP文件傳輸協(xié)議，并確保與原上載集群和近線存儲集群之間的數(shù)據(jù)能互聯(lián)互通，各集群間的數(shù)據(jù)交換要做到無縫交換，不經(jīng)轉(zhuǎn)碼或重新打包等轉(zhuǎn)換。并且由于SeaSS傳輸協(xié)議可以支持對視頻文件進行邊傳邊播，所以對通過其他傳輸協(xié)議的傳輸任務保留了較多的系統(tǒng)資源并限制了網(wǎng)絡帶寬。因此，安全隔離網(wǎng)閘不但要對常見的通用協(xié)議的兼容性要過關，并且必須要能良好的支持其他特殊傳輸協(xié)議，才可以在媒體數(shù)據(jù)交換中起到應有的作用。

通過不斷的修改與測試，在安全隔離網(wǎng)閘激活巨型幀功能并良好的支持播出視頻服務器傳輸協(xié)議后，通過安全隔離網(wǎng)閘的媒體數(shù)據(jù)交換速度達到480Mb/s的速度。網(wǎng)絡安全網(wǎng)閘對媒體數(shù)據(jù)交換優(yōu)化后傳輸22個標清頻道一天24小時標清素材文件使用約6.6小時；傳輸3個高清頻道一天24小時高清素材文件使用約8.25小時，不但符合媒體數(shù)據(jù)交換速度需要，還大大提高數(shù)據(jù)交換效率，使媒體數(shù)據(jù)在傳輸過程中消耗的時間不會成為整個播出流程的瓶頸，使得播出中心有更多的時間進行素材文件完整性檢查，內(nèi)容安全性檢查等更多的安全考量，提高播出質(zhì)量，確保播出安全。

安全隔離網(wǎng)閘應用在媒體數(shù)據(jù)交換中，因為媒體數(shù)據(jù)的特殊性，除了常規(guī)的功能外，還必須擁有巨型幀功能和對各視頻服務器廠商的傳輸協(xié)議有一個良好的支持，這樣才能滿足媒體數(shù)據(jù)交換的需求，使安全隔離網(wǎng)閘不會成為媒體數(shù)據(jù)交換環(huán)節(jié)中的瓶頸，成為保證安全播出的堅實壁壘。

五.安全隔離網(wǎng)閘的發(fā)展趨勢

安全隔離網(wǎng)閘的發(fā)展越來越快而且越來越成熟，提升產(chǎn)品的安全功能和解決現(xiàn)在的速度瓶頸問題成為隔離技術的未來發(fā)展方向。使用光纖技術也有可能成為安全隔離網(wǎng)閘的發(fā)展潮流，將光纖發(fā)射器和接收器分別嵌入安全隔離網(wǎng)閘的內(nèi)部處理單元和外部處理單元，利用光纖的高速性打破現(xiàn)時的速度瓶頸，使傳輸速度成倍提升；光纖發(fā)射器到光線接收器單向發(fā)射，單根光纖不能同時進行發(fā)送和接收數(shù)據(jù)的特性更加徹底阻斷了網(wǎng)絡間直接的連接，從而保證了數(shù)據(jù)交換的高速、安全、可控，使安全功能提升一個臺階。

六.結束語

安全隔離網(wǎng)閘應用廣泛，作為網(wǎng)絡間數(shù)據(jù)安全交換的關口設備，很好的保障幾個不同網(wǎng)絡安全等級間數(shù)據(jù)的安全交換。使用先進的手段保證節(jié)目素材的安全已經(jīng)成為發(fā)展趨勢。安全隔離網(wǎng)閘的使用，既減少可能發(fā)生的人為失誤導致的播出事故又能提高播出系統(tǒng)的技術管理水平，是以后制播一體化系統(tǒng)建設不可或缺的重要組成環(huán)節(jié)，如何發(fā)掘安全隔離網(wǎng)閘在傳媒行業(yè)更好的運用，也將會是將來重要的課題，提前對安全隔離網(wǎng)閘的接觸與學習，有助于緊追技術潮流和熟悉新技術。