杜小東

（作者單位：和田地區(qū)廣播電視臺(tái)）

關(guān)于電視臺(tái)內(nèi)部網(wǎng)絡(luò)安全淺談

杜小東

（作者單位：和田地區(qū)廣播電視臺(tái)）

隨著計(jì)算機(jī)技術(shù)的發(fā)展，尤其是計(jì)算機(jī)網(wǎng)絡(luò)地飛速發(fā)展，網(wǎng)絡(luò)已經(jīng)進(jìn)入了各個(gè)行業(yè)和領(lǐng)域的廣泛應(yīng)用。在電視臺(tái)制播業(yè)務(wù)領(lǐng)域的應(yīng)用基本取代了傳統(tǒng)的錄像帶制播模式。但隨著網(wǎng)絡(luò)的不斷的深入電視臺(tái)的各個(gè)領(lǐng)域，同樣也帶來了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，一個(gè)部門或者是一個(gè)節(jié)點(diǎn)出現(xiàn)問題都會(huì)引發(fā)到其他部門或者全臺(tái)的網(wǎng)絡(luò)甚至是播出。如何能夠?qū)崿F(xiàn)網(wǎng)絡(luò)高效傳輸，又能有提高網(wǎng)絡(luò)安防護(hù)是本文討論的話題。

網(wǎng)絡(luò)安全；系統(tǒng)播出；電視臺(tái)局域網(wǎng)

近些年，隨著計(jì)算機(jī)技術(shù)的發(fā)展，尤其是計(jì)算機(jī)網(wǎng)絡(luò)地飛速發(fā)展，網(wǎng)絡(luò)已經(jīng)進(jìn)入了各個(gè)行業(yè)和領(lǐng)域的廣泛應(yīng)用。在電視臺(tái)制播業(yè)務(wù)領(lǐng)域的應(yīng)用基本取代了傳統(tǒng)的錄像帶制播模式。但隨著網(wǎng)絡(luò)的不斷的深入電視臺(tái)的各個(gè)領(lǐng)域，同樣也帶來了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，一個(gè)部門或者是一個(gè)節(jié)點(diǎn)出現(xiàn)問題都會(huì)引發(fā)到其他部門或者全臺(tái)的網(wǎng)絡(luò)甚至是播出。如何能夠?qū)崿F(xiàn)網(wǎng)絡(luò)高效傳輸，又能有提高網(wǎng)絡(luò)安防護(hù)是本文討論的話題。

1　電視臺(tái)局域網(wǎng)的構(gòu)成

對(duì)于中小電視臺(tái)而言，目前網(wǎng)絡(luò)構(gòu)成主要有以下幾個(gè)部分。

播出網(wǎng)絡(luò)系統(tǒng)：電視臺(tái)的核心部門，這里承載了電視臺(tái)所有播出節(jié)目的最終出口，需要最高的安全系數(shù)和最穩(wěn)定的系統(tǒng)體系作為保障，包含播出系統(tǒng)、播控系統(tǒng)、數(shù)據(jù)處理系統(tǒng)、字幕系統(tǒng)以及各類視音頻處理系統(tǒng)等。

新聞采集、制作網(wǎng)絡(luò)系統(tǒng)：該部門主要是各類新聞的采集和制作，是電視臺(tái)新聞?lì)惞?jié)目的主要保障，其主要設(shè)備是攝、錄、編系統(tǒng)。

節(jié)目制作網(wǎng)絡(luò)系統(tǒng)：除了新聞?lì)惞?jié)目外的節(jié)目生產(chǎn)制作系統(tǒng)，其主要設(shè)備是攝、錄、編系統(tǒng)。

媒資管理網(wǎng)絡(luò)系統(tǒng)：電視臺(tái)各類節(jié)目、資料的存儲(chǔ)交換中心，其主要設(shè)備存儲(chǔ)矩陣和管理服務(wù)器等。

辦公網(wǎng)絡(luò)體系：主要是日常上網(wǎng)辦公、文件資料的獲取傳遞、文稿處理等。

2　電視臺(tái)全臺(tái)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)

傳輸?shù)陌踩褐饕蔷W(wǎng)絡(luò)傳輸線路、各網(wǎng)絡(luò)節(jié)點(diǎn)的安全，要合理布置線路的路徑，各重要節(jié)點(diǎn)設(shè)備的備份、環(huán)境的安全及供電的安全等。

各終端設(shè)備的端口控制：隨著多媒體技術(shù)的發(fā)展和應(yīng)用，移動(dòng)存儲(chǔ)介質(zhì)也大量用于電視臺(tái)各個(gè)方面（包括攝像機(jī)存儲(chǔ)卡、各類U盤、硬盤和光盤等），如端口沒有嚴(yán)格的控制，網(wǎng)絡(luò)安全將無從談起。

網(wǎng)絡(luò)端口的安全：主要是各類網(wǎng)絡(luò)數(shù)據(jù)交換設(shè)備端口的控制（如交換機(jī)、路由器、Wi-Fi等設(shè)備端口的控制）。

非法接入設(shè)備：造成大量外來病毒感染、盜取更改內(nèi)部信息。

登錄權(quán)限的控制：未經(jīng)授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，竊取和破壞內(nèi)網(wǎng)資源，損害合法用戶的資源。

3　電視臺(tái)局域網(wǎng)安全防護(hù)的目標(biāo)和原則

電視臺(tái)內(nèi)部局域網(wǎng)集合了電視臺(tái)的播出網(wǎng)、新聞?lì)愔谱骶W(wǎng)、節(jié)目生產(chǎn)網(wǎng)、欄目網(wǎng)、媒資網(wǎng)等網(wǎng)絡(luò)，在電視臺(tái)中，雖然每個(gè)子網(wǎng)絡(luò)承擔(dān)的業(yè)務(wù)功能各不相同，但各子網(wǎng)之間互聯(lián)互通，業(yè)務(wù)關(guān)聯(lián)性很高。由以上這些內(nèi)容可以看出，電視臺(tái)內(nèi)部局域網(wǎng)的安全防護(hù)要求必須很高。

1）保障電視臺(tái)內(nèi)部局域網(wǎng)各子網(wǎng)系統(tǒng)安全穩(wěn)定的運(yùn)行。電視臺(tái)的主業(yè)是制作電視節(jié)目并安全播出，一旦出現(xiàn)節(jié)目錯(cuò)播、漏播或停播，不但給電視臺(tái)帶來巨大經(jīng)濟(jì)損失，還會(huì)造成嚴(yán)重的社會(huì)影響。由于內(nèi)部局域網(wǎng)各子網(wǎng)系統(tǒng)之間的功能是相互關(guān)聯(lián)的，因此一個(gè)子網(wǎng)的問題在經(jīng)過發(fā)酵之后，可能影響到整個(gè)節(jié)目的正常播出。所以要想做好局域網(wǎng)網(wǎng)絡(luò)安全工作，首先要保證各子網(wǎng)系統(tǒng)的穩(wěn)定運(yùn)行。

2）保證內(nèi)部網(wǎng)絡(luò)資源和數(shù)據(jù)完的安全性，防止其被破壞或外泄。新聞媒體是黨和政府的喉舌，新聞內(nèi)容權(quán)威性高，新聞節(jié)目的覆蓋面廣，影響范圍大。近些來，一些不法組織通過攻擊衛(wèi)星信號(hào)和電視臺(tái)網(wǎng)絡(luò)進(jìn)行非法宣傳或發(fā)送不良信息，嚴(yán)重影響了人民的生活，擾亂了社會(huì)的發(fā)展秩序，因此要求必須重視內(nèi)部網(wǎng)絡(luò)安全。

3）保證局域網(wǎng)內(nèi)部各子系統(tǒng)功能的穩(wěn)定運(yùn)行和數(shù)據(jù)交換。局域網(wǎng)內(nèi)部各子網(wǎng)功能復(fù)雜，不同的集成商完成各個(gè)系統(tǒng)的具體設(shè)置，各子網(wǎng)系統(tǒng)間要想進(jìn)行數(shù)據(jù)交換，就必須通過數(shù)據(jù)轉(zhuǎn)換或接口轉(zhuǎn)換。此外，要保證各子網(wǎng)系統(tǒng)功能穩(wěn)定可靠運(yùn)行和能夠滿足各子網(wǎng)業(yè)務(wù)的需要。

4）整個(gè)局域網(wǎng)可管、可控。通過采用管理制度、技術(shù)手段、權(quán)限設(shè)置，對(duì)所有進(jìn)出局域網(wǎng)的各功能子系統(tǒng)的數(shù)據(jù)和應(yīng)用活動(dòng)可管、可控，使播出系統(tǒng)等核心系統(tǒng)安全隱患和安全漏洞。

4　電視臺(tái)局域網(wǎng)的安全防護(hù)

這里主要是針對(duì)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)，并不專門針對(duì)對(duì)外發(fā)布信息的網(wǎng)站安全防護(hù)。

4.1傳統(tǒng)的網(wǎng)絡(luò)防護(hù)設(shè)備——防火墻

防火墻是一種有效的網(wǎng)絡(luò)安全機(jī)制（分為包過濾防火墻、Web防火墻、數(shù)據(jù)庫(kù)防火墻等）：一個(gè)網(wǎng)絡(luò)防火墻一般安裝在內(nèi)部局域網(wǎng)與外部網(wǎng)絡(luò)（Internet）的連接接點(diǎn)上，作為內(nèi)部局域網(wǎng)與外部網(wǎng)絡(luò)之間的訪問控制設(shè)備。

防火墻在企業(yè)應(yīng)用很廣泛，設(shè)置好相應(yīng)的策略，能很好起到安全防護(hù)保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的作用。但是在電視臺(tái)全臺(tái)網(wǎng)絡(luò)的應(yīng)用中，只是應(yīng)用在辦公網(wǎng)與Interact的連接點(diǎn)上，在內(nèi)部網(wǎng)絡(luò)中并不能理想的發(fā)揮其作用。其原因在于：其一，電視臺(tái)內(nèi)部各子網(wǎng)傳輸?shù)闹饕且曇纛l數(shù)據(jù)和少量的文字?jǐn)?shù)據(jù)，其數(shù)據(jù)傳輸?shù)奶囟ㄐ院軓?qiáng)，部署防火墻很有些浪費(fèi)；其二，目前傳輸?shù)氖歉摺?biāo)信號(hào)節(jié)目為主，其數(shù)據(jù)吞吐量很大，重要時(shí)段數(shù)據(jù)峰值也很高，對(duì)防火墻的數(shù)據(jù)分析帶來很大壓力，容易造成數(shù)據(jù)擁塞；其三，防火墻是永遠(yuǎn)滯后于病毒而產(chǎn)生的，需要不定時(shí)的聯(lián)網(wǎng)對(duì)數(shù)據(jù)庫(kù)升級(jí)，而電視臺(tái)全臺(tái)網(wǎng)各子網(wǎng)節(jié)點(diǎn)分布于各職能部門，這就對(duì)其聯(lián)網(wǎng)數(shù)據(jù)庫(kù)升級(jí)和維護(hù)帶來很多不便；如每個(gè)節(jié)點(diǎn)都進(jìn)行聯(lián)網(wǎng)：一是浪費(fèi)寬帶資源，二是帶來網(wǎng)絡(luò)安全隱患。

因此普通的防火墻在電視臺(tái)內(nèi)部網(wǎng)絡(luò)全部部署并不是最理想的選擇，比較適合應(yīng)用在辦公網(wǎng)與interact的連接點(diǎn)。

4.2電視臺(tái)內(nèi)部各子網(wǎng)節(jié)點(diǎn)的安全防護(hù)——媒資衛(wèi)士安全網(wǎng)關(guān)

媒資衛(wèi)士安全網(wǎng)關(guān)關(guān)鍵技術(shù)：物理隔離、白名單及數(shù)據(jù)深度解析、針對(duì)廣電行業(yè)而研發(fā)。

物理隔離：媒資衛(wèi)士安全網(wǎng)關(guān)采用了最安全的物理隔離技術(shù)，使內(nèi)、外網(wǎng)之間的網(wǎng)絡(luò)鏈接徹底斷開；采用電子開關(guān)和數(shù)據(jù)緩存池分時(shí)導(dǎo)通的原理，保證內(nèi)、外網(wǎng)在任意時(shí)刻都是斷開的。核心部分由三個(gè)單元組成：一個(gè)外網(wǎng)處理單元、一個(gè)內(nèi)網(wǎng)處理單元、一個(gè)中間數(shù)據(jù)硬件交換部件，即隔離交換開關(guān)（數(shù)據(jù)緩存池）。當(dāng)數(shù)據(jù)需要從外向內(nèi)傳遞時(shí)，基于應(yīng)用代理服務(wù)的模式外端機(jī)終止網(wǎng)絡(luò)協(xié)議，開始解析應(yīng)用數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行安全處理。安全處理后的數(shù)據(jù)被隔離開關(guān)以專用封裝格式擺渡到內(nèi)端機(jī)。內(nèi)端機(jī)應(yīng)用代理客戶端的方式將應(yīng)用數(shù)據(jù)封裝為TCP/IP格式，路由到目的地。當(dāng)數(shù)據(jù)需要從內(nèi)向外傳遞時(shí)，也采用類似的過程，但不同的是內(nèi)端機(jī)啟用應(yīng)用代理服務(wù)，外端機(jī)應(yīng)用代理客戶端。由于媒資衛(wèi)士安全網(wǎng)關(guān)采用物理隔離技術(shù)和自定制的嵌入式Linux系統(tǒng)及專用封裝協(xié)議，并在設(shè)備內(nèi)部中斷了TCP/IP協(xié)議，所以可防止針對(duì)通用操作系統(tǒng)漏洞的入侵，可以有效的抵御基于TCP/IP協(xié)議漏洞的攻擊，基于隧道的攻擊等。這些都是目前互聯(lián)網(wǎng)最主要的攻擊威脅。

白名單及數(shù)據(jù)深度解析：白名單上的是符合條件的，能夠通過的用戶或數(shù)據(jù)。有了白名單，自然就有相應(yīng)的黑名單。黑名單就是指不符合條件的，沒有通過的用戶或數(shù)據(jù)，啟用后，被列入到黑名單的所有數(shù)據(jù)都不能通過。在電腦系統(tǒng)里，有很多軟件都應(yīng)用到了黑白名單規(guī)則，如防火墻、殺毒軟件等在實(shí)際應(yīng)用中白名單比黑名單限制的用戶要更多一些。由于廣電網(wǎng)絡(luò)涉及的文件類型比較少，主要包括視頻音頻文件、圖片文件和文稿文件等。所以比較適合采用白名單的方式，這樣能提高檢測(cè)和傳輸?shù)男?。媒資衛(wèi)士安全網(wǎng)關(guān)系統(tǒng)采用白名單檢測(cè)方式，凡符合系統(tǒng)事先約定的白名單類型的文件才允許傳輸?shù)絻?nèi)部網(wǎng)絡(luò)，其他的數(shù)據(jù)一律不允許通過。也就是說，只允許符合規(guī)則的干凈數(shù)據(jù)文件通過，其他數(shù)據(jù)無論其安全與否一概不予放行，進(jìn)而保護(hù)內(nèi)網(wǎng)安全。

媒資衛(wèi)士安全網(wǎng)關(guān)的核心技術(shù)是對(duì)文件數(shù)據(jù)深度解析。系統(tǒng)根據(jù)白名單對(duì)文件類型進(jìn)行徹底檢查，除了尾綴識(shí)別外，還進(jìn)行特征碼分析、語(yǔ)義分析和邏輯結(jié)構(gòu)分析等深度解析，使任何有威脅的文件都被阻擋在外；當(dāng)傳輸文件中被輸入惡意代碼時(shí)，媒資衛(wèi)士能夠準(zhǔn)確地識(shí)別其結(jié)構(gòu)的變化并自動(dòng)進(jìn)行阻斷和告警。目前，面對(duì)嚴(yán)峻的發(fā)展形勢(shì)，一些網(wǎng)關(guān)依然停留在簡(jiǎn)單的尾綴識(shí)別上，不能檢測(cè)出假冒文件或來自文件內(nèi)部的病毒威脅。通過文件數(shù)據(jù)深度解析可以實(shí)現(xiàn)三方面的功能：第一，檢測(cè)文件類型是不是白名單允許的類型；第二，檢測(cè)白名單類型的真?zhèn)危遣皇欠旅暗?；第三，檢測(cè)文件內(nèi)部是否有夾帶（可疑信息）。

廣電實(shí)用性：支持新聞數(shù)據(jù)優(yōu)先傳送；支持高標(biāo)清大視頻數(shù)據(jù)的斷點(diǎn)續(xù)傳；支持未播出視頻的拒絕下載（版權(quán)保護(hù)）；支持在線檢測(cè)視頻數(shù)據(jù)錯(cuò)誤（數(shù)據(jù)錯(cuò)誤引起的圖像變形及畫面跳動(dòng)等）；支持小文件實(shí)時(shí)傳輸，小文件可以不用等待前邊的視頻大文件而直接傳輸。

媒資衛(wèi)士安全網(wǎng)關(guān)安全隔離的實(shí)現(xiàn)：通過物理隔專有協(xié)議，徹底阻斷來自文件外部的威脅；通過文件數(shù)據(jù)深度解析，徹底阻斷來自文件內(nèi)部的威脅；文件內(nèi)部和文件外部的威脅全部被阻斷，真正實(shí)現(xiàn)安全有效的網(wǎng)絡(luò)隔離；媒資衛(wèi)士安全網(wǎng)關(guān)無需更新病毒庫(kù)。

4.3內(nèi)網(wǎng)主機(jī)監(jiān)控與審計(jì)系統(tǒng)

根據(jù)網(wǎng)絡(luò)環(huán)境下終端主機(jī)安全管理需求的主機(jī)監(jiān)控與審計(jì)系統(tǒng)。目標(biāo)是建立建全監(jiān)控機(jī)制，實(shí)時(shí)監(jiān)視終端主機(jī)；對(duì)終端主機(jī)進(jìn)行全面的遠(yuǎn)程安全管理，包括資產(chǎn)管理、事件管理和行為管理等一系列功能；提供便于操作的可視化界面進(jìn)行方便的終端主機(jī)管理。

4.3.1身份認(rèn)證

身份認(rèn)證服務(wù)作為一個(gè)擴(kuò)展模塊與管理服務(wù)部署在同一臺(tái)主機(jī)上。身份認(rèn)證包含基于用戶名/口令及USB Key方式。在用戶名/口令方式下，為每一個(gè)使用者分配一個(gè)賬號(hào)，終端計(jì)算機(jī)登錄時(shí)將使用該賬號(hào)進(jìn)行認(rèn)證。

4.3.2行為管理

通過行為管理模塊系統(tǒng)能夠控制用戶對(duì)主機(jī)的各類操作行為，這些行為包括文件操作、軟件使用、上網(wǎng)、郵件發(fā)送和外接設(shè)備使用等。系統(tǒng)對(duì)用戶行為的監(jiān)控主要包含：一是對(duì)用戶的所有行為控制操作生成詳細(xì)的日志記錄，以備管理員查詢；二是管理員可以通過策略設(shè)置用戶各種行為的使用范圍，如基于黑白名單的軟件使用許可，明確不允許訪問的文件或網(wǎng)站，明確是否可以使用外接設(shè)備或使用哪種外接設(shè)備等。

4.3.3應(yīng)用程序控制

通過基于黑名單及白名單的方式控制終端用戶允許運(yùn)行的應(yīng)用程序。黑名單中的所有程序?qū)⑷坎辉试S運(yùn)行，黑名單之外的程序則可以運(yùn)行，白名單與之相反。系統(tǒng)提供的應(yīng)用程序控制方式不是基于應(yīng)用程序的程序名實(shí)現(xiàn)的，而是基于特定應(yīng)用程序的簽名實(shí)現(xiàn)的，能夠有效防止惡意使用者通過將未授權(quán)程序的名稱改為授權(quán)程序名稱而達(dá)到運(yùn)行不合法程序的目的。

4.3.4Windows策略分發(fā)

為了增強(qiáng)Windows系統(tǒng)的安全性，Windows的策略管理，以提高系統(tǒng)的安全性。包括規(guī)范用戶外設(shè)使用策略，規(guī)范用戶上網(wǎng)行為策略、規(guī)范用戶軟件使用策略、系統(tǒng)補(bǔ)丁下發(fā)策略等。對(duì)這樣一些策略，系統(tǒng)提供完善的策略分發(fā)功能，可以將任意策略分發(fā)到指定的一臺(tái)或一組計(jì)算機(jī)中而不管主機(jī)當(dāng)前是否在線。對(duì)于已經(jīng)分發(fā)到客戶端的策略，系統(tǒng)也可以方便的對(duì)策略進(jìn)行查看和管理。

4.3.5主機(jī)監(jiān)視

對(duì)主機(jī)運(yùn)行狀態(tài)進(jìn)行監(jiān)視審計(jì)。包括CPU使用率、內(nèi)存使用率、磁盤使用率、應(yīng)用系統(tǒng)性能、服務(wù)狀態(tài)、進(jìn)程狀態(tài)和網(wǎng)絡(luò)狀態(tài)等，當(dāng)監(jiān)視的資源的指標(biāo)和狀態(tài)違背預(yù)設(shè)規(guī)則時(shí)，將自動(dòng)產(chǎn)生事件上報(bào)服務(wù)器，并可通過多種方式向管理員報(bào)警。

4.3.6主機(jī)安全審計(jì)

對(duì)主機(jī)的各種系統(tǒng)行為及操作行為進(jìn)行詳細(xì)而準(zhǔn)確的記錄，提供集中審計(jì)日志查詢分析功能，實(shí)時(shí)發(fā)現(xiàn)主機(jī)出現(xiàn)的安全事件，保證主機(jī)處于安全運(yùn)行狀態(tài)。該部分功能包括以下七點(diǎn)。

文件操作審計(jì)：對(duì)文件操作行為，包括新建、復(fù)制、移動(dòng)、重命名、覆蓋或刪除等，進(jìn)行審計(jì)記錄，包括主機(jī)名、時(shí)間、源文件、目標(biāo)文件和操作行為等。

共享文件審計(jì)：審計(jì)主機(jī)是否開啟文件共享功能，包括主機(jī)名、共享名稱、共享路徑和時(shí)間等。

程序運(yùn)行審計(jì)：審計(jì)主機(jī)運(yùn)行的所有應(yīng)用程序，包括程序名、主機(jī)名和時(shí)間等。

上網(wǎng)行為審計(jì)：記錄主機(jī)使用者的網(wǎng)絡(luò)訪問行為，可審計(jì)的分類包括網(wǎng)站訪問信息及郵件收發(fā)信息。包括訪問的URL、郵件收發(fā)信箱、主題、郵件內(nèi)容等。

文件打印審計(jì)：記錄主機(jī)通過本地或網(wǎng)絡(luò)打印機(jī)輸出的信息，包括主機(jī)名、時(shí)間、打印內(nèi)容等。

用戶登錄審計(jì)：審計(jì)用戶等級(jí)計(jì)算機(jī)的信息，包括主機(jī)名、時(shí)間、登錄用戶等。

賬戶變更審計(jì)：審計(jì)登錄賬戶變更情況，包括主機(jī)名、時(shí)間、源賬戶、現(xiàn)用賬戶等。

4.3.7接入控制

接入控制模塊主要解決兩方面問題：一是非法接入網(wǎng)絡(luò)主機(jī)的檢測(cè)、警告、阻斷及啟用功能；二是安裝了代理的計(jì)算機(jī)完整性檢查功能。

4.3.8移動(dòng)存儲(chǔ)設(shè)備管理

為了解決移動(dòng)設(shè)備的使用帶來的安全隱患，只有授權(quán)的移動(dòng)存儲(chǔ)設(shè)備才能使用，未授權(quán)的移動(dòng)存儲(chǔ)設(shè)備將不能使用。具有可控的安全交換途徑，使注冊(cè)的移動(dòng)存儲(chǔ)介質(zhì)可以在外網(wǎng)受限使用，并通過擺渡機(jī)與內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)交換。另外，所有安全移動(dòng)存儲(chǔ)設(shè)備的使用均受到系統(tǒng)的嚴(yán)格審計(jì)，保證文件的流入流出受到監(jiān)控。

4.3.9外設(shè)控制

為了實(shí)現(xiàn)有效的安全管理，就必須控制計(jì)算機(jī)的各種外設(shè)接口，除了授權(quán)的接口可以進(jìn)行數(shù)據(jù)交換外，其他借口一概不允許進(jìn)行數(shù)據(jù)交換；同時(shí)，對(duì)交換數(shù)據(jù)進(jìn)行嚴(yán)格審查。對(duì)外設(shè)接口設(shè)計(jì)周密的控制機(jī)制，保證外設(shè)使用的安全：1）對(duì)普通接口（如光驅(qū)、軟驅(qū)、串口、并口等），具有啟用及禁用兩種安全策略，該策略可以同時(shí)發(fā)布給若干計(jì)算機(jī)；2）對(duì)于USB接口，細(xì)分為USB鍵盤、USB鼠標(biāo)、USB存儲(chǔ)、USB打印等多種類型，對(duì)每一種類型具有啟用及禁用功能；3）對(duì)USB存儲(chǔ)，在啟用/禁用的基礎(chǔ)上細(xì)分權(quán)限，增加只讀和可讀寫權(quán)限。

4.4殺毒軟件的部署

對(duì)局域網(wǎng)安全而言，殺毒是一個(gè)很重要的輔助安全軟件，要根據(jù)局域網(wǎng)的實(shí)際應(yīng)用情況而選擇合適的殺毒軟件，并不是所有殺毒軟件都適合局域網(wǎng)應(yīng)用情況，要根據(jù)你局域網(wǎng)應(yīng)用的性質(zhì)、軟硬件的兼容性、是否影響工作效率、局域網(wǎng)的安全等級(jí)去合理選擇部署。

5　建立完善的網(wǎng)絡(luò)安全管理制度

人是網(wǎng)絡(luò)安全管理的最終決定因素，完善的網(wǎng)絡(luò)安全管理制度是網(wǎng)絡(luò)安全重要保障，網(wǎng)絡(luò)安全雖不能靠技術(shù)手段完全解決，但可以通過完善的有執(zhí)行力的行為規(guī)范，把網(wǎng)絡(luò)風(fēng)險(xiǎn)降低到最低。要根據(jù)網(wǎng)絡(luò)的實(shí)際情況和安全等級(jí)，制定嚴(yán)格網(wǎng)絡(luò)日常操作制度，并要定期檢查網(wǎng)絡(luò)安全操作日志。要建立網(wǎng)絡(luò)安全應(yīng)急機(jī)制，一但發(fā)現(xiàn)網(wǎng)絡(luò)問題及時(shí)采取一定的網(wǎng)絡(luò)隔離措施以保證主要核心業(yè)務(wù)的網(wǎng)絡(luò)暢通，避免網(wǎng)絡(luò)問題擴(kuò)大化。建立網(wǎng)絡(luò)安全評(píng)估機(jī)制，在實(shí)際中，難免遇到網(wǎng)絡(luò)的升級(jí)改造、網(wǎng)絡(luò)的擴(kuò)展，或者是發(fā)現(xiàn)網(wǎng)絡(luò)的漏洞，我們要盡早將這些網(wǎng)絡(luò)安全問題做出合理的評(píng)估，采取防范措施，以保障網(wǎng)絡(luò)的安全。

6　結(jié)語(yǔ)

電視臺(tái)網(wǎng)絡(luò)安全涉及到很多層面，技術(shù)手段只是其中一個(gè)重要方面，關(guān)鍵還在于人和完善的管理執(zhí)行制度。很多網(wǎng)絡(luò)之所以出現(xiàn)問題，并不是技術(shù)設(shè)備不到位，而是缺少了嚴(yán)格的有執(zhí)行力的制度作為保證；尤其是電視臺(tái)，涉及到許多不同來源的外來信息采集和提供視音頻資料給外部，如果沒有嚴(yán)格的有執(zhí)行力的制度作為保證，網(wǎng)絡(luò)安全將面臨巨大的考驗(yàn)。所以網(wǎng)絡(luò)安全，除了技術(shù)手段外，再加上嚴(yán)格的有執(zhí)行力的制度作為保證，可以將網(wǎng)絡(luò)風(fēng)險(xiǎn)降到最低。