文/方達(dá)星

義烏廣播技術(shù)應(yīng)對(duì)“勒索病毒”來(lái)襲案例解析

文/方達(dá)星

隨著廣播技術(shù)的發(fā)展，廣播節(jié)目的制作和播出跟互聯(lián)網(wǎng)的結(jié)合越來(lái)越緊密。在病毒傳播越來(lái)越猖獗的今天，如何構(gòu)建一個(gè)對(duì)于主持人來(lái)說(shuō)幾乎透明的跨網(wǎng)系統(tǒng)，同時(shí)在最大范圍內(nèi)保障節(jié)目的播出安全，是每個(gè)廣播技術(shù)從業(yè)者面臨的挑戰(zhàn)。

勒索病毒；全臺(tái)網(wǎng)；網(wǎng)閘；多倍速快錄系統(tǒng)

1. 勒索病毒傳播情況和預(yù)防要求

2017年5月12日，一種名為“想哭”的勒索病毒襲擊全球150多個(gè)國(guó)家和地區(qū)，影響領(lǐng)域包括政府部門(mén)、醫(yī)療服務(wù)、公共交通、郵政、通信和汽車(chē)制造業(yè)。勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播。一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本以躲避查殺和分析。接下來(lái)，勒索病毒利用本地的互聯(lián)網(wǎng)訪問(wèn)權(quán)限連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密私鑰與公鑰，利用私鑰和公鑰對(duì)文件進(jìn)行加密。加密完成后，還會(huì)修改壁紙，在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶(hù)去繳納贖金。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解。病毒可以導(dǎo)致重要文件無(wú)法讀取，關(guān)鍵數(shù)據(jù)被損壞，給用戶(hù)的正常工作帶來(lái)了極為嚴(yán)重的影響。

5月18日義烏市宣傳部通知：近日，全球爆發(fā)勒索蠕蟲(chóng)病毒,各單位要落實(shí)專(zhuān)人對(duì)本單位電腦進(jìn)行查看，有中毒情況向市網(wǎng)信辦匯報(bào)。同時(shí)，要組織實(shí)施人員和支持公司完成防火墻、交換機(jī)的端口關(guān)閉和系統(tǒng)補(bǔ)丁升級(jí)工作，并抓緊安裝360等能夠查殺加密勒索蠕蟲(chóng)的殺毒軟件和專(zhuān)殺工具，具體關(guān)閉的端口為：TCP/UDP∶135、137、138、139、9995、9996、593、445 以及 tcp∶5554、4444 和 udp∶1434。

2. 義烏廣播的基本情況

2.1 義烏廣播音頻全臺(tái)網(wǎng)情況

義烏廣播采用的是英夫美迪的全臺(tái)網(wǎng)系統(tǒng)（圖1），全臺(tái)網(wǎng)內(nèi)部分為播出網(wǎng)和制作網(wǎng)。為保證播出安全，廣播的播出網(wǎng)一直在變小，一個(gè)簡(jiǎn)單高效的播出網(wǎng)，專(zhuān)注于播出更能確保播出網(wǎng)的安全，所以，一套節(jié)目的播出站點(diǎn)一般不會(huì)超過(guò)3臺(tái)。而制作網(wǎng)為滿(mǎn)足業(yè)務(wù)和發(fā)展需求，一直在變大，廣播節(jié)目制作的各種要求以及面向客戶(hù)、面向節(jié)目發(fā)展趨勢(shì)的功能，一個(gè)大的制作系統(tǒng)可以滿(mǎn)足用戶(hù)的各種功能要求而不用擔(dān)心功能的增加會(huì)影響到播出的安全。制作網(wǎng)是集節(jié)目采、編、播于一體的大制作系統(tǒng)，包含多媒體新聞子系統(tǒng)、節(jié)目制作子系統(tǒng)、發(fā)布子系統(tǒng)、媒體資產(chǎn)管理等多個(gè)子系統(tǒng)。這些子系統(tǒng)都圍繞著節(jié)目播出這個(gè)中心，彼此協(xié)調(diào)運(yùn)作。首先，新聞子系統(tǒng)負(fù)責(zé)新聞節(jié)目的采集、新聞稿件的生成和管理；而節(jié)目制作子系統(tǒng)則負(fù)責(zé)音頻節(jié)的制作和管理，制作好的節(jié)目可以送往播出系統(tǒng)供播出使用，也可以通過(guò)發(fā)布系統(tǒng)發(fā)布給其他的應(yīng)用系統(tǒng)使用。無(wú)論是新聞管理子系統(tǒng)還是節(jié)目制作子系統(tǒng)生產(chǎn)的節(jié)目，都可以通過(guò)內(nèi)容發(fā)布子系統(tǒng)進(jìn)行發(fā)布。除了可以發(fā)布到播出系統(tǒng)供播出使用外，還可以發(fā)布給其他的應(yīng)用系統(tǒng)使用。義烏廣播制作、播出系統(tǒng)當(dāng)時(shí)設(shè)計(jì)的時(shí)候，為了便于擴(kuò)容，實(shí)施的是跨網(wǎng)段的布署，制作網(wǎng)和互聯(lián)網(wǎng)通過(guò)網(wǎng)閘相連(制作網(wǎng)和互聯(lián)網(wǎng)以非IP的方式連接)，而制作站點(diǎn)則小部分部署在內(nèi)網(wǎng)，大部分都布署在外網(wǎng)。外網(wǎng)制作站可以通過(guò)網(wǎng)閘透明的訪問(wèn)位于內(nèi)網(wǎng)的制作、播出服務(wù)器，其操作和使用與位于內(nèi)網(wǎng)的制作站完全一樣。但是制作站直接布置在外網(wǎng)，使制作節(jié)目能調(diào)度的各種互聯(lián)網(wǎng)素材和時(shí)效素材大大增加，對(duì)于節(jié)目的精品化和應(yīng)景化有很大好處，和其他的應(yīng)用系統(tǒng)可以通過(guò)標(biāo)準(zhǔn)的接口，直接瀏覽、查詢(xún)制作系統(tǒng)的節(jié)目數(shù)據(jù)和播出系統(tǒng)上每套播出節(jié)目的編排情況，并能在系統(tǒng)授權(quán)權(quán)限許可范圍內(nèi)的下載使用和變更播單。系統(tǒng)用的媒體專(zhuān)用網(wǎng)閘，提供簡(jiǎn)化版的HTTP、FTP、UDP等基礎(chǔ)協(xié)議的支持。這就能確保業(yè)務(wù)應(yīng)用所必須的webservice應(yīng)用、FTP文件傳輸應(yīng)用、媒資等能夠順利運(yùn)行。正是有了這些中間應(yīng)用的支持，制作內(nèi)網(wǎng)、綜合業(yè)務(wù)網(wǎng)、互聯(lián)網(wǎng)的節(jié)目制作能透明穿透網(wǎng)閘，實(shí)現(xiàn)節(jié)目的安全、高效、協(xié)同制作?，F(xiàn)在關(guān)閉這么多端口，哪些端口是系統(tǒng)在用的，也只能把交換機(jī)的端口關(guān)閉后，一步步地走節(jié)目的采編播流程。

2.2 義烏廣播音頻制作采編播流程和網(wǎng)絡(luò)構(gòu)架

節(jié)目編播流程：（1）用戶(hù)登錄制作管理軟件XStudio系統(tǒng)；（2）進(jìn)入我的工程區(qū)進(jìn)行節(jié)目制作。新建工程，調(diào)用音頻編輯器，完成音頻錄制編輯，發(fā)送成品節(jié)目；（3）在任務(wù)審核列表中，能夠進(jìn)行權(quán)限查詢(xún)?yōu)g覽、審核功能；（4）制作任務(wù)列表中，能夠看到制作節(jié)目的審核狀態(tài)；（5）發(fā)送到制作庫(kù)的節(jié)目，保存在素材成品區(qū)中；（6）發(fā)送到播出庫(kù)的節(jié)目，保存在播出成品區(qū)中；（7）節(jié)目發(fā)播，包括發(fā)送到線性節(jié)目單、發(fā)送到JINGLE單、發(fā)送到播出成品庫(kù)供查詢(xún)檢索播出調(diào)用。

節(jié)目編排播出除了用XStudio節(jié)目發(fā)播外，還能利用LogEditor對(duì)日播出節(jié)目單進(jìn)行編排。

圖1 系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖

3. 義烏廣播技術(shù)應(yīng)對(duì)措施

3.1 確保整個(gè)工藝流程順利實(shí)現(xiàn)

廣播節(jié)目所采用的素材大致分為三類(lèi)：第一類(lèi)是國(guó)家級(jí)的廣播電視的節(jié)目、省級(jí)廣播電視節(jié)目及兄弟臺(tái)的廣播電視節(jié)目的同期慢速錄音；第二類(lèi)是互聯(lián)網(wǎng)的音頻資料，包括最新的歌曲和各種聲音音效；第三類(lèi)自己主持人制作的精品節(jié)目和節(jié)目的文稿系統(tǒng)。第一類(lèi)同期慢速錄音采用的是聯(lián)匯的PRODS慢速錄音系統(tǒng)，以文件夾網(wǎng)絡(luò)共享的方式，進(jìn)行文件的訪問(wèn)，關(guān)閉勒索病毒傳播端口后，同樓層可以訪問(wèn)，但是跨樓層慢錄系統(tǒng)就讀取不了文件。第二類(lèi)互聯(lián)網(wǎng)的音頻資料，外網(wǎng)工作站往制作網(wǎng)傳送文件的時(shí)候，走的是HTTP，F(xiàn)TP兩種協(xié)議，對(duì)互聯(lián)網(wǎng)的音頻資料可以實(shí)現(xiàn)跨網(wǎng)段，跨樓層使用。第三類(lèi)自己主持人制作的節(jié)目，一般在制作網(wǎng)內(nèi)完成，不存在跨網(wǎng)的問(wèn)題，文稿系統(tǒng)采用的是HTTP協(xié)議，關(guān)閉端口對(duì)文稿系統(tǒng)沒(méi)有影響。解決慢錄不能垮樓層使用，廣播技術(shù)通過(guò)在制作網(wǎng)內(nèi)，增加內(nèi)網(wǎng)的工作站予以解決，這樣整個(gè)廣播播出的各種工藝流程在關(guān)閉勒索病毒傳播端口后，通過(guò)內(nèi)部測(cè)試和內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)的微調(diào)整，還是確保整個(gè)廣播采制編播的順利進(jìn)行。

3.2 對(duì)網(wǎng)間安全進(jìn)行優(yōu)化

在滿(mǎn)足整個(gè)廣播采制編播工藝流程后，廣播技術(shù)對(duì)整個(gè)廣播的網(wǎng)間安全作了優(yōu)化。

制作網(wǎng)和互聯(lián)網(wǎng)之間使用2臺(tái)NetGap200網(wǎng)閘隔離，兩臺(tái)網(wǎng)閘互做備份。2臺(tái)網(wǎng)閘采用并行方式，每臺(tái)承擔(dān)一個(gè)樓層的網(wǎng)絡(luò)流量。NetGap200是第二代安全網(wǎng)絡(luò)隔離與信息交

換系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品。它把網(wǎng)絡(luò)分為可信任網(wǎng)絡(luò)和不可信任兩部分，網(wǎng)閘的初始設(shè)置在可信網(wǎng)絡(luò)端,不可信網(wǎng)絡(luò)端只能接受和傳送可信網(wǎng)絡(luò)端給它規(guī)定的通道、端口和文件制式進(jìn)行數(shù)據(jù)交換。同時(shí)數(shù)據(jù)交互通過(guò)專(zhuān)用的數(shù)據(jù)傳輸部件進(jìn)行傳輸，對(duì)于非通道內(nèi)、非端口、非合格制式的數(shù)據(jù),系統(tǒng)實(shí)行高效屏蔽,可以防止各種基于網(wǎng)絡(luò)層和操作系統(tǒng)層的攻擊，并通過(guò)基于硬件的 SGAP系統(tǒng)，實(shí)現(xiàn)高速實(shí)時(shí)的數(shù)據(jù)傳輸。網(wǎng)閘系統(tǒng)從網(wǎng)絡(luò)模型的應(yīng)用層將數(shù)據(jù)還原為原始數(shù)據(jù)，然后以“擺渡原始數(shù)據(jù)”的形式來(lái)傳遞數(shù)據(jù)，網(wǎng)絡(luò)命令和 TCP/IP 協(xié)議包無(wú)法穿透隔離系統(tǒng)。NetGap200 還具備強(qiáng)大的協(xié)議終止、協(xié)議檢查、內(nèi)容審查等功能，可確?？尚啪W(wǎng)絡(luò)不受攻擊，并保護(hù)網(wǎng)絡(luò)間資源、信息和數(shù)據(jù)交換的安全進(jìn)行。NetGap200 具有針對(duì)廣電系統(tǒng)用戶(hù)的特殊需求進(jìn)行的優(yōu)化，可根據(jù)廣播的節(jié)目制作工藝要求配置允許通過(guò)的文件格式。并對(duì)要通過(guò)的音頻文件進(jìn)行加密和解密來(lái)實(shí)現(xiàn)文件傳輸?shù)陌踩?，?duì)篡改文件名后綴、音頻文件中嵌入惡意代碼之類(lèi)欺騙方式均能有效甄別并阻止。對(duì)于能傳輸進(jìn)內(nèi)網(wǎng)的文件，我們進(jìn)行優(yōu)化，讓系統(tǒng)只能通過(guò)廣播音頻的S48文件。

3.3 啟動(dòng)多倍速快錄系統(tǒng)并對(duì)整個(gè)制播網(wǎng)進(jìn)行再優(yōu)化

啟用多倍速快錄系統(tǒng)實(shí)現(xiàn)制作網(wǎng)和互聯(lián)網(wǎng)的徹底的物理隔離。多倍速快錄系統(tǒng)基本原理就是音頻對(duì)錄，這是一種安全又保守的做法，原來(lái)的音頻對(duì)錄需要人操作，多倍速快錄系統(tǒng)就是讓對(duì)錄自己自動(dòng)開(kāi)始和停止，不需要其他的通訊機(jī)制，就依靠音頻信號(hào)自身去觸發(fā)。音頻的開(kāi)始對(duì)錄、停止對(duì)錄等命令，音頻文件名、文件的用戶(hù)名等信息，也是用音頻發(fā)電報(bào)的方式對(duì)錄過(guò)去，因?yàn)檎５囊纛l是可能以這樣連續(xù)短脈沖，系統(tǒng)就把這樣的音頻短脈沖識(shí)別為編碼并對(duì)其進(jìn)行解析。在對(duì)錄完成的音頻文件中不會(huì)有這樣的音頻脈沖編碼信號(hào)。實(shí)現(xiàn)了系統(tǒng)自動(dòng)的讓對(duì)錄開(kāi)始和停止。選擇AES3或MADI進(jìn)行音頻對(duì)錄，并采用倍速采樣率的方式，比如，對(duì)于一個(gè)48KHz的音頻文件，我們采用192KHz進(jìn)行對(duì)錄，這樣對(duì)錄時(shí)間可以縮短4倍。并且采用多通道聲卡對(duì)一個(gè)文件進(jìn)行同步對(duì)錄，如果采用8個(gè)AES3通道的聲卡，則首先將要傳輸?shù)囊纛l文件切分為8個(gè)音頻文件，再同時(shí)將這8個(gè)音頻文件用8個(gè)AES通道4倍速對(duì)錄，則總的對(duì)錄效率是8×4=32倍。義烏廣播采用64通道MADI，則對(duì)錄效率甚至可高達(dá)64×4=256倍。通過(guò)這些手段，數(shù)十倍地縮短音頻對(duì)錄的時(shí)間，1個(gè)小時(shí)的音頻文件1、2分鐘就完成網(wǎng)間傳輸了，而且還可以不需要人守著電腦操作，內(nèi)網(wǎng)和外網(wǎng)實(shí)現(xiàn)徹底物理隔離，只靠音頻線進(jìn)行對(duì)錄。

多倍速對(duì)錄系統(tǒng)本質(zhì)上是一個(gè)音頻設(shè)備（圖2～3），跟其他系統(tǒng)的集成是以文件為唯一載體的，需要傳輸?shù)囊纛l文件只需要送到多倍速系統(tǒng)監(jiān)測(cè)的文件夾中，多倍速系統(tǒng)就會(huì)自動(dòng)開(kāi)始對(duì)錄，通過(guò)多倍速系統(tǒng)廣播就可以輕松實(shí)現(xiàn)在臺(tái)外的記者將音頻素材傳輸?shù)絻?nèi)網(wǎng)，簡(jiǎn)單的方式（圖4多倍速系統(tǒng)連接簡(jiǎn)易方式）是架設(shè)FTP或HTTP服務(wù)接收音頻文件傳輸，并將音頻文件自動(dòng)送多倍速，而復(fù)雜的方式（圖5多倍速系統(tǒng)連接復(fù)雜方式）包括諸如將部署在外網(wǎng)的新聞采編系統(tǒng)與多倍速對(duì)錄系統(tǒng)進(jìn)行集成。這樣就實(shí)現(xiàn)了內(nèi)外網(wǎng)系統(tǒng)的徹底的物理隔離。

圖2 外網(wǎng)音頻輸入內(nèi)網(wǎng)示意圖

圖3 內(nèi)網(wǎng)音頻文件輸出外網(wǎng)示意圖

圖4 多倍速系統(tǒng)連接簡(jiǎn)易方式

圖5 多倍速系統(tǒng)連接復(fù)雜方式

在多倍速系統(tǒng)啟用后，相對(duì)于網(wǎng)閘的邏輯隔離，多倍速系統(tǒng)的純物理隔離在播出安全保障的級(jí)別更高，但是義烏廣播技術(shù)并沒(méi)有放棄網(wǎng)閘系統(tǒng)，而是讓整個(gè)系統(tǒng)平時(shí)運(yùn)行在多倍速系統(tǒng)中，網(wǎng)閘是一個(gè)備用系統(tǒng)，萬(wàn)一多倍速系統(tǒng)出現(xiàn)問(wèn)題，網(wǎng)閘也可以發(fā)揮作用。這樣義烏廣播技術(shù)在網(wǎng)間安全保障方面擁有了多種保障手段。

[1]彭澎，何紹丹.基于云計(jì)算的廣播制播系統(tǒng)研究與設(shè)計(jì)[J].廣播與電視技術(shù)，2013，（7）.

[2]丁琳.“疫情”席卷全球，它為何如此兇猛[J].科學(xué)之友（上半月），2017（07）.

G222

A

1671-0134（2017）11-076-03

10.19483/j.cnki.11-4653/n.2017.11.024

浙江省義烏廣播電視傳媒集團(tuán)）