高 歌
錫林郭勒盟廣播電視臺 內(nèi)蒙古 錫林浩特市 026000
近年來,隨著電視節(jié)目高清化的發(fā)展,錫林郭勒盟廣播電視臺現(xiàn)有非編制作網(wǎng)絡已經(jīng)無法滿足現(xiàn)有需求?,F(xiàn)有制作網(wǎng)絡于2008年建成,如今設(shè)備老化,工作站機器性能配置低,非編軟件版本低,沒有高清節(jié)目編輯能力,加之以前在防病毒等方面防護不夠,造成整個非編制作網(wǎng)絡病毒蔓延,經(jīng)常影響節(jié)目制作。為了滿足現(xiàn)有制作高清節(jié)目的要求,提高整個制作網(wǎng)絡的安全性,錫林郭勒盟廣播電視臺于2017年投資建設(shè)了新的高清非編制作網(wǎng)絡。筆者作為臺網(wǎng)絡管理中心負責人,負責對整個網(wǎng)絡進行規(guī)劃和設(shè)計,在安全性方面,我們采取了相應的技術(shù)和措施,保證整個非編制作網(wǎng)絡的安全運行。
原有制作網(wǎng)絡是與互聯(lián)網(wǎng)物理隔離的,無法及時的安裝系統(tǒng)補丁,殺毒軟件也無法實時在線更新。同時,網(wǎng)絡內(nèi)工作站的USB 口沒有禁用,攝像人員及工作人員可隨意進行移動存儲設(shè)備的使用。同時整個網(wǎng)絡內(nèi)工作站之間使用windows 操作系統(tǒng)的文件夾共享方式進行文件素材的交互。一旦一臺工作站感染病毒,就會迅速的傳播給網(wǎng)內(nèi)的所有工作站,嚴重時可導致整個網(wǎng)絡癱瘓,工作站無法正常工作。
因臺內(nèi)制作人員對計算機操作知識掌握不足,經(jīng)常無意之中進行誤操作,誤刪系統(tǒng)關(guān)鍵文件,導致工作站系統(tǒng)無法正常工作。同時,部分制作素材存儲在工作站本地硬盤上,不同的工作人員可操作同一臺工作站,經(jīng)常導致部分素材誤刪除。
結(jié)合錫林郭勒盟廣播電視臺實際情況,我們把全臺網(wǎng)絡分為播出內(nèi)網(wǎng),制作內(nèi)網(wǎng)和辦公互聯(lián)網(wǎng)三個區(qū)域。如圖1所示。
圖1 臺內(nèi)網(wǎng)絡分類
三個網(wǎng)絡區(qū)域采用物理隔離,采用獨立的交換機獨立組網(wǎng)。根據(jù)實際業(yè)務情況,三個網(wǎng)絡區(qū)域之間有如下的業(yè)務文件交換需求:
(1)制作網(wǎng)需要向播出上傳節(jié)目;
(2)制作網(wǎng)需要從外網(wǎng)下載旗縣上傳的素材;
(3)制作網(wǎng)需要通過外網(wǎng)把節(jié)目發(fā)送給自治區(qū)廣播電視臺。
為了滿足以上的業(yè)務交換需求,我們采用了一臺數(shù)字視頻網(wǎng)絡安全網(wǎng)關(guān),三個網(wǎng)絡區(qū)域中的文件交換都通過該網(wǎng)關(guān)進行交換。
實際上,殺毒軟件用于內(nèi)網(wǎng)的環(huán)境清理更合適,如果邊界的數(shù)據(jù)進入僅僅依賴于殺毒軟件為過濾機制,是存在漏殺可定性的(因為病毒庫的升級永遠落后于病毒的產(chǎn)生)。而防火墻作為網(wǎng)間隔離設(shè)備,因為是邏輯隔離設(shè)備,不具有物理隔離功能,所以內(nèi)網(wǎng)被攻擊的可能性是存在的。網(wǎng)閘類產(chǎn)品,雖然具有物理隔離功能(避免攻擊),但是對于數(shù)據(jù)內(nèi)容本身的安全性不做檢測,存在應用數(shù)據(jù)攜帶危險信息的可能性。即便再配合殺毒軟作輔助過濾,仍然存在漏殺的可能性。
數(shù)字視頻網(wǎng)絡安全網(wǎng)關(guān)是新一代網(wǎng)絡邊界防護設(shè)備,是專門為廣電行業(yè)進行定制開發(fā)的,其根據(jù)事先的配置,對經(jīng)過其的所有文件根據(jù)文件類型進行文件解析過濾,并對數(shù)據(jù)內(nèi)容作全文解析過濾,支持廣電行業(yè)內(nèi)部所有的文件類型,徹底杜絕來自網(wǎng)絡通道和數(shù)據(jù)內(nèi)部非法及危險信息的通過。其獨特的安全防護技術(shù),克服了殺毒軟件、防火墻及網(wǎng)閘等傳統(tǒng)技術(shù)的缺點和漏洞,使得內(nèi)部網(wǎng)絡在與外部交換數(shù)據(jù)時,實現(xiàn)傳輸信道的物理隔離。
該網(wǎng)關(guān)支持使用windows 文件共享和FTP 協(xié)議進行文件傳輸。這里我們采用FTP 進行文件的交換,因為FTP 比windows 文件共享更方便的進行權(quán)限控制及運維管理。我們在播出網(wǎng)內(nèi)和辦公互聯(lián)網(wǎng)內(nèi)分別搭建FTP 服務器,分別用于制作網(wǎng)向播出上傳節(jié)目和制作網(wǎng)和辦公互聯(lián)網(wǎng)進行文件交互。
這次升級改造中,非編制作軟件采用了在線式編輯模式,整個制作網(wǎng)絡中使用了一臺EMC isilon260 NAS 存儲,所有非編工作站上掛載該網(wǎng)絡存儲,所有非編素材和工程文件存儲在NAS 存儲上,制作人員可在任意一臺工作站上打開自己創(chuàng)建的工程進行節(jié)目的編輯制作。假如一臺非編制作工作站故障,可在另一臺上接著進行工作,不存在工作站單點故障。我們按用戶進行權(quán)限的劃分,每個制作用戶只可以訪問自己的文件,這樣也避免了多用戶操作造成的誤刪除操作。
移動存儲設(shè)備的使用是內(nèi)部網(wǎng)絡感染病毒的重要途徑。制作網(wǎng)絡內(nèi)部需要使用USB 口進行攝像素材的上傳。在這次新的網(wǎng)絡設(shè)計中,我們指定了幾臺工作站為素材上載機,其余所有工作站我們在BIOS 配置了USB 口的禁用。用戶使用上載機進行素材的上傳,直接把素材存放到網(wǎng)絡存儲上,制作時可直接在任意一臺工作站上進行編輯制作。
在上載機上,我們采用了一款專門為廣電行業(yè)開發(fā)的USB 安全隔離器。該隔離器是一款基于ARM 微處理器開發(fā)的隔離設(shè)備,內(nèi)部運行Linux操作系統(tǒng),它可以對文件進行深度檢測,可配置允許通過的文件類型,支持廣電行業(yè)內(nèi)的全部文件類型。通過對文件格式的深度檢測,可以阻止所有的病毒木馬及無效文件通過。安裝好該USB隔離盒的驅(qū)動后,該驅(qū)動會禁用上載機上的所有USB 口,只允許通過該隔離盒上的USB 口進行移動設(shè)備的讀寫操作。
我們所有的工作站都運行著Windows 7 操作系統(tǒng),這里我們采用Windows 域控統(tǒng)一對所有工作站用戶進行權(quán)限控制。我們在制作網(wǎng)絡內(nèi)搭建一臺域控服務器,在域控服務器上對域控用戶賬號進行如下權(quán)限配置:
(1)在桌面禁用右鍵操作
(2)禁止用戶安裝/卸載程序
(3)禁止用戶對系統(tǒng)盤的訪問
(4)禁止用戶對注冊表的訪問和操作
每臺工作站用戶使用事先分配好的域控賬號進行登錄。通過對用戶權(quán)限的限制,可有效的防止用戶的誤操作導致工作站系統(tǒng)崩潰或軟件被破壞。
在整個網(wǎng)絡的設(shè)計時,網(wǎng)絡安全性和可靠性是網(wǎng)絡規(guī)劃建設(shè)的重點,通過使用如上介紹的措施和方法,很好的保證了網(wǎng)絡的安全。整個網(wǎng)絡通過實際運行,經(jīng)受住了考驗,沒有發(fā)生過任何的網(wǎng)絡安全問題,取得了令人滿意的效果。