高 歌

錫林郭勒盟廣播電視臺 內(nèi)蒙古 錫林浩特市 026000

近年來，隨著電視節(jié)目高清化的發(fā)展，錫林郭勒盟廣播電視臺現(xiàn)有非編制作網(wǎng)絡已經(jīng)無法滿足現(xiàn)有需求?，F(xiàn)有制作網(wǎng)絡于2008年建成，如今設(shè)備老化，工作站機器性能配置低，非編軟件版本低，沒有高清節(jié)目編輯能力，加之以前在防病毒等方面防護不夠，造成整個非編制作網(wǎng)絡病毒蔓延，經(jīng)常影響節(jié)目制作。為了滿足現(xiàn)有制作高清節(jié)目的要求，提高整個制作網(wǎng)絡的安全性，錫林郭勒盟廣播電視臺于2017年投資建設(shè)了新的高清非編制作網(wǎng)絡。筆者作為臺網(wǎng)絡管理中心負責人，負責對整個網(wǎng)絡進行規(guī)劃和設(shè)計，在安全性方面，我們采取了相應的技術(shù)和措施，保證整個非編制作網(wǎng)絡的安全運行。

1 原有網(wǎng)絡存在的安全問題

1.1 病毒泛濫

原有制作網(wǎng)絡是與互聯(lián)網(wǎng)物理隔離的，無法及時的安裝系統(tǒng)補丁，殺毒軟件也無法實時在線更新。同時，網(wǎng)絡內(nèi)工作站的USB 口沒有禁用，攝像人員及工作人員可隨意進行移動存儲設(shè)備的使用。同時整個網(wǎng)絡內(nèi)工作站之間使用windows 操作系統(tǒng)的文件夾共享方式進行文件素材的交互。一旦一臺工作站感染病毒，就會迅速的傳播給網(wǎng)內(nèi)的所有工作站，嚴重時可導致整個網(wǎng)絡癱瘓，工作站無法正常工作。

1.2 操作人員誤操作

因臺內(nèi)制作人員對計算機操作知識掌握不足，經(jīng)常無意之中進行誤操作，誤刪系統(tǒng)關(guān)鍵文件，導致工作站系統(tǒng)無法正常工作。同時，部分制作素材存儲在工作站本地硬盤上，不同的工作人員可操作同一臺工作站，經(jīng)常導致部分素材誤刪除。

2 網(wǎng)絡拓撲

結(jié)合錫林郭勒盟廣播電視臺實際情況，我們把全臺網(wǎng)絡分為播出內(nèi)網(wǎng)，制作內(nèi)網(wǎng)和辦公互聯(lián)網(wǎng)三個區(qū)域。如圖1所示。

圖1 臺內(nèi)網(wǎng)絡分類

三個網(wǎng)絡區(qū)域采用物理隔離，采用獨立的交換機獨立組網(wǎng)。根據(jù)實際業(yè)務情況，三個網(wǎng)絡區(qū)域之間有如下的業(yè)務文件交換需求：

（1）制作網(wǎng)需要向播出上傳節(jié)目；

（2）制作網(wǎng)需要從外網(wǎng)下載旗縣上傳的素材；

（3）制作網(wǎng)需要通過外網(wǎng)把節(jié)目發(fā)送給自治區(qū)廣播電視臺。

為了滿足以上的業(yè)務交換需求，我們采用了一臺數(shù)字視頻網(wǎng)絡安全網(wǎng)關(guān)，三個網(wǎng)絡區(qū)域中的文件交換都通過該網(wǎng)關(guān)進行交換。

3 數(shù)字視頻網(wǎng)絡安全網(wǎng)關(guān)

實際上，殺毒軟件用于內(nèi)網(wǎng)的環(huán)境清理更合適，如果邊界的數(shù)據(jù)進入僅僅依賴于殺毒軟件為過濾機制，是存在漏殺可定性的（因為病毒庫的升級永遠落后于病毒的產(chǎn)生）。而防火墻作為網(wǎng)間隔離設(shè)備，因為是邏輯隔離設(shè)備，不具有物理隔離功能，所以內(nèi)網(wǎng)被攻擊的可能性是存在的。網(wǎng)閘類產(chǎn)品，雖然具有物理隔離功能（避免攻擊），但是對于數(shù)據(jù)內(nèi)容本身的安全性不做檢測，存在應用數(shù)據(jù)攜帶危險信息的可能性。即便再配合殺毒軟作輔助過濾，仍然存在漏殺的可能性。

數(shù)字視頻網(wǎng)絡安全網(wǎng)關(guān)是新一代網(wǎng)絡邊界防護設(shè)備，是專門為廣電行業(yè)進行定制開發(fā)的，其根據(jù)事先的配置，對經(jīng)過其的所有文件根據(jù)文件類型進行文件解析過濾，并對數(shù)據(jù)內(nèi)容作全文解析過濾，支持廣電行業(yè)內(nèi)部所有的文件類型，徹底杜絕來自網(wǎng)絡通道和數(shù)據(jù)內(nèi)部非法及危險信息的通過。其獨特的安全防護技術(shù)，克服了殺毒軟件、防火墻及網(wǎng)閘等傳統(tǒng)技術(shù)的缺點和漏洞，使得內(nèi)部網(wǎng)絡在與外部交換數(shù)據(jù)時，實現(xiàn)傳輸信道的物理隔離。

該網(wǎng)關(guān)支持使用windows 文件共享和FTP 協(xié)議進行文件傳輸。這里我們采用FTP 進行文件的交換，因為FTP 比windows 文件共享更方便的進行權(quán)限控制及運維管理。我們在播出網(wǎng)內(nèi)和辦公互聯(lián)網(wǎng)內(nèi)分別搭建FTP 服務器，分別用于制作網(wǎng)向播出上傳節(jié)目和制作網(wǎng)和辦公互聯(lián)網(wǎng)進行文件交互。

4 網(wǎng)絡中采取的其他網(wǎng)絡安全措施

4.1 在線式編輯模式

這次升級改造中，非編制作軟件采用了在線式編輯模式，整個制作網(wǎng)絡中使用了一臺EMC isilon260 NAS 存儲，所有非編工作站上掛載該網(wǎng)絡存儲，所有非編素材和工程文件存儲在NAS 存儲上，制作人員可在任意一臺工作站上打開自己創(chuàng)建的工程進行節(jié)目的編輯制作。假如一臺非編制作工作站故障，可在另一臺上接著進行工作，不存在工作站單點故障。我們按用戶進行權(quán)限的劃分，每個制作用戶只可以訪問自己的文件，這樣也避免了多用戶操作造成的誤刪除操作。

4.2 USB口隔離

移動存儲設(shè)備的使用是內(nèi)部網(wǎng)絡感染病毒的重要途徑。制作網(wǎng)絡內(nèi)部需要使用USB 口進行攝像素材的上傳。在這次新的網(wǎng)絡設(shè)計中，我們指定了幾臺工作站為素材上載機，其余所有工作站我們在BIOS 配置了USB 口的禁用。用戶使用上載機進行素材的上傳，直接把素材存放到網(wǎng)絡存儲上，制作時可直接在任意一臺工作站上進行編輯制作。

在上載機上，我們采用了一款專門為廣電行業(yè)開發(fā)的USB 安全隔離器。該隔離器是一款基于ARM 微處理器開發(fā)的隔離設(shè)備，內(nèi)部運行Linux操作系統(tǒng)，它可以對文件進行深度檢測，可配置允許通過的文件類型，支持廣電行業(yè)內(nèi)的全部文件類型。通過對文件格式的深度檢測，可以阻止所有的病毒木馬及無效文件通過。安裝好該USB隔離盒的驅(qū)動后，該驅(qū)動會禁用上載機上的所有USB 口，只允許通過該隔離盒上的USB 口進行移動設(shè)備的讀寫操作。

4.3 Windows域控

我們所有的工作站都運行著Windows 7 操作系統(tǒng)，這里我們采用Windows 域控統(tǒng)一對所有工作站用戶進行權(quán)限控制。我們在制作網(wǎng)絡內(nèi)搭建一臺域控服務器，在域控服務器上對域控用戶賬號進行如下權(quán)限配置：

（1）在桌面禁用右鍵操作

（2）禁止用戶安裝/卸載程序

（3）禁止用戶對系統(tǒng)盤的訪問

（4）禁止用戶對注冊表的訪問和操作

每臺工作站用戶使用事先分配好的域控賬號進行登錄。通過對用戶權(quán)限的限制，可有效的防止用戶的誤操作導致工作站系統(tǒng)崩潰或軟件被破壞。

總 結(jié)

在整個網(wǎng)絡的設(shè)計時，網(wǎng)絡安全性和可靠性是網(wǎng)絡規(guī)劃建設(shè)的重點，通過使用如上介紹的措施和方法，很好的保證了網(wǎng)絡的安全。整個網(wǎng)絡通過實際運行，經(jīng)受住了考驗，沒有發(fā)生過任何的網(wǎng)絡安全問題，取得了令人滿意的效果。