【摘　要】隨著大規(guī)模集成電路、微電子技術(shù)的發(fā)展和應(yīng)用，計(jì)算機(jī)技術(shù)得到了迅猛發(fā)展，數(shù)字化、網(wǎng)絡(luò)化已成為廣播電視技術(shù)發(fā)展的主題和主線，在廣播電視領(lǐng)域中采用數(shù)字技術(shù)，可使信號(hào)質(zhì)量在節(jié)目錄制、節(jié)目制作、信號(hào)傳輸和播出等各個(gè)環(huán)節(jié)得到保證，解決了模擬技術(shù)固有的噪聲積累、信號(hào)衰減等難題。而網(wǎng)絡(luò)化則能最大限度地實(shí)現(xiàn)資源共享，提高節(jié)目制作和播出效率。然而在提高工作效率的同時(shí)，也帶來(lái)了安全隱患。一旦某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)感染了病毒，就有可能讓整個(gè)制播網(wǎng)絡(luò)癱瘓，造成不可彌補(bǔ)的重大事故。因此，如何構(gòu)建制播網(wǎng)病毒防控體系就顯得尤為重要。

【關(guān)鍵詞】制作網(wǎng)；播出網(wǎng)；PSC1000-USB病毒隔離墻；PSC1000-IP病毒隔離墻

隨著計(jì)算機(jī)技術(shù)迅猛發(fā)展，數(shù)字化、網(wǎng)絡(luò)化已成為廣播電視技術(shù)發(fā)展的主題和主線，在廣播電視領(lǐng)域中采用數(shù)字技術(shù)，可使信號(hào)質(zhì)量在節(jié)目錄制、節(jié)目制作、信號(hào)傳輸和播出等各個(gè)環(huán)節(jié)得到保證，解決了模擬技術(shù)固有的噪聲積累、信號(hào)衰減等難題。而網(wǎng)絡(luò)化則能最大限度地實(shí)現(xiàn)資源共享，提高節(jié)目制作和播出效率。然而在提高工作效率的同時(shí)，計(jì)算機(jī)病毒也給我們帶來(lái)了巨大的威脅，給我們正常的節(jié)目制作和播出帶來(lái)安全隱患。

網(wǎng)絡(luò)現(xiàn)狀及系統(tǒng)構(gòu)成

為滿足我臺(tái)電視節(jié)目制作及播出的需要，從2008年以來(lái)我們分別建立了以IP-SAN基礎(chǔ)的新聞、專(zhuān)題和廣告三個(gè)專(zhuān)業(yè)非線性編輯網(wǎng)絡(luò)。（由于我臺(tái)現(xiàn)處在新廣電中心未正式投入使用，仍在老廣電中心辦公，所以全臺(tái)網(wǎng)系統(tǒng)也未能真正搭建，目前還只是由若干個(gè)相對(duì)孤立的制作島組成。）網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單，我們的節(jié)目制作網(wǎng)共有20套非編工作站，其中配音工作站2套，無(wú)卡站點(diǎn)6個(gè)，有卡站點(diǎn)12個(gè)（大洋D3-Edit 5000系列2套，大洋D3-Edit 3000系列10套），在這個(gè)系統(tǒng)中有4臺(tái)DELL2950的服務(wù)器，作為制作網(wǎng)MDC服務(wù)器，數(shù)據(jù)庫(kù)服務(wù)器，網(wǎng)絡(luò)拓?fù)鋱D如下：

網(wǎng)絡(luò)安全及需求分析

為豐富節(jié)目?jī)?nèi)容，提高節(jié)目制作、播出效率，不可避免會(huì)在制作時(shí)使用第三方素材和節(jié)目成片打包生成播出文件格式，直接提交到播出網(wǎng)進(jìn)行播出等方式。采用USB接口技術(shù)的移動(dòng)存儲(chǔ)介質(zhì)由于體積小、存儲(chǔ)容量大、讀寫(xiě)速度快，在節(jié)目制作中被廣泛用于第三方素材的存儲(chǔ)和數(shù)據(jù)交換。頻繁交叉使用的移動(dòng)存儲(chǔ)介質(zhì)成了計(jì)算機(jī)病毒的一個(gè)重要傳播途徑。由于節(jié)目制作網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)比較簡(jiǎn)單，服務(wù)器采取集中單一的管理模式，為了保證非編的運(yùn)行速度，以及非編軟件的兼容性，所有的非編站點(diǎn)和服務(wù)器均沒(méi)有安裝任何防病毒軟件，整體的網(wǎng)絡(luò)安全性低，如果不加以控制，就有可能受到病毒的入侵等安全問(wèn)題。一旦某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)感染了病毒，就有可能使病毒在網(wǎng)絡(luò)內(nèi)部迅速蔓延，并通過(guò)網(wǎng)絡(luò)邊界，傳播到與之互聯(lián)的播出網(wǎng)絡(luò)，那樣將會(huì)造成停播漏播等非常嚴(yán)重的后果！目前典型的方式是采用"普通防火墻+殺毒軟件"模式，通過(guò)防火墻來(lái)防御外來(lái)的攻擊，通過(guò)殺毒軟件來(lái)抵御病毒和木馬的入侵。此種安全策略存在的問(wèn)題是防火墻建起了網(wǎng)絡(luò)的"城門(mén)"。但是，防火墻存在以下兩方面的安全隱患：1、存在網(wǎng)絡(luò)通道，安全策略遭到破壞后攻擊行為可長(zhǎng)驅(qū)直入；2、采用通用傳輸協(xié)議，對(duì)于協(xié)議漏洞造成的安全問(wèn)題無(wú)法解決。殺毒軟件雖然可以殺滅病毒的木馬，但是殺毒軟件也存在以下問(wèn)題：1、病毒庫(kù)升級(jí)落后于新病毒的產(chǎn)生，容易漏殺。2、黑名單方式，查殺速度慢，尤其針對(duì)大文件速度會(huì)更慢，電視網(wǎng)絡(luò)的視頻文件往往都是很大的，查殺起來(lái)效率會(huì)很低。3、容易造成誤殺。因此這種"普通防火墻+殺毒軟件"的方案，不能滿足我們的病毒防護(hù)需求。如何克服"普通防火墻+殺毒軟件"模式的缺陷呢？是擺在我們技術(shù)人員面前的一個(gè)首要任務(wù)。通過(guò)對(duì)病毒傳播規(guī)律及“普通防火墻+殺毒軟件”方案的分析，并結(jié)合我臺(tái)的實(shí)際情況，最終決定分別從網(wǎng)外、網(wǎng)間兩個(gè)方面入手建設(shè)我臺(tái)制播網(wǎng)病毒綜合防控體系。

網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)

通過(guò)技術(shù)人員認(rèn)真深入了解各種防控病毒軟硬件設(shè)備的參數(shù)及功能，于年初購(gòu)入了具有物理隔離、私有協(xié)議等特點(diǎn)的安徽天虹數(shù)碼有限公司生產(chǎn)的PSC1000-USB 、PSC1000-IP病毒隔離墻，再加上制定相應(yīng)的規(guī)章制度，成功的解決了這一問(wèn)題。

1、網(wǎng)外數(shù)據(jù)交換。只要能把好數(shù)據(jù)的交換口，就可以有效的防止病毒的感染。新聞、專(zhuān)題及廣告制作網(wǎng)因?yàn)樗奶厥庑?，必然要和外界做信息交換，比如廣告商帶來(lái)的圖片數(shù)據(jù)資料、企業(yè)帶來(lái)的影像素材、來(lái)自移動(dòng)存儲(chǔ)介質(zhì)的字幕文件以及來(lái)自數(shù)字?jǐn)z像機(jī)的素材等外來(lái)數(shù)據(jù)文件的導(dǎo)入，都是病毒侵入的重要途徑。我們通過(guò)對(duì)所有網(wǎng)內(nèi)工作站點(diǎn)的設(shè)置，禁用所有非編工作站點(diǎn)的USB接口、光驅(qū)。并在服務(wù)器上做了相應(yīng)的策略限制，這樣登陸制作網(wǎng)的普通用戶將無(wú)法使用USB接口和光驅(qū)且不能對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行重新設(shè)置或更改。然而因噎廢食不是個(gè)辦法，沒(méi)有有效地連接，外部數(shù)據(jù)與制作網(wǎng)也無(wú)法互通。于是，我們?cè)谕獠繑?shù)據(jù)存儲(chǔ)設(shè)備與節(jié)目制作網(wǎng)之間加入防病毒設(shè)備——PSC1000-USB 病毒隔離墻，方便移動(dòng)存儲(chǔ)與制作網(wǎng)之間高效、快捷、安全的交換數(shù)據(jù)。該設(shè)備上具有1個(gè)光盤(pán)驅(qū)動(dòng)器、1個(gè)讀卡器（可以讀XD、SD、MSD、CF、MS等卡）和4個(gè)USB2.0的接口，設(shè)備前后面板如圖2

PSC1000-USB 病毒隔離墻具有以下特點(diǎn)：

l 文件內(nèi)容深度分析，通過(guò)對(duì)文件內(nèi)容和格式的深度比對(duì)，讓非法文件無(wú)所遁形；

l 安全性高，通過(guò)用戶身份驗(yàn)證、數(shù)據(jù)內(nèi)容驗(yàn)證等多種方式保證有效數(shù)據(jù)安全傳輸；

l 傳輸透明化，保證用戶迅捷的上傳、下載和選擇文件；

l 專(zhuān)有的傳輸協(xié)議，保證傳輸過(guò)程的安全性；

l 傳輸完整性檢測(cè)，通過(guò)收發(fā)雙方的MD5碼校驗(yàn)，最大限度保證傳輸?shù)恼_性；

l 設(shè)備自動(dòng)搜索功能，用戶不需要進(jìn)行繁瑣的設(shè)置；

l 采用白名單方式。支持常見(jiàn)的視音頻、圖片以及文本等文件，如：

視頻：MPEG1、MPEG2、MPEG4（mp4 m4v m4a m4p 3gpp 3gp 3gpp2 3g2 k3g）、MPEG傳輸流（ts m2t m2s m4t m4s ts tp trp）、MOV、AVI、FLASH、Windows Media（ASF、WMV、WMA）、

             RealMedia（RM、RMVB、RA）、mkv mka mks等；

音頻：MP1、MP2、MP3、WAV、MIDI、OGG、AAC、AC3、DTS；

圖片：BMP、JPG、TGA、GIF、PNG、ICO、TIF；

其他格式：TXT；

安裝操作也相對(duì)簡(jiǎn)單，只要分配一個(gè)固定的IP地址并將其加入到制作網(wǎng)內(nèi)即可安全高效地與外界交換數(shù)據(jù)。網(wǎng)絡(luò)拓?fù)淙鐖D3，操作界面如圖4

2、網(wǎng)間數(shù)據(jù)交換。新一代的記錄存儲(chǔ)介質(zhì)逐漸成為廣播電視節(jié)目發(fā)行新載體，以前常用的各種磁帶必將會(huì)被新一代的記錄介質(zhì)所取代。如果這些記錄存儲(chǔ)介質(zhì)一旦感染了病毒并采集到制作網(wǎng)內(nèi)，就可能通過(guò)網(wǎng)絡(luò)互聯(lián)傳播到播出網(wǎng)，影響整臺(tái)節(jié)目的漏播，甚至停播。PSC-1000IP病毒隔離墻恰好成解決這一難題。

面板如圖

PSC-1000IP具有以下特點(diǎn)：

u 跨網(wǎng)段傳輸，支持多個(gè)網(wǎng)段的局域網(wǎng)計(jì)算機(jī)之間進(jìn)行數(shù)據(jù)的交換；

u 安全性高，通過(guò)用戶身份驗(yàn)證、數(shù)據(jù)內(nèi)容驗(yàn)證等多種方式保證有效數(shù)據(jù)安全傳輸

u 多種模式靈活選擇，單向、逆向、雙向工作模式可選，可實(shí)現(xiàn)一對(duì)多、多對(duì)多等應(yīng)用場(chǎng)景；

u 傳輸透明化，保證用戶迅捷的上傳、下載和選擇文件；

u 專(zhuān)有的傳輸協(xié)議，保證傳輸過(guò)程的安全性；

u 傳輸完整性檢測(cè)，通過(guò)收發(fā)雙方的MD5碼校驗(yàn)，最大限度保證傳輸?shù)恼_性；

u 權(quán)限控制，對(duì)工作目錄的文件進(jìn)行讀寫(xiě)的權(quán)限設(shè)置、保證文件的安全性；

u 日志記錄功能，對(duì)文件操作和多傳輸過(guò)程進(jìn)行詳細(xì)的日志記錄，保證文件的修改有據(jù)可查；

u 設(shè)備自動(dòng)搜索功能，用戶不需要進(jìn)行繁瑣的設(shè)置；

u 內(nèi)網(wǎng)拓?fù)潆[蔽功能

u 文件內(nèi)容深度分析，通過(guò)對(duì)文件內(nèi)容和格式的深度比對(duì)，讓非法文件無(wú)所遁形；