淺析廣電網的網間隔離

文｜劉杰

隨著計算機技術的發展，在計算機上處理業務已由基于單機的數學運算、文件處理，基于簡單連結的內部網絡的內部業務處理、辦公自動化等發展到基于業內復雜的內部網、外部網、全球互聯網的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在信息處理能力提高的同時，系統的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時，基于網絡連接的安全問題、網間數據的安全傳輸問題也日益突出。

廣電系統主要包括內部廣播網（播出網）和外部網（制作網）。對于廣電系統來說，制作網和播出網的隔離是一項非常重要的工作，這項工作的好壞直接關系到廣電播出網的安全問題。廣播節目以內容為主，在信息爆炸的今天，互聯網上的海量信息是電臺最需要的內容。此外，編輯記者也徹底擺脫了采訪資料一比一錄入的低效率時代，廣告客戶的小樣文件也都采用U盤等數字存儲設備進行傳輸，同時，兄弟電臺的節目交流也更多的依賴于互聯網絡。這樣，在內部播出網，其信息的來源就包括互聯網、移動存儲設備等，但這在為廣電系統的工作帶來方便的同時，也為廣電系統的安全性、節目的正常播出埋下了隱患。

本文將從什么是制播網間隔離、現有制作網以及播出網存在的問題以及現有制作網和播出網的改進目標等方面來闡述制播網間隔離的問題。

為什么要實現制播網間隔離

2008年1月，由國家廣播電影電視總局科技司主持并通過審定了《廣播電臺數字化網絡化建設白皮書（2007）》，在其中“5.4 廣播臺網互聯互通的構建內容指導”要求：“廣電總局規定，為了保證系統的安全運行和廣播節目的安全播出，廣播電臺制播網必須是一個物理隔離的計算機網絡。”，同時，又在“5.4.1基礎層”明確：“互聯互通的基礎層是連接功能網，實現網間數據交互的物理系統。對于基礎層的建設，應著重考慮保證兩個網絡的安全和數據透明交互。根據功能網安全等級不同，網間互聯可采用防火墻、路由器和安全隔離網閘等網絡設備實現。”的要求。

由此可見，制播網間隔離對于廣電系統來說是一項非常重要的工作。制播網間隔離的具體內容是指：

1.將現有音頻節目制作播出網絡中的節目制作環境與節目播出環境分離。

2.為便于技術運維及管理，將全臺所有節目播出系統（含錄播播出、直播播出）重新整合，并獨立于其他節目制作環節而全面專用于國際臺音頻節目對外播出，統稱為“播出網”。

3.以上“播出網”與“制作網”之間采用網閘等物理隔離安全設備進行連接，由此，既能夠保證臺內節目“制”與“播”技術平臺的互聯互通，又能使“播出網”邏輯上獨立于“制作網”，以保證音頻節目的播出安全。

網間隔離產品的技術要點

1.隔離產品首先要保證自身具有高度的安全性。從技術實現上，除了對操作系統進行加固優化或采用安全操作系統外，關鍵在于要把外網接口和內網接口從一套操作系統中分離出來。也就是說至少要由兩套主機系統組成，一套控制外網接口，另一套控制內網接口，然后在兩套主機系統之間通過不可路由的協議進行數據交換，如此，即便黑客攻破了外網系統，仍然無法控制內網系統，就達到了更高的安全級別。

2.保證網間隔離的關鍵是網絡包不可路由到對方網絡，無論中間采用了什么轉換方法，只要最終使得一方的網絡包能夠進入到對方的網絡中，都無法稱之為隔離，即達不到隔離的效果。顯然，只是對網間的包進行轉發， 并且允許建立端到端連接的防火墻，是沒有任何隔離效果的。

3.要保證網間交換的只是應用數據。既然要達到網絡隔離，就必須做到徹底防范基于網絡協議的攻擊，即不能夠讓網絡層的攻擊包到達要保護的網絡中，所以就必須進行協議分析，完成應用層數據的提取，然后進行數據交換。

4.要對網間的訪問進行嚴格的控制和檢查。作為一套適用于高安全度網絡的安全設備，要確保每次數據交換都是可信的和可控的，嚴格防止非法通道的出現，以確保信息數據的安全和訪問的可審計性。

5.隔離產品會部署在多種多樣的復雜網絡環境中，并且往往是數據交換的關鍵點，因此，產品要具有很高的處理性能，不能夠成為網絡交換的瓶頸，要有很好的穩定性；不能夠出現時斷時續的情況，要有很強的適應性，能夠透明接入網絡，并且透明支持多種應用。

網絡隔離產品簡介

現有的網絡安全及網絡隔離產品很多，但不同的產品可能有各自不同的功能側重點，下面分別介紹不同的網絡隔離產品。

1.防火墻

防火墻抵御來自互聯網的攻擊。網絡防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障，是最先受到人們重視的網絡安全技術。應該安裝防火墻的位置是內部廣播網與外部互聯網的接口處，以阻擋來自外部網絡的入侵；雖然從理論上看,防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

防火墻設備側重于網絡層到應用層的策略隔離，操作系統、內部系統的漏洞、通用協議的缺陷等都成為不安全的潛在因素。防火墻在安全性方面具有以下特點，首先防火墻難于抵御數據驅動式攻擊，即大量合法的數據包將導致網絡阻塞而使正常通信癱瘓；其次，防火墻很難阻止由通用協議本身漏洞發起的入侵；第三，防火墻系統本身的缺陷也是影響內部網絡安全的重要因素，當防火墻主機被控制后，內部受保護網絡就會暴露無疑；第四，要使防火墻發揮有效的安全性，需要正確、合理的配置防火墻相關的安全策略，而配置的復雜程度不僅帶來煩瑣的工作量，同時也增加了配置不當帶來的安全隱患。

2.網閘

網閘又名安全隔離網閘，是在兩個不同安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息才可以通過，其信息流一般為通用應用服務。當用戶的網絡需要保證高強度的安全，同時又與其它不信任網絡進行信息交換的情況下，如果采用物理隔離卡，用戶必須使用開關在內外網之間來回切換，不僅管理起來非常麻煩，使用起來也非常不方便；如果采用防火墻，由于防火墻自身的安全很難保證所以防火墻也無法防止內部信息泄漏和外部病毒、黑客程序的滲入，安全性無法保證。在這種情況下，安全隔離網閘能夠同時滿足這兩個要求，又避免了物理隔離卡和防火墻的不足之處，是最好的選擇。

內部廣播網安全問題的防護

1.防火墻抵御來自互聯網的攻擊

網絡防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障，是最先受到人們重視的網絡安全技術。應該安裝防火墻的位置是內部廣播網與外部互聯網的接口處，以阻擋來自外部網絡的入侵；雖然從理論上看,防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

2.抵御網間數據傳輸的安全威脅

由于網間數據的傳輸大多是通過移動存儲設備完成的，移動存儲設備很有可能感染互聯網上的病毒。經過調研，國內自主研發的基于傳輸卡的網間數據安全傳輸系統在保證數據的安全傳輸方面有很好的效果。

該網間傳輸系統由獲得國家專利的韋氏傳輸卡（兩塊）和韋氏傳輸線連接兩個網絡，如圖1所示。在互聯網和播出網中各安排一臺計算機作為傳輸服務器，分別在PCI插槽上安裝傳輸卡，并且使用傳輸線相連，在傳輸服務器上運行傳輸程序，建立用戶并且為用戶指定可以傳輸的文件類型。文件的類型針對電臺的實際需要，有MP3、MP2、S48、WAV、TXT等格式。

圖1 基于傳輸卡的網間數據安全傳輸系統 韋氏傳輸卡

3.部署網閘來隔離制作網和廣播網

將網閘安裝在內部播出網和外部制作網之間，從而保證內部網和外部網之間的隔離，如圖2所示。

圖2 網閘的部署

4.采用審計系統及時發現威脅

每一種安全機制都有一定的應用范圍和應用環境。防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發覺和防范的。此外，防火墻并不是對所有的攻擊行為都能夠及時的防御，因為，防火墻就像是一道防盜門，只要有充足的時間，盜賊遲早都能夠打開這道防盜門。因此，僅僅選用防火墻作為網絡安全的防御措施是遠遠不夠的。還可以選用一些必要的審計系統以及安全管理系統，審計系統以日志的形式記錄計算機所發生的一切行為，安全管理系統可以針對一定的日志信息進行數據的挖掘與分析，及時的發現攻擊，在攻擊成功之前，將其消滅。目前市場上有很多這類安全審計相關的產品。

5.人為因素的干預

黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統安全問題出現。然而安全工具的更新速度太慢，絕大多數情況需要人為的參與才能發現以前未知的安全問題。通過日之審計系統發現威脅，由人來干預攻擊，接觸威脅。

此外，要培養廣電系統工作人員的安全意識以及安全技能，時刻警惕網絡上來自各個方面的威脅，讓大家認識到，威脅無處不在。

6.計算機網絡管理安全規范

管理是網絡中安全得到保證的重要組成部分，是防止來自內部網絡入侵的必須部分。責權不明，管理混亂，安全管理制度不健全以及缺乏可操作性等都可能引起管理安全的風險。除了技術方面實現網絡安全部署外，還需要依靠安全管理規定和制度來實現。

五.結束語

網絡安全是一個系統的工程，不能僅僅依靠防火墻等單個的系統，而需要仔細考慮系統的安全需求，并將各種安全技術，如密碼技術、審計技術等結合在一起，才能生成一個高效、通用、安全的網絡系統。

同時，對于網間數據的傳輸，也要采用一定的設備來保證其安全性。還要從思想上提高工作人員的安全意識，從技術上提高工作人員的安全技能，從法律法規上規范工作人員的行為，這樣，才能盡可能的減少安全威脅的產生。