應用于電視臺內外網絡的數據安全交換平臺

楊樹海

(張家口廣播電視臺播出部，河北 張家口 075001)

責任編輯:任健男

當前，國內各級電視臺大多數已搭建數字化、網絡化、文件化的內部網絡(例如，非線性編輯網絡、硬盤播出網絡、媒體資產管理網絡)，外部網絡(移動介質、互聯網、辦公網)需要安全、高效地與內部網絡進行數據交換顯得尤為重要。

《廣播電視相關信息系統安全等級保護基本要求》關于數據安全交換提及:信息系統與外部網絡進行數據交換時，應通過數據交換區或專用數據交換設備等完成內外網數據的安全交換，數據交換區對外應通過訪問控制設備與外部網絡進行安全隔離，對內應采用安全的方式進行數據交換，必要時可通過協議轉換的手段，以信息擺渡的方式實現數據交換。

本文介紹了應用于外部網絡與內部網絡的數據安全交換平臺，旨在實現外部網絡數據通過此平臺與電視臺內部網絡進行安全、高效的數據交換，有效避免病毒傳輸以及網絡攻擊給內部網絡所帶來的嚴重威脅。

1 整體架構

數據安全交換平臺主要由后臺軟件執行服務器、異構緩存服務器、安全網關、文件分發服務器以及相應的網絡設備構成，如圖1所示。

圖1 數據安全交換平臺架構圖

后臺軟件執行服務器實現素材深度解析、白名單認證、多級殺毒的服務功能，一臺物理服務器可以啟動一個或者多個服務進程，也可以啟動多個處理不同服務進程。服務器及服務進程都支持集群部署，并發執行。

異構緩存服務器基于Linux內核的分布式文件緩沖區(擺渡區)，對Windows惡意代碼攻擊和病毒感染先天免疫，并支持以集群方式實現擺渡區主備冗余和帶寬均衡。

安全網關確保入侵防范，有效防止端口掃描、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等，并支持以集群方式實現網絡鏈路主備冗余和帶寬均衡。

文件分發服務器實現素材的多目標同步分發。

在外部網絡一般部署有導入客戶端，通過B/S或C/S方式提交數據導入任務。

在內部制作網一般部署有接入點服務器，接收文件分發服務器推送過來的媒體數據，具有多網口聚合的功能。

2 平臺流程

數據安全交換平臺采用工作流方式，每個流程節點都可按需配置，而且還可以動態配置子流程，實現流程的定制，如圖2所示。

圖2 數據安全交換平臺架構圖

數據安全交換步驟為:

1)導入點客戶端站點打開瀏覽器，輸入用戶名和賬號，登陸數據安全交換平臺瀏覽器界面，選擇數據文件及目標板塊，提交任務。

2)提交的數據文件通過安全網關的入侵防護后緩存至異構緩存服務器，異構緩存服務器采用Linux操作系統，有效隔離非Linux病毒。

3)多級殺毒服務進程對緩存在異構緩存服務器上的數據文件進行多級殺毒，可以采用卡巴斯基、NOD32、江民、360等多種殺毒引擎，實現“進口+國產”的優化軟件殺毒。

4)對通過多級殺毒的數據文件進行“白名單”認證，由于電視臺使用的數據文件格式相對固定，采用了與“黑名單”相對的“白名單認證”機制，只有加入白名單集的文件格式數據才能進入內部網絡，反之則退回。

5)數據文件通過“白名單”認證后，還要對其進行深度解析，即這個合法格式的文件頭進行全方位的特征碼比對(包括文件頭、封裝信息、索引信息、視頻寬高、碼率、幀率、聲道數、位數、采樣率等)。

6)通過深度解析的數據文件通過多目標分發服務進程推送到內部網絡的各個接入點服務器。

7)內部網絡的客戶端站點檢索到自己所需要的素材，引入使用。

3 應用特點

數據安全交換平臺能達到平臺安全、鏈路安全、數據安全、任務安全共4種機制的安全防護，并通過多通道傳輸矩陣、并發執行、多目標同步推送的策略實現高效的數據交換。

3.1 平臺安全

1)安全網關

安全網關是媒體傳送的數據總線，也是外部網絡與內部制作網之間數據互聯互通的唯一通道，外來數據必須經過門戶網關才能進入內部制作網。門戶網關可采用具有防止端口掃描、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊的門戶網關確保入侵防范。門戶網關可集群方式部署，既實現互為備份的多路由通道，同時又增加了數據互聯互通的并發帶寬。

2)異構緩存

數據安全交換平臺采用基于Linux內核的分布式文件緩沖區(擺渡區)，對Windows惡意代碼攻擊和病毒感染先天免疫，并且以集群方式實現擺渡區主備冗余和帶寬均衡。

3.2 鏈路安全

數據安全交換平臺采用有限安全方式接入內網業務板塊，包括加密 FTP 和私有傳輸協議(USB2.0＆3.0，1394A＆B)等，其他傳輸協議和端口全部關閉。

采用私有協議傳輸通道矩陣，實現USB或1394協議的“一對多”和“多對多”的集群并發傳輸(類似網絡)，除了保證接入下游業務板塊的極高安全性外，相比單點私有協議傳輸通道還有極大的速度和效率優勢。

3.3 數據安全

1)多級殺毒

可根據需要配置不同檔次的硬件防火墻、防毒墻、網閘、網關，結合國內外多種頂級防病毒引擎(卡巴斯基、賽門鐵克等)進行交叉殺毒，實現“硬+軟”、“軟+軟”多級安全防護體系，所有軟硬件都受數據安全交換平臺的統一管理、調度。

2)認證解析

認證解析包含兩方面的內容，一是“白名單”認證，二是深度解析。

“白名單”認證就是指只有“白名單”中的數據才能完整可靠地進入系統，或者在系統內進行數據處理，“深度解析”是對符合“白名單”集的合法格式文件頭進行全方位的特征碼比對(包括文件頭、封裝信息、索引信息、視頻寬高、碼率、幀率、聲道數、位數、采樣率等)，使那些“丟包”及破損的數據文件都被擋在本系統之外，保證數據的完整性和真實性。

3.4 任務安全

數據安全交換平臺采用圖形化監控界面，對設備、業務進程全實時監控，并提供及時消息處理、查詢業務、故障分析等，包括對數據運行的監控、對設備運行的監控、對網絡運行的監控、對業務流程的監控、對業務進程的監控。設備監控界面如圖3所示，任務監控界面如圖4所示。

3.5 高效率

1)多通道傳輸矩陣

文件采用多通道并發傳輸，可以對多個傳輸通道分組設置優先級，依次為緊急文件傳輸通道、普通文件傳輸通道、超大文件傳輸通道，低級別的文件不能在高級別的通道上傳輸，高級別的文件可以在低級別通道空閑時優先借道傳輸。一組中同級別的傳輸通道也實現并行傳輸和負載均衡。

2)并發執行

采用并發的殺毒、解析、轉碼及分發引擎集群，所有流程節點的任務都可以多進程并發執行，程序進程互為備份，效率也成倍提高。

3)多目標同步推送

以前，導入點是“一對一服務”，若同一外來數據需要同時向3個制作子網引入，則需要分別在3個不同的引入點引入一次。數據安全交換平臺實現引入點的“一對多”服務，同一內容同時向3個制作子網的多目標同步推送，效率提高顯著。