網(wǎng)閘在廣東臺(tái)媒體數(shù)據(jù)交換中的應(yīng)用

【摘要】本文介紹了網(wǎng)絡(luò)安全隔離網(wǎng)閘的基本概念和原理，及網(wǎng)閘運(yùn)用在媒體數(shù)據(jù)交換應(yīng)用中的作用，并針對(duì)在媒體數(shù)據(jù)交換的特性問(wèn)題提出了解決方法。希望能夠與業(yè)內(nèi)同行分享交流并提出寶貴意見(jiàn)。

【關(guān)鍵字】物理隔離 網(wǎng)閘 媒體數(shù)據(jù)交換 網(wǎng)絡(luò)安全

一.前言

廣電行業(yè)信息化和網(wǎng)絡(luò)化已經(jīng)涉及到各大電視機(jī)構(gòu)的方方面面，網(wǎng)絡(luò)化開(kāi)放性和自由性的特點(diǎn)成為實(shí)現(xiàn)現(xiàn)信息收集處理、加強(qiáng)交流、提高工作效率和質(zhì)量的重要手段。國(guó)家廣播電影電視總局2011年七月發(fā)布的《廣播電視安全播出管理規(guī)定》（廣電局第62號(hào)令）電視中心實(shí)施細(xì)則第十四條第三小點(diǎn)，明確要求：“節(jié)目制作網(wǎng)與播出網(wǎng)之間的傳輸鏈路應(yīng)采取配置網(wǎng)閘或采用平臺(tái)異構(gòu)方式、設(shè)置高安全區(qū)等安全措施；系統(tǒng)中應(yīng)禁止接入移動(dòng)存儲(chǔ)介質(zhì)（如U盤(pán)、移動(dòng)硬盤(pán)等）。應(yīng)配置網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)提前預(yù)警和實(shí)時(shí)報(bào)警，并實(shí)時(shí)記錄網(wǎng)絡(luò)和系統(tǒng)運(yùn)行日志?！痹诂F(xiàn)在的大環(huán)境下，安全隔離網(wǎng)閘的使用，是物理隔離網(wǎng)絡(luò)之間數(shù)據(jù)交換的最佳選擇。下面就對(duì)網(wǎng)閘和市面上幾種常見(jiàn)的網(wǎng)閘品牌及網(wǎng)閘在媒體數(shù)據(jù)交換中的應(yīng)用進(jìn)行介紹。

二.網(wǎng)閘的概念

物理隔離網(wǎng)閘是使用帶有多種控制功能的通道開(kāi)關(guān)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。數(shù)據(jù)文件在不存在通信的物理鏈接、邏輯鏈接、信息傳輸命令、信息傳輸協(xié)議的兩個(gè)由物理隔離網(wǎng)閘所鏈接的獨(dú)立網(wǎng)絡(luò)系統(tǒng)之間進(jìn)行無(wú)協(xié)議擺渡傳輸，在物理層切斷各網(wǎng)絡(luò)系統(tǒng)之間的物理鏈接，在網(wǎng)絡(luò)層中斷TCP會(huì)話，IP包“還原”為一個(gè)應(yīng)用數(shù)據(jù)，阻擋了基于TCP協(xié)議的攻擊。在系統(tǒng)內(nèi)部，采用了專(zhuān)用高速數(shù)據(jù)處理部件，使系統(tǒng)具有了極高的數(shù)據(jù)吞吐能力。通過(guò)在專(zhuān)用操作系統(tǒng)內(nèi)核中嵌入特有協(xié)議和認(rèn)證機(jī)制，使得安全隔離的能力進(jìn)一步增強(qiáng)。從根本上解決了基于應(yīng)用協(xié)議漏洞的、基于TCP/IP協(xié)議漏洞的、基于命令的、基于包的這四種攻擊，實(shí)現(xiàn)真正安全的網(wǎng)絡(luò)連接。

三.主流安全隔離網(wǎng)閘產(chǎn)品

目前市面上有很多的安全隔離網(wǎng)閘品牌，各個(gè)品牌的網(wǎng)閘產(chǎn)品間有著相似的功能也有面向各個(gè)應(yīng)用領(lǐng)域的特色功能，下面對(duì)幾個(gè)公司的安全隔離網(wǎng)閘產(chǎn)品進(jìn)行簡(jiǎn)單介紹：

從表1可以看出，主流的安全隔離網(wǎng)閘產(chǎn)品有很多相似之處，基本都是使用比較成熟“2+1”的系統(tǒng)結(jié)構(gòu)和ASIC芯片，并將數(shù)據(jù)協(xié)議剝離轉(zhuǎn)換成各廠商的自有協(xié)議通過(guò)運(yùn)行自有系統(tǒng)的雙主機(jī)“2+1”系統(tǒng)結(jié)構(gòu)進(jìn)行安全的數(shù)據(jù)交換。天行網(wǎng)安公司的Topwalk-GAP擁有十分強(qiáng)大的數(shù)據(jù)交換能力，達(dá)到280-1200Mbps，滿足公安城市監(jiān)控為代表的音視頻數(shù)據(jù)傳輸需求，天行安全隔離網(wǎng)閘流媒體交換模塊根據(jù)音視頻數(shù)據(jù)特有的數(shù)據(jù)格式、編碼格式、傳輸方式進(jìn)行了針對(duì)性的優(yōu)化設(shè)計(jì)。

偉思公司的ViGap針對(duì)大型網(wǎng)絡(luò)的應(yīng)用提供了雙機(jī)熱備功能，最大支持32臺(tái)設(shè)備的負(fù)載平衡系統(tǒng)來(lái)實(shí)現(xiàn)高可用性，并通過(guò)負(fù)載平衡系統(tǒng)通過(guò)仲裁網(wǎng)絡(luò)流量方式實(shí)現(xiàn)流量分配，從而將處理性能大幅提升，齊全的產(chǎn)品線滿足各政府、軍隊(duì)、電信、金融、企事業(yè)等重要機(jī)構(gòu)需求。

聯(lián)想網(wǎng)御SIS多重冗余協(xié)議支持自身端口冗余、雙機(jī)熱備、2～32臺(tái)安全隔離網(wǎng)閘負(fù)載均衡，保障了用戶網(wǎng)絡(luò)和應(yīng)用的高可靠性，是國(guó)內(nèi)安全隔離網(wǎng)閘業(yè)內(nèi)產(chǎn)品線較全、市場(chǎng)占有率較高的廠商，較多面向政府、金融、交通、能源、教育等信息類(lèi)的數(shù)據(jù)交換。

天融信公司的安全隔離網(wǎng)閘TopRules采用了高速的專(zhuān)用硬件處理設(shè)備，具有了極高的數(shù)據(jù)吞吐能力；全面解析網(wǎng)絡(luò)傳輸信息，通過(guò)深層次細(xì)粒度的內(nèi)容過(guò)濾，預(yù)先攔截內(nèi)、外網(wǎng)用戶禁止訪問(wèn)的內(nèi)容，還具有避免常見(jiàn)的掩飾手段（如拆分敏感關(guān)鍵詞、加入標(biāo)點(diǎn)、換行等）干擾的特點(diǎn)，達(dá)到了完全內(nèi)容檢測(cè)CCI（Complete Content Inspection）；同時(shí)仲裁系統(tǒng)對(duì)所有信息交換數(shù)據(jù)和行為進(jìn)行審計(jì)記錄，可以及時(shí)獲知網(wǎng)絡(luò)使用情況。

四.安全隔離網(wǎng)閘在媒體數(shù)據(jù)交換中的應(yīng)用

1.安全隔離網(wǎng)閘在媒體數(shù)據(jù)交換的案例

廣東電視臺(tái)在2012年對(duì)自動(dòng)播控系統(tǒng)進(jìn)行了升級(jí)改造，加入了自動(dòng)技審系統(tǒng)，從以前節(jié)目審看只能純靠人眼進(jìn)行一比一的審看或者快速播放進(jìn)行粗略審看到現(xiàn)在利用自動(dòng)技審系統(tǒng)對(duì)播出素材文件進(jìn)行精確的節(jié)目?jī)?nèi)容審看和文件結(jié)構(gòu)檢測(cè)，從而提高播出安全性。

由圖2可以看出，節(jié)目素材上載到自動(dòng)播控系統(tǒng)的播出集群，經(jīng)過(guò)安全隔離網(wǎng)閘傳輸?shù)郊紝彊z測(cè)服務(wù)器，并且經(jīng)安全隔離網(wǎng)閘從播出集群取得這個(gè)節(jié)目素材的文件回到技審檢測(cè)服務(wù)器進(jìn)行檢測(cè)，通過(guò)技審管理工作站管理技審服務(wù)器和在回看審片工作站進(jìn)行節(jié)目審片后，將技審的結(jié)果展示在技審管理工作站和回看審片工作站中。而播出集群里面的節(jié)目素材文件的重要性和技審檢測(cè)服務(wù)器需要各種人為操作使其成為了一個(gè)需要用安全隔離網(wǎng)閘物理斷開(kāi)而又要有數(shù)據(jù)傳輸?shù)膬?nèi)外網(wǎng)關(guān)系。安全隔離網(wǎng)閘使數(shù)據(jù)和命令只能從播出集群傳向技審檢測(cè)服務(wù)器，既提高審看工作效率，又方便管理，減少人為誤操作影響到播出集群的節(jié)目素材，保證了播出集群節(jié)目素材安全。

2.安全隔離網(wǎng)閘在媒體數(shù)據(jù)交換應(yīng)用中出現(xiàn)的問(wèn)題

安全隔離網(wǎng)閘應(yīng)用在媒體數(shù)據(jù)交換中最重要的就是傳輸速度。在實(shí)際測(cè)試中發(fā)現(xiàn)，安全隔離網(wǎng)閘在和視頻服務(wù)器進(jìn)行數(shù)據(jù)交換過(guò)程中，并不能達(dá)到理想的傳輸速度，甚至連最基本的用網(wǎng)線連接兩臺(tái)計(jì)算機(jī)間傳輸文件的速度都不如，傳輸速度一直保持在高清素材一倍速，標(biāo)清素材四倍速，這遠(yuǎn)遠(yuǎn)低于媒體數(shù)據(jù)傳輸?shù)囊蟆８鶕?jù)此速度，廣東電視臺(tái)在播22個(gè)標(biāo)清頻道，3個(gè)高清頻道一天24小時(shí)播出文件進(jìn)行傳輸大概需要100多個(gè)小時(shí)，這非但不能提高工作效率，反而大大影響正常播出秩序。為此，最先考慮到的是：是否因?yàn)榻?jīng)過(guò)多次的協(xié)議轉(zhuǎn)換和層層的過(guò)濾審查，影響了傳輸速率。對(duì)此，關(guān)掉所有安全審查，病毒查殺，訪問(wèn)控制等一系列功能，傳輸速度問(wèn)題依然存在。

其次，考慮到安全隔離網(wǎng)閘兩端的視頻服務(wù)器網(wǎng)絡(luò)和技審檢測(cè)服務(wù)器網(wǎng)絡(luò)的IP段不同，是否會(huì)因?yàn)榫W(wǎng)絡(luò)或者協(xié)議的兼容性問(wèn)題導(dǎo)致傳輸受到限制，但將技審服務(wù)器IP設(shè)置成和視頻服務(wù)器在同一個(gè)IP段后測(cè)試任然不能解決問(wèn)題。

然后，根據(jù)以往經(jīng)驗(yàn)，媒體數(shù)據(jù)往往都是大文件的形式存在，是否能支持巨型幀功能對(duì)媒體數(shù)據(jù)傳輸起到十分重要的作用。巨型幀是把以太網(wǎng)的最大幀長(zhǎng)擴(kuò)展到9K，減少網(wǎng)絡(luò)中數(shù)據(jù)包的個(gè)數(shù)，減輕網(wǎng)絡(luò)設(shè)備處理包頭的額外開(kāi)銷(xiāo)，在傳輸速率，系統(tǒng)吞吐量和CPU占用率都有極大的優(yōu)勢(shì)。因此，安全隔離網(wǎng)閘若運(yùn)用在媒體數(shù)據(jù)傳輸環(huán)節(jié)上時(shí)，必須支持巨型幀功能。打開(kāi)安全隔離網(wǎng)閘巨型幀功能后，數(shù)據(jù)傳輸速度明顯提升，但始終無(wú)法滿足日常播出需要，傳輸無(wú)論任何時(shí)段都被限制在一定的網(wǎng)絡(luò)帶寬占有率。

最后，在多次與安全隔離網(wǎng)閘和視頻服務(wù)器廠家溝通與實(shí)驗(yàn)后發(fā)現(xiàn)，雖然安全隔離網(wǎng)閘對(duì)隔離的兩端網(wǎng)絡(luò)的各種市面常用網(wǎng)絡(luò)協(xié)議都有很好的兼容性，但是在視頻服務(wù)器行業(yè)卻往往并不是用通用協(xié)議，而也是每個(gè)廠家利用自己的私有傳輸協(xié)議進(jìn)行媒體數(shù)據(jù)傳輸，以達(dá)到最優(yōu)化傳輸和編解碼的工作效率。廣東電視臺(tái)使用的播出視頻服務(wù)器是SeaChange公司的設(shè)備，其內(nèi)部傳輸協(xié)議SeaSS支持FTP文件傳輸協(xié)議，并確保與原上載集群和近線存儲(chǔ)集群之間的數(shù)據(jù)能互聯(lián)互通，各集群間的數(shù)據(jù)交換要做到無(wú)縫交換，不經(jīng)轉(zhuǎn)碼或重新打包等轉(zhuǎn)換。并且由于SeaSS傳輸協(xié)議可以支持對(duì)視頻文件進(jìn)行邊傳邊播，所以對(duì)通過(guò)其他傳輸協(xié)議的傳輸任務(wù)保留了較多的系統(tǒng)資源并限制了網(wǎng)絡(luò)帶寬。因此，安全隔離網(wǎng)閘不但要對(duì)常見(jiàn)的通用協(xié)議的兼容性要過(guò)關(guān)，并且必須要能良好的支持其他特殊傳輸協(xié)議，才可以在媒體數(shù)據(jù)交換中起到應(yīng)有的作用。

通過(guò)不斷的修改與測(cè)試，在安全隔離網(wǎng)閘激活巨型幀功能并良好的支持播出視頻服務(wù)器傳輸協(xié)議后，通過(guò)安全隔離網(wǎng)閘的媒體數(shù)據(jù)交換速度達(dá)到480Mb/s的速度。網(wǎng)絡(luò)安全網(wǎng)閘對(duì)媒體數(shù)據(jù)交換優(yōu)化后傳輸22個(gè)標(biāo)清頻道一天24小時(shí)標(biāo)清素材文件使用約6.6小時(shí)；傳輸3個(gè)高清頻道一天24小時(shí)高清素材文件使用約8.25小時(shí)，不但符合媒體數(shù)據(jù)交換速度需要，還大大提高數(shù)據(jù)交換效率，使媒體數(shù)據(jù)在傳輸過(guò)程中消耗的時(shí)間不會(huì)成為整個(gè)播出流程的瓶頸，使得播出中心有更多的時(shí)間進(jìn)行素材文件完整性檢查，內(nèi)容安全性檢查等更多的安全考量，提高播出質(zhì)量，確保播出安全。

安全隔離網(wǎng)閘應(yīng)用在媒體數(shù)據(jù)交換中，因?yàn)槊襟w數(shù)據(jù)的特殊性，除了常規(guī)的功能外，還必須擁有巨型幀功能和對(duì)各視頻服務(wù)器廠商的傳輸協(xié)議有一個(gè)良好的支持，這樣才能滿足媒體數(shù)據(jù)交換的需求，使安全隔離網(wǎng)閘不會(huì)成為媒體數(shù)據(jù)交換環(huán)節(jié)中的瓶頸，成為保證安全播出的堅(jiān)實(shí)壁壘。

五.安全隔離網(wǎng)閘的發(fā)展趨勢(shì)

安全隔離網(wǎng)閘的發(fā)展越來(lái)越快而且越來(lái)越成熟，提升產(chǎn)品的安全功能和解決現(xiàn)在的速度瓶頸問(wèn)題成為隔離技術(shù)的未來(lái)發(fā)展方向。使用光纖技術(shù)也有可能成為安全隔離網(wǎng)閘的發(fā)展潮流，將光纖發(fā)射器和接收器分別嵌入安全隔離網(wǎng)閘的內(nèi)部處理單元和外部處理單元，利用光纖的高速性打破現(xiàn)時(shí)的速度瓶頸，使傳輸速度成倍提升；光纖發(fā)射器到光線接收器單向發(fā)射，單根光纖不能同時(shí)進(jìn)行發(fā)送和接收數(shù)據(jù)的特性更加徹底阻斷了網(wǎng)絡(luò)間直接的連接，從而保證了數(shù)據(jù)交換的高速、安全、可控，使安全功能提升一個(gè)臺(tái)階。

六.結(jié)束語(yǔ)

安全隔離網(wǎng)閘應(yīng)用廣泛，作為網(wǎng)絡(luò)間數(shù)據(jù)安全交換的關(guān)口設(shè)備，很好的保障幾個(gè)不同網(wǎng)絡(luò)安全等級(jí)間數(shù)據(jù)的安全交換。使用先進(jìn)的手段保證節(jié)目素材的安全已經(jīng)成為發(fā)展趨勢(shì)。安全隔離網(wǎng)閘的使用，既減少可能發(fā)生的人為失誤導(dǎo)致的播出事故又能提高播出系統(tǒng)的技術(shù)管理水平，是以后制播一體化系統(tǒng)建設(shè)不可或缺的重要組成環(huán)節(jié)，如何發(fā)掘安全隔離網(wǎng)閘在傳媒行業(yè)更好的運(yùn)用，也將會(huì)是將來(lái)重要的課題，提前對(duì)安全隔離網(wǎng)閘的接觸與學(xué)習(xí)，有助于緊追技術(shù)潮流和熟悉新技術(shù)。