節目制作網絡的病毒防控

于文博

（作者單位：新疆生產建設兵團廣播電視臺）

節目制作網絡的病毒防控

于文博

（作者單位：新疆生產建設兵團廣播電視臺）

摘 要：隨著網絡技術的不斷成熟和發展，互聯網是追求時效性的新聞媒體必須依托的平臺，但隨之而來的安全問題也是保證新聞制作及播出的重中之重，稍有閃失，即可造成素材丟失、制作網癱瘓、延誤播出等重大事故。針對這種情況，在工作和實踐磨合中總結了一些應對措施。本文重點介紹了目前新疆生產建設兵團廣播電視臺非編制作網的安全防護和病毒防治的一些策略。

關鍵詞：非編制作網；安全防護；病毒防治

過去的節目制播系統往往需要依賴磁帶等記錄介質，耗時長、制作繁復、信號損失大、資料不易存儲、難以集群化管理等問題日益嚴重。隨著網絡技術的不斷成熟和發展，舊的制播方式漸漸被新的網絡化制播系統所代替，從節目素材的傳輸、收集、制作一直到播出形成了一條鏈式的網絡結構，新的制播方式具有很多老方式所無法解決的優勢。從制作系統來看，網絡化的架構比以往的系統管理上具有無法比擬的優點、素材的大規模共享、快速便捷的傳輸方式、格式的兼容、制作人員的集群化管理、素材的大批量保留、視頻音頻質量損失的減小、各部門直接的交流（業務層面）更加快捷安全，因此，大部分的節目制作已轉為網絡化制作方式。但是，節目制作系統并不是一個全封閉的網絡結構，從素材的收集一直到節目的制作，編輯人員需要大量的外來素材進入制作網絡，同時，每天都有大量的文件在不同的網絡（制作網絡、播出網絡、媒資系統）之間傳輸。由于計算機病毒往往寄生于素材文件中，或偽裝成某素材格式，一個小小的疏忽很有可能使整個網絡面對病毒感染的風險。病毒的潛伏性和破壞性使得制作網絡的安全問題日益嚴峻，如何做到對節目制作網絡的病毒防控漸漸成為技術人員所研究的課題。

在做病毒防控之前，首先要做的是分析自己的網絡結構，分析出各個網絡之間的銜接口（例如制作網絡和播出網絡之間、制作網絡和媒資系統之間、內網與外網之間）所在。在分析得到結果之后，采取相應的措施來控制各個網絡之間的傳輸途徑，避免病毒隨著文件在不同的網絡之中傳輸。根據不同的需要采取控制方式（軟件或硬件防控）來做到病毒防控工作。在網絡系統之間傳輸的都是文件及數據，病毒寄生在文件之中會隨著網絡傳輸而流通，如果采用軟件殺毒定期對網絡進行掃描，耗時長、消耗大、工作繁瑣的問題會產生很多的麻煩，病毒的突然爆發之后再去殺毒會浪費很多寶貴的時間。而且病毒更新很快，這就需要網內的殺毒系統頻繁升級，造成大量的繁雜工作。因此，更需要從源頭上進行病毒的防控工作。

之前老舊的制作網，站點10余臺，盤塔10T，由于之前的防控工作不夠重視，網內被蠕蟲病毒入侵。蠕蟲病毒導致非編站點無法訪問網絡共享盤，看不到盤塔里的素材。采取的措施是斷網查殺，非編站點的單機可查殺掉蠕蟲病毒，可是重新接回網絡時，蠕蟲病毒會再次傳播回來，若想完全殺掉蠕蟲病毒，就必須將盤塔整個掃描一遍，制作網幾乎是24小時工作，盤塔整體掃描需要耗費很長時間，所以很難實現徹底清除病毒。

現在更換了新的制作系統，新系統病毒的防控工作是很重要的一個環節。防控工作分為兩個部分，分別為：內網之間相互傳輸的病毒防控和內外網之間的病毒防控。

1 制作網及其他內部網絡之間的病毒防控

節目制作網絡需要節目播出網絡與全臺媒資系統進行信息交互，它們都屬于內網網絡，劃分出不同的網段相互區別，每個網絡之間采用光纖傳輸進行信息的交互。由于網絡之間屬于相對封閉的內網環境，所以采用網閘進行物理隔離，所有信息傳輸時通過網閘進行傳輸。對于內網環境之間的信息交互來說，網閘更加適合。

硬件上網閘用將兩個網絡之間物理隔離，劃分出內外網之分（相對），開啟相應的端口進行數據傳輸，網閘具有路由功能，通過路由將內外網之間相鏈接，從而從鏈路層隔開兩個網絡之間的鏈接，避免了木馬病毒之間的相互通信。

軟件上在兩個系統之間安裝服務器，服務器分別部署于兩個網絡之中，軟件安裝在服務器上，通過傳輸任務來進行文件的傳輸工作。首先，通過節目策略（調度任務）將需要傳輸的文件放在指定的服務器中，存放在某個特定的盤符下的文件夾內；軟件任務設定定時掃描該文件夾，當掃描到文件時，軟件任務分析文件，與任務策略中的黑白名單相比對（黑名單上文件禁止通過，白名單上文件容許通過。一般設定白名單，指文件類型，例如MXF文件等），如果該文件在白名單中，軟件即開始傳輸任務，另一端的軟件開始接收并將接受文件存放在對面指定文件夾中。通過不同的軟件任務來實現素材的雙向傳輸功能。

由于播出網絡和媒資系統屬于高度封閉的內網網絡，且三個網絡之間在同一個內網環境內，相互傳輸的都是文件并且文件種類單一，采用網閘（硬件+軟件）來進行內網網絡之間的病毒防控工作。

2 制作網同外網之間的病毒防控

由于節目制作的需要，每天制作網都需要進出大量的素材，文稿系統需要外網信息等，所以節目制作網絡的病毒防控是日常工作中的重中之重。

文稿系統需要外網信息，例如各大門戶網站的消息、新華社、各個下屬記者站的報稿，為了方便日常工作，必須要有一部分文稿機器可以訪問外網，因

此，做出如下設計。

一方面，文稿系統采用BS架構，所有文稿操作均在WEB頁上進行，只需要訪問正確的網絡地址，不需要專門的軟件。因此，劃分出一個獨立的文稿機房，該機房所有機器與內網隔開（外網環境），不屬于內網環境，在它們與內網交互時，通過防火墻（硬件）+網閘（硬件）來實現病毒的防控工作。從防火墻上開通特定的端口使外網文稿系統能訪問數據庫并進行讀寫，網閘的存在使得病毒文件無法傳輸（文稿只傳輸數據）。在外網文稿登陸其他外網時，防火墻攔下對內網的惡意攻擊，網閘拒絕文件傳輸。同時制定該機房只容許文稿操作，從而堵住外網對內網的病毒流通。

另一方面，節目制作中需要大量的外來素材，部分素材由專網傳輸可確保其安全性，而其他大量素材均來自外網。例如FTP、新華社素材等。對這樣的情況做如下處理。

首先，將非編站點除鼠標鍵盤外的閑置USB口禁用，站點的主動防御使病毒無法從站點進入制作網。一般對于外來拷入素材，大部分技術人員采取異構系統來進行殺毒掃毒工作，即不同操作系統不同殺毒軟件之間的異構。將拷入素材從外來介質上拷入自己的傳輸介質（擺渡U盤），在蘋果系統上進行素材的拷貝工作，然后在windows系統中對擺渡盤進行殺毒，結束后進入第二步。

將素材拷入擺渡機中。使用2臺擺渡機來進行素材的拷貝工作，A擺渡機位于內網環境，IP是內網IP；B擺渡機獨立不連入任何網絡。兩臺擺渡機之間使用SAS口進行數據交換。兩臺機器均裝有SAS板卡，傳輸穩定而且速率達到百兆以上（實測為200～400 MB/S之間）。2臺機器上均裝有特定的傳輸軟件，傳輸時軟件會進行文件類型分析，不屬于白名單之內的文件將無法傳送，同時，兩端的軟件分別內置不同的殺毒軟件（NOD32及Bitddefender），在文件傳輸之前再次進行病毒的查殺工作。它的工作流程如下：第一步，素材拷入B擺渡機指定文件夾內，進入軟件點開文件傳輸選擇要發送的文件，此時擺渡軟件進行文件分析，判斷文件是否為正常文件還是病毒文件偽裝；第二步，判斷該文件類型是否處于白名單（即容許傳輸的文件類型）之中，兩次分析通過之后，軟件對傳輸文件進行殺毒掃描。以上過程均在后臺進行，由于擺渡機器配置比較高，所以該過程時間很短即可忽略不計。在掃毒結束后，文件開始發送至A擺渡機。

此時，A擺渡機上的擺渡軟件接收到文件，先對文件進行分析、殺毒（同上），確定文件無誤后將文件存放至指定文件夾（本機）中。該文件夾不共享。技術人員將指定文件夾中的文件剪切至網絡素材庫中完成所有工作。素材的拷出方式與拷入相同，只是起始位置不同。