信息安全技術在播控系統中的應用

劉娜

（陜西廣播電視臺播出部，陜西西安710061）

信息安全技術在播控系統中的應用

劉娜

（陜西廣播電視臺播出部，陜西西安710061）

電視播控系統從帶播發展到硬盤播出，專業視頻服務器逐漸成為播控系統信號源的主要元素，服務器和計算機成為電視播控的核心設備，但軟件操作系統存在被攻擊的風險，信息安全問題迫在眉睫。對播控系統中信息安全技術的重要性進行分析，深入研究病毒傳播對播控系統的危害，并結合實際操作案例和測試情況，給出了相關的解決方案。

信息安全；VSG；隔離病毒

【本文獻信息】劉娜.信息安全技術在播控系統中的應用［J］.電視技術，2015，39（10）.

電視播控系統從帶播發展到硬盤播出，播控系統信號源的主要元素從不會感染病毒的錄像機，慢慢變成專業視頻服務器。組成播控系統的不僅僅是以往那些不會受到攻擊的切換器、音視頻分配電路板和錄像機，而是高度智能化的服務器和計算機等核心設備。看似完美的進步，但卻存在風險，服務器和計算機都具有軟件操作系統，容易受到攻擊，可能隱藏病毒木馬等程序，信息安全問題也就隨之而來。

1　病毒傳播的途徑和攻擊的方式

在專業的視頻服務器應用于播出的初期，播控系統相對于其他系統來說是一個獨立的系統，不與外界有任何聯系，所有的視頻文件都要經過1∶1的信號采集。這種采集過程有很多弊端：1）不方便；2）耗時耗力；3）時效性不強；4）信號損失大；5）采集設備投入高、維護麻煩。但是它最安全的。

而后，網絡傳輸和移動存儲逐漸取代了采集。采用“網絡傳輸”和“移動存儲”歸根結底是因為方便、文件入庫的速度快。以下兩個便捷的素材來源手段成為威脅信息安全的危險入口：1）USB、1394、讀卡器等移動存儲接口；2）網絡。

在播控系統中最早實現聯網的字幕系統，大多經歷過病毒發作事件，從而信息安全問題備受關注。因為字幕系統使用U盤交流文件最普遍，使用U盤的來源最廣泛，也最容易受到攻擊。

U盤中主要存在以下幾種危險方式：1）U盤被病毒感染，U盤的系統盤符中含有Auto Run等可執行攻擊、復制病毒文件到計算機系統中的信息；2）U盤中的部分EXE、RAR文件含有病毒程序，使得計算機中木馬后門等；3）U盤中的媒體文件的基本格式被破壞，在文件的結尾等地方涵蓋了一些危險代碼，部分解碼設備讀取這些危險代碼可能會產生一些影響等。

U盤在這里就是可移動存儲，也包括其他可移動存儲，如數據光盤、藍光盤、P2卡。

網絡傳染的方式如下：被感染的計算機（通過U盤感染、或安裝程序感染等）會通過廣播風暴和協議感染其他計算機，只要連網的計算機都會被感染；訪問被感染計算機的部分端口（FTP、共享、特定協議端口等）會帶回病毒文件和信息；有些病毒不對計算機造成任何影響，但是會不停地往網絡上發送垃圾包，使得網絡帶寬大規模被占用，無法正常工作；有些木馬會占用計算機的特定端口，導致該端口無法工作。

在實際使用遇到問題時，再小的問題也會影響到安全播出，這就是播出與其他系統的本質區別。播控系統容不得沙子，對于播控來說，出現問題、發現隱患一定要在第一時間解決。

2　文件內容信息安全問題

針對這一問題，以往的傳統觀念都認為：播控系統中往往很少會涉及到機密和絕密的信息，播控中的文件和素材本身就是對外廣播的。但實際中也確實出現過高清電視劇被職工拷貝，并且公布到互聯網上；精心策劃的選秀欄目，被內部員工提前將結果和視頻公布上網，導致收視率大跌。

我國對知識產權這個問題越來越重視，尤其相對于那些發展快、做大做強的電視臺來說這個問題尤其重要。所以U盤口和網絡傳輸的文件拷貝一定要嚴格管理，做到拷貝即有記錄，重要文件還要加密。

3　USB、P2卡等移動存儲介質的管理

能做到USB、P2卡等移動存儲介質的管理和防毒就可以解決上文中描述的一半問題。

P2卡在系統中只是應用在高清節目的備播以及少量的應急上載，為了播出安全避免病毒以及轉碼等問題，本文仍采用P2錄像機播放視頻服務器1∶1的信號采集來解決。

對于USB口的管制，“堵”是沒有作用的，“堵”往往只會讓自己使用不方便，所以采用文件檢測、過濾傳輸、日志管理是解決問題的根本。

USB隔離安全設備的應用標準如下：1）需要可以確實有效的防毒、防攻擊；2）方便快捷，不可以給原來的使用增加工作量；3）信息安全，拷貝記錄，拷貝有理。另外，主機上除鍵盤鼠標等可以正常使用外，其他的USB口都要被屏蔽或管理起來。滿足以上幾點的USB設備才是理想中的安全設備。

解決問題一不難，目前主流的殺毒軟件等都可以，但是殺毒軟件面臨病毒庫過期的問題，面臨新病毒檢測不到的問題，一旦過期，或者是新病毒體征，反而會弄巧成拙，帶來危險。而且對于播出系統，在線升級病毒庫是不現實的。

所以結合廣電產品的使用特點，可以采用白名單的形式，規定固定的媒體格式通過USB口拷貝文件：只允許媒體格式通過，對于非媒體格式一概不許通過；對于格式遭到破壞，嵌入其他代碼的媒體格式一概不許通過。

解決問題二的關鍵在于硬件，即插即用，必要時要和計算機嵌入在一體。因為如果以軟件的形式，本身會帶來危險，所以一定是固態化的硬件。這樣可以減少病毒對軟件的攻擊。

解決問題三，只需要在方案產品中增加拷貝日志記錄，或者在拷貝中做固定加密運算即可。

針對播控系統維護，管理員需要拷貝一些運行日志的應用，本文配置了勵圖公司的mVSG USB安全隔離器，它支持USB 3.0的傳輸速度，可以滿足上文提出的要求，解決USB的使用難題，如圖1所示。

圖1　USB、P2卡等移動存儲介質的管理

而針對字幕系統，因為各頻道的操作人員比較雜，難以管理，本文還是要求字幕系統配置擺渡設備來解決安全隔離的問題。

4　網絡信息安全的管理和應用

互聯網時代，全臺網制播一體化，然而實際要把播控完全和制作、媒資網連接在一起，風險也就隨之而來。物理隔絕是必須的，端口不能通，但是又要傳素材，這絕不是中間用一臺雙網卡計算機當擺渡就能簡單解決的。

系統中至少要配置網關設備，具有防火墻的功能，具有端口隔離，內外網相對獨立。要具有轉發包的功能，轉包時要解包，進行文件校驗，確定是否為媒體文件，是否符合媒體格式編碼，即白名單方式，如圖2所示。

傳輸過程一定要支持標準防火墻功能，否則傳輸端口無法過濾；支持協議過濾功能，否則攻擊過濾不掉；支持IP范圍設置功能，否則安全權限范圍沒有辦法限制。

傳輸要有詳細的日志，可以記錄到文件從源到目的的傳輸過程。防止擁有知識產權的文件被拷貝帶走。

圖2　網關白名單傳輸與處理

只有滿足以上幾點，才能起到保護播控系統免于受到危害，如圖3所示。

圖3　網絡信息安全管理和應用

5　實際的信息安全技術在陜西臺新播控系統的文件傳輸中的運用

陜西廣播電視臺新的播控系統擁有3個高標清同播頻道的播控，包括原有的8個頻道的標清播出系統，在這次的規劃中都需要和全臺網進行對接，因此需要一個系統具有上文所提到的信息安全傳輸、隔離病毒、過濾文件、高速帶寬等功能，并且可以為臺里的安全播出提供一些可支持的服務。

鑒于國家廣電總局于2011年發布的《廣播電視安全播出管理規定》（總局令第62號），并制定了《廣播電視相關信息系統安全等級保護定級指南》（GD/J 037—2011）和《廣播電視相關信息系統安全等級保護基本要求》（GD/J 038—2011）等相關標準與規范，要求播出相關信息系統應按照相應等級要求進行規劃、設計、建設、評估和整改。陜西廣播電視臺的信息安全等保系統是根據信息安全等級保護第三級信息系統來設計和規劃的，如圖4所示。根據GD/J 038—2011基本要求，第三級信息系統邊界安全需要考慮邊界訪問控制、惡意代碼防范、安全數據交換和入侵防范等內容。由于播出業務的特殊性，結合基礎網絡安全域的劃分，將播出邊界進行規范化設計，對播出系統邊界的媒體文件傳輸鏈路和控制信息傳輸鏈路進行區分，分別進行安全控制措施設計。在播出邊界部署兩臺防火墻，同時部署在信息業務鏈路和媒體業務鏈路上。防火墻可以通過白名單機制實現系統內外交互資源的可控，拒絕一切未被明確允許的訪問請求，以保證網絡的安全性。兩臺防火墻配置成主/備架構，當主機因故障不能正常工作時，備機將切換為主機，使其不間斷的提供服務。該防火墻系統可以支持比較靈活的系統管理功能，如基于Web（HTTP或HTTPS）的管理，以及基于命令行接口（CLI）、Telnet、SSH等遠程維護方式。并且可以根據全臺審計規范開啟審計功能，能夠將審計日志集中發送到安全管理中心做集中日志審計。

圖4　實際操作流程圖

6　總結

信息安全是播控系統的第一安全要素，搭建一個合格的信息安全系統，需要在滿足使用的前提下，消除一切可能的危險，做到防范于未然。

［1］《電視技術》編輯部.信息安全：風高浪急［J］.電視技術，2014，38（20）：1.

［2］《電視技術》編輯部.廣電網絡信息安全現狀及未來發展［J］.電視技術，2014，38（20）：2-11.

［3］陳潔，瞿蔚.網絡化制播系統的信息安全管理及探討［J］.廣播與電視技術，2013，37（8）：34-34.

Information Security for Broadcast Control System

LIU Na

（Broadcast Control Department，SXBC，Xi’an 710061，China）

This article has analyzed for the importance of information security for broadcast control system，and intensively researched the harm of viral transmission to broadcast control system，and also provide the relevant solution，by combine the practical operation cases and test condition.

information security；VSG；isolate virus

TN948

B

10.16280/j.videoe.2015.10.024

時雯

2015-02-06