關于電視臺內部網絡安全淺談

杜小東

（作者單位：和田地區廣播電視臺）

關于電視臺內部網絡安全淺談

杜小東

（作者單位：和田地區廣播電視臺）

隨著計算機技術的發展，尤其是計算機網絡地飛速發展，網絡已經進入了各個行業和領域的廣泛應用。在電視臺制播業務領域的應用基本取代了傳統的錄像帶制播模式。但隨著網絡的不斷的深入電視臺的各個領域，同樣也帶來了網絡安全風險，一個部門或者是一個節點出現問題都會引發到其他部門或者全臺的網絡甚至是播出。如何能夠實現網絡高效傳輸，又能有提高網絡安防護是本文討論的話題。

網絡安全；系統播出；電視臺局域網

近些年，隨著計算機技術的發展，尤其是計算機網絡地飛速發展，網絡已經進入了各個行業和領域的廣泛應用。在電視臺制播業務領域的應用基本取代了傳統的錄像帶制播模式。但隨著網絡的不斷的深入電視臺的各個領域，同樣也帶來了網絡安全風險，一個部門或者是一個節點出現問題都會引發到其他部門或者全臺的網絡甚至是播出。如何能夠實現網絡高效傳輸，又能有提高網絡安防護是本文討論的話題。

1　電視臺局域網的構成

對于中小電視臺而言，目前網絡構成主要有以下幾個部分。

播出網絡系統：電視臺的核心部門，這里承載了電視臺所有播出節目的最終出口，需要最高的安全系數和最穩定的系統體系作為保障，包含播出系統、播控系統、數據處理系統、字幕系統以及各類視音頻處理系統等。

新聞采集、制作網絡系統：該部門主要是各類新聞的采集和制作，是電視臺新聞類節目的主要保障，其主要設備是攝、錄、編系統。

節目制作網絡系統：除了新聞類節目外的節目生產制作系統，其主要設備是攝、錄、編系統。

媒資管理網絡系統：電視臺各類節目、資料的存儲交換中心，其主要設備存儲矩陣和管理服務器等。

辦公網絡體系：主要是日常上網辦公、文件資料的獲取傳遞、文稿處理等。

2　電視臺全臺網絡面臨的安全風險

傳輸的安全：主要是網絡傳輸線路、各網絡節點的安全，要合理布置線路的路徑，各重要節點設備的備份、環境的安全及供電的安全等。

各終端設備的端口控制：隨著多媒體技術的發展和應用，移動存儲介質也大量用于電視臺各個方面（包括攝像機存儲卡、各類U盤、硬盤和光盤等），如端口沒有嚴格的控制，網絡安全將無從談起。

網絡端口的安全：主要是各類網絡數據交換設備端口的控制（如交換機、路由器、Wi-Fi等設備端口的控制）。

非法接入設備：造成大量外來病毒感染、盜取更改內部信息。

登錄權限的控制：未經授權的用戶進入內部網絡，竊取和破壞內網資源，損害合法用戶的資源。

3　電視臺局域網安全防護的目標和原則

電視臺內部局域網集合了電視臺的播出網、新聞類制作網、節目生產網、欄目網、媒資網等網絡，在電視臺中，雖然每個子網絡承擔的業務功能各不相同，但各子網之間互聯互通，業務關聯性很高。由以上這些內容可以看出，電視臺內部局域網的安全防護要求必須很高。

1）保障電視臺內部局域網各子網系統安全穩定的運行。電視臺的主業是制作電視節目并安全播出，一旦出現節目錯播、漏播或停播，不但給電視臺帶來巨大經濟損失，還會造成嚴重的社會影響。由于內部局域網各子網系統之間的功能是相互關聯的，因此一個子網的問題在經過發酵之后，可能影響到整個節目的正常播出。所以要想做好局域網網絡安全工作，首先要保證各子網系統的穩定運行。

2）保證內部網絡資源和數據完的安全性，防止其被破壞或外泄。新聞媒體是黨和政府的喉舌，新聞內容權威性高，新聞節目的覆蓋面廣，影響范圍大。近些來，一些不法組織通過攻擊衛星信號和電視臺網絡進行非法宣傳或發送不良信息，嚴重影響了人民的生活，擾亂了社會的發展秩序，因此要求必須重視內部網絡安全。

3）保證局域網內部各子系統功能的穩定運行和數據交換。局域網內部各子網功能復雜，不同的集成商完成各個系統的具體設置，各子網系統間要想進行數據交換，就必須通過數據轉換或接口轉換。此外，要保證各子網系統功能穩定可靠運行和能夠滿足各子網業務的需要。

4）整個局域網可管、可控。通過采用管理制度、技術手段、權限設置，對所有進出局域網的各功能子系統的數據和應用活動可管、可控，使播出系統等核心系統安全隱患和安全漏洞。

4　電視臺局域網的安全防護

這里主要是針對內部網絡的安全防護，并不專門針對對外發布信息的網站安全防護。

4.1傳統的網絡防護設備——防火墻

防火墻是一種有效的網絡安全機制（分為包過濾防火墻、Web防火墻、數據庫防火墻等）：一個網絡防火墻一般安裝在內部局域網與外部網絡（Internet）的連接接點上，作為內部局域網與外部網絡之間的訪問控制設備。

防火墻在企業應用很廣泛，設置好相應的策略，能很好起到安全防護保護企業內部網絡的作用。但是在電視臺全臺網絡的應用中，只是應用在辦公網與Interact的連接點上，在內部網絡中并不能理想的發揮其作用。其原因在于：其一，電視臺內部各子網傳輸的主要是視音頻數據和少量的文字數據，其數據傳輸的特定性很強，部署防火墻很有些浪費；其二，目前傳輸的是高、標信號節目為主，其數據吞吐量很大，重要時段數據峰值也很高，對防火墻的數據分析帶來很大壓力，容易造成數據擁塞；其三，防火墻是永遠滯后于病毒而產生的，需要不定時的聯網對數據庫升級，而電視臺全臺網各子網節點分布于各職能部門，這就對其聯網數據庫升級和維護帶來很多不便；如每個節點都進行聯網：一是浪費寬帶資源，二是帶來網絡安全隱患。

因此普通的防火墻在電視臺內部網絡全部部署并不是最理想的選擇，比較適合應用在辦公網與interact的連接點。

4.2電視臺內部各子網節點的安全防護——媒資衛士安全網關

媒資衛士安全網關關鍵技術：物理隔離、白名單及數據深度解析、針對廣電行業而研發。

物理隔離：媒資衛士安全網關采用了最安全的物理隔離技術，使內、外網之間的網絡鏈接徹底斷開；采用電子開關和數據緩存池分時導通的原理，保證內、外網在任意時刻都是斷開的。核心部分由三個單元組成：一個外網處理單元、一個內網處理單元、一個中間數據硬件交換部件，即隔離交換開關（數據緩存池）。當數據需要從外向內傳遞時，基于應用代理服務的模式外端機終止網絡協議，開始解析應用數據，并對數據進行安全處理。安全處理后的數據被隔離開關以專用封裝格式擺渡到內端機。內端機應用代理客戶端的方式將應用數據封裝為TCP/IP格式，路由到目的地。當數據需要從內向外傳遞時，也采用類似的過程，但不同的是內端機啟用應用代理服務，外端機應用代理客戶端。由于媒資衛士安全網關采用物理隔離技術和自定制的嵌入式Linux系統及專用封裝協議，并在設備內部中斷了TCP/IP協議，所以可防止針對通用操作系統漏洞的入侵，可以有效的抵御基于TCP/IP協議漏洞的攻擊，基于隧道的攻擊等。這些都是目前互聯網最主要的攻擊威脅。

白名單及數據深度解析：白名單上的是符合條件的，能夠通過的用戶或數據。有了白名單，自然就有相應的黑名單。黑名單就是指不符合條件的，沒有通過的用戶或數據，啟用后，被列入到黑名單的所有數據都不能通過。在電腦系統里，有很多軟件都應用到了黑白名單規則，如防火墻、殺毒軟件等在實際應用中白名單比黑名單限制的用戶要更多一些。由于廣電網絡涉及的文件類型比較少，主要包括視頻音頻文件、圖片文件和文稿文件等。所以比較適合采用白名單的方式，這樣能提高檢測和傳輸的效率。媒資衛士安全網關系統采用白名單檢測方式，凡符合系統事先約定的白名單類型的文件才允許傳輸到內部網絡，其他的數據一律不允許通過。也就是說，只允許符合規則的干凈數據文件通過，其他數據無論其安全與否一概不予放行，進而保護內網安全。

媒資衛士安全網關的核心技術是對文件數據深度解析。系統根據白名單對文件類型進行徹底檢查，除了尾綴識別外，還進行特征碼分析、語義分析和邏輯結構分析等深度解析，使任何有威脅的文件都被阻擋在外；當傳輸文件中被輸入惡意代碼時，媒資衛士能夠準確地識別其結構的變化并自動進行阻斷和告警。目前，面對嚴峻的發展形勢，一些網關依然停留在簡單的尾綴識別上，不能檢測出假冒文件或來自文件內部的病毒威脅。通過文件數據深度解析可以實現三方面的功能：第一，檢測文件類型是不是白名單允許的類型；第二，檢測白名單類型的真偽，是不是仿冒的；第三，檢測文件內部是否有夾帶（可疑信息）。

廣電實用性：支持新聞數據優先傳送；支持高標清大視頻數據的斷點續傳；支持未播出視頻的拒絕下載（版權保護）；支持在線檢測視頻數據錯誤（數據錯誤引起的圖像變形及畫面跳動等）；支持小文件實時傳輸，小文件可以不用等待前邊的視頻大文件而直接傳輸。

媒資衛士安全網關安全隔離的實現：通過物理隔專有協議，徹底阻斷來自文件外部的威脅；通過文件數據深度解析，徹底阻斷來自文件內部的威脅；文件內部和文件外部的威脅全部被阻斷，真正實現安全有效的網絡隔離；媒資衛士安全網關無需更新病毒庫。

4.3內網主機監控與審計系統

根據網絡環境下終端主機安全管理需求的主機監控與審計系統。目標是建立建全監控機制，實時監視終端主機；對終端主機進行全面的遠程安全管理，包括資產管理、事件管理和行為管理等一系列功能；提供便于操作的可視化界面進行方便的終端主機管理。

4.3.1身份認證

身份認證服務作為一個擴展模塊與管理服務部署在同一臺主機上。身份認證包含基于用戶名/口令及USB Key方式。在用戶名/口令方式下，為每一個使用者分配一個賬號，終端計算機登錄時將使用該賬號進行認證。

4.3.2行為管理

通過行為管理模塊系統能夠控制用戶對主機的各類操作行為，這些行為包括文件操作、軟件使用、上網、郵件發送和外接設備使用等。系統對用戶行為的監控主要包含：一是對用戶的所有行為控制操作生成詳細的日志記錄，以備管理員查詢；二是管理員可以通過策略設置用戶各種行為的使用范圍，如基于黑白名單的軟件使用許可，明確不允許訪問的文件或網站，明確是否可以使用外接設備或使用哪種外接設備等。

4.3.3應用程序控制

通過基于黑名單及白名單的方式控制終端用戶允許運行的應用程序。黑名單中的所有程序將全部不允許運行，黑名單之外的程序則可以運行，白名單與之相反。系統提供的應用程序控制方式不是基于應用程序的程序名實現的，而是基于特定應用程序的簽名實現的，能夠有效防止惡意使用者通過將未授權程序的名稱改為授權程序名稱而達到運行不合法程序的目的。

4.3.4Windows策略分發

為了增強Windows系統的安全性，Windows的策略管理，以提高系統的安全性。包括規范用戶外設使用策略，規范用戶上網行為策略、規范用戶軟件使用策略、系統補丁下發策略等。對這樣一些策略，系統提供完善的策略分發功能，可以將任意策略分發到指定的一臺或一組計算機中而不管主機當前是否在線。對于已經分發到客戶端的策略，系統也可以方便的對策略進行查看和管理。

4.3.5主機監視

對主機運行狀態進行監視審計。包括CPU使用率、內存使用率、磁盤使用率、應用系統性能、服務狀態、進程狀態和網絡狀態等，當監視的資源的指標和狀態違背預設規則時，將自動產生事件上報服務器，并可通過多種方式向管理員報警。

4.3.6主機安全審計

對主機的各種系統行為及操作行為進行詳細而準確的記錄，提供集中審計日志查詢分析功能，實時發現主機出現的安全事件，保證主機處于安全運行狀態。該部分功能包括以下七點。

文件操作審計：對文件操作行為，包括新建、復制、移動、重命名、覆蓋或刪除等，進行審計記錄，包括主機名、時間、源文件、目標文件和操作行為等。

共享文件審計：審計主機是否開啟文件共享功能，包括主機名、共享名稱、共享路徑和時間等。

程序運行審計：審計主機運行的所有應用程序，包括程序名、主機名和時間等。

上網行為審計：記錄主機使用者的網絡訪問行為，可審計的分類包括網站訪問信息及郵件收發信息。包括訪問的URL、郵件收發信箱、主題、郵件內容等。

文件打印審計：記錄主機通過本地或網絡打印機輸出的信息，包括主機名、時間、打印內容等。

用戶登錄審計：審計用戶等級計算機的信息，包括主機名、時間、登錄用戶等。

賬戶變更審計：審計登錄賬戶變更情況，包括主機名、時間、源賬戶、現用賬戶等。

4.3.7接入控制

接入控制模塊主要解決兩方面問題：一是非法接入網絡主機的檢測、警告、阻斷及啟用功能；二是安裝了代理的計算機完整性檢查功能。

4.3.8移動存儲設備管理

為了解決移動設備的使用帶來的安全隱患，只有授權的移動存儲設備才能使用，未授權的移動存儲設備將不能使用。具有可控的安全交換途徑，使注冊的移動存儲介質可以在外網受限使用，并通過擺渡機與內網進行數據交換。另外，所有安全移動存儲設備的使用均受到系統的嚴格審計，保證文件的流入流出受到監控。

4.3.9外設控制

為了實現有效的安全管理，就必須控制計算機的各種外設接口，除了授權的接口可以進行數據交換外，其他借口一概不允許進行數據交換；同時，對交換數據進行嚴格審查。對外設接口設計周密的控制機制，保證外設使用的安全：1）對普通接口（如光驅、軟驅、串口、并口等），具有啟用及禁用兩種安全策略，該策略可以同時發布給若干計算機；2）對于USB接口，細分為USB鍵盤、USB鼠標、USB存儲、USB打印等多種類型，對每一種類型具有啟用及禁用功能；3）對USB存儲，在啟用/禁用的基礎上細分權限，增加只讀和可讀寫權限。

4.4殺毒軟件的部署

對局域網安全而言，殺毒是一個很重要的輔助安全軟件，要根據局域網的實際應用情況而選擇合適的殺毒軟件，并不是所有殺毒軟件都適合局域網應用情況，要根據你局域網應用的性質、軟硬件的兼容性、是否影響工作效率、局域網的安全等級去合理選擇部署。

5　建立完善的網絡安全管理制度

人是網絡安全管理的最終決定因素，完善的網絡安全管理制度是網絡安全重要保障，網絡安全雖不能靠技術手段完全解決，但可以通過完善的有執行力的行為規范，把網絡風險降低到最低。要根據網絡的實際情況和安全等級，制定嚴格網絡日常操作制度，并要定期檢查網絡安全操作日志。要建立網絡安全應急機制，一但發現網絡問題及時采取一定的網絡隔離措施以保證主要核心業務的網絡暢通，避免網絡問題擴大化。建立網絡安全評估機制，在實際中，難免遇到網絡的升級改造、網絡的擴展，或者是發現網絡的漏洞，我們要盡早將這些網絡安全問題做出合理的評估，采取防范措施，以保障網絡的安全。

6　結語

電視臺網絡安全涉及到很多層面，技術手段只是其中一個重要方面，關鍵還在于人和完善的管理執行制度。很多網絡之所以出現問題，并不是技術設備不到位，而是缺少了嚴格的有執行力的制度作為保證；尤其是電視臺，涉及到許多不同來源的外來信息采集和提供視音頻資料給外部，如果沒有嚴格的有執行力的制度作為保證，網絡安全將面臨巨大的考驗。所以網絡安全，除了技術手段外，再加上嚴格的有執行力的制度作為保證，可以將網絡風險降到最低。