重慶廣播電視集團（總臺）文件安全交互平臺

王征

（重慶廣電集團（總臺） 重慶市 400039）

重慶廣播電視集團（總臺）文件安全交互平臺

王征

（重慶廣電集團（總臺） 重慶市 400039）

本文概述了該項目的背景、特點；總體設(shè)計；設(shè)計參考標準。允許多品牌設(shè)備、異構(gòu)設(shè)備在本系統(tǒng)中運行。系統(tǒng)具有極高的運行可靠性，具有檢錯、糾錯能力，并具備完善的應(yīng)急方案，且應(yīng)急操作安全、快捷。備份系統(tǒng)（包括通道）要有獨立性，防止主系統(tǒng)出故障時對備份系統(tǒng)造成影響。同時，系統(tǒng)運行過程中的各關(guān)鍵因素有嚴格的監(jiān)控和管理手段。

安全性；高效率；智能化；簡單易用

1 項目概述

1.1 項目背景概述

重慶廣播電視集團（總臺）著眼未來安全技術(shù)的發(fā)展方向，針對廣電行業(yè)對網(wǎng)絡(luò)安全要求的特殊性并結(jié)合自身需求，啟動重慶廣播電視集團（總臺）文件安全交互平臺建設(shè)項目。采用安全、穩(wěn)定的系統(tǒng)結(jié)構(gòu)是文件安全交互平臺系統(tǒng)建設(shè)中的關(guān)鍵。在其日后的節(jié)目錄制、編輯、播出、存儲以及內(nèi)容數(shù)據(jù)管理等方面安全性表現(xiàn)更加突出。

經(jīng)過了近一年的調(diào)試、使用，達到了預(yù)期的目標，這個交互平臺是成功的。

1.2 項目特點介紹

對于外來數(shù)據(jù)的導(dǎo)入，我們采用了獨有的USB數(shù)據(jù)隧道技術(shù)，通過“兩層防毒過濾+兩層防攻擊+一次統(tǒng)一認證”設(shè)計，確保了數(shù)據(jù)能安全的從外網(wǎng)導(dǎo)入業(yè)務(wù)網(wǎng)絡(luò)中，該技術(shù)已在國內(nèi)多家大型電視臺得以廣泛應(yīng)用，同時在《電視臺數(shù)字化網(wǎng)絡(luò)化建設(shè)白皮書（2007）》中被列為推薦使用安全措施之一。

1.2.1 兩層防毒過濾

兩個服務(wù)端裝有不同的殺毒軟件，安全交互軟件能與包括：目前主流的多家殺毒軟件生產(chǎn)廠商進行底層的深度耦合。

指定格式的數(shù)據(jù)遷移后，軟件能自動的識別傳輸文件的類型，屏蔽指定傳輸文件以外的格式，只將經(jīng)過安全認定的格式進行傳輸。

軟件深層檢測，安全交互軟件能自動判斷識別將更改后的病毒文件，能自動識別二級后綴的文件，能將隱藏病毒文件進行排除。

1.2.2 兩層防攻擊

兩個服務(wù)端通過專用USB線進行連接：兩臺傳輸設(shè)備使用USB進行連接，而非以太網(wǎng)線進行連接，避免了IP鏈路的鏈接，沒有了IP地址的鏈接就防止了網(wǎng)絡(luò)攻擊，起到了防火墻的作用。

服務(wù)端采用私有交互指令：兩個服務(wù)端采用私有的交互指令，嚴格指令校驗，防止在外網(wǎng)端被惡意控制的情況下，無法對內(nèi)網(wǎng)造成任何威脅。

1.2.3 一次統(tǒng)一認證

外網(wǎng)安全交互軟件仍然需要登錄認證才能使用，且外網(wǎng)的登錄認證與內(nèi)網(wǎng)的統(tǒng)一認證綁定在一起，未在內(nèi)網(wǎng)登記注冊的用戶，無法將數(shù)據(jù)交互到內(nèi)網(wǎng)，確保外來內(nèi)容在內(nèi)網(wǎng)的數(shù)據(jù)流向，又增加了個人素材的隱私性。

2 項目總體設(shè)計

針對重慶廣播電視集團（總臺）制作網(wǎng)、媒資網(wǎng)、演播室及播出機房，通過這種安全、高效，便捷的方式，將來至于非安全網(wǎng)絡(luò)的文檔、圖片、字幕模板、視音頻素材、節(jié)目單等數(shù)據(jù)安全的交互到高安全網(wǎng)絡(luò)指定的緩存區(qū)存儲，以供相關(guān)人員使用。

2.1 系統(tǒng)拓撲

文件安全交互平臺：實現(xiàn)對所有數(shù)據(jù)的安全交互、配備2套安全交互服務(wù)器、采用集群方式，集中交互來至于上傳客戶端提交的大量數(shù)據(jù)。安裝上傳客戶端軟件及高速讀卡設(shè)備，進行批量的文件化上傳。

2.2 系統(tǒng)特點

基于USB2.0的安全隔離和信息交換，由2個擁有操作系統(tǒng)的獨立主機系統(tǒng)（內(nèi)網(wǎng)服務(wù)器和外網(wǎng)服務(wù)器）和連接硬件組成。連接硬件是與以太網(wǎng)異構(gòu)的介質(zhì)組成（USB線纜），連接硬件通過主機上的程序和硬件上獨立的芯片來對兩個網(wǎng)絡(luò)中需要交換的信息數(shù)據(jù)進行封包、擺渡、解包，從而實現(xiàn)內(nèi)外網(wǎng)之間數(shù)據(jù)的交換。這種架構(gòu)拋棄了較為脆弱的基于TCP/IP協(xié)議的內(nèi)外網(wǎng)安全隔離機制，從真正意義上達到內(nèi)外網(wǎng)連接時的安全隔離。

2.3 高速傳輸速率

USB2.0的理論傳輸速度可以達到480Mbps（60MB/s），實際測試速度能達到32MB/s（與服務(wù)器硬件平臺性能相關(guān)），支持雙通道進出同步傳輸，支持最多4條USB2.0線纜并發(fā)傳輸，最高并發(fā)傳輸帶寬可達到120MB/s，完全能滿足各行業(yè)用戶的傳輸速率需求。

2.4 高效的病毒查殺嚴格的文件類型檢查

用戶可自定義文件傳輸類型，可允許傳輸和拒絕傳輸某些類型文件，從傳輸文件的類型上進行又一次過濾，確保進入內(nèi)網(wǎng)的文件沒有被病毒感染的可能。

2.5 智能的傳輸控制

自動檢測任務(wù)并控制傳輸，采用MD5文件完整性效驗，保證傳輸?shù)絻?nèi)網(wǎng)的所有文件完整。自動檢測現(xiàn)有文件，并根據(jù)設(shè)定規(guī)則進行重命名，防止重復(fù)傳輸同名文件被覆蓋。可根據(jù)文件類型自動分類保存，方便在內(nèi)網(wǎng)進行文件的檢索。

2.6 簡單易用的操作方式

可根據(jù)實際使用情況配置多種文件傳輸?shù)姆绞健IFS（文件共享式），按WINDOWS權(quán)限進行共享權(quán)限設(shè)定，操作簡單方便，即日常的文件復(fù)制粘貼操作。WEB網(wǎng)頁上傳、C/S客戶端上傳可按用戶權(quán)限設(shè)定用戶可傳輸?shù)奈募愋停С衷趲酚傻霓k公網(wǎng)或英特網(wǎng)進行遠程傳輸。

3 總體設(shè)計原則

本解決方案項目設(shè)計原則概括起來，主要是：全局性、實用性、易用性、先進性、開放性、可擴展性、可靠性等。系統(tǒng)具有極高的運行可靠性，具有檢錯、糾錯能力，并具備完善的應(yīng)急方案，且應(yīng)急操作安全、快捷。備份系統(tǒng)（包括通道）要有獨立性，防止主系統(tǒng)出故障時對備份系統(tǒng)造成影響。同時，系統(tǒng)運行過程中的各關(guān)鍵因素要有嚴格的監(jiān)控和管理手段。

4 實際應(yīng)用

交互平臺在實際使用過程中，上傳文件時，服務(wù)器的快速打包服務(wù)同時在進行當中。可以做到高清素材1：1.5的打包速度，標清素材1：3打包速度，其它格式的素材甚至是1：4以上的打包速度。服務(wù)器的CPU占用效率在正常的水平，具有很好的穩(wěn)定性。

雖然在擺渡的輸入格式中有些許限制，這樣就保證了服務(wù)器的后臺邊傳輸邊轉(zhuǎn)碼的效率；但在輸出格式?jīng)]有限制，可以任意選擇并修改屬性。若技術(shù)管理人員發(fā)現(xiàn)在后臺傳輸當中，出現(xiàn)了意外情況，通過控制軟件快速、便捷的重啟傳輸服務(wù)，并可以把已傳輸至服務(wù)器后臺的素材直接調(diào)用出來，直接使用。這樣就節(jié)省了后期制作人員的上傳文件的時間，使他們可以投入更多的時間在制作后期節(jié)目中，同時，制作節(jié)目的效率也大為提高。

所以，交互平臺的最初設(shè)計的技術(shù)方案，與實際使用的情況相符合，交互平臺是成功的。

[1]重慶廣電集團（總臺）文件安全交互平臺技術(shù)方案.

TN949.27

A

1004-7344（2016）32-0293-01

2016-10-29

王征，男，漢族，重慶人，工程師，大學(xué)本科，研究方向為媒體工程類。