全臺網(wǎng)文件化播出環(huán)境下的網(wǎng)絡安全

高 茳

（作者單位：浙江廣播電視集團電視播出中心）

全臺網(wǎng)文件化播出環(huán)境下的網(wǎng)絡安全

高 茳

（作者單位：浙江廣播電視集團電視播出中心）

目前，全國各地許多的廣電系統(tǒng)都在進行包含文件化播出系統(tǒng)的全臺網(wǎng)建設。隨著全臺網(wǎng)的建立，計算機網(wǎng)絡化平臺在給我們帶來便利的同時，也帶來了一些和網(wǎng)絡相關的安全隱患。危害網(wǎng)絡安全的主要因素是病毒和黑客。本文就廣電系統(tǒng)全臺網(wǎng)的網(wǎng)絡安全解決方案進行相應的探討。

全臺網(wǎng)；網(wǎng)絡安全；文件化播出系統(tǒng)

近年來，全國各地許多的廣電系統(tǒng)都在進行包含文件化播出系統(tǒng)的全臺網(wǎng)建設。隨著全臺網(wǎng)的建立，廣播電視節(jié)目的制作和播出，在運作模式上做了全新的改變，節(jié)目的傳遞將不再通過磁帶這一環(huán)節(jié)，而是在網(wǎng)絡中以文件的形式進行傳遞，使信息流通更為高效，管理效率大為提高，使跨平臺跨頻道資源共享的實現(xiàn)更為便捷，使節(jié)目的業(yè)務流程處理更加高效率、高質(zhì)量，為運作和管理提供了先進完善的技術(shù)手段。隨著全臺網(wǎng)的建立，計算機網(wǎng)絡化平臺在帶來便利的同時，也給原來相對封閉和安全的制作和播出系統(tǒng)面臨風險。

由于廣電的網(wǎng)絡系統(tǒng)具有開放性，必然會與別的網(wǎng)絡有連接，因此有可能感染到存在于整個網(wǎng)絡中的病毒或因黑客的非法闖入而受到攻擊；內(nèi)部人員的上網(wǎng)操作也有可能將病毒帶入網(wǎng)絡。病毒和黑客的攻擊有可能導致網(wǎng)絡的癱瘓、系統(tǒng)的紊亂、文件和數(shù)據(jù)的被篡改、破壞及竊取和丟失等。廣電系統(tǒng)的全臺網(wǎng)由于涉及到廣播電視節(jié)目的制作和播出，網(wǎng)絡安全問題就顯得更為重要和突出。因此，認清網(wǎng)絡的脆弱性和潛在威脅，并采取強有力的安全策略，對于保障網(wǎng)絡安全、實現(xiàn)安全播出十分重要。

1 影響網(wǎng)絡安全的因素

網(wǎng)絡由內(nèi)部網(wǎng)、外部網(wǎng)和廣域網(wǎng)組成。影響網(wǎng)絡安全的因素眾多，主要有：系統(tǒng)存在的漏洞，病毒、黑客攻擊，數(shù)據(jù)“竊聽”和攔截，惡意掃描、密碼破解、拒絕服務、數(shù)據(jù)篡改、垃圾郵件、地址欺騙和基礎設施破壞等。

2 網(wǎng)絡安全的解決措施

2.1 系統(tǒng)存在的漏洞

漏洞，是指系統(tǒng)中存在的一些危害系統(tǒng)安全的缺陷，一些黑客和病毒就是利用這些缺陷，通過某種手段和方式進行未授權(quán)的訪問，并采取一些對系統(tǒng)和信息造成損害的行為。漏洞既有主觀因素的成分，也是一種客觀存在，是影響網(wǎng)絡安全問題的內(nèi)在因素。如黑客入侵、設置木馬、傳播病毒都是通過漏洞來突破網(wǎng)絡安全防線的。所以，防堵漏洞是系統(tǒng)和網(wǎng)絡安全的重要舉措。

漏洞問題主要存在兩個方面：一是軟件系統(tǒng)方面的漏洞，如操作系統(tǒng)、瀏覽器以及一些其他的應用軟件、數(shù)據(jù)庫系統(tǒng)等；二是硬件方面的漏洞，如防火墻、路由器等網(wǎng)絡產(chǎn)品的漏洞。

由于不存在沒有漏洞的計算機網(wǎng)絡系統(tǒng)，隨著時間的推移，一些漏洞會陸續(xù)地暴露出來。其中，操作系統(tǒng)漏洞帶來的問題尤為突出。消除漏洞除了安裝補丁軟件外，并無它途。一旦發(fā)現(xiàn)新的漏洞，軟件制作方的官方網(wǎng)站會及時發(fā)布新的補丁程序，但有的補丁程序要求正版認證。所以，使用正版軟件和及時下載補丁程序是防堵漏洞的有效方法。

2.2 病毒的入侵

接觸過計算機的人，多多少少都會碰到自己的計算機系統(tǒng)被病毒侵擾的經(jīng)歷。計算機病毒傳播速度快、影響面廣。它們通常隱藏在文件或程序代碼內(nèi)，伺機進行自我復制，通過網(wǎng)絡、光盤、U盤等諸多手段進行傳播。在危害網(wǎng)絡安全的因素中占有較大的比重。病毒的危害程度根有輕有重。嚴重時有可能破壞計算機的軟、硬件，竊取、損壞一些重要的文件和數(shù)據(jù)，甚至危害到整個網(wǎng)絡的安全，造成網(wǎng)絡癱瘓等惡性事件。由于網(wǎng)絡具有去中心化的特點，病毒的傳播是非線性的，而大部分病毒是在不經(jīng)意之間被擴散出去的。這些病毒會從一臺計算機傳播開來。所以，有些病毒短時間內(nèi)無法找出“源頭”對其進行檢測、防控。因而對在網(wǎng)絡中的每一臺計算機安裝防病毒軟件，并定期對軟件中的病毒定義進行更新是網(wǎng)絡免受病毒攻擊最有效的應對措施。但僅僅通過技術(shù)手段還不行，還必須引起使用者的重視，注重操作的規(guī)范性，防患于未然，部署統(tǒng)一的防毒策略，及時有效地應對病毒的侵擾。

需要引起關注的另一個問題是隨著智能技術(shù)的發(fā)展，病毒的智能化程度也會越來越高。屆時會產(chǎn)生一個“病毒生成器”的病毒，它能夠不斷產(chǎn)生具有不同標志特征的病毒，使人們防不勝防。而它自己通過高智能技術(shù)，躲過檢測而不易被識破。

2.3 黑客的非法闖入

最近幾年，越來越多的黑客事件被報道出來，有個人的，也有團體組織的，甚至包括國家間的。目的有經(jīng)濟的，也有政治的。所以，必須高度重視黑客對廣電網(wǎng)絡可能的入侵。防止系統(tǒng)被黑客控制，從事竊取、篡改、毀壞數(shù)據(jù)的活動，并進而造成重大的安全播出事故。防御黑客攻擊的最好手段是采用防火墻技術(shù)。它是一種網(wǎng)絡安全設施，是執(zhí)行訪問控制策略的一個或一組軟、硬件系統(tǒng)，通過放置于網(wǎng)絡拓撲結(jié)構(gòu)的合適節(jié)點上，使其成為內(nèi)外通訊的唯一途徑，從而隔離全臺網(wǎng)和外部網(wǎng)絡。并根據(jù)安全策略制定的過濾規(guī)則（訪問控制規(guī)則）對經(jīng)過它的信息流進行監(jiān)控和審查，過濾掉任何不符合安全規(guī)則的信息，以保障內(nèi)部網(wǎng)絡不受外界的非法訪問和攻擊。

硬件防火墻產(chǎn)品應該具備以下先進功能：包狀態(tài)檢查、流量控制、虛擬專用網(wǎng)（VPN）技術(shù)、Java、ActiveX及Cookie屏蔽、代理服務器屏蔽、電子郵件發(fā)信監(jiān)控。

2.4 內(nèi)部網(wǎng)絡安全

網(wǎng)絡的管理者往往重視對來自外部的主動攻擊進行預防、檢測及處理，而忽視對內(nèi)部網(wǎng)絡安全的管理。統(tǒng)計數(shù)字表明，由內(nèi)網(wǎng)使用者的操作而引起的安全事件占較大比例。為了達到網(wǎng)絡安全的目的，可以將內(nèi)網(wǎng)與外網(wǎng)進行物理隔離，或者將內(nèi)部網(wǎng)絡通過統(tǒng)一的網(wǎng)關接入外網(wǎng)，并在網(wǎng)關處架設防火墻，IPS、IDS等安全監(jiān)控設備。既是如上述所示的各類安全措施都得到了實現(xiàn)，卻仍有泄密事件或其他各類內(nèi)網(wǎng)安全事件的不斷發(fā)生，內(nèi)網(wǎng)安全維護的復雜性可見一斑。

內(nèi)網(wǎng)主機大多以LAN的方式進行接入，主機之間以物理互連，邏輯隔離的方式共存，但為實現(xiàn)主機間的資料共享及數(shù)據(jù)通信需求，又必須讓它們共存于同一網(wǎng)絡中，并以信任的關系進行處理。因此，某臺主機有意或無意的誤操作都會對整網(wǎng)主機的安全性造成威脅。造成這些威脅的原因主要可以分為以下幾類。

2.4.1 內(nèi)網(wǎng)邏輯邊界不完整

無線通信技術(shù)的迅猛發(fā)展讓人隨時隨地更為方便地連通網(wǎng)絡。這在給人們帶來便利的同時，也給網(wǎng)絡安全管理帶來了更大挑戰(zhàn)。內(nèi)網(wǎng)邊界的完整性受到考驗，限制不明終端非法穿越網(wǎng)絡邊界接入內(nèi)網(wǎng)是必須解決的一大難題。人們常說的網(wǎng)絡邊界防護更多地被理解為網(wǎng)絡出口的保護，而從目前網(wǎng)絡運行的實際情況來看，“出口”這一狹隘的概念，早已無法涵蓋對網(wǎng)絡邊界的定義。邊界防護已經(jīng)從點和線擴展到立體層面，是對所有網(wǎng)絡邊界的防護。當然，內(nèi)網(wǎng)入口仍然是防護的重點。

2.4.2 有效身份認證機制

內(nèi)部網(wǎng)絡使用者身份識別機制必須予以加強。如果缺乏有效的身份認證機制，只需一根網(wǎng)線或在局域網(wǎng)AP信號覆蓋的范圍之內(nèi)，就可以非常方便地連入內(nèi)部網(wǎng)絡，那么，機密泄露和病毒入侵則是必然發(fā)生的事。

2.4.3 訪問權(quán)限控制機制

除了有效身份認證機制外，還需設立訪問權(quán)限控制機制。為了網(wǎng)絡安全，網(wǎng)絡在設計時往往被分成兩大區(qū)域：一個是辦公、作業(yè)區(qū)，另一個是服務資源共享區(qū)。它們雖然被設計在兩個邏輯網(wǎng)絡中，但在物理上共存，且缺乏明確的邏輯隔離。如果不對訪問權(quán)限進行控制，而任由不同區(qū)域、不同層級的人員甚至外來人員隨意訪問，那么端口防護做得再好，網(wǎng)絡安全的防護也形同虛設，堡壘將從內(nèi)部被攻破。

2.4.4 內(nèi)網(wǎng)主機漏洞

現(xiàn)在計算機的軟件系統(tǒng)規(guī)模越來越大，其存在的可被利用的漏洞也將按照一定的比例增加。即使有些軟件開發(fā)商有每月一次的補丁更新計劃，但由于內(nèi)部網(wǎng)絡中的終端數(shù)多，終端使用者的網(wǎng)絡安全意識和IT技能水平參差不齊，難免掛一漏萬，導致補丁無法及時更新。這些漏洞一旦被黑客利用，將成為攻擊內(nèi)網(wǎng)中其他主機的跳板，引發(fā)更大的內(nèi)網(wǎng)安全事故。所以，除了需要加強網(wǎng)絡安全意識外，亟需通過技術(shù)手段的輔助，形成一個立體化、覆蓋面廣的安全模型。終端用戶眾多的全臺網(wǎng)需要依靠新的技術(shù)手段來對網(wǎng)絡內(nèi)的終端進行掃描，并自動修補軟件系統(tǒng)的補丁。

2.5 數(shù)據(jù)的“竊聽”和攔截

黑客可以通過利用網(wǎng)絡安全系統(tǒng)存在的缺陷，對傳輸數(shù)據(jù)進行“竊聽”和攔截。因此，廣電系統(tǒng)的全臺網(wǎng)在與其他網(wǎng)絡進行傳輸時，需要采取相應的安全措施，防止重要數(shù)據(jù)，如用戶的賬號和登錄密碼等，在中途被非法截獲。加密技術(shù)是保護傳輸數(shù)據(jù)免受外部竊聽較好辦法，它將數(shù)據(jù)變成只有授權(quán)接收者才能還原并閱讀的編碼。虛擬專用網(wǎng)（VPN）技術(shù)是加密方法之一。它通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個內(nèi)部網(wǎng)之間建立一條專有的通訊線路。一個遠程用戶也可以通過建立一條連接局域網(wǎng)的VPN鏈路來安全地訪問廣電系統(tǒng)的內(nèi)部數(shù)據(jù)。隨著量子通信技術(shù)和設備的普及和應用，從理論上講，這種危害網(wǎng)絡安全方式將不復存在。

除了上述威脅廣電系統(tǒng)網(wǎng)絡安全的因素外，還存在其他一些具體的網(wǎng)絡安全隱患。例如，黑客對服務器端口進行掃描，尋找漏洞并破解相關密碼達到入侵系統(tǒng)的目的，然后通過篡改數(shù)據(jù)、拒絕服務，對服務器進行攻擊，對基礎設施進行破壞，導致服務器無法向正常用戶提供相關服務。

通過上面的分析可見，網(wǎng)絡安全的隱患是客觀存在的。作為網(wǎng)絡的管理者，應該制定相應的網(wǎng)絡安全策略，并對全臺網(wǎng)相關業(yè)務的安全等級進行劃分，做出有針對性的網(wǎng)絡安全防范措施，將可能對網(wǎng)絡安全運行造成的危害降到最低，并確保核心業(yè)務制作系統(tǒng)和播出系統(tǒng)的網(wǎng)絡安全不受影響。

3 全臺網(wǎng)的網(wǎng)絡安全管理

要實現(xiàn)網(wǎng)絡安全的管理目標，需建立相應的網(wǎng)絡信息安全保障體系。

3.1 網(wǎng)絡信息安全保障體系基本框架

通過人、管理策略和技術(shù)手段三大要素，構(gòu)成動態(tài)的信息與網(wǎng)絡安全保障體系框架WPDRR模型，實現(xiàn)系統(tǒng)的安全保障。WPDRR是指：預警（Warning）、保護（Protection）、檢測（Detection）、反應（Reaction）、恢復（Recovery），五個環(huán)節(jié)具有時間關系和動態(tài)閉環(huán)反饋關系（見圖1）。

安全保障是綜合的、相互關聯(lián)的，不僅僅是技術(shù)問題，而是人、管理策略和技術(shù)三大要素的結(jié)合。

保障網(wǎng)絡系統(tǒng)安全的技術(shù)也不是單一的技術(shù)，它包括多個方面的內(nèi)容。在整體的安全策略的控制和指導下，綜合運用防護工具（如防火墻、VPN加密等手段）利用檢測工具（如安全評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，并通過備份容錯手段來保證系統(tǒng)在受到破壞后的迅速恢復，通過監(jiān)控系統(tǒng)來實現(xiàn)對非法網(wǎng)絡使用的追查。

3.1.1 預警

利用遠程安全評估系統(tǒng)提供的模擬攻擊技術(shù)來檢查系統(tǒng)存在的、可能被利用的脆弱環(huán)節(jié)，收集和測試網(wǎng)絡與信息在安全方面可能存在的問題，并以直觀的方式進行報告，為解決方案的提供建議。在經(jīng)過分析后，了解網(wǎng)絡的風險變化趨勢和存在的嚴重的風險隱患，并制定相應的解決方案，從而有效降低網(wǎng)絡的總體風險，保護關鍵業(yè)務和數(shù)據(jù)。

3.1.2 保護

保護通常是通過采用成熟的信息安全技術(shù)及方法來實現(xiàn)網(wǎng)絡與信息的安全，主要有防火墻、授權(quán)、加密和認證等。

3.1.3 檢測

通過檢測和監(jiān)控網(wǎng)絡以及系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點，強制執(zhí)行安全策略。在這個過程中采用入侵檢測、惡意代碼過濾等這樣一些技術(shù)，形成動態(tài)檢測的制度，建立報告協(xié)調(diào)機制，提高檢測的實時性。

圖1 信息與網(wǎng)絡安全保障體系框架WPDRR模型

圖2 OSI安全體系結(jié)構(gòu)參考模型

3.1.4 反應

在檢測到安全漏洞和安全事件之后必須及時做出正確響應，從而把系統(tǒng)調(diào)整到安全狀態(tài)。為此需要相應的報警、跟蹤、處理系統(tǒng)，其中處理包括封堵、隔離、報告等子系統(tǒng)。

3.1.5 恢復

災難恢復系統(tǒng)是當網(wǎng)絡、數(shù)據(jù)和服務受到黑客攻擊并遭到破壞或影響后，通過必要的技術(shù)手段（如容錯、冗余、備份、替換或修復等），在盡可能短的時間內(nèi)使系統(tǒng)恢復正常。

3.2 全臺網(wǎng)網(wǎng)絡安全系統(tǒng)的體系結(jié)構(gòu)設計

安全體系結(jié)構(gòu)就是把信息安全保障技術(shù)集合到一起所構(gòu)成的模型。安全體系結(jié)構(gòu)是一種抽象的體系結(jié)構(gòu)，為安全系統(tǒng)的設計提供原理和原則。OSI（Open System Interconnect）參考模型，是ISO（國際標準化組織）組織在1985年研究的網(wǎng)絡互聯(lián)模型。該體系結(jié)構(gòu)標準定義了網(wǎng)絡互連的七層框架（物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層），即ISO開放系統(tǒng)互連參考模型。在這一框架下進一步詳細規(guī)定了每一層的功能，以實現(xiàn)開放系統(tǒng)環(huán)境中的互連性、互操作性和應用的可移植性。信息和網(wǎng)絡安全保障體系由安全服務、協(xié)議層次和安全機制三個層面組成（見圖2）。信息和網(wǎng)絡安全是任何單一安全技術(shù)都無法解決的。所以，全臺網(wǎng)應該根據(jù)自己的業(yè)務特點，選擇適合自身的安全體系結(jié)構(gòu)模型。并在此基礎上，制定相應的網(wǎng)絡安全策略。

3.3 網(wǎng)絡安全策略

3.3.1 技術(shù)與管理相結(jié)合的網(wǎng)絡安全策略

全臺網(wǎng)的網(wǎng)絡安全，不僅是一個技術(shù)問題，也是一個管理問題。因為無論怎么樣先進、完備的技術(shù)，如果忽視了人的因素，網(wǎng)絡安全這張網(wǎng)將仍然會是千瘡百孔。假如人們只對系統(tǒng)使用，而缺少維護甚至不維護，那么許多軟件開發(fā)公司及時發(fā)布的補丁軟件及各種各樣的查殺工具將被束之高閣，仍將無法阻止黑客利用漏洞對系統(tǒng)發(fā)動的攻擊及病毒的蔓延。所以，保證系統(tǒng)安全的關鍵，首先是要做到重視安全管理，從管理與技術(shù)相結(jié)合的高度，制定整體的管理策略，并認真貫徹、實施這些網(wǎng)絡安全策略，全臺網(wǎng)的網(wǎng)絡安全目標才可能實現(xiàn)。

3.3.2 網(wǎng)絡安全風險評估

對廣電系統(tǒng)的網(wǎng)絡進行梳理。標記出已經(jīng)聯(lián)網(wǎng)的網(wǎng)絡；搞清楚整個廣電系統(tǒng)網(wǎng)絡存在的缺陷及可能引起的網(wǎng)絡安全風險，并評估這些風險將會產(chǎn)生什么樣的影響。

3.3.3 網(wǎng)絡安全計劃和實施

建立廣電系統(tǒng)的網(wǎng)絡安全政策，培養(yǎng)更多的從事與網(wǎng)絡安全相關的技術(shù)人員，提高這些人員在整個技術(shù)隊伍中所占的比例。因為隨著社會的進步和智能化的進一步發(fā)展，技術(shù)人員中的比例構(gòu)成也必將反映出這一發(fā)展趨勢。掌握保障網(wǎng)絡安全所需的相關技術(shù)，并規(guī)劃好發(fā)生特定安全事故時，廣電系統(tǒng)應該采取的解決方案。

安全策略由兩個部分組成：一個是總體的安全策略，另一個是具體規(guī)則。其中，總體安全策略是制定戰(zhàn)略性的安全指導方針；同時，需要為實現(xiàn)這個方針分配必要的人力物力。

所有的安全政策，都需要有一套完善的管理控制架構(gòu)來支持，其中完整的安全性解決方案在整個的管理控制架構(gòu)中占有突出、重要的位置。

在廣電系統(tǒng)內(nèi)部需要進行多種形式的網(wǎng)絡安全宣傳，普及基本的網(wǎng)絡安全知識，增強網(wǎng)絡安全防范意識，具備識別和應對網(wǎng)絡危險的能力，不能等到出了重大的安全事故后才重視這個問題。

3.4 物理隔離

在廣電系統(tǒng)內(nèi)部采用物理隔離的方式建立兩套相互獨立的網(wǎng)絡，一套用于廣電系統(tǒng)內(nèi)部作業(yè)和辦公；另一套用于連接到Internet。以保護核心業(yè)務的正常運作。

3.5 遠程訪問控制

遠程訪問適應網(wǎng)絡化信息化社會工作方式改變的需要。為了防止非法用戶的入侵，需要在內(nèi)部網(wǎng)絡中配置用戶身份認證服務器，對接入的用戶進行身份和密碼驗證，并對合法用戶的機器MAC地址進行注冊，將IP地址與MAC地址進行動態(tài)綁定。

3.6 病毒的防護

培養(yǎng)廣電系統(tǒng)員工的集體防毒意識，部署統(tǒng)一的防毒策略，對病毒的入侵早發(fā)現(xiàn)、快應對。

3.7 防火墻

防火墻是一個由軟件和硬件設備組合而成，是在內(nèi)部網(wǎng)和外部網(wǎng)、專用網(wǎng)與公共網(wǎng)之間設置的保護屏障。防火墻種類眾多，其中技術(shù)較為復雜、安全級別較高的防火墻是隱蔽智能網(wǎng)關。為免遭直接攻擊，它被隱藏在公共系統(tǒng)之后。所有互聯(lián)網(wǎng)功能則是經(jīng)過這個隱藏在公共系統(tǒng)之后的保護系統(tǒng)來進行。阻止了外部未授權(quán)訪問對專用網(wǎng)絡的非法訪問。一般來說，這種防火墻的安全性能很高，是較不容易被破壞和入侵的。

3.8 補丁安裝智能化

黑客技術(shù)的不斷變化和發(fā)展，留給我們應對的時間將會越來越少。對于機器眾多的廣電網(wǎng)絡，要通過手工來一臺一臺安裝補丁軟件，已經(jīng)難以適應大規(guī)模網(wǎng)絡的管理，需要新的智能軟件實現(xiàn)對系統(tǒng)內(nèi)各個操作系統(tǒng)的主動掃描及補丁的自動修補。

4 文件化播出系統(tǒng)的網(wǎng)絡安全

播出安全是播出系統(tǒng)的重中之重。文件化播出系統(tǒng)的網(wǎng)絡安全可從以下兩個方面考慮：一是播出網(wǎng)絡系統(tǒng)的安全；二網(wǎng)絡架構(gòu)的安全。

4.1 播出網(wǎng)絡系統(tǒng)的安全

文件化播出系統(tǒng)由于涉及到的安全環(huán)節(jié)較傳統(tǒng)播出系統(tǒng)更多，所以，需要建立冗余備份機制。防止文件化播出系統(tǒng)中由于某一點出錯而引起整個系統(tǒng)的崩潰。

如在播出服務器方面，需要采用主備異構(gòu)的方式。其中，既可以是硬件的主備異構(gòu)，也可以是操作系統(tǒng)的主備異構(gòu)。

又如播出二級存儲系統(tǒng)是從媒資到播出服務器節(jié)目備播鏈路的關鍵業(yè)務系統(tǒng)（見圖3）。其系統(tǒng)構(gòu)建需著重解決以下幾點。

圖3 文件化播出系統(tǒng)備播業(yè)務流程

4.1.1 存儲架構(gòu)的選擇

采用SAN架構(gòu)集中式存儲技術(shù)。SAN允許用戶根據(jù)需要增加它們的存儲容量，通過中央系統(tǒng)管理軟件對數(shù)據(jù)進行統(tǒng)一管理；允許任何服務器連接到任何存儲陣列，這樣不管數(shù)據(jù)置放在那里，服務器都可直接存取所需的數(shù)據(jù)；具有高RAID級別保護；采用光纖接口，具有更高的帶寬。這種存儲技術(shù)有利于控制存儲空間，存儲效率高。

4.1.2 系統(tǒng)冗余性設計

除數(shù)據(jù)冗余外，還可以從系統(tǒng)應用冗余著手，將二級存儲設計為雙陣列系統(tǒng)，所有數(shù)據(jù)在高RAID級別保護基礎上再獲得雙陣列系統(tǒng)之間的鏡像冗余。

4.1.3 素材文件遷移效率

SAN架構(gòu)集中式存儲技術(shù)使管理及集中控制得到了簡化，所以，提高了二級存儲素材遷移效率，這對高清節(jié)目大文件的讀寫應用來說尤為重要。

4.2 網(wǎng)絡架構(gòu)的安全

播出系統(tǒng)網(wǎng)絡化使其在系統(tǒng)邊界和業(yè)務邊界方面和以前的播出系統(tǒng)相比有了很大的不同，這給安全播出帶來了新的課題。如何解決網(wǎng)絡安全問題，將是文件化播出的關鍵。影響文件化播出系統(tǒng)網(wǎng)絡安全的因素主要有以下幾點：防止數(shù)據(jù)的完整性和可用性遭到破壞，預防惡意代碼，在接口邊界建立端口訪問控制等。為此，在系統(tǒng)的設計時，需要做以下幾方面的考慮。

4.2.1 網(wǎng)絡架構(gòu)

根據(jù)播出網(wǎng)絡系統(tǒng)的特點，網(wǎng)絡架構(gòu)采用“核心-接入”二層拓撲模型。并通過核心交換機劃分VLAN，配置ACL，實現(xiàn)區(qū)域隔離和對外訪問控制。

4.2.2 硬件安全設備

部署防火墻、網(wǎng)關和網(wǎng)閘等硬件安全設備，保護播出網(wǎng)絡系統(tǒng)內(nèi)的數(shù)據(jù)安全，防止病毒的入侵。

4.2.3 建立防病毒服務體系

除了邊界防護外，還需要在內(nèi)部設立防病毒機制。并在主干系統(tǒng)業(yè)務應用平臺建立播出系統(tǒng)防病毒數(shù)據(jù)庫的專用升級鏈路。

4.2.4 采用MD5碼校驗

采用MD5碼校驗，保護數(shù)據(jù)在傳輸過程中的安全性和完整性。

5 結(jié)語

一份好的網(wǎng)絡安全解決方案是技術(shù)、策略和管理的集合，其中：技術(shù)是關鍵，策略是核心，管理是保證，三者缺一不可。網(wǎng)絡安全解決方案涉及操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)、認證和數(shù)字簽名技術(shù)、VPN技術(shù)等多方面的技術(shù)。網(wǎng)絡的安全策略由物理安全、訪問控制和信息加密等組成。網(wǎng)絡的安全管理包括：確定安全管理等級和安全管理范圍；制訂有關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。

網(wǎng)絡安全從建網(wǎng)之時起，就貫穿于整個的網(wǎng)絡運行階段。因此，既要在設計階段未雨綢繆，又需要在實踐中不斷加以完善。只有這樣，才能在網(wǎng)絡安全這場永不停歇的攻防戰(zhàn)中立于不敗之地。