中小電視臺全媒體內(nèi)容生產(chǎn)網(wǎng)安全設(shè)計

楊樹海

(張家口廣播電視臺，河北　張家口　075000)

?

中小電視臺全媒體內(nèi)容生產(chǎn)網(wǎng)安全設(shè)計

楊樹海

(張家口廣播電視臺，河北張家口075000)

介紹了中小電視臺在搭建全媒體內(nèi)容生產(chǎn)平臺中，網(wǎng)絡(luò)安全如何進(jìn)行設(shè)計。通過入口安全、系統(tǒng)安全、出口安全這種分段式的安全設(shè)計來實現(xiàn)網(wǎng)絡(luò)安全，實現(xiàn)生產(chǎn)網(wǎng)數(shù)據(jù)安全保護(hù)。詳細(xì)介紹了全媒體生產(chǎn)網(wǎng)絡(luò)入口安全設(shè)計、系統(tǒng)安全設(shè)計和出口安全設(shè)計，為中小電視臺全媒體生產(chǎn)平臺安全建設(shè)提出了一種全新的安全管控方式。

全媒體；內(nèi)容生產(chǎn)；數(shù)據(jù)安全

目前國內(nèi)部分中小型電視臺已經(jīng)進(jìn)入了全媒體生產(chǎn)發(fā)布時代，全媒體時代已經(jīng)將廣播電視臺原有的節(jié)目生產(chǎn)流程進(jìn)行了強行進(jìn)化，在節(jié)目生產(chǎn)過程中除了考慮傳統(tǒng)電視節(jié)目生產(chǎn)外，還需要考慮網(wǎng)絡(luò)廣播電視臺節(jié)目生產(chǎn)，在目前很多中小型電視臺中，進(jìn)行全媒體生產(chǎn)過程中除了業(yè)務(wù)流程的變化外，全媒體生產(chǎn)過程牽涉到和互聯(lián)網(wǎng)的多次交互，整個系統(tǒng)的安全控制也變得更加困難[1]。

1　網(wǎng)絡(luò)總體安全架構(gòu)設(shè)計

全媒體內(nèi)容生產(chǎn)網(wǎng)安全設(shè)計結(jié)合目前廣播電視安全技術(shù)、互聯(lián)網(wǎng)安全技術(shù)，在滿足廣播電視臺全媒體生產(chǎn)的業(yè)務(wù)需求下，盡可能實現(xiàn)安全和效率的平衡。要建設(shè)全媒體安全系統(tǒng)，必須對全媒體制作網(wǎng)的業(yè)務(wù)流程、數(shù)據(jù)流程、網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行詳細(xì)梳理，在什么環(huán)節(jié)具有安全隱患，經(jīng)過對部分中小電視臺節(jié)目生產(chǎn)環(huán)節(jié)的調(diào)查、對比、研究，可以將全媒體生產(chǎn)網(wǎng)安全按照三部分來劃分，一是網(wǎng)絡(luò)入口安全，二是網(wǎng)絡(luò)出口安全，三是網(wǎng)絡(luò)內(nèi)部安全，按照這三個功能區(qū)進(jìn)行針對性的安全設(shè)計，網(wǎng)絡(luò)安全設(shè)計架構(gòu)圖如圖1所示。

圖1　網(wǎng)絡(luò)安全設(shè)計架構(gòu)圖

全媒體內(nèi)容生產(chǎn)網(wǎng)是全媒體融合環(huán)境下全媒體內(nèi)容匯聚、生產(chǎn)、發(fā)布的核心平臺，在保證安全的前提下，盡可能提升節(jié)目生產(chǎn)效率，除了網(wǎng)絡(luò)內(nèi)部的安全外，在網(wǎng)絡(luò)入口和網(wǎng)絡(luò)出口的安全性能和通過性能顯得特別重要，下面將詳細(xì)對著三個部分進(jìn)行介紹。

2　全媒體內(nèi)容生產(chǎn)網(wǎng)數(shù)據(jù)入口安全設(shè)計

全媒體生產(chǎn)網(wǎng)入口是所有外部數(shù)據(jù)資源匯聚到生產(chǎn)網(wǎng)的唯一路徑，對全媒體資源入口進(jìn)行安全設(shè)計至關(guān)重要，如圖2，全媒體生產(chǎn)網(wǎng)入口安全設(shè)計必須考慮數(shù)據(jù)安全、鏈路安全。

圖2　全媒體生產(chǎn)網(wǎng)入口安全設(shè)計圖

2.1數(shù)據(jù)安全范圍

數(shù)據(jù)安全設(shè)計必須全面掌握數(shù)據(jù)源系統(tǒng)、數(shù)據(jù)類型、數(shù)據(jù)格式這幾個信息點。

1)內(nèi)容源系統(tǒng)

內(nèi)容源系統(tǒng)是匯聚到生產(chǎn)網(wǎng)數(shù)據(jù)的原始地點，生產(chǎn)系統(tǒng)入口必須清楚原始系統(tǒng)的數(shù)據(jù)提供方式，系統(tǒng)需實現(xiàn)從內(nèi)容原始地點自動獲取或者自動接收其推送出來的數(shù)據(jù)。內(nèi)容源一般包括：官方微信、官方微博、網(wǎng)絡(luò)電視臺、手機APP、Callcenter、OGC、PGC、UGC、收錄系統(tǒng)、通聯(lián)回傳、互聯(lián)網(wǎng)訂閱等，全媒體生產(chǎn)網(wǎng)入口必須支持上述來源獲取到的數(shù)據(jù)接入，數(shù)據(jù)入口的安全設(shè)計必須支持這些數(shù)據(jù)源地址的數(shù)據(jù)接入。

2)數(shù)據(jù)類型

本文的數(shù)據(jù)類型是指視頻、音頻、圖片、文檔、信息數(shù)據(jù)這幾類。視頻類數(shù)據(jù)是系統(tǒng)中數(shù)據(jù)最大的一類數(shù)據(jù)[2]，其特點是占用網(wǎng)絡(luò)資源和存儲資源大，這部分?jǐn)?shù)據(jù)需要數(shù)據(jù)入口設(shè)計高帶寬、大容量緩存；音頻數(shù)據(jù)相對視頻數(shù)據(jù)“體積”偏小，只有少量的無損音頻數(shù)據(jù)會占用網(wǎng)絡(luò)資源和存儲資源，總體資源消耗偏低；圖片數(shù)據(jù)特點是數(shù)量多，只有少量高分辨率的圖片會占用較多資源；文檔數(shù)據(jù)大多較小，占用極少數(shù)資源單文檔類型復(fù)雜，安全處理難度較大，特別是WORD帶宏的文檔、帶有復(fù)雜結(jié)構(gòu)和公式的EXCL數(shù)據(jù)等；信息數(shù)據(jù)交換大部分是用XML、JSON格式，這部分?jǐn)?shù)據(jù)的安全需要考慮到數(shù)據(jù)入口安全設(shè)計中。

3)數(shù)據(jù)格式

全媒體環(huán)境下，數(shù)據(jù)格式種類繁多，特別是視頻格式，但主流的門戶或視頻網(wǎng)站格式比較統(tǒng)一，但廣電行業(yè)使用的主流媒體格式相對固定，表1為數(shù)據(jù)類型及格式。

表1數(shù)據(jù)類型及格式

數(shù)據(jù)類型數(shù)據(jù)格式種類視頻RM,RMVB,AVI,WMV,MPG,MPEG,FLV,3GP,MP4,SWF,ASF,DIVX,XVID,3GP2,FLV1,MPEG-1,MPEG-2,MPEG-3,MPEG-4,H.264,H.265,DV等音頻CD,MP3,WMA,AAC,OGG,WAV,AIFF,AMR,RA,MID等圖片JPEG,BMP,GIF,TIFF,EMF,PNG,TGA等文檔TXT,PDF,Word,XHTML,HTML,WPS等

2.2數(shù)據(jù)安全設(shè)計

1)黑白名單認(rèn)證

清楚了廣播常用數(shù)據(jù)類型后，本文對安全進(jìn)行設(shè)計時考慮上訴數(shù)據(jù)的通過性[3]，在數(shù)據(jù)安全設(shè)計上采用格式驗證過濾，比如白名單驗證和黑名單驗證兩種方式，白名單方式對需要使用的數(shù)據(jù)格式進(jìn)行安全認(rèn)定，黑名單方式對惡意數(shù)據(jù)進(jìn)行危險認(rèn)定，黑名單認(rèn)定的數(shù)據(jù)格式不允許通過數(shù)據(jù)安全入口。沒有在黑、白名單的數(shù)據(jù)在策略許可、確認(rèn)安全后允許通過數(shù)據(jù)安全入口。

2)專業(yè)殺毒軟件自動殺毒

凡是通過網(wǎng)絡(luò)入口進(jìn)入生產(chǎn)系統(tǒng)的數(shù)據(jù)都必須通過殺毒軟的查殺，確認(rèn)安全后才能進(jìn)入全媒體生產(chǎn)系統(tǒng)中。殺毒軟件可選用不同廠家的殺毒產(chǎn)品進(jìn)行多次查殺，確保數(shù)據(jù)安全。

3)數(shù)據(jù)特征分析

數(shù)據(jù)特征分析主要確保數(shù)據(jù)的真實性，其次是確保數(shù)據(jù)的完整性，數(shù)據(jù)特征分析是在數(shù)據(jù)文件封裝格式完成認(rèn)證以后進(jìn)行下一步的安全處理，數(shù)據(jù)特征分析根據(jù)不同類型的數(shù)據(jù)及相應(yīng)的編碼格式、封裝格式進(jìn)行分析比對，通過對每一個數(shù)據(jù)類型的及內(nèi)容獨一無二的特征碼進(jìn)行校驗對比，對視頻、音頻采用相關(guān)解碼器進(jìn)行定位解碼確保數(shù)據(jù)真實性，通過分段式抽幀校驗數(shù)據(jù)完整性。

2.3鏈路安全設(shè)計

在保證數(shù)據(jù)安全的同時還必須考慮鏈路的安全，鏈路安全常規(guī)的方式可通過冗余設(shè)計，負(fù)載均衡等技術(shù)實現(xiàn)，但是作為互聯(lián)網(wǎng)與生產(chǎn)網(wǎng)的連接關(guān)鍵點，還必須更進(jìn)一步考慮防止網(wǎng)絡(luò)攻擊，需要在鏈路上設(shè)計防火墻或具有IPS功能特性的安全網(wǎng)關(guān)等第三方硬件安全設(shè)備進(jìn)行安全防護(hù)。數(shù)據(jù)鏈路采用異構(gòu)方式連接，通過以太網(wǎng)絡(luò)鏈路和非以太網(wǎng)絡(luò)鏈路相結(jié)合的方式進(jìn)行連接，非以太網(wǎng)絡(luò)鏈路目前有三種比較主流的鏈路可供選擇，分別是USB3.0，PCI-E，Infiniband，這幾種方式是目前高清環(huán)境下相對快速的非以太鏈路。

1)防火墻或安全網(wǎng)關(guān)

防火墻是通用的安全產(chǎn)品，本文不做介紹。近幾年，出現(xiàn)了針對電視臺使用的專業(yè)安全網(wǎng)關(guān)產(chǎn)品，有千兆網(wǎng)關(guān)、萬兆網(wǎng)關(guān)兩種，隨著中小電視臺高清化發(fā)展，萬兆網(wǎng)關(guān)目前是系統(tǒng)的主流需求。安全網(wǎng)關(guān)在安全的基礎(chǔ)上必須考慮數(shù)據(jù)通過效率，也就是傳輸帶寬，千兆網(wǎng)關(guān)的平均速度在60Mbit/s，而萬兆網(wǎng)關(guān)平均速度可以達(dá)到400Mbit/s。所以在數(shù)據(jù)量較大的應(yīng)用場景上萬兆安全網(wǎng)關(guān)是目前最好的選擇。

2)非以太網(wǎng)傳輸鏈路

非以太網(wǎng)傳輸鏈路必須通過定制的傳輸協(xié)議來實現(xiàn)數(shù)據(jù)的傳輸，在一個系統(tǒng)同時采用以太網(wǎng)鏈路和非以太網(wǎng)結(jié)合的方式傳輸，安全性能大幅提高。三種主流異構(gòu)鏈路中，USB3.0測試應(yīng)用帶寬為300Mbit/s，PCI-E測試應(yīng)用帶寬為800Mbit/s(根服務(wù)器總線及盤陣讀寫帶寬有關(guān))，Infiniband測試應(yīng)用帶寬為500Mbit/s(根服務(wù)器總線及盤陣讀寫帶寬有關(guān))。這幾個數(shù)據(jù)只是筆者自行測試的數(shù)據(jù)，因此最終選用PCI-E鏈路和以太網(wǎng)來組成異構(gòu)網(wǎng)絡(luò)鏈路。

3　全媒體內(nèi)容生產(chǎn)網(wǎng)絡(luò)內(nèi)部安全設(shè)計

全媒體生產(chǎn)網(wǎng)絡(luò)內(nèi)部安全包括系統(tǒng)架構(gòu)安全、業(yè)務(wù)流程安全、節(jié)目內(nèi)容安全、數(shù)據(jù)鏈路安全、系統(tǒng)管控安全、數(shù)據(jù)存儲安全6方面來進(jìn)行設(shè)計如圖3所示。

圖3　系統(tǒng)安全設(shè)計

3.1系統(tǒng)架構(gòu)安全

目前中小電視臺建設(shè)全媒體節(jié)目制作網(wǎng)應(yīng)采用NAS架構(gòu)[4]，便于擴展，成本較低，管理簡單。全媒體生產(chǎn)系統(tǒng)采用模塊化構(gòu)建，后臺打包合成、集群轉(zhuǎn)碼、集群遷移全部采用模塊部署，形同的功能部署在不同的物理服務(wù)器行運行，通過監(jiān)控調(diào)度管理模塊進(jìn)行統(tǒng)一調(diào)度管理。節(jié)目打包合成模塊支持前臺手動完成和后臺自動完成，系統(tǒng)工程文件可保存在中心存儲中，還可以保存在客戶端本機硬盤上，從數(shù)據(jù)到設(shè)備都擁有安全措施，確保系統(tǒng)穩(wěn)定可靠。

3.2業(yè)務(wù)流程安全

全媒體內(nèi)容生產(chǎn)平臺從業(yè)務(wù)流程不僅需要滿足電視臺節(jié)目生產(chǎn)，還要滿足網(wǎng)絡(luò)電視臺、手機APP、官方微信、電臺等節(jié)目生產(chǎn)，針對各個發(fā)布渠道，流程安全上必須考慮完善的審核機制，確保從內(nèi)容匯聚、內(nèi)容呈現(xiàn)、內(nèi)容制作、內(nèi)容發(fā)布各個步驟都有相應(yīng)的安全機制，流程設(shè)計靈活和定制，可增減某些流程節(jié)點，在審核節(jié)點不通過時可以返回上一級業(yè)務(wù)節(jié)點進(jìn)行操作或通過其他策略進(jìn)行處理。

3.3節(jié)目內(nèi)容安全

節(jié)目內(nèi)容安全處理傳統(tǒng)的審核機制外，可以對視頻、音頻、圖片、文檔采用不同的內(nèi)容安全檢查機制，視頻和音頻通過后臺技術(shù)審核或時間線前臺審核，可以將內(nèi)容中基于技術(shù)層面的安全隱患處理掉，圖片和文字通過敏感字進(jìn)行提示，同時系統(tǒng)生技術(shù)審核報表供審核人員查看，圖片和文字通過敏感詞、敏感畫面進(jìn)行過濾，將結(jié)果以消息的方式反饋給審核人員。

3.4數(shù)據(jù)鏈路安全

數(shù)據(jù)鏈路安全設(shè)計采用2臺中心交換機作為主備部署，交換機到每個制作客戶端站點采用萬兆網(wǎng)卡連接，交換機到后臺服務(wù)器采用2條千兆以太網(wǎng)鏈路連接，網(wǎng)絡(luò)入口通過2條萬兆以太光鏈路連接到中心交換機，中心交換提供多條萬兆、千兆以太鏈路和相關(guān)業(yè)務(wù)網(wǎng)絡(luò)連接。

3.5系統(tǒng)管控安全

管控安全采用專用服務(wù)器雙機部署系統(tǒng)管理軟件，可監(jiān)控系統(tǒng)中所有設(shè)備站點的運行狀態(tài)、設(shè)備上所部署相關(guān)軟件的運行狀態(tài)、網(wǎng)絡(luò)流量狀態(tài)、計算資源狀態(tài)等，系統(tǒng)管控還能對節(jié)目生產(chǎn)流程、業(yè)務(wù)系統(tǒng)之間的連接配置、流程節(jié)點運行及執(zhí)行進(jìn)度進(jìn)行監(jiān)控，通過安全管控系統(tǒng)還能對后臺打包合成、數(shù)據(jù)遷移的優(yōu)先級進(jìn)行調(diào)整，便于處理緊急事件，系統(tǒng)管控為系統(tǒng)管理人員提供了完善的數(shù)據(jù)支撐，幫助管理員全面的掌控系統(tǒng)。

3.6數(shù)據(jù)存儲安全

數(shù)據(jù)是整個全媒體生產(chǎn)系統(tǒng)的核心資源，存儲數(shù)據(jù)的類型包括結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。結(jié)構(gòu)化數(shù)據(jù)通過數(shù)據(jù)庫軟件統(tǒng)一管理，保存在數(shù)據(jù)庫服務(wù)器中，或單獨的存儲盤陣中。非結(jié)構(gòu)化數(shù)據(jù)包括大量的視音頻、文檔、圖片、工程文件、圖像序列等，采用大容量盤陣進(jìn)行保存，這部分?jǐn)?shù)據(jù)的安全存儲有兩種方式實現(xiàn)，一種是采用2臺大容量盤陣進(jìn)行在線熱備的方式保障安全，這種方式成本相對較低；另一種是部署集群存儲來保證數(shù)據(jù)的存儲安全，這種方式成本較高。這兩種方式都能滿足數(shù)據(jù)存儲安全，可根據(jù)預(yù)算多少來進(jìn)行存儲方式的選擇。

4　全媒體節(jié)目制作網(wǎng)數(shù)據(jù)出口安全設(shè)計

數(shù)據(jù)出口設(shè)計相對簡單，如圖4所示，數(shù)據(jù)出口按照業(yè)務(wù)需求主要包括傳統(tǒng)頻道播出系統(tǒng)、媒體資產(chǎn)管理系統(tǒng)、網(wǎng)絡(luò)電視臺系統(tǒng)、官方微信、官方微博、戶外大屏。傳統(tǒng)播出系統(tǒng)是一個相對封閉的系統(tǒng)，安全性較高，傳輸?shù)讲コ鱿到y(tǒng)通過PCI-E安全鏈路進(jìn)行數(shù)據(jù)輸出；媒資系統(tǒng)也是相對安全的系統(tǒng),通過內(nèi)部安全認(rèn)證機制進(jìn)行安全處理；到網(wǎng)絡(luò)電視臺可以通過數(shù)據(jù)入口的安全系統(tǒng)進(jìn)行處理，經(jīng)過安全網(wǎng)關(guān)后數(shù)據(jù)輸出，還需在設(shè)定的物理鏈路上進(jìn)行數(shù)據(jù)訪問控制，只允許數(shù)據(jù)輸出，不允許數(shù)據(jù)寫入，從而保證數(shù)據(jù)出口安全。數(shù)據(jù)出口也預(yù)留了單獨的安全出口，方便數(shù)據(jù)輸出到其他有需求的業(yè)務(wù)網(wǎng)絡(luò)。

圖4　網(wǎng)絡(luò)出口安全設(shè)計圖

5　總結(jié)

全媒體內(nèi)容生產(chǎn)是一個新的內(nèi)容生產(chǎn)形態(tài)，在節(jié)目內(nèi)容來源、制作方式，發(fā)布渠道、審核方式等都有很大變化的情況下，通過對全媒體內(nèi)容生產(chǎn)網(wǎng)絡(luò)數(shù)據(jù)流向的分析，對安全范圍進(jìn)行梳理，就可以很精確地找準(zhǔn)安全要點，對癥下藥，在網(wǎng)絡(luò)環(huán)境和使用環(huán)境更加復(fù)雜的全媒體生產(chǎn)域做好安全防范。

[1]巫黎黎.文件安全傳輸系統(tǒng)的設(shè)計與實現(xiàn)[D].成都：電子科技大學(xué)，2013.

[2]蔣云山.海量素材與非線性編輯網(wǎng)絡(luò)文件傳輸系統(tǒng)設(shè)計[J].影視制作，2015(1)：65-69.

[3]宋強.齊貴寶，曹沖，等.基于嵌入式Linux下安全文件傳輸系統(tǒng)的設(shè)計[J].吉林大學(xué)學(xué)報(信息科學(xué)版)，2012，30(4)：397-402.

[4]池俐英.云安全體系架構(gòu)及關(guān)鍵技術(shù)研究[J].電腦開發(fā)與應(yīng)用，2012(6)：20-22.

楊樹海(1974— )，副高工程師，從事網(wǎng)絡(luò)技術(shù)維護(hù)工作。

責(zé)任編輯：時雯

SafetydesignofmediumandsmallTVstationallmediacontentproductionnetwork

YANGShuhai

(Zhangjiakou Radio and Television Station，Hebei Zhangjiakou 075000，China)

Intheprocessofdesigningallmediacontentproductionplatformofsmallandmedium-sizedtelevision，howtodesignnetworksecurityisintroduced.Bytheentrancesecurity，systemsecurity，safetyexitthesectionaltypesafetydesigntoachievethedesignofnetworksecurity，realizetheproductionnetworkdatasecurityprotection.Detailedintroductionofthewholemediaproductionnetworkaccesssecuritydesign，systemsecuritydesignandexportsecuritydesign，forthemediumandsmallTVplatformforthewholemediaproductionsafetyconstructionofanewsafetycontrolmode.

allmedia；contentproduction；datasecurity

TP317.4

ADOI：10.16280/j.videoe.2016.08.015

2016-06-02

文獻(xiàn)引用格式：楊樹海.中小電視臺全媒體內(nèi)容生產(chǎn)網(wǎng)安全設(shè)計[J].電視技術(shù)，2016，40(8)：80-83.

YANGSH.SafetydesignofmediumandsmallTVstationallmediacontentproductionnetwork[J].Videoengineering，2016,40(8)：80-83.