如何構筑安全高效的廣播信息交換平臺

桂良付

摘 要 互聯網的出現，信息呈現爆炸式增長態勢，這就要求廣播新聞記者、編輯需要快速且安全地將即時發生的新聞事件進行采編、制作成音視頻節目播出，為聽眾提供更及時、豐富的信息。而信息的獲取、編輯、發布均需要可靠的網絡交換平臺，對傳統的廣播媒體而言，搭建一個安全穩定的信息交換平臺特別重要。

關鍵詞 廣播；網絡交換；文件安全傳輸；共享平臺

中圖分類號 G2 文獻標識碼 A 文章編號 1674-6708（2017）194-0054-02

隨著廣播電視節目類型的多元化趨勢不斷發展，每日播報信息量以幾何級數增加，海量信息的檢索、編輯、播出也要求電臺技術體系實現節目制作、播出的自動化和數字化，實現音視頻節目的互聯網采集、桌面制作、硬盤存儲、網絡傳輸。

為了利用現代高新技術手段，對電臺各種信息資料進行科學化管理，使信息資料存儲數字化、資源集成化（數據庫化）、管理標準化、提供網絡化，實現資源共享，就需要建立全臺無縫的數字化信息交換平臺。

高速地互聯互通是廣播數字化信息交換平臺的一個關鍵，另一個關鍵是安全。互聯互通的基礎上，如果播控系統受到外部網絡的病毒侵襲和黑客攻擊，則是對安全播出的一項重大考驗，因此做好安全隔離，確保在安全的環境中進行高速的信息交換，這是這個數字化交換平臺的核心問題。這個交換平臺的安全功能應該包括以下幾點。

1 病毒過濾與清除

能夠對電臺各部門、人員所有進行交換的文件進行統一、強制的病毒檢查與清除，防止各類文件病毒駐留到文件存儲系統。

2 集中存儲與訪問權限管理

所有需要在記者、編輯等工作人員間共享的文件、對外發布的文件以及從外部接收的文件都通過集中安全文件共享平臺進行存儲和管理，能夠加強共享文件的安全管理和文件存儲安全，防止非法篡改文件、越權訪問文件存儲系統、偽造身份上傳、下載文件以及惡意破壞文件等行為的發生。

3 主機安全加固

能夠有效保障文件存儲主機的安全，防止木馬程序駐留主機導致存儲文件的主機工作異常、主機被遠程控制等安全威脅。

4 抗外部網絡攻擊

由于需要經常通過互聯網收發各種文件，因此，防御DDOS、蠕蟲等各類外部網絡入侵攻擊也是重要的技術要求。

5 文件安全檢查

文件安全傳輸與共享平臺應具備強大的文件安全檢查能力，只允許電臺工作需要的TXT、DOC等文本文件和AVI、MPG、WAV等多媒體音視頻文件進入共享平臺。避免與業務無關的文件或偽造成業務文件的病毒、木馬文件進入文件共享系統。

6 關閉高風險的對外服務

在電臺工作人員容易使用文件安全傳輸與共享平臺的前提下，應保證在通過公共網絡傳輸文件時，文件傳輸的機密性、文件傳輸的安全性，防止黑客利用文件傳輸服務的漏洞控制和破壞共享文件。

基于上述的思路，整套文件安全傳輸與共享平臺設計“以文件共享服務器為存儲核心，以隔離安全設備防病毒網關等為安全防御核心”的文件存儲體系，采用TDI技術為使用者提供完全透明的文件上傳、下載、共享與交換中的安全認證與權限管理服務，通過包括安全設備、防病毒網關、應用進程安全白名單系統在內的安全子系統，為整套文件安全傳輸與共享平臺提供完整的安全防御體系，主要有：完善的身份認證、文件讀寫權限控制、服務器及網絡安全防護、文件傳輸安全保護等。

文件安全傳輸與共享平臺的包括以下幾個部分：

1）客戶端子系統；

2）統一訪問接口；

3）文件存儲子系統；

4）數據鏡像與分發子系統；

5）管理子系統；

6）安全子系統。

6.1 客戶端子系統

客戶端主要是指訪問文件安全傳輸與共享平臺的所有主機，包括辦公文稿網上的主持人、編輯人員的個人電腦，駐站記者的電腦、移動辦公電腦以及新媒體服務器等。我們把客戶端分為兩類，一類是內部用戶，主要是需要編輯、制作節目的客戶端電腦。另一類是其它應用系統，如流媒體服務器軟件調用媒資音視頻文件。第一類設計采用WDM驅動技術建立類似本地硬盤的虛擬磁盤，使工作人員在共享使用文檔時就可以像使用本地硬盤一樣使用網絡存儲陣列上的文件，同時確保了文件交換中不使用SMB、FTP、HTTP等高風險的服務。對于第二類客戶端，設計采用開放的WebService服務和Socket APIs方式為所有應用系統提供訪問媒資系統文件目錄的接口，因為WebService具備跨平臺的兼容性，任何應用程序尤其是WEB應用系統很容易通過WebService接口訪問媒資系統文件目錄。

6.2 統一訪問接口

統一訪問接口是設計用來加強對文件訪問的權限管理、日志記錄和審計，同時也為今后新媒體、新廣播的擴展提供了跨平臺的接口，相較于FTP、文件共享方式，也具有較高的安全性。統一訪問接口設計同時支持兩類接口封裝形式，一類是Socket APIs。第二類是互聯網上通用訪問接口類型WebService接口。統一訪問接口采用身份認證機制，考慮到對操作人員的管理和單點登錄的建設需求，我們設計采用口令+指紋認證的多因素認證機制。

6.3 文件存儲子系統

文件存儲子系統的主要功能是存儲共享文件，并控制用戶對文件的訪問權限。文件存儲子系統的目錄結構采用樹形結構設計，可以有管理員進行劃分管理，分為3層結構，其結構圖1所示。

6.4 數據鏡像與分發子系統

數據鏡像與分發子系統設計為節點狀態監控功能，能夠實時向管理員提供以下信息：

1）網絡連接狀態；

2）實時文件發布系統的工作狀態；

3）當前文件發布系統的網絡流量；

4）失敗文件數、已鏡像文件數；

5）非法文件阻斷數；

6）當前鏡像系統CPU、內存使用率情況。

6.5 管理子系統

管理子系統主要包括：日志記錄審計功能、任務調度功能和用戶權限管理功能。

6.6 安全子系統

安全子系統是文件安全傳輸與共享平臺中的關鍵部分，它用于全面防御各種網絡攻擊、提供單點登錄身份認證系統的支持、識別音視頻文件格式等安全任務。

安全子系統主要由隔離安全設備、防病毒網關等硬件安全設備以及相應的安全軟件組成。

1）通過使用統一訪問接口以及WDM虛擬磁盤技術，所有節點都不需要向用戶開放FTP、文件共享、RPC等開放服務，能夠有效防止病毒攻擊。

2）隔離安全設備具備強大的抗DDOS攻擊、網絡滲透攻擊的能力，能夠保護文件安全傳輸與共享平臺的主機安全。

3）采用文件格式檢查技術，僅允許TXT/DOC/AVI、MPG/WAV等格式文件能夠進入文件安全傳輸與共享平臺，其它文件類型被自動清除，防止病毒、木馬進入媒資存儲區。

4）在同一訪問接口上采用加密通訊機制，防止用戶機密賬號、口令被竊取，并能防止黑客利用APIs訪問媒資系統。

5）采用云安全技術，以實現對超過4000萬種病毒進行在線查殺，有效實現對最新文件病毒的查殺。

整個平臺結構如圖2所示。

通過網絡化數字化的發展，互聯互通技術提升了廣播節目效率和質量，但安全播出始終是廣播事業發展的基礎，只有構筑安全的信息交換平臺，確保信息交換過程中每一環節的安全，我們才能真正享受網絡科技給我們帶來的成果。endprint