探討關于非編網系統的安全保障策略

劉浩令

摘 要：就如何運用各種安全保障策略，確保非線性編輯網系統（以下簡稱非編網）的安全、穩定、高效地運行，本文從非編網系統的網絡結構、硬件設備、數據管理、系統維護、防黑客攻擊方面，深入探討和總結（個人經驗）了一些關于非編網的安全保障策略。

關鍵詞： 非編網 網絡結構 數據管理 系統維護 防黑客攻擊 權限設置 數據庫服務器

一、網絡結構和硬件設備的安全保障

為了確保非編網能夠安全、穩定、高效地運行，首先要選定一個安全、高可用的網絡結構。目前設計非編網，網絡結構可以采用以太網與光纖網混合網絡結構，或純以太網網絡結構，而非編網的共享存儲系統網絡結構可以采用NAS Head+FC-SAN網絡結構，或IPSAN網絡結構等。

非編網核心服務器和共享存儲系統應采取主備冗余設計，以避免單潰點故障，數據庫服務器、轉碼打包服務器等采用主備冗余熱備份工作方式，管理素材文件的MDC服務器采用集群工作方式，各個服務器的系統硬盤采用RAID1方式。在線共享存儲系統采用主備鏡像FC硬盤陣列熱備份方案，每個硬盤陣列設置為RAID3等方式，配置雙控制器、熱插拔冗余電源、熱插拔冗余風扇，并配備幾只冷備份硬盤。FC交換機和千兆以太網交換機均采用主備堆疊熱備份工作方式，并交叉連接各個服務器和非編工作站，非編工作站的單點故障不會影響到系統正常運行。非編工作站單機具備上載、編輯、配音和合成功能，并配置本地素材硬盤陣列，在網絡故障時，非編工作站單機能夠獨立完成節目編輯制作工作。

二、數據管理和系統維護的安全保障

在非編網中必須合理地進行硬盤空間管理和分配，應配備完善的硬盤空間監控預警機制和數據文件管理工具，對網絡數據文件生命周期實施時效管理策略，定期整理和清除各類臨時文件和垃圾文件以及過期的、無用的素材文件，但不能讓普通用戶對硬盤的文件路徑進行直接操作，以確保硬盤中各種有用數據的安全和高可用。

在非編網管理和系統維護的五年實踐中，我摸索總結和積累了一些非編網的管理維護心得，個人幾點體會和認識與大家分享?，F具體歸納以下幾點：

1.創造良好的運行環境。采編播設備放置在機房里運行，機房環境會直接影響設備的運行狀態。機房環境主要包括四個方面因素：溫度、濕度、灰塵和電壓。

2. 建立并嚴格執行管理制度和操作規范。非法操作是設備故障發生的一大原因，這是單靠要技術手段解決不了的，需要建立管理制度和操作規范并嚴格執行。這方面我主要有三點體會：一是制度規范要明確、詳細，有可操作性；二是要執行到位；三是要長期重視。如果不是這樣，那制度規范將是一張空紙。反之，將會培養使用人員有一個良好的操作習慣，這對網絡的安全穩定起著重要的作用。

3. 做好信息歸檔。主要是五類信息歸檔：

① 設備檔案：記錄設備的型號、詳細配置、序列號、購買時間、技術支持電話等信息，以及該設備的重大事件，如內部部件的添換、固件的升級等等。

② 網絡拓撲圖和機房布線圖：制圖要準確、詳細、清晰，設備對應，線標一致，而在網絡調整、線路變動后都要及時同步更新圖表或做好標記。

③ 設置記錄：記錄網絡、關鍵設備、關鍵軟件的重要設置參數和更改事件。

④ 故障記錄：記錄每一次故障的發生時間、現象、原因、測查診斷過程、解決方法等，便于以后參考和總結分析。

⑤ 網管和和播出日志：網管人員對自己工作時段內的網絡運行情況做的詳細記錄，以利于下一班網管人員快速了解前一段時間的網絡運行狀態；同時也方便今后查詢。

有了這些歸檔信息，網管做起維護工作會更方便，分析處理故障時更快速，同時通過對積累的記錄進行整理比較分析，這對發現規律、預見故障和日常管理維護都有很大的幫助。

4. 嚴格安全管理

（1）嚴格設置人員的操作權限。要根據實際需要嚴格分配每一個用戶的權限，權限分配的原則是最小化，即分配滿足使用要求的最小權限。非編網中有二級權限設置，一是操作系統，二是非編軟件。

（2）日常備份。非編網擔負著日常新聞的制作工作，由于時效性強，對時間的要求很高，一旦發生故障，要能夠快速處理解決問題。因此我們平常要做好備份工作。 備份主要包括硬件備份、軟件備份、數據備份。

（3）應急措施。雖然在設計搭建非編網時已經充分考慮了安全性，但并不是100%安全，實際上也不可能做到100%安全，比如人為因素影響，因此應急措施必不可少。我們對保證網絡正常運行的各個環節進行仔細分析，制定出切實可行的應急預案并實地演練，做到每個網絡管理人員應知必會。

三、防黑客攻擊和防病毒的安全保障

為了預防網絡外部黑客的攻擊，可以部署IPS（入侵防御系統）、網閘等設備，通過網閘和私有協議對外部網絡（互聯網或辦公網等）進入非編網的所有文件進行文件格式過濾，自動導入指定格式的文件、一律隔離其他格式的文件，解決非編網和外部網絡數據交換的安全問題。

非編網絡安全性要求很高，首先要樹立非編使用人員有病毒、安全防范意識。其次是采取一些技術手段加以防范：關閉工作站上光驅及USB接口；設置CMOS密碼；非編網絡相對獨立，最好不與外網直聯；非編網與外界的數據交換，通過數據交換網關實現，在其上安裝有專業防火墻，實施監測。外來人員使用U盤或可移動盤拷貝數據時，必須先在辦公電腦上先經過安全檢測和殺毒后，方可拿到非編電腦上拷貝數據，如果安裝有“金山衛士”就會報警提示。一旦發現非編電腦系統出現異常，要進行全面排查和殺毒，網管員要及時對殺毒軟件進行病毒庫升級，并定期做病毒檢查。

結束語

為了確保非編網的高可用性，不僅要在非編網系統設計與建設階段就必須確保系統的安全性，而且系統建成正式啟用后，系統運行維護管理人員還必須嚴格按照網絡安全操作與運行維護規范和網絡管理規章制度，認真做好日常維護工作和網絡管理工作，確保非編網系統不出現任何安全隱患，并且一旦非編網系統出現問題，就必須按照應急處理預案及時進行應急情況處理，從而為非編系統安全穩定、高效地運行提供強有力的技術保障。