淺析“金墻”病毒隔離墻的功能及應用

金梅

摘要：該文簡要介紹了金墻病毒隔離墻的系統模式、原理、特點及在電視制作網絡中的實際應用。

關鍵詞：電視制作網;隔離墻;使用方法;網絡安全

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）32-0043-02

如今數字化、網絡化技術的飛速發展，國內各家電視臺都投人大量資金建設電視節目制作網絡和電視節目播控網絡，最大限度地實現資源共享，提高節目制作和播出效率。然而在提高工作效率的同時，也帶來了一定的安全隱患，如果有一個網絡終端被病毒感染了，那么整個制播網絡就有可能被病毒攻擊而癱瘓，因此造成的重大事故是不可挽救的。因此，搭建一個安全的制播網病毒防控體系就顯得尤為重要。

“金墻”病毒隔離系統有效地解決了這一問題。它通過控制病毒傳播途徑，即外設存儲傳播，實現病毒隔離。“金墻”病毒隔離系統主要用來控制通過計算機各種外設端口接人系統的存儲設備（比如USB存儲設備、移動硬盤，藍光，P2卡等），對這些存儲設備的內容進行過濾，并對進入計算機系統的文件進行基于內容的檢驗，達到防止惡意程序通過外設端口危害計算機的目的。

1“金墻”病毒隔離系統的系統模式

1.1系統模式

“金墻”病毒隔離系統采取C/S架構，使用“分散配置，集中管理”的方式，把系統分為服務器端和客戶端。“金墻”服務器的硬件設備是一個標準的2U機箱，其采用進口硬件及優質的服務器的設計工藝，包括電源、風扇、機箱工藝、防震特性等。它的軟件部分是需要安裝在服務器系統里的。“金墻”的客戶端是以軟件的形式存在的，它需要安裝在需要保護的編輯機上，操作界面簡單、快捷，用戶可以直觀地在客戶端上看到需要訪問的設備及文件。用戶基本感受不到正在使用“金墻”軟件，軟件就像保護傘一樣保護著編輯機。

1.2防病毒的原理

“金墻”病毒隔離系統采用傳統的白名單過濾方式，它支持文件格式有很多種：像常見的視頻文件MP4、MPG、AVI等、圖片文件有JPG、TGA等、文本文件TXT、DOCX和一些網絡媒體文件等;以文件為單位（文件夾不行），對文件內容進行嚴格分析、匹配和過濾，如果文件經檢測后不符合設置要求，那么就無法通過，這樣就最大限度地、有效地將病毒及病毒偽裝的文件隔離掉。在設計上遵循“除非明確允許，否則就禁止”的白名單基本原則。

1.3防病毒的方式

“金墻”病毒隔離系統通過對移動磁盤的控制，屏蔽其他無關文件，嚴格控制從USB、1394、SD、Express PCI等主流上載設備接人的磁盤，光盤，藍光等設備，直接屏蔽對無關文件的訪問并對已知文件內容進行校驗，實現對上載內容的過濾，達到防止病毒人侵效果。

2“金墻”在非編制作網中的實際應用與操作

非編制作網雖屬于局域網，但外來素材比較多，為確保網絡安全，我們臺在制作網內安裝了“金墻”病毒隔離系統。

2.1設置服務器IP地址

在安裝“金墻”軟件之前要將它的IP設置好。具體操作步驟如下：

在安裝光盤內找到IpConfig.exe，運行IpConfig.exe，設置服務器IP地址，并將輸出文件設置到任意一個u盤根目錄上。文件名為默認即可;然后將u盤插入服務器USB接口大約二十秒左右插出，等待服務器重新啟動，這個過程大約需要1分鐘。設置完成。

2.2客戶端的安裝

第一步，我們要先把“金墻”的服務端安裝好。首先在服務器上插入加密狗（藍色的），然后雙擊“AUTORUN”，點擊安裝服務器端。依次安裝.netframework和服務器端。安裝好后，雙擊桌面“金墻服務器”快捷方式，啟動服務器版。服務器軟件啟動后，會在右下角添加托盤圖標（圖1）。用戶點擊最小化時，程序隱藏到托盤;當用戶需要查看或操控時，雙擊托盤圖標（圖1），服務器軟件界面就會彈出來。服務端安裝完成。

在“金墻”服務器的操作界面上主要包含有兩個模塊即監控模塊和日志模塊。監控模塊的作用是監控在服務器上已經注冊的所有客戶端的運行狀態，并以圖形和列表的方式顯示出來，供使用者查看。被監控編輯機在服務器上有三種顯示狀態，分別為：離線狀態、無保護狀態和保護狀態。如果是離線狀態則表示被監控的設備沒開機開機或與服務器的網絡連接出現了問題;無保護狀態就說明該設備雖然正常運行，但是用戶沒有將客戶端軟件打開，處于未被保護狀態;保護狀態則是正常狀態，說明該設備運行正常，而且是在“金墻”系統的嚴格保護之下。每臺被監控計算機會向服務器端報告自身的設備信息，同時顯示在被監控計算機信息欄內。

日志模塊的作用同其他計算機軟件的作用一樣，是用來記錄計算機的異常行為的，如果設備發生故障，到日志里查看，基本上能找到原因。

第二步安裝客戶端。在編輯機上插入加密狗（紅色的），雙擊“AUTORUN”，點擊安裝客戶端。依次安裝.nefframework、VS2005、VS2008和服務器客戶端。安裝完成后，桌面上也會出現如圖1的托盤圖標，軟件運行時沒有界面，在右下會添加“金墻”的托盤圖標。運行軟件，接入需要的外圍移動設備，桌面上會自動彈出一個文件選擇界面（如圖2）。

該界面左面顯示的是盤符以及該盤符下所有文件夾和根目錄下文件的名稱;中間部分是通過的文件后綴選項;右側顯示的是用戶所選擇的目錄里所包含的文件內容，也就是需要掃描的文件列表。用戶選擇好要檢測的文件或文件夾后，點擊確定即可，“金墻”會對選擇的文件進行檢測，通過掃描的文件，會在該文件的圖標上顯示一個綠勾。如果需要掃描的文件很多，在未完成掃描前，外圍移動設備是不可用。經過檢測后，文件會出現三種情況：一是不可見，你在文件瀏覽器里根本找不到該文件，這說明此文件是不被允許通過的;第二種是你看見該文件了，但找不開，說明這類文件允許通過，但經過深層檢測后，有不合要求的因素存在，比如偽裝的或格式不在用戶允許范圍內的;最后一種就是完全合格的文件，我們既能看到，又能找開，也可以進行任意的正常操作，不會受任何不必要影響。

以上就將“金墻”的服務器和客戶端都設置好。下面進入實際操作：

運行“金墻”客戶端軟件，接人外圍移動設備，編輯機桌面上會自動彈出文件選擇界面。（如圖3）

用戶在該界面的左側選擇需要掃描的文件或文件夾，該文件或文件夾里的文件就會被添加到右邊的文件列表里面。用戶還可以在文件列表里進行再次選擇需要掃描的文件，這樣可以節省掃描時間;也可以選擇一個文件夾后，勾選“選擇所有子目錄”，這樣文件夾里所有的文件都被選擇上了。選擇好要檢測的文件后，點擊確定即可，“金墻”會自動對選擇的文件進行掃描檢測。

如果外圍設備是攝像機的存儲卡，那么一定要勾選“自動關聯P2文件”，然后點擊“攝像機卡”，這樣才能進行文件掃描。

掃描好了，通過的文件圖標上會顯示一個綠勾（如圖5）。這樣我們就可以對該文件隨心所欲地進行剪輯了。

我們臺節目制作網里的每臺非編上安裝了“金墻”的客戶端，只要有存儲設備接入非編，“金墻”就會自動對存儲設備進行掃描，顯示設備上允許通過的文件，對不允許通過的文件進行屏蔽，實現對上載內容的過濾，達到防止病毒入侵效果。

【通聯編輯：光文玲】