廣播電視制播網絡邊界數據交換安全及效率分析

黃永芳

隨著信息產業與新媒體行業的快速發展，廣播電視呈現信息化，網絡化的趨勢，尤其是5G網絡牌照的發放，給未來廣播電視帶來了極大的機遇與挑戰。網絡在廣播電視系統中廣泛應用，為廣播電視節目制作與播出帶來了極大便捷。但是由于網絡的開放性，網絡安全問題日益突出。計算機網絡病毒層出不窮，也為網絡安全帶來了極大挑戰。為實現廣播電視數字化的總體目標，隨著廣電行業數字化建設進程加快，廣電行業的數字化建設也呈現出新的特點。制作類業務逐漸向利用混合型網絡環境轉變，新媒體等與制播網絡隨時頻繁大量交換數據，給制播網絡邊界數據交換提出了新的安全效率要求。

1 廣播電臺制播網絡邊界數據交換現狀

傳統業務模式中制播與外部網絡沒有直接的網絡連接，各類數據通過P2P卡或者藍光等介質承載在上下載工作站導入導出，在工作站上進行數據傳送，這樣的數據交換方式在一定程度上限制了網絡化制播業務發展需求。同時制播系統邊界業務類型復雜，包括媒資檢索瀏覽，節目生產管理信息交換等新增業務的發展，對于網絡化提出了更高的要求。而傳統業務需要攜帶介質到上載工作站操作，影響節目制作的時效性；移動存儲設備在網絡環境中使用，工作站殺毒軟件只能離線更新，則存在很大的安全風險[1]。

網絡安全是保證廣播電視正常應用的前提，只有加強網絡安全技術措施的應用，才能保證廣播電視系統安全運行。當前流行的網絡安全技術主要有病毒防護技術，數字身份認證技術，數據加密技術，訪問控制技術等。

為解決數據交換時效性問題，一些單位采用共享存儲體交換設備進行邊界數據交換，通常在制播系統邊界部署跨網段存儲設備，由制播網絡終端設備取回數據，媒體數據交換設備分為內外兩個模塊，模塊間基于USB等非線纜開發軟件，但只能解決數據交換時效性問題。目前一些新建全臺網絡系統在部署多種安全設備，但如何進行有機結合，缺乏完善的解決方案。

2 廣播電臺制播網絡邊界數據交換需求

制播網絡邊界數據交換行為按涉及的制播業務系統分為制作系統、媒資系統、收錄系統等。制作系統包括原始的音視頻文件，以及通過視音頻共享系統下載的外來文件等，還有低碼率文件瀏覽，如新聞部門編導在辦公網中瀏覽新聞素材。

媒資系統包括低碼率文件瀏覽，通過多種檢索方式查詢。下載請求，外部用戶提交下載請求，將資源在制播系統內遷移。節目調用，提交資源調用，媒資系統將資源進行跨邊界傳輸。

審片系統是用戶在辦公網絡中審閱成片。收錄系統是外部用戶想制播網絡中收錄系統提交約傳單。其他系統有新員工身份信息需同步至制播網絡內身份認證系統，需要送至制播系統，節目生產管理系統需獲得節目制作進度等信息。

2.1 交換類型與流程

數據交換需求類別包括文件交換，存在系統交互的數據交換，流媒體數據交換。制播網絡邊界上文件交換需按帶編目信息與不帶編目信息分別考慮，以FTP協議為例討論文件交換流程。

不帶編目信息文件可直接使用FTP協議下載到制播網絡，帶編目信息文件通常業務部門調用節目，調用節目流程由外部用戶向媒資系統提交請求，將媒體文件推送至制播網絡外的某FTP服務器。節目歸檔采用FTP交換，制播網絡內接口服務器運行守護進程，外部用戶將媒體文件放置到特定位置，守護進程發現下載XML文件[2]。

目前常見的媒資等業務系統用戶使用界面大多采用B/S架構設計，訪問系統服務器獲得需要信息提交數據到制播系統內服務器端處理。

與媒資、文稿系統的交互過程需要進行低碼率文件內容瀏覽，外部客戶首先訪問Web服務器，Web服務器返回流媒體服務器地址等信息，客戶端向流媒體服務器請求內容，向客戶端發送請求內容。一些特定應用需在制播系統與外部系統間進行制定端口數據交換。

2.2 安全需求

在信息系統中，業務功能主要通過應用操作與網絡通信環節實現，如信息系統中使用者經認證，其操縱符合規定，可認為系統中不會產生攻擊性安全事故。

制播網絡主要面臨漏洞供給，口令猜測等安全風險，實現邊界數據交換安全，需要通過邊界服務器端采用可靠的操作系統，適應密文傳輸FTP服務器端軟件強化安全配置，包括賬戶管理策略，更改軟件banner，建立完善的防惡意代碼機制，清除木馬等，流媒體服務可使用加密技術。Web服務器部署可靠的安全策略，包括防止跨站腳本攻擊等攻擊非法手段。專有應用數據交換應盡量采用自定義端口，對制播網絡外數據源進行安全加固處理。

3 廣播電視網絡數據邊界交換策略

為減少業務板塊間的邊界數量，在全臺網中建立數據交換區，作為數據交換的安全實現區域。臺內網業務區域通過數據交換區網絡設施連接，制播網絡邊界數據安全交換的基礎是保證交換區網絡安全連通。需在數據交換區與業務區間采用主備鏈路實現冗余備份。在數據交換區與辦公網絡，電臺業務區域間分別部署防火墻進行訪問控制。數據交換區內部采用支持雙機熱備的交換機。

3.1 文件交換功能設計

對區域內網絡設備進行安全加固，在數據交換區與辦公網絡，電臺業務域部署安全網關系系統，通過光纖級聯，檢測網絡流量。分散區域內的安全設備管理權限，使操作與日志審核員分屬不同角色。

實際運用中，可將新媒體業務域與電視臺業務域的邊界進行合并防護，通過虛擬防火墻對三個邊界進行邏輯隔離，可利用私有協議降低蠕蟲攻擊行為的威脅[3]。

對純文件的交換，采用SFTP協議進行，SFTP是FTP協議的替代，實現文件加密傳輸，避免被安全威脅。SFTP客戶端將文件上傳至指定目錄，通過用戶身份認證機制進行安全控制。SFTP客戶端通過身份認證后下載文件。

3.2 系統交換功能設計

全臺網是為完成特定信息共享進行交互的端系統相關資源集合。辦公，電臺等業務板塊可視為應用區多子區域。區域網關通過安全插件實現身份認證等安全策略。網關在網絡平臺獲得可靠數據傳輸服務。每個子區域通信在邏輯上隔離。

數據交換區是各區域互聯的網關，需保證離開邊界數據被授權得到保護，需保證只有合法訪問請求才能通過邊界。設計數據交換區可采用反向代理服務器實現對會話的封裝，代理服務器將接收到的服務請求進行身份認證，將請求發送到制播網絡中實際媒資系統服務器，可依據邊界通信流量設置多臺反向代理服務器。

首先需保護代理服務器操作系統安全可靠。需通過操作系統賦予服務器系統主動防御能力。通過強制訪問控制機制限制用戶權限，防止越權訪問。缺乏服務器重要數據無法被非法泄露。通過執行程序真實性確保服務器操作系統無法被病毒等惡意代碼破壞，通過數據加密保護機制，確保非授權用戶無法獲取重要數據。

通過用戶行為審計機制，防違規行為抵賴。漏洞掃描系統對數據交換區進行脆弱性掃描。通過在代理服務器使用安全功能插件，對數據提供機安全防偽。典型的安全服務包括加密，病毒防護，審計等。

3.3 流媒體數據交換功能設計

流媒體瀏覽業務應用分為數據量較小及數據量較大的情況，數據量較小的情況，可直接訪問流媒體服務器獲得資源，控制能訪問流媒體資源的用戶身份。

數據量較大的情況，可在部署流媒體服務器，將制播網絡中的流媒體資源同步到交換區。對各區域專有應用業務，可啟用定制規則實現數據交換。

4 結語

網絡安全在廣播電視傳播中是重要的系統工程，需要仔細考慮安全技術要求，結合各種安全技術，才能形成高效安全的廣播電視系統。必須加強對網絡安全技術的研究，實現廣播電視持續發展，本文分析了全臺網絡制播系統邊界數據交換行為，借鑒對應用區域邊界安全體系結構模型研究成果，簡化全臺網業務板塊數據交換，實現制播網絡邊界數據的安全高效交換。