非編網系統安全保障及策略探討

黎 梅

（作者單位：廣西廣播電視臺）

社會經濟的穩步發展，使人們的生活水平越來越高，在物質需求逐漸被滿足時，人們便開始追求精神方面的富足。如今，我國影視行業的發展迅猛，各類媒體處理技術升級速度極快，人們對音視頻質量的要求也愈發提高。非編網系統在各廣播電視臺新媒體行業的使用，進一步提高了工作效率及音視頻的質量。

1 非編網系統安全保障的必要性

隨著計算機、網絡技術的不斷發展，非線性編輯技術也取代了原有的音視頻后期制作模式，不僅大大提高了音視頻的制作質量，縮短了后期制作時間，還提高工作效率。現如今，非編網系統已經成為各類音視頻后期制作時應用的重要設備，其基礎構架為計算機基礎配置、非線性編輯卡、非線性編輯軟件。

在使用非編網系統的過程中，后期人員首先使用數字壓縮技術，將原始視頻素材格式進行數字化轉換，并錄入計算機硬盤之中。其次，使用非編網系統，對該原始素材進行編輯。非編網系統能將錄音機、調音臺、字幕機、數字特技臺等設備的多種功能統一集成至非線性視頻工作站（即非編網系統主機）中，后期人員只需通過計算機的圖像生成技術，在計算機軟件中對各類原始素材進行編輯和操作，將對應的處理結果直接錄入計算機硬盤等記錄設備之中[1]。在進行非線性編輯時，原始素材以數字化模式儲存于計算機硬盤之中，且數據文件的儲存位置以并列或平行形式存在。因此，工作人員可以直接對儲存于計算機硬盤中的數字化音視頻素材進行隨意組合、排列、編輯，大幅度地提高了影視后期制作的便利性及工作效率。

非編網系統的開放度極高，能夠提高后期制作的靈活性，但系統在為工作人員帶來便捷的同時，也存在諸多安全隱患。后期制作人員會在非編網系統中交流或共享各類文本、圖片、音頻等網絡素材，因此，非編網系統并不是完全封閉的。例如，廣播電視臺在制作各類強時效性的新聞節目時，需要與其他網絡平臺進行交流和溝通，且交互信息量極大。一旦在信息交互或共享時出現病毒入侵或遭遇黑客攻擊，便會引發事故。輕則導致單個工作站點無法正常工作，影響節目的編輯與制作，重則導致整個網絡系統的癱瘓或崩潰，節目也無法安全播出。由此可見，提高非編網系統的安全防護等級極為重要。

2 非編網系統安全保障機制

2.1 網絡結構保障機制

穩定安全的網絡結構是確保非編網系統能夠正常運行、高效工作的必要前提。在進行非編網系統設計時，選用以太網與光纖網結合的網絡架構，或純以太網的網絡架構。而對于非編網系統內部的共享儲存，可使用IP-SAN（Internet Protocol Storage Area Network，一種基于IP網絡的存儲區域網絡解決方案）或NAS head + FC SAN（Network Architecture Search head +Fibre Channel Storage Area Network，網絡結構搜索+光纖通道式儲存區域網絡的方案）。

2.2 硬件結構保障機制

在設計非編網系統的服務器與儲存系統時，應考慮其在持續運作或超負荷工作時可能存在的單潰點故障等問題，選擇主備冗余設計。而非編網系統的素材管理元數據控制器（Meta Data Controller, MDC）服務器，可使用集群工作模式。為有效提高非編網系統硬盤組的實際工作效率，應選用RAID 1（獨立磁盤冗余陣列）并接法，以確保硬盤穩定運行。完善服務器的模塊化設計，確保當不同模塊的工作出現問題時，不會影響到非編網系統的全局工作。單機工作站需額外配置獨立的本地素材管理庫，保障在無網絡環境下依然可以正常工作[2]。另外，非編網系統的硬件結構還應搭配控制器、風扇、冗余電源等，確保非編網系統的硬件結構能穩定運行。

2.3 軟件系統保障機制

非編網軟件系統保障機制可分為操作系統和共享軟件系統兩部分。通常情況下，非編網的操作系統多為具有高穩定性的微軟企業服務器操作系統，并使用異構操作系統的核心服務器，確保操作系統不接受外部非授權用戶訪問。共享軟件系統方面，通常使用存儲區域網絡（Storage Area Network, SAN）共享管理軟件，該軟件特意針對廣播電視行業開發了部分功能，能滿足非編網系統下的節目制作需求及各類功能要求，還具備數據備份、軟件備份功能與自動均衡機制。

2.4 數據資源保障機制

數據庫是非編網系統的核心組成部分，在應用非編網系統制作節目時，必須要保障數據資源的安全性，降低數據庫出現故障的可能性。非編網系統的數據庫是管理、儲存信息的模塊，能保存電視節目在播出過程中的串聯單或中文稿。若非編網系統的數據庫出現故障，必然會耽誤廣播電視臺的正常工作進度，數據庫故障嚴重時，還可能會導致整個非編網系統崩潰，丟失素材、數據，給廣播電視臺的工作造成難以估量的損失。因此，工作人員在日常工作中必須加強對數據管理、數據儲存的防護力度，與此同時，應合理分配硬盤儲存空間，借助空間監控機制或數據管理工具，優化分類管理，提高非編網系統數據庫的安全性。除此以外，工作人員還需確保非編網系統中儲存的各類數據信息不被盜竊、篡改或損壞。因此，在構建數據資源保障機制時，需要在執行數據傳輸后，設置MD5校驗或高等級的安全認證。

3 非編網系統的安全保障策略

3.1 物理隔離

在設計非編網系統的安全保障方案時，必須要加強非編網系統的防御能力，確保系統可抵御來自外部的攻擊或局域外的病毒，切斷非編網系統與互聯網之間的聯系。與此同時，在節目后期制作期間，需要后期人員在互聯網平臺上尋找豐富的素材，如節目中插入的圖片、音頻、欄目角標、視頻廣告等，均需以數據文件的形式導入非編網系統之中。各類外來數據文件的導入可能使非編網系統面臨感染計算機病毒的風險。因此，工作人員還需構建針對性的非編網系統病毒隔離機制，防范外界病毒的入侵，將來自互聯網環境中的隱藏威脅隔離在非編網絡之外。例如，徐州廣播電視傳媒集團在設計非編網系統的安全防護方案時，選用了MRG9000數字視頻網絡安全系統，將其布設于外網與非編網之間，構建起互聯網與非編網之間的物理隔離帶，用于保護內網的安全。該系統使用雙核中央處理器（Central Processing Unit, CPU）技術。在其中一個CPU上，運行支持標準協議的專用系統，并開放外網接口，連接外部互聯網，接收各類可能存在安全隱患的素材或數據文件；另一個CPU則運行Linux系統，借助其白名單檢測功能，執行來自外部的數據、信息的深度分析與安全檢測工作。雙核CPU間會通過服務器及內網專用接口交換數據、信息，并采用硬件隊列技術完成數據擺渡。在電子開關的控制之下，緩存池的通道為分時控制，在任何情況下，緩存池只會連接其中一個網絡或系統，內網與外網之間沒有直接連接，實現了內網與外網之間的物理隔離[3]。

3.2 數據安全

數據是非編網系統的核心組成部分，因此工作人員必須加強對數據庫的安全防范力度。關于數據資源方面的安全保障工作可從以下幾點入手：

3.2.1 儲存空間管理

為進一步提高非編網系統數據庫的安全等級，要求工作人員加強對數據庫儲存空間的管理力度，合理分配儲存空間。工作人員要為非編網數據庫提供更為完善的硬盤儲存空間監控預警機制，同時，還要給非編網數據庫內部存儲的各類素材及信息配備相應的文件管理工具，制定針對數據庫內不同生命周期的數據文件，采取實時清理、定期處理等手段，及時清除素材庫內的過期文件、垃圾文件、臨時文件，以免無用文件占用內存，以此來完善儲存空間的管理。值得注意的是，為了避免數據庫內的信息被他人惡意篡改或偷竊，應拒絕授予普通用戶直接對儲存于硬盤內數據文件路徑修改或操作的權限，以此保護數據庫內各項信息的安全性，從源頭上杜絕信息泄露、信息被惡意篡改等安全風險。

3.2.2 應用集群模式

非編網系統數據庫的類型較多。以Oracle數據庫為例，工作人員可以將集群模式的理念引入Oracle數據庫中，準備兩臺或兩臺以上的數據服務器，處理復雜的非編網數據工作。在某一數據庫服務器出現故障崩潰無法訪問時，其他服務器可以立即“頂崗”，確保工作人員可隨時訪問數據庫內的文件資源。但在實際應用時，集群模式也存在一些隱患或技術問題。例如，構建并應用集群模式下的Oracle時，偶爾會發生各類程序錯誤，如腦裂、死鎖（宕機）等情況，嚴重時也會引起非編網系統的整體癱瘓。因此，是否需要應用集群理念，還需工作人員詳細分析當前廣播電視臺的工作量及工作模式[4]。

3.2.3 設計備份數據庫

為提高數據庫的安全性，工作人員可以設置備份數據庫，備份重要素材和數據文件。非編網主備數據庫服務器可采用熱備與冷備技術儲存的方式來管理數據庫中的信息。其中，熱備份指工作人員將數據庫中的各項數據信息實時傳輸至RAID 3的硬盤陣列中，冷備份則是要將數據庫中的內容備份到本地非編工作站里。這時，一旦主備數據庫和服務器發生故障，工作人員可以立即通過冷備份，快速恢復至本地非編工作站中最近一次保存備份時的狀態。在實踐中，可以使用數據熱備、數據導出相結合的方法，實現對關鍵數據信息安全的全面保障。若出現數據庫故障，可以在分析故障性質后，及時使用備份完成不同級別的數據恢復。例如，工作人員可以設置data guard服務器，并將該服務器設置為最大性能模式。在用戶登錄數據庫并執行下一步操作前，系統便會提前生成日志，并將其導入備份數據庫中，此舉能夠確保備份數據庫中的信息與主數據庫中的信息始終保持一致。最大性能模式可以保證備份數據庫發生故障時，主數據庫可自行調節至最優性能模式，待備用數據庫恢復后，便可立即進行高效的數據傳輸。音視頻數據的備份管理，需要在保證數據信息安全的基礎上，對其進行熱備份儲存。首先，工作人員要在文件傳輸協議（File Transfer Protocol, FTP）傳輸前后，對音視頻數據信息進行MD5校驗，或使其通過其他類型的安全認證，以免在備份或儲存過程中出現數據丟失、損壞的情況。其次，使用主備RAID 3硬盤陣列完成音視頻數據的實時熱備份。待編輯結束后，再將此類數據下載并儲存于本地非編工作站的硬盤當中即可。另外，在整理音視頻數據時，要注意將高碼率文件和低碼率文件分開儲存。

3.2.4 日志文件管理

非編網系統正常運行時，各應用軟件、管理軟件或操作系統中留存的日志文件，是幫助工作人員分析操作系統是否存在異常、異常成因或總結工作經驗的重要參考依據。因此，工作人員需要認真分析非編網數據庫中儲存的各類日志文件，并優化針對日志文件的管理工作。定期查閱非編網系統的故障處理日志、日常工作日志，編寫日志周報、月報等，確保不遺漏任何一次事關非編網系統安全性的日志內容。每周應由專業人員分析日志文件中的系統大事、設備歷史狀態及歷史運行參數等，每月根據日志文件內容形成相應的月度工作報告。

3.3 網絡安全

在確定非編網系統網絡結構、明確核心設備的裝配、選擇適宜的操作系統后，需由專業的網絡安全管理人員制訂網絡安全防護計劃。

首先，基于微軟企業版服務器操作系統對內網的訪問用戶進行統一管理。為使用非編碼系統的全部工作人員配置對應的用戶權限，確保所有從內網登錄的用戶能完成個人身份認證，并可通過系統的統一認證。加強對內網登錄人員的管理，嚴格控制用戶在非編網系統中的訪問權限及使用權限，確保各用戶均可在合法、合規的權限下，正確使用非編網系統，利用各類程序訪問各項資源。除此以外，還可以借助微軟企業版服務器操作系統自帶的日志功能記錄不同用戶登錄內網后的操作流程[5]。

其次，優化非編網系統的網絡監測力度。在常規的網絡維護中，需要對整個非編網系統的內部網絡進行全面、系統的監測，從而發現潛藏在系統內部的風險或隱患。工作人員可使用相應的檢測設備，根據設備廠商提供的檢測技術，對操作系統進行全方位的監控。為了提高網絡監測工作的有效性，安全管理人員還可以使用網絡監控管理軟件，對當前網絡內掛載的設備、網絡帶寬等進行實時監測，并在察覺異常時及時預警。具體情況如下：第一，查詢非編網系統下工作站、操作系統、數據庫等軟件與硬件的運行狀態，充分發揮出網絡監控管理軟件自帶的日志記錄、故障診斷、故障定位、故障預警等功能價值。第二，日常監測網絡性能，如當前數據庫的剩余空間、硬盤空間、網絡流量，以及平均響應時長等參數，并完整記錄于日志當中。第三，監控非編網系統中各音視頻素材的遷移狀況，以及在網絡環境下的各類網絡業務及網絡流程，查詢并記錄各類數據文件在儲存系統中的狀態及其遷移路徑。

4 結語

非編網系統的出現，改變了我國傳統音視頻的后期制作模式，是新時代背景下科技進步與發展的核心體現，為我國廣播電視行業的發展帶來了更多的選擇與機會。但同時，紛亂復雜的網絡環境中，也潛藏著許多危機及安全隱患。因此，必須健全非編網系統的網絡結構保障機制、硬件結構保障機制、軟件系統保障機制與數據資源保障機制，并基于非編網系統的實際應用情況，制定物理隔離、數據安全、網絡安全保護策略，進一步提高非編網系統的安全性與可靠性。