一、網(wǎng)絡(luò )特點(diǎn)及需求

隨著(zhù)計算機技術(shù)、視音頻技術(shù)的發(fā)展，“數字化、網(wǎng)絡(luò )化、自動(dòng)化”是目前廣播電視行業(yè)的流行語(yǔ)，也是各級廣播電視臺共同追求的目標，各地都紛紛投入大量資金搭建了（廣播）電視數字節目制作網(wǎng)和播出網(wǎng)。

非編設備的改良，播出設備的兼容性增強，使得非編與播出系統可以實(shí)現直接的打包文件傳輸播出，很多地方已經(jīng)實(shí)現了制播網(wǎng)絡(luò )一體化。與傳統的制播系統相比，網(wǎng)絡(luò )化的制播系統為我們帶來(lái)了不可比擬的優(yōu)勢，但也帶來(lái)了前所未有的安全問(wèn)題。

傳統制播系統是由一個(gè)個(gè)相對獨立的子系統組成，子系統之間主要采用SDI信號或者磁帶進(jìn)行數據傳遞。這樣的數據交換方式，雖然效率比較低，但是從一定程度上降低了安全風(fēng)險，安全隱患比較容易固定在子系統內，不易向別的子系統擴散。

安全播出歷來(lái)備受關(guān)注，在技術(shù)上我們主要通過(guò)各種IT設備、各級鏈路、系統協(xié)作等多層冗余機制，來(lái)提高系統的安全性和可靠性，以提升系統的應急響應能力，確保最終的安全播出。

而網(wǎng)絡(luò )化的制播系統由采集、制作、存儲、播出等多個(gè)業(yè)務(wù)子板塊構成，各個(gè)業(yè)務(wù)子板塊之間是相互連通的，基于網(wǎng)絡(luò )安全上的木桶原理和網(wǎng)絡(luò )的無(wú)邊界性，我們必須保證整個(gè)網(wǎng)絡(luò )的各個(gè)業(yè)務(wù)子板塊的安全才能保證最終的播出安全。

傳統的技術(shù)手段對于保證制播設備的正常運轉是行之有效的。但網(wǎng)絡(luò )化數字系統的運行卻面臨新的挑戰—病毒攻擊。由于計算機病毒已經(jīng)是無(wú)處不在，已經(jīng)對數字制播系統構成重大威脅，成為了很多廣電人士的心頭之恨，擔心和困擾揮之不去。目前，中?。◤V播）電視臺的網(wǎng)絡(luò )化普及率較高，病毒危害最深。大型（廣播）電視臺由于擔心病毒攻擊造成播出事故，安全責任重大，制播一體化工作一直不敢實(shí)施，造成設備和人員冗余、工作效率低下。

目前，大家采用常規的技術(shù)手段來(lái)應對，如加防火墻、封閉USB接口、軟件殺毒等措施，不僅費時(shí)費力，而且事倍功半，防不勝防。針對廣電數字制播系統的結構和數據特點(diǎn)，能夠安全、有效、放心地實(shí)現病毒隔離的防范系統，深受業(yè)內人士期盼。

安徽天虹數碼科技有限公司為此而設計的“紅旗-9”全臺網(wǎng)病毒防范系統，正是秉承以上制播網(wǎng)絡(luò )應用要求研發(fā)的。該系統采用“白名單”確認原理，通過(guò)板塊外病毒隔離、板塊間病毒隔離、病毒檢測定位手段，在快速、安全、完整地轉發(fā)對實(shí)時(shí)性要求極高的大數據量視音頻數據流的同時(shí)，切實(shí)達到了“業(yè)務(wù)板塊內安全”、“各個(gè)板塊間交互安全”以及“有效的病毒監測”等安全要求。

“紅旗-9”全臺網(wǎng)病毒防范系統主要技術(shù)內容和創(chuàng )新點(diǎn)包括：

1、國內自主研發(fā)的數字視音頻網(wǎng)絡(luò )專(zhuān)用安全系統，申請了發(fā)明專(zhuān)利，具有自主知識產(chǎn)權；

2、采用FPGA實(shí)現的專(zhuān)用安全引擎，對大數據量視頻流進(jìn)行實(shí)時(shí)檢查 ；

3、安全系統運行在特殊定制的操作系統之上，使通用平臺程序代碼無(wú)法在該系統上運行，從而有效地避免了通用計算機病毒和黑客程序的攻擊 ；

4、系統采用分離總線(xiàn)處理進(jìn)入和發(fā)出的數據流，任何網(wǎng)絡(luò )接口之間的通訊都必須通過(guò)視頻網(wǎng)絡(luò )安全裝置，切實(shí)做到了安全隔離。

5、通過(guò)可靠檢測確保病毒完全隔離，在設計上遵循——“除非明確允許，否則就禁止”的白名單基本原則，以文件為單位對傳輸內容進(jìn)行格式分析和過(guò)濾，任何問(wèn)題素材都不能通過(guò)。

二、系統描述

“紅旗-9”全臺網(wǎng)病毒防范系統是由安徽天虹數碼技術(shù)有限公司自主研發(fā)的計算機網(wǎng)絡(luò )邊界安全防護產(chǎn)品，是專(zhuān)門(mén)針對目前各（廣播）電視臺外部不可信網(wǎng)絡(luò )、移動(dòng)傳輸介質(zhì)向內部可信網(wǎng)絡(luò )的視音頻影像數據高速、安全導入而研制的，其部署于外部不可信網(wǎng)絡(luò )、移動(dòng)傳輸介質(zhì)與內部制播網(wǎng)絡(luò )之間，或內部網(wǎng)絡(luò )的各個(gè)板塊之間，實(shí)現了影像數據資料的受控傳輸、內容審查、內網(wǎng)網(wǎng)絡(luò )拓撲隱蔽、日志審計等安全功能，確保整個(gè)傳輸過(guò)程高速、安全、可控。其產(chǎn)品結構如下圖所示：

首先，為了保證全臺網(wǎng)中采集、制作、播出、存儲等各個(gè)業(yè)務(wù)板塊的網(wǎng)絡(luò )相互之間能夠正常連接、傳輸數據，并且保證板塊間數據傳遞安全，我們采用了在板塊和板塊之間設置網(wǎng)間病毒隔離墻的方法。

其次，為了確保制播網(wǎng)中的各個(gè)業(yè)務(wù)板塊的子網(wǎng)絡(luò )，在快速、高效地接受外部移動(dòng)存儲設備中數據的同時(shí)，不受移動(dòng)存儲設備中可能的病毒的侵害，我們采用了在外部網(wǎng)絡(luò )、移動(dòng)介質(zhì)與相應板塊的子網(wǎng)絡(luò )之間添加移動(dòng)存儲隔離墻的方法；

另外，為了保障對全臺制播網(wǎng)絡(luò )數據交換中心實(shí)施病毒監測，我們采用了病毒報警器，一旦在制播網(wǎng)中發(fā)現病毒，病毒報警器就會(huì )快速作出反應，提供實(shí)時(shí)報警。

“紅旗-9”全臺網(wǎng)病毒防范系統主要為下圖中的三個(gè)組成部分，我們分別介紹每個(gè)部分的系統特性和功能特點(diǎn)。

1、板塊內安全——移動(dòng)介質(zhì)病毒隔離墻

移動(dòng)介質(zhì)病毒隔離墻在設計上嚴格遵循——“除非明確允許，否則就禁止”的白名單基本原則，以文件為單位對傳輸內容進(jìn)行格式分析和過(guò)濾，以確保對USB設備、DVD光盤(pán)等存儲設備上的病毒進(jìn)行有效識別、并隔離。

移動(dòng)介質(zhì)病毒隔離墻在體系結構上采用軟硬件有機結合的設計理念，根據軟件和硬件之間的“協(xié)作”關(guān)系量身定制，充分發(fā)揮系統的潛力，保持較高的工作效率和穩定性，并且采用安全增強和優(yōu)化的操作系統，安全級別高，具有強大的功能特性。其典型的系統特性如下：

文件內容深度分析，通過(guò)對文件內容和格式的深度比對，讓非法文件無(wú)所遁形；

安全性高，通過(guò)用戶(hù)身份驗證、數據內容驗證等多種方式保證有效數據安全傳輸；

傳輸透明化，保證用戶(hù)迅捷的上傳、下載和選擇文件；

專(zhuān)有的傳輸協(xié)議，保證傳輸過(guò)程的安全性；

傳輸完整性檢測，通過(guò)收發(fā)雙方的MD5碼校驗，最大限度保證傳輸的正確性；

設備自動(dòng)搜索功能，用戶(hù)不需要進(jìn)行繁瑣的設置；

支持常見(jiàn)的視音頻、圖片以及文本等文件；

定制應用交換功能；

訪(fǎng)問(wèn)控制功能；

數字內容審查；

內網(wǎng)拓撲隱蔽功能。

通過(guò)在制播網(wǎng)各個(gè)業(yè)務(wù)板塊子網(wǎng)絡(luò )中運用移動(dòng)介質(zhì)病毒隔離墻，可以充分保障各個(gè)子網(wǎng)絡(luò )的安全，有效地防止外部移動(dòng)存儲設備中的病毒的侵入。如下圖：

2、板塊間交互安全——網(wǎng)間病毒隔離墻

網(wǎng)間病毒隔離墻是基于制播網(wǎng)絡(luò )各個(gè)板塊之間進(jìn)行病毒防護而開(kāi)發(fā)的一套產(chǎn)品，典型的應用是在制作網(wǎng)與播出網(wǎng)之間。通過(guò)對傳輸內容進(jìn)行分析，僅僅容許通過(guò)“認可的”和符合規則的文件，對無(wú)法識別的文件或者格式錯誤的文件一律視為非法文件限制在網(wǎng)絡(luò )上傳輸。網(wǎng)間病毒隔離墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò )中的多個(gè)網(wǎng)段，能夠防止某一網(wǎng)段中的安全隱患通過(guò)網(wǎng)絡(luò )向別的網(wǎng)段傳播。這樣，通過(guò)在全臺網(wǎng)各個(gè)業(yè)務(wù)板塊子網(wǎng)絡(luò )之間安裝網(wǎng)間病毒隔離墻，即可保證板塊之間數據交互的安全性。

網(wǎng)間病毒隔離墻作為板塊網(wǎng)絡(luò )間訪(fǎng)問(wèn)的唯一點(diǎn)，所有進(jìn)出信息都必須通過(guò)網(wǎng)間病毒隔離墻，所以網(wǎng)間病毒隔離墻非常適用在被保護的網(wǎng)絡(luò )之間收集關(guān)于系統、網(wǎng)絡(luò )使用和用戶(hù)操作行為的信息。其典型的系統特性如下：

支持千兆網(wǎng)絡(luò )，高傳輸率，用戶(hù)幾乎感覺(jué)不出性能的損失，保證了傳輸的流暢性；

多種模式靈活選擇，單向、逆向、雙向工作模式可選，可實(shí)現一對多、多對多等應用場(chǎng)景；

傳輸透明化，保證用戶(hù)迅捷的上傳、下載和選擇文件；

專(zhuān)有的傳輸協(xié)議，保證傳輸過(guò)程的安全性；

傳輸完整性檢測，通過(guò)收發(fā)雙方的MD5碼校驗，最大限度保證傳輸的正確性；

權限控制，對工作目錄的文件進(jìn)行讀寫(xiě)的權限設置、保證文件的安全性；

日志記錄功能，對文件操作和多傳輸過(guò)程進(jìn)行詳細的日志記錄，保證文件的修改有據可查；

設備自動(dòng)搜索功能，用戶(hù)不需要進(jìn)行繁瑣的設置；

文件內容深度分析，通過(guò)對文件內容和格式的深度比對，讓非法文件無(wú)所遁形；

靈活的傳輸規則，除內置的文件格式外，還支持用戶(hù)自定義傳輸格式文件(以擴展名驗證)；

支持常見(jiàn)的視音頻、圖片以及文本等文件。

設備的安裝、配置簡(jiǎn)單，可以很容易的整合到現有的網(wǎng)絡(luò )環(huán)境中，在安裝過(guò)程中僅需要設置相關(guān)的IP地址信息，就可以正常工作，降低了對相關(guān)人員專(zhuān)業(yè)性的要求；

通過(guò)在全臺網(wǎng)各個(gè)業(yè)務(wù)板塊子網(wǎng)絡(luò )間運用網(wǎng)間病毒隔離墻，可以充分保障各個(gè)子網(wǎng)絡(luò )交互傳輸數據的安全，有效地防范病毒在各個(gè)子網(wǎng)絡(luò )間交互傳播。

3、病毒監測——病毒報警器

在確保了各業(yè)務(wù)板塊內部安全和板塊間交互傳輸數據的安全之后，我們剩下最后一步，即：對網(wǎng)內病毒進(jìn)行監測。這一步由病毒防范系統中的病毒報警器來(lái)完成。

病毒報警器是天虹公司自主研發(fā)的病毒監測類(lèi)安全產(chǎn)品，其主要作用是用來(lái)幫助我們發(fā)現、查找、跟蹤、定位以太網(wǎng)的各種威脅，并提供有效的反病毒措施和提高系統防病毒能力，并能夠對全臺網(wǎng)安全情況提供有效評估。

病毒報警器采用了融合多種分析方法的新一代病毒監測技術(shù)，配合經(jīng)過(guò)全面優(yōu)化的高性能雙系統安全平臺。其中一個(gè)系統模擬被攻擊機，收集病毒；另一個(gè)安全系統跟蹤病毒動(dòng)向，并繞過(guò)欺騙主機定位病毒來(lái)源。更可以根據用戶(hù)定制安全策略，準確分析、報告網(wǎng)絡(luò )中正在發(fā)生的各種異常事件和攻擊行為，實(shí)現對網(wǎng)絡(luò )病毒的“全面檢測”，同時(shí)通過(guò)實(shí)時(shí)的報警和用戶(hù)界面系統、短信系統，為用戶(hù)提供詳細、可操作的安全措施，幫助用戶(hù)完善安全保障措施。其典型的功能特點(diǎn)如下：

支持多級、分布式部署，實(shí)現策略統一下發(fā)，信息集中收集。

支持協(xié)議自識別與協(xié)議插件技術(shù)，可準確識別非常規端口的協(xié)議和新型協(xié)議。

支持基于特征和基于原理的兩種檢測方式，在保障檢測精度的基礎上，擴大了檢測可識別的范圍。

有一套業(yè)界最規范的后繼服務(wù)支撐體系，確保對新型事件的快速準確響應。

提供網(wǎng)絡(luò )入侵事件、網(wǎng)絡(luò )違規事件、流量異常事件等多種異常檢測。

采用最短時(shí)間優(yōu)先算法，確保了產(chǎn)品在網(wǎng)絡(luò )數據高負載情況下的檢測效率。

結合了環(huán)境指紋技術(shù)，在發(fā)現有攻擊行為后，與存儲的環(huán)境信息進(jìn)行二次匹配，將那些能夠確信為“有用”的報警信息單獨呈現，減少用戶(hù)的分析操作消耗。

除了事件的雙方地址、協(xié)議等信息外，還包括了對事件的具體描述、漏洞信息、修補建議、影響系統等，可以將最細致的事件信息呈現給用戶(hù)。

提供與實(shí)際地理拓撲相結合的報警顯示方式。在大規模部署的情況下，可以將設備拓撲與地理拓撲相結合，使得管理員可以直觀(guān)而迅速的判斷威脅所在。

提供基于時(shí)間、地址、事件等多重參數信息的分析報表，結合歷史分析數據，可清晰展現安全建設發(fā)展趨勢，協(xié)助考查網(wǎng)絡(luò )安全建設水平。病毒報警器可依照用戶(hù)定制的策略，準確分析、報告網(wǎng)絡(luò )中正在發(fā)生的各種異常事件和攻擊行為，實(shí)現對網(wǎng)絡(luò )的“全面監測”。

三、白名單檢測過(guò)濾技術(shù)