【摘　要】隨著(zhù)大規模集成電路、微電子技術(shù)的發(fā)展和應用，計算機技術(shù)得到了迅猛發(fā)展，數字化、網(wǎng)絡(luò )化已成為廣播電視技術(shù)發(fā)展的主題和主線(xiàn)，在廣播電視領(lǐng)域中采用數字技術(shù)，可使信號質(zhì)量在節目錄制、節目制作、信號傳輸和播出等各個(gè)環(huán)節得到保證，解決了模擬技術(shù)固有的噪聲積累、信號衰減等難題。而網(wǎng)絡(luò )化則能最大限度地實(shí)現資源共享，提高節目制作和播出效率。然而在提高工作效率的同時(shí)，也帶來(lái)了安全隱患。一旦某個(gè)網(wǎng)絡(luò )節點(diǎn)感染了病毒，就有可能讓整個(gè)制播網(wǎng)絡(luò )癱瘓，造成不可彌補的重大事故。因此，如何構建制播網(wǎng)病毒防控體系就顯得尤為重要。

【關(guān)鍵詞】制作網(wǎng)；播出網(wǎng)；PSC1000-USB病毒隔離墻；PSC1000-IP病毒隔離墻

隨著(zhù)計算機技術(shù)迅猛發(fā)展，數字化、網(wǎng)絡(luò )化已成為廣播電視技術(shù)發(fā)展的主題和主線(xiàn)，在廣播電視領(lǐng)域中采用數字技術(shù)，可使信號質(zhì)量在節目錄制、節目制作、信號傳輸和播出等各個(gè)環(huán)節得到保證，解決了模擬技術(shù)固有的噪聲積累、信號衰減等難題。而網(wǎng)絡(luò )化則能最大限度地實(shí)現資源共享，提高節目制作和播出效率。然而在提高工作效率的同時(shí)，計算機病毒也給我們帶來(lái)了巨大的威脅，給我們正常的節目制作和播出帶來(lái)安全隱患。

網(wǎng)絡(luò )現狀及系統構成

為滿(mǎn)足我臺電視節目制作及播出的需要，從2008年以來(lái)我們分別建立了以IP-SAN基礎的新聞、專(zhuān)題和廣告三個(gè)專(zhuān)業(yè)非線(xiàn)性編輯網(wǎng)絡(luò )。（由于我臺現處在新廣電中心未正式投入使用，仍在老廣電中心辦公，所以全臺網(wǎng)系統也未能真正搭建，目前還只是由若干個(gè)相對孤立的制作島組成。）網(wǎng)絡(luò )結構相對簡(jiǎn)單，我們的節目制作網(wǎng)共有20套非編工作站，其中配音工作站2套，無(wú)卡站點(diǎn)6個(gè)，有卡站點(diǎn)12個(gè)（大洋D3-Edit 5000系列2套，大洋D3-Edit 3000系列10套），在這個(gè)系統中有4臺DELL2950的服務(wù)器，作為制作網(wǎng)MDC服務(wù)器，數據庫服務(wù)器，網(wǎng)絡(luò )拓撲圖如下：

網(wǎng)絡(luò )安全及需求分析

為豐富節目?jì)热?，提高節目制作、播出效率，不可避免?huì )在制作時(shí)使用第三方素材和節目成片打包生成播出文件格式，直接提交到播出網(wǎng)進(jìn)行播出等方式。采用USB接口技術(shù)的移動(dòng)存儲介質(zhì)由于體積小、存儲容量大、讀寫(xiě)速度快，在節目制作中被廣泛用于第三方素材的存儲和數據交換。頻繁交叉使用的移動(dòng)存儲介質(zhì)成了計算機病毒的一個(gè)重要傳播途徑。由于節目制作網(wǎng)的網(wǎng)絡(luò )結構相對比較簡(jiǎn)單，服務(wù)器采取集中單一的管理模式，為了保證非編的運行速度，以及非編軟件的兼容性，所有的非編站點(diǎn)和服務(wù)器均沒(méi)有安裝任何防病毒軟件，整體的網(wǎng)絡(luò )安全性低，如果不加以控制，就有可能受到病毒的入侵等安全問(wèn)題。一旦某個(gè)網(wǎng)絡(luò )節點(diǎn)感染了病毒，就有可能使病毒在網(wǎng)絡(luò )內部迅速蔓延，并通過(guò)網(wǎng)絡(luò )邊界，傳播到與之互聯(lián)的播出網(wǎng)絡(luò )，那樣將會(huì )造成停播漏播等非常嚴重的后果！目前典型的方式是采用"普通防火墻+殺毒軟件"模式，通過(guò)防火墻來(lái)防御外來(lái)的攻擊，通過(guò)殺毒軟件來(lái)抵御病毒和木馬的入侵。此種安全策略存在的問(wèn)題是防火墻建起了網(wǎng)絡(luò )的"城門(mén)"。但是，防火墻存在以下兩方面的安全隱患：1、存在網(wǎng)絡(luò )通道，安全策略遭到破壞后攻擊行為可長(cháng)驅直入；2、采用通用傳輸協(xié)議，對于協(xié)議漏洞造成的安全問(wèn)題無(wú)法解決。殺毒軟件雖然可以殺滅病毒的木馬，但是殺毒軟件也存在以下問(wèn)題：1、病毒庫升級落后于新病毒的產(chǎn)生，容易漏殺。2、黑名單方式，查殺速度慢，尤其針對大文件速度會(huì )更慢，電視網(wǎng)絡(luò )的視頻文件往往都是很大的，查殺起來(lái)效率會(huì )很低。3、容易造成誤殺。因此這種"普通防火墻+殺毒軟件"的方案，不能滿(mǎn)足我們的病毒防護需求。如何克服"普通防火墻+殺毒軟件"模式的缺陷呢？是擺在我們技術(shù)人員面前的一個(gè)首要任務(wù)。通過(guò)對病毒傳播規律及“普通防火墻+殺毒軟件”方案的分析，并結合我臺的實(shí)際情況，最終決定分別從網(wǎng)外、網(wǎng)間兩個(gè)方面入手建設我臺制播網(wǎng)病毒綜合防控體系。

網(wǎng)絡(luò )安全設計與實(shí)現

通過(guò)技術(shù)人員認真深入了解各種防控病毒軟硬件設備的參數及功能，于年初購入了具有物理隔離、私有協(xié)議等特點(diǎn)的安徽天虹數碼有限公司生產(chǎn)的PSC1000-USB 、PSC1000-IP病毒隔離墻，再加上制定相應的規章制度，成功的解決了這一問(wèn)題。

1、網(wǎng)外數據交換。只要能把好數據的交換口，就可以有效的防止病毒的感染。新聞、專(zhuān)題及廣告制作網(wǎng)因為它的特殊性，必然要和外界做信息交換，比如廣告商帶來(lái)的圖片數據資料、企業(yè)帶來(lái)的影像素材、來(lái)自移動(dòng)存儲介質(zhì)的字幕文件以及來(lái)自數字攝像機的素材等外來(lái)數據文件的導入，都是病毒侵入的重要途徑。我們通過(guò)對所有網(wǎng)內工作站點(diǎn)的設置，禁用所有非編工作站點(diǎn)的USB接口、光驅。并在服務(wù)器上做了相應的策略限制，這樣登陸制作網(wǎng)的普通用戶(hù)將無(wú)法使用USB接口和光驅且不能對計算機系統進(jìn)行重新設置或更改。然而因噎廢食不是個(gè)辦法，沒(méi)有有效地連接，外部數據與制作網(wǎng)也無(wú)法互通。于是，我們在外部數據存儲設備與節目制作網(wǎng)之間加入防病毒設備——PSC1000-USB 病毒隔離墻，方便移動(dòng)存儲與制作網(wǎng)之間高效、快捷、安全的交換數據。該設備上具有1個(gè)光盤(pán)驅動(dòng)器、1個(gè)讀卡器（可以讀XD、SD、MSD、CF、MS等卡）和4個(gè)USB2.0的接口，設備前后面板如圖2

PSC1000-USB 病毒隔離墻具有以下特點(diǎn)：

l 文件內容深度分析，通過(guò)對文件內容和格式的深度比對，讓非法文件無(wú)所遁形；

l 安全性高，通過(guò)用戶(hù)身份驗證、數據內容驗證等多種方式保證有效數據安全傳輸；

l 傳輸透明化，保證用戶(hù)迅捷的上傳、下載和選擇文件；

l 專(zhuān)有的傳輸協(xié)議，保證傳輸過(guò)程的安全性；

l 傳輸完整性檢測，通過(guò)收發(fā)雙方的MD5碼校驗，最大限度保證傳輸的正確性；

l 設備自動(dòng)搜索功能，用戶(hù)不需要進(jìn)行繁瑣的設置；

l 采用白名單方式。支持常見(jiàn)的視音頻、圖片以及文本等文件，如：

視頻：MPEG1、MPEG2、MPEG4（mp4 m4v m4a m4p 3gpp 3gp 3gpp2 3g2 k3g）、MPEG傳輸流（ts m2t m2s m4t m4s ts tp trp）、MOV、AVI、FLASH、Windows Media（ASF、WMV、WMA）、

             RealMedia（RM、RMVB、RA）、mkv mka mks等；

音頻：MP1、MP2、MP3、WAV、MIDI、OGG、AAC、AC3、DTS；

圖片：BMP、JPG、TGA、GIF、PNG、ICO、TIF；

其他格式：TXT；

安裝操作也相對簡(jiǎn)單，只要分配一個(gè)固定的IP地址并將其加入到制作網(wǎng)內即可安全高效地與外界交換數據。網(wǎng)絡(luò )拓撲如圖3，操作界面如圖4

2、網(wǎng)間數據交換。新一代的記錄存儲介質(zhì)逐漸成為廣播電視節目發(fā)行新載體，以前常用的各種磁帶必將會(huì )被新一代的記錄介質(zhì)所取代。如果這些記錄存儲介質(zhì)一旦感染了病毒并采集到制作網(wǎng)內，就可能通過(guò)網(wǎng)絡(luò )互聯(lián)傳播到播出網(wǎng)，影響整臺節目的漏播，甚至停播。PSC-1000IP病毒隔離墻恰好成解決這一難題。

面板如圖

PSC-1000IP具有以下特點(diǎn)：

u 跨網(wǎng)段傳輸，支持多個(gè)網(wǎng)段的局域網(wǎng)計算機之間進(jìn)行數據的交換；

u 安全性高，通過(guò)用戶(hù)身份驗證、數據內容驗證等多種方式保證有效數據安全傳輸

u 多種模式靈活選擇，單向、逆向、雙向工作模式可選，可實(shí)現一對多、多對多等應用場(chǎng)景；

u 傳輸透明化，保證用戶(hù)迅捷的上傳、下載和選擇文件；

u 專(zhuān)有的傳輸協(xié)議，保證傳輸過(guò)程的安全性；

u 傳輸完整性檢測，通過(guò)收發(fā)雙方的MD5碼校驗，最大限度保證傳輸的正確性；

u 權限控制，對工作目錄的文件進(jìn)行讀寫(xiě)的權限設置、保證文件的安全性；

u 日志記錄功能，對文件操作和多傳輸過(guò)程進(jìn)行詳細的日志記錄，保證文件的修改有據可查；

u 設備自動(dòng)搜索功能，用戶(hù)不需要進(jìn)行繁瑣的設置；

u 內網(wǎng)拓撲隱蔽功能

u 文件內容深度分析，通過(guò)對文件內容和格式的深度比對，讓非法文件無(wú)所遁形；