一、網(wǎng)絡(luò)特點及需求

隨著計算機(jī)技術(shù)、視音頻技術(shù)的發(fā)展，“數(shù)字化、網(wǎng)絡(luò)化、自動化”是目前廣播電視行業(yè)的流行語，也是各級廣播電視臺共同追求的目標(biāo)，各地都紛紛投入大量資金搭建了（廣播）電視數(shù)字節(jié)目制作網(wǎng)和播出網(wǎng)。

非編設(shè)備的改良，播出設(shè)備的兼容性增強，使得非編與播出系統(tǒng)可以實現(xiàn)直接的打包文件傳輸播出，很多地方已經(jīng)實現(xiàn)了制播網(wǎng)絡(luò)一體化。與傳統(tǒng)的制播系統(tǒng)相比，網(wǎng)絡(luò)化的制播系統(tǒng)為我們帶來了不可比擬的優(yōu)勢，但也帶來了前所未有的安全問題。

傳統(tǒng)制播系統(tǒng)是由一個個相對獨立的子系統(tǒng)組成，子系統(tǒng)之間主要采用SDI信號或者磁帶進(jìn)行數(shù)據(jù)傳遞。這樣的數(shù)據(jù)交換方式，雖然效率比較低，但是從一定程度上降低了安全風(fēng)險，安全隱患比較容易固定在子系統(tǒng)內(nèi)，不易向別的子系統(tǒng)擴(kuò)散。

安全播出歷來備受關(guān)注，在技術(shù)上我們主要通過各種IT設(shè)備、各級鏈路、系統(tǒng)協(xié)作等多層冗余機(jī)制，來提高系統(tǒng)的安全性和可靠性，以提升系統(tǒng)的應(yīng)急響應(yīng)能力，確保最終的安全播出。

而網(wǎng)絡(luò)化的制播系統(tǒng)由采集、制作、存儲、播出等多個業(yè)務(wù)子板塊構(gòu)成，各個業(yè)務(wù)子板塊之間是相互連通的，基于網(wǎng)絡(luò)安全上的木桶原理和網(wǎng)絡(luò)的無邊界性，我們必須保證整個網(wǎng)絡(luò)的各個業(yè)務(wù)子板塊的安全才能保證最終的播出安全。

傳統(tǒng)的技術(shù)手段對于保證制播設(shè)備的正常運轉(zhuǎn)是行之有效的。但網(wǎng)絡(luò)化數(shù)字系統(tǒng)的運行卻面臨新的挑戰(zhàn)—病毒攻擊。由于計算機(jī)病毒已經(jīng)是無處不在，已經(jīng)對數(shù)字制播系統(tǒng)構(gòu)成重大威脅，成為了很多廣電人士的心頭之恨，擔(dān)心和困擾揮之不去。目前，中小（廣播）電視臺的網(wǎng)絡(luò)化普及率較高，病毒危害最深。大型（廣播）電視臺由于擔(dān)心病毒攻擊造成播出事故，安全責(zé)任重大，制播一體化工作一直不敢實施，造成設(shè)備和人員冗余、工作效率低下。

目前，大家采用常規(guī)的技術(shù)手段來應(yīng)對，如加防火墻、封閉USB接口、軟件殺毒等措施，不僅費時費力，而且事倍功半，防不勝防。針對廣電數(shù)字制播系統(tǒng)的結(jié)構(gòu)和數(shù)據(jù)特點，能夠安全、有效、放心地實現(xiàn)病毒隔離的防范系統(tǒng)，深受業(yè)內(nèi)人士期盼。

安徽天虹數(shù)碼科技有限公司為此而設(shè)計的“紅旗-9”全臺網(wǎng)病毒防范系統(tǒng)，正是秉承以上制播網(wǎng)絡(luò)應(yīng)用要求研發(fā)的。該系統(tǒng)采用“白名單”確認(rèn)原理，通過板塊外病毒隔離、板塊間病毒隔離、病毒檢測定位手段，在快速、安全、完整地轉(zhuǎn)發(fā)對實時性要求極高的大數(shù)據(jù)量視音頻數(shù)據(jù)流的同時，切實達(dá)到了“業(yè)務(wù)板塊內(nèi)安全”、“各個板塊間交互安全”以及“有效的病毒監(jiān)測”等安全要求。

“紅旗-9”全臺網(wǎng)病毒防范系統(tǒng)主要技術(shù)內(nèi)容和創(chuàng)新點包括：

1、國內(nèi)自主研發(fā)的數(shù)字視音頻網(wǎng)絡(luò)專用安全系統(tǒng)，申請了發(fā)明專利，具有自主知識產(chǎn)權(quán)；

2、采用FPGA實現(xiàn)的專用安全引擎，對大數(shù)據(jù)量視頻流進(jìn)行實時檢查 ；

3、安全系統(tǒng)運行在特殊定制的操作系統(tǒng)之上，使通用平臺程序代碼無法在該系統(tǒng)上運行，從而有效地避免了通用計算機(jī)病毒和黑客程序的攻擊 ；

4、系統(tǒng)采用分離總線處理進(jìn)入和發(fā)出的數(shù)據(jù)流，任何網(wǎng)絡(luò)接口之間的通訊都必須通過視頻網(wǎng)絡(luò)安全裝置，切實做到了安全隔離。

5、通過可靠檢測確保病毒完全隔離，在設(shè)計上遵循——“除非明確允許，否則就禁止”的白名單基本原則，以文件為單位對傳輸內(nèi)容進(jìn)行格式分析和過濾，任何問題素材都不能通過。

二、系統(tǒng)描述

“紅旗-9”全臺網(wǎng)病毒防范系統(tǒng)是由安徽天虹數(shù)碼技術(shù)有限公司自主研發(fā)的計算機(jī)網(wǎng)絡(luò)邊界安全防護(hù)產(chǎn)品，是專門針對目前各（廣播）電視臺外部不可信網(wǎng)絡(luò)、移動傳輸介質(zhì)向內(nèi)部可信網(wǎng)絡(luò)的視音頻影像數(shù)據(jù)高速、安全導(dǎo)入而研制的，其部署于外部不可信網(wǎng)絡(luò)、移動傳輸介質(zhì)與內(nèi)部制播網(wǎng)絡(luò)之間，或內(nèi)部網(wǎng)絡(luò)的各個板塊之間，實現(xiàn)了影像數(shù)據(jù)資料的受控傳輸、內(nèi)容審查、內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)潆[蔽、日志審計等安全功能，確保整個傳輸過程高速、安全、可控。其產(chǎn)品結(jié)構(gòu)如下圖所示：

首先，為了保證全臺網(wǎng)中采集、制作、播出、存儲等各個業(yè)務(wù)板塊的網(wǎng)絡(luò)相互之間能夠正常連接、傳輸數(shù)據(jù)，并且保證板塊間數(shù)據(jù)傳遞安全，我們采用了在板塊和板塊之間設(shè)置網(wǎng)間病毒隔離墻的方法。

其次，為了確保制播網(wǎng)中的各個業(yè)務(wù)板塊的子網(wǎng)絡(luò)，在快速、高效地接受外部移動存儲設(shè)備中數(shù)據(jù)的同時，不受移動存儲設(shè)備中可能的病毒的侵害，我們采用了在外部網(wǎng)絡(luò)、移動介質(zhì)與相應(yīng)板塊的子網(wǎng)絡(luò)之間添加移動存儲隔離墻的方法；

另外，為了保障對全臺制播網(wǎng)絡(luò)數(shù)據(jù)交換中心實施病毒監(jiān)測，我們采用了病毒報警器，一旦在制播網(wǎng)中發(fā)現(xiàn)病毒，病毒報警器就會快速作出反應(yīng)，提供實時報警。

“紅旗-9”全臺網(wǎng)病毒防范系統(tǒng)主要為下圖中的三個組成部分，我們分別介紹每個部分的系統(tǒng)特性和功能特點。

1、板塊內(nèi)安全——移動介質(zhì)病毒隔離墻

移動介質(zhì)病毒隔離墻在設(shè)計上嚴(yán)格遵循——“除非明確允許，否則就禁止”的白名單基本原則，以文件為單位對傳輸內(nèi)容進(jìn)行格式分析和過濾，以確保對USB設(shè)備、DVD光盤等存儲設(shè)備上的病毒進(jìn)行有效識別、并隔離。

移動介質(zhì)病毒隔離墻在體系結(jié)構(gòu)上采用軟硬件有機(jī)結(jié)合的設(shè)計理念，根據(jù)軟件和硬件之間的“協(xié)作”關(guān)系量身定制，充分發(fā)揮系統(tǒng)的潛力，保持較高的工作效率和穩(wěn)定性，并且采用安全增強和優(yōu)化的操作系統(tǒng)，安全級別高，具有強大的功能特性。其典型的系統(tǒng)特性如下：

文件內(nèi)容深度分析，通過對文件內(nèi)容和格式的深度比對，讓非法文件無所遁形；

安全性高，通過用戶身份驗證、數(shù)據(jù)內(nèi)容驗證等多種方式保證有效數(shù)據(jù)安全傳輸；

傳輸透明化，保證用戶迅捷的上傳、下載和選擇文件；

專有的傳輸協(xié)議，保證傳輸過程的安全性；

傳輸完整性檢測，通過收發(fā)雙方的MD5碼校驗，最大限度保證傳輸?shù)恼_性；

設(shè)備自動搜索功能，用戶不需要進(jìn)行繁瑣的設(shè)置；

支持常見的視音頻、圖片以及文本等文件；

定制應(yīng)用交換功能；

訪問控制功能；

數(shù)字內(nèi)容審查；

內(nèi)網(wǎng)拓?fù)潆[蔽功能。

通過在制播網(wǎng)各個業(yè)務(wù)板塊子網(wǎng)絡(luò)中運用移動介質(zhì)病毒隔離墻，可以充分保障各個子網(wǎng)絡(luò)的安全，有效地防止外部移動存儲設(shè)備中的病毒的侵入。如下圖：

2、板塊間交互安全——網(wǎng)間病毒隔離墻

網(wǎng)間病毒隔離墻是基于制播網(wǎng)絡(luò)各個板塊之間進(jìn)行病毒防護(hù)而開發(fā)的一套產(chǎn)品，典型的應(yīng)用是在制作網(wǎng)與播出網(wǎng)之間。通過對傳輸內(nèi)容進(jìn)行分析，僅僅容許通過“認(rèn)可的”和符合規(guī)則的文件，對無法識別的文件或者格式錯誤的文件一律視為非法文件限制在網(wǎng)絡(luò)上傳輸。網(wǎng)間病毒隔離墻能夠用來隔開網(wǎng)絡(luò)中的多個網(wǎng)段，能夠防止某一網(wǎng)段中的安全隱患通過網(wǎng)絡(luò)向別的網(wǎng)段傳播。這樣，通過在全臺網(wǎng)各個業(yè)務(wù)板塊子網(wǎng)絡(luò)之間安裝網(wǎng)間病毒隔離墻，即可保證板塊之間數(shù)據(jù)交互的安全性。

網(wǎng)間病毒隔離墻作為板塊網(wǎng)絡(luò)間訪問的唯一點，所有進(jìn)出信息都必須通過網(wǎng)間病毒隔離墻，所以網(wǎng)間病毒隔離墻非常適用在被保護(hù)的網(wǎng)絡(luò)之間收集關(guān)于系統(tǒng)、網(wǎng)絡(luò)使用和用戶操作行為的信息。其典型的系統(tǒng)特性如下：

支持千兆網(wǎng)絡(luò)，高傳輸率，用戶幾乎感覺不出性能的損失，保證了傳輸?shù)牧鲿承裕?/span>

多種模式靈活選擇，單向、逆向、雙向工作模式可選，可實現(xiàn)一對多、多對多等應(yīng)用場景；

傳輸透明化，保證用戶迅捷的上傳、下載和選擇文件；

專有的傳輸協(xié)議，保證傳輸過程的安全性；

傳輸完整性檢測，通過收發(fā)雙方的MD5碼校驗，最大限度保證傳輸?shù)恼_性；

權(quán)限控制，對工作目錄的文件進(jìn)行讀寫的權(quán)限設(shè)置、保證文件的安全性；

日志記錄功能，對文件操作和多傳輸過程進(jìn)行詳細(xì)的日志記錄，保證文件的修改有據(jù)可查；

設(shè)備自動搜索功能，用戶不需要進(jìn)行繁瑣的設(shè)置；

文件內(nèi)容深度分析，通過對文件內(nèi)容和格式的深度比對，讓非法文件無所遁形；

靈活的傳輸規(guī)則，除內(nèi)置的文件格式外，還支持用戶自定義傳輸格式文件(以擴(kuò)展名驗證)；

支持常見的視音頻、圖片以及文本等文件。

設(shè)備的安裝、配置簡單，可以很容易的整合到現(xiàn)有的網(wǎng)絡(luò)環(huán)境中，在安裝過程中僅需要設(shè)置相關(guān)的IP地址信息，就可以正常工作，降低了對相關(guān)人員專業(yè)性的要求；

通過在全臺網(wǎng)各個業(yè)務(wù)板塊子網(wǎng)絡(luò)間運用網(wǎng)間病毒隔離墻，可以充分保障各個子網(wǎng)絡(luò)交互傳輸數(shù)據(jù)的安全，有效地防范病毒在各個子網(wǎng)絡(luò)間交互傳播。

3、病毒監(jiān)測——病毒報警器

在確保了各業(yè)務(wù)板塊內(nèi)部安全和板塊間交互傳輸數(shù)據(jù)的安全之后，我們剩下最后一步，即：對網(wǎng)內(nèi)病毒進(jìn)行監(jiān)測。這一步由病毒防范系統(tǒng)中的病毒報警器來完成。

病毒報警器是天虹公司自主研發(fā)的病毒監(jiān)測類安全產(chǎn)品，其主要作用是用來幫助我們發(fā)現(xiàn)、查找、跟蹤、定位以太網(wǎng)的各種威脅，并提供有效的反病毒措施和提高系統(tǒng)防病毒能力，并能夠?qū)θ_網(wǎng)安全情況提供有效評估。

病毒報警器采用了融合多種分析方法的新一代病毒監(jiān)測技術(shù)，配合經(jīng)過全面優(yōu)化的高性能雙系統(tǒng)安全平臺。其中一個系統(tǒng)模擬被攻擊機(jī)，收集病毒；另一個安全系統(tǒng)跟蹤病毒動向，并繞過欺騙主機(jī)定位病毒來源。更可以根據(jù)用戶定制安全策略，準(zhǔn)確分析、報告網(wǎng)絡(luò)中正在發(fā)生的各種異常事件和攻擊行為，實現(xiàn)對網(wǎng)絡(luò)病毒的“全面檢測”，同時通過實時的報警和用戶界面系統(tǒng)、短信系統(tǒng)，為用戶提供詳細(xì)、可操作的安全措施，幫助用戶完善安全保障措施。其典型的功能特點如下：

支持多級、分布式部署，實現(xiàn)策略統(tǒng)一下發(fā)，信息集中收集。

支持協(xié)議自識別與協(xié)議插件技術(shù)，可準(zhǔn)確識別非常規(guī)端口的協(xié)議和新型協(xié)議。

支持基于特征和基于原理的兩種檢測方式，在保障檢測精度的基礎(chǔ)上，擴(kuò)大了檢測可識別的范圍。

有一套業(yè)界最規(guī)范的后繼服務(wù)支撐體系，確保對新型事件的快速準(zhǔn)確響應(yīng)。

提供網(wǎng)絡(luò)入侵事件、網(wǎng)絡(luò)違規(guī)事件、流量異常事件等多種異常檢測。

采用最短時間優(yōu)先算法，確保了產(chǎn)品在網(wǎng)絡(luò)數(shù)據(jù)高負(fù)載情況下的檢測效率。

結(jié)合了環(huán)境指紋技術(shù)，在發(fā)現(xiàn)有攻擊行為后，與存儲的環(huán)境信息進(jìn)行二次匹配，將那些能夠確信為“有用”的報警信息單獨呈現(xiàn)，減少用戶的分析操作消耗。

除了事件的雙方地址、協(xié)議等信息外，還包括了對事件的具體描述、漏洞信息、修補建議、影響系統(tǒng)等，可以將最細(xì)致的事件信息呈現(xiàn)給用戶。

提供與實際地理拓?fù)湎嘟Y(jié)合的報警顯示方式。在大規(guī)模部署的情況下，可以將設(shè)備拓?fù)渑c地理拓?fù)湎嘟Y(jié)合，使得管理員可以直觀而迅速的判斷威脅所在。

提供基于時間、地址、事件等多重參數(shù)信息的分析報表，結(jié)合歷史分析數(shù)據(jù)，可清晰展現(xiàn)安全建設(shè)發(fā)展趨勢，協(xié)助考查網(wǎng)絡(luò)安全建設(shè)水平。病毒報警器可依照用戶定制的策略，準(zhǔn)確分析、報告網(wǎng)絡(luò)中正在發(fā)生的各種異常事件和攻擊行為，實現(xiàn)對網(wǎng)絡(luò)的“全面監(jiān)測”。

三、白名單檢測過濾技術(shù)