【摘　要】隨著大規(guī)模集成電路、微電子技術(shù)的發(fā)展和應(yīng)用，計算機技術(shù)得到了迅猛發(fā)展，數(shù)字化、網(wǎng)絡(luò)化已成為廣播電視技術(shù)發(fā)展的主題和主線，在廣播電視領(lǐng)域中采用數(shù)字技術(shù)，可使信號質(zhì)量在節(jié)目錄制、節(jié)目制作、信號傳輸和播出等各個環(huán)節(jié)得到保證，解決了模擬技術(shù)固有的噪聲積累、信號衰減等難題。而網(wǎng)絡(luò)化則能最大限度地實現(xiàn)資源共享，提高節(jié)目制作和播出效率。然而在提高工作效率的同時，也帶來了安全隱患。一旦某個網(wǎng)絡(luò)節(jié)點感染了病毒，就有可能讓整個制播網(wǎng)絡(luò)癱瘓，造成不可彌補的重大事故。因此，如何構(gòu)建制播網(wǎng)病毒防控體系就顯得尤為重要。

【關(guān)鍵詞】制作網(wǎng)；播出網(wǎng)；PSC1000-USB病毒隔離墻；PSC1000-IP病毒隔離墻

隨著計算機技術(shù)迅猛發(fā)展，數(shù)字化、網(wǎng)絡(luò)化已成為廣播電視技術(shù)發(fā)展的主題和主線，在廣播電視領(lǐng)域中采用數(shù)字技術(shù)，可使信號質(zhì)量在節(jié)目錄制、節(jié)目制作、信號傳輸和播出等各個環(huán)節(jié)得到保證，解決了模擬技術(shù)固有的噪聲積累、信號衰減等難題。而網(wǎng)絡(luò)化則能最大限度地實現(xiàn)資源共享，提高節(jié)目制作和播出效率。然而在提高工作效率的同時，計算機病毒也給我們帶來了巨大的威脅，給我們正常的節(jié)目制作和播出帶來安全隱患。

網(wǎng)絡(luò)現(xiàn)狀及系統(tǒng)構(gòu)成

為滿足我臺電視節(jié)目制作及播出的需要，從2008年以來我們分別建立了以IP-SAN基礎(chǔ)的新聞、專題和廣告三個專業(yè)非線性編輯網(wǎng)絡(luò)。（由于我臺現(xiàn)處在新廣電中心未正式投入使用，仍在老廣電中心辦公，所以全臺網(wǎng)系統(tǒng)也未能真正搭建，目前還只是由若干個相對孤立的制作島組成。）網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，我們的節(jié)目制作網(wǎng)共有20套非編工作站，其中配音工作站2套，無卡站點6個，有卡站點12個（大洋D3-Edit 5000系列2套，大洋D3-Edit 3000系列10套），在這個系統(tǒng)中有4臺DELL2950的服務(wù)器，作為制作網(wǎng)MDC服務(wù)器，數(shù)據(jù)庫服務(wù)器，網(wǎng)絡(luò)拓?fù)鋱D如下：

網(wǎng)絡(luò)安全及需求分析

為豐富節(jié)目內(nèi)容，提高節(jié)目制作、播出效率，不可避免會在制作時使用第三方素材和節(jié)目成片打包生成播出文件格式，直接提交到播出網(wǎng)進行播出等方式。采用USB接口技術(shù)的移動存儲介質(zhì)由于體積小、存儲容量大、讀寫速度快，在節(jié)目制作中被廣泛用于第三方素材的存儲和數(shù)據(jù)交換。頻繁交叉使用的移動存儲介質(zhì)成了計算機病毒的一個重要傳播途徑。由于節(jié)目制作網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)相對比較簡單，服務(wù)器采取集中單一的管理模式，為了保證非編的運行速度，以及非編軟件的兼容性，所有的非編站點和服務(wù)器均沒有安裝任何防病毒軟件，整體的網(wǎng)絡(luò)安全性低，如果不加以控制，就有可能受到病毒的入侵等安全問題。一旦某個網(wǎng)絡(luò)節(jié)點感染了病毒，就有可能使病毒在網(wǎng)絡(luò)內(nèi)部迅速蔓延，并通過網(wǎng)絡(luò)邊界，傳播到與之互聯(lián)的播出網(wǎng)絡(luò)，那樣將會造成停播漏播等非常嚴(yán)重的后果！目前典型的方式是采用"普通防火墻+殺毒軟件"模式，通過防火墻來防御外來的攻擊，通過殺毒軟件來抵御病毒和木馬的入侵。此種安全策略存在的問題是防火墻建起了網(wǎng)絡(luò)的"城門"。但是，防火墻存在以下兩方面的安全隱患：1、存在網(wǎng)絡(luò)通道，安全策略遭到破壞后攻擊行為可長驅(qū)直入；2、采用通用傳輸協(xié)議，對于協(xié)議漏洞造成的安全問題無法解決。殺毒軟件雖然可以殺滅病毒的木馬，但是殺毒軟件也存在以下問題：1、病毒庫升級落后于新病毒的產(chǎn)生，容易漏殺。2、黑名單方式，查殺速度慢，尤其針對大文件速度會更慢，電視網(wǎng)絡(luò)的視頻文件往往都是很大的，查殺起來效率會很低。3、容易造成誤殺。因此這種"普通防火墻+殺毒軟件"的方案，不能滿足我們的病毒防護需求。如何克服"普通防火墻+殺毒軟件"模式的缺陷呢？是擺在我們技術(shù)人員面前的一個首要任務(wù)。通過對病毒傳播規(guī)律及“普通防火墻+殺毒軟件”方案的分析，并結(jié)合我臺的實際情況，最終決定分別從網(wǎng)外、網(wǎng)間兩個方面入手建設(shè)我臺制播網(wǎng)病毒綜合防控體系。

網(wǎng)絡(luò)安全設(shè)計與實現(xiàn)

通過技術(shù)人員認(rèn)真深入了解各種防控病毒軟硬件設(shè)備的參數(shù)及功能，于年初購入了具有物理隔離、私有協(xié)議等特點的安徽天虹數(shù)碼有限公司生產(chǎn)的PSC1000-USB 、PSC1000-IP病毒隔離墻，再加上制定相應(yīng)的規(guī)章制度，成功的解決了這一問題。

1、網(wǎng)外數(shù)據(jù)交換。只要能把好數(shù)據(jù)的交換口，就可以有效的防止病毒的感染。新聞、專題及廣告制作網(wǎng)因為它的特殊性，必然要和外界做信息交換，比如廣告商帶來的圖片數(shù)據(jù)資料、企業(yè)帶來的影像素材、來自移動存儲介質(zhì)的字幕文件以及來自數(shù)字?jǐn)z像機的素材等外來數(shù)據(jù)文件的導(dǎo)入，都是病毒侵入的重要途徑。我們通過對所有網(wǎng)內(nèi)工作站點的設(shè)置，禁用所有非編工作站點的USB接口、光驅(qū)。并在服務(wù)器上做了相應(yīng)的策略限制，這樣登陸制作網(wǎng)的普通用戶將無法使用USB接口和光驅(qū)且不能對計算機系統(tǒng)進行重新設(shè)置或更改。然而因噎廢食不是個辦法，沒有有效地連接，外部數(shù)據(jù)與制作網(wǎng)也無法互通。于是，我們在外部數(shù)據(jù)存儲設(shè)備與節(jié)目制作網(wǎng)之間加入防病毒設(shè)備——PSC1000-USB 病毒隔離墻，方便移動存儲與制作網(wǎng)之間高效、快捷、安全的交換數(shù)據(jù)。該設(shè)備上具有1個光盤驅(qū)動器、1個讀卡器（可以讀XD、SD、MSD、CF、MS等卡）和4個USB2.0的接口，設(shè)備前后面板如圖2

PSC1000-USB 病毒隔離墻具有以下特點：

l 文件內(nèi)容深度分析，通過對文件內(nèi)容和格式的深度比對，讓非法文件無所遁形；

l 安全性高，通過用戶身份驗證、數(shù)據(jù)內(nèi)容驗證等多種方式保證有效數(shù)據(jù)安全傳輸；

l 傳輸透明化，保證用戶迅捷的上傳、下載和選擇文件；

l 專有的傳輸協(xié)議，保證傳輸過程的安全性；

l 傳輸完整性檢測，通過收發(fā)雙方的MD5碼校驗，最大限度保證傳輸?shù)恼_性；

l 設(shè)備自動搜索功能，用戶不需要進行繁瑣的設(shè)置；

l 采用白名單方式。支持常見的視音頻、圖片以及文本等文件，如：

視頻：MPEG1、MPEG2、MPEG4（mp4 m4v m4a m4p 3gpp 3gp 3gpp2 3g2 k3g）、MPEG傳輸流（ts m2t m2s m4t m4s ts tp trp）、MOV、AVI、FLASH、Windows Media（ASF、WMV、WMA）、

             RealMedia（RM、RMVB、RA）、mkv mka mks等；

音頻：MP1、MP2、MP3、WAV、MIDI、OGG、AAC、AC3、DTS；

圖片：BMP、JPG、TGA、GIF、PNG、ICO、TIF；

其他格式：TXT；

安裝操作也相對簡單，只要分配一個固定的IP地址并將其加入到制作網(wǎng)內(nèi)即可安全高效地與外界交換數(shù)據(jù)。網(wǎng)絡(luò)拓?fù)淙鐖D3，操作界面如圖4

2、網(wǎng)間數(shù)據(jù)交換。新一代的記錄存儲介質(zhì)逐漸成為廣播電視節(jié)目發(fā)行新載體，以前常用的各種磁帶必將會被新一代的記錄介質(zhì)所取代。如果這些記錄存儲介質(zhì)一旦感染了病毒并采集到制作網(wǎng)內(nèi)，就可能通過網(wǎng)絡(luò)互聯(lián)傳播到播出網(wǎng)，影響整臺節(jié)目的漏播，甚至停播。PSC-1000IP病毒隔離墻恰好成解決這一難題。

面板如圖

PSC-1000IP具有以下特點：

u 跨網(wǎng)段傳輸，支持多個網(wǎng)段的局域網(wǎng)計算機之間進行數(shù)據(jù)的交換；

u 安全性高，通過用戶身份驗證、數(shù)據(jù)內(nèi)容驗證等多種方式保證有效數(shù)據(jù)安全傳輸

u 多種模式靈活選擇，單向、逆向、雙向工作模式可選，可實現(xiàn)一對多、多對多等應(yīng)用場景；

u 傳輸透明化，保證用戶迅捷的上傳、下載和選擇文件；

u 專有的傳輸協(xié)議，保證傳輸過程的安全性；

u 傳輸完整性檢測，通過收發(fā)雙方的MD5碼校驗，最大限度保證傳輸?shù)恼_性；

u 權(quán)限控制，對工作目錄的文件進行讀寫的權(quán)限設(shè)置、保證文件的安全性；

u 日志記錄功能，對文件操作和多傳輸過程進行詳細(xì)的日志記錄，保證文件的修改有據(jù)可查；

u 設(shè)備自動搜索功能，用戶不需要進行繁瑣的設(shè)置；

u 內(nèi)網(wǎng)拓?fù)潆[蔽功能

u 文件內(nèi)容深度分析，通過對文件內(nèi)容和格式的深度比對，讓非法文件無所遁形；