北京电视台制播网高安全区设计实现.pdfVIP

中国新闻技术工作者联合会2013年学术年会论文集 北京电视台制播网高安全区设计与实现 王学奎陈奇丁辰 (北京电视台) [摘要]根据所传输的数据对安全的要求不同，北京电视台制播网高安全区设计并建设了三条传输 通道：各类安防措施齐备的控制信息及元数据双向传输通道；重点防范病毒和非法入侵的办公网至制播网 数据单向传输通道；实现网络隔离的制播网至办公网数据单向传输通道。在此三条物理通道的基础上，建 设SOA架构的综合性业务支撑平台，所有制播网和办公网需要数据交换的业务系统将服务注册在此平台， 由平台完成元数据交换和媒体数据通道分配和数据迁移。 [关键词]制播网数据安全交换综合性业务支撑平台 安全交换通道 l绪论 北京电视台制播网自2009年初正式运行，2010年对制播网进行了高清化扩建和改造，2012 年基本完成制播网高清二期项目建设。随着制播网业务的拓展及三网融合、IPTV、网络电视台 建设的实际需要，制播网向办公网的业务延伸及办公网向制播网提供的服务越来越多，独立的 两个网络系统不便于以上业务的拓展。 制播网网络边界一般采用物理隔离或全方位防护(防火墙、防毒墙、应用防火墙、IPS等 设备串联在一起)的防护措施来保证网络系统的安全性。此类方式在安全性方面有了足够的考 虑，却损失了数据交换的便利性和效率。为实现制播网、办公网互联互通，又能够兼顾安全性 和提高数据传输效率，北京电视台在办公网与制播网之间建设了一个综合性的数据安全交换平 台，此平台基于松耦合的接入方式，实现制播网与办公网交互业务的统一管理。 2高安全区交互业务分析 北京电视台制播网目前建成的系统包括1个业务支撑平台，5个公共服务系统(总编室编 播系统、媒资系统、收录系统、共享演播系统、共享审片系统)，及10余个后期制作系统。整 个制播网系统以SOA架构建成，系统间的数据交换通过业务支撑平台完成。随着制播网业务及 新媒体业务的快速发展，北京电视台制播网收录系统任务预约、演播共享系统演播室申请、远 程文稿系统、B／S非线粗编、共享审片内容审查、总编室编播信息查询、媒资系统和各制作网 低码流浏览检索功能等需要延伸至办公网，同时办公网公共组件Ldap认证信息、新闻舆情系统 数据、3G文件数据、台外记者站素材数据等需要向制播网安全快捷地传送，制播网向IPTV和 网络电视台素材传送也需要通过高安全区完成。通过对以上业务功能需求进行分析，可以总结 出在办公网与制播网之间有四种不同的交互数据类型，分别是文件类型、消息类型、服务调用 类型和流媒体类型。 1．文件类型：办公网与制播网间单向传递的各类文件，包括视音频媒体文件、文本文件、 249 中国新闻技术工作者联合会2013年学术年会论文集 图片文件等。 2．消息类型：办公网与制播网间双向传递的消息信息，通过消息服务等方式发送或接收。 3．服务调用：采用WebService的方式进行的服务调用。服务提供者可部署在办公网，也 可以部署在制播网。 4．流媒体：对于需要在线浏览的业务，要求提供媒体文件的传输服务，主要是低码率视音 频流。 所有交互应用都可以通过以上四种交互数据的组合完成数据交换。 3高安全通道设计与实现 网络安全防护滞后的现实，使制播网和外部网络连通后，会面临着来自不安全区域的攻击 与入侵。为了保证不同网络区域的安全互联和数据安全交换，需要采取有效的技术防范手段。 因此，需要在制播网和办公网之间建立一个可监控的、安全的、专用的数据交换网，负责交换 业务数据、抵御外部攻击、阻止病毒入侵。 目前比较流行的五种安全交换技术包括防火墙、多重安全网关、网闸、数据交换网、人工 交换。其中人工交换是不得已而为之，是简单文件的传递。防火墙与多重网关是关卡方式，依 靠安全检测技术保证安全。网闸依靠摆渡技术隔离网络。数据交换网技术是网络加关卡方式， 包含了防火墙、多重安全网关、网闸的技术优点，采用了边界安全防护设备、终端防病毒系统、 入侵检测系统、网络安全审计系统、异构代理服务器等多种安全技术，实现了事前的防护、事 中的监控和事后的审计，可以全面、立体地保障业务的安全性。 综合分析在办公网和制播网间需要实现的交互业务，发现各类业务对安全的要求是不一致 的，如从办公网向制播网