【2018年整理】天虹病毒隔离墙-制播网的病毒防范.doc

制播网的病毒防范 引言 随着计算机技术、视音频技术的发展，“数字化、网络化、自动化”是目前广播电视行业的流行语。而非编设备的改良，播出设备的兼容性增强，使得非编与播出系统可以实现直接的打包文件传输播出，很多地方已经实现了制播网络一体化。与传统的制播系统相比，网络化的制播系统为我们带来了不可比拟的优势，但也带来了前所未有的安全问题。 传统制播系统是由一个个相对独立的子系统组成，子系统之间主要采用SDI信号或者磁带进行数据传递。这样的数据交换方式，虽然从一定程度上降低了安全风险，安全隐患比较容易固定在子系统内，不易向别的子系统扩散，但是效率比较低。 而网络化的制播系统由采集、制作、存储、播出等多个业务子板块构成，各个业务子板块之间是相互连通的，基于网络安全上的木桶原理和网络的无边界性，我们必须保证整个网络的各个业务子板块的安全才能保证最终的播出安全。 针对制播网病毒防范的问题，芜湖电视台根据台内的具体情况，立足于台内原有设备的基础上，着眼于安全性、实用性、简洁性、经济性，最终选择了安徽天虹数码科技有限公司的“红旗-9”全台网病毒防范系统。经过一年多来的使用，收到了非常满意的效果，切实做到了制播网各个业务板块以及板块之间的病毒防范，真正起到了为电视台的安全播出保驾护航的作用。 基本情况和解决思路 安全播出历来备受关注，在技术上我们主要通过各种IT设备、各级链路、系统协作等多层冗余机制，来提高系统的安全性和可靠性，以提升系统的应急响应能力，确保最终的安全播出。 众所周知，传统的技术手段如传统防火墙、防毒墙和杀毒软件，对于保证制播设备的正常运转是行之有效的，但他们自身都存在一定的安全隐患。例如，就防火墙而言，其安全决策模块直接面对不可信的连接，难以确保安全策略的完整性和安全策略实施过程的完整性。传统防毒墙河杀毒软件采用的是黑名单的方式，存在下面问题：首先，病毒的产生总是先于病毒库的升级，升级不及时就有可能造成感染；其次，在线直接升级病毒库存在一定的安全风险，离线升级将带来极大且繁琐的工作量。 网络化数字系统的运行面临着新的挑战—病毒攻击。由于计算机病毒已经是无处不在，已经对数字制播系统构成重大威胁，成为业内人士的心头之恨，担心和困扰挥之不去。而电视台由于担心病毒攻击造成播出事故，安全责任重大，制播一体化工作一直不敢实施，造成设备和人员冗余、工作效率低下。 在使用“红旗-9”全台网病毒防范系统之前，我台也主要采用了传统的技术手段来应对制播网安全问题，如加防火墙、封闭USB接口、软件杀毒等措施，不仅费时费力，而且事倍功半，防不胜防。出于此种状况，我台进行了制播网病毒防范系统的招标工作，其间得到了许多广电行业精英公司和人士的热切帮助和指导，经过对各个产品各项性能的综合对比，我们锁定了安徽天虹数码科技有限公司的“红旗-9”全台网病毒防范系统。“红旗-9”全台网病毒防范系统因为具有以下特点，很好得解决了制播网中的病毒防范问题： 采用特别配置的操作系统，使通用平台程序代码无法在该系统上运行，从而有效地避免了通用计算机病毒和黑客程序的攻击； 采用了白名单过滤机制，即“除非明确允许，否则就禁止”的方式，以文件为单位，对文件进行内容层次上的过滤，确保病毒不会通过篡改后缀名等方式漏网； 支持多种文件格式，包括视频、音频、图片和文本格式，并且具有自定义格式功能； 通过专有的管理软件进行管理设置，具有身份验证功能，日志记录查询功能，MD5校验功能等； 传输策略灵活，支持千兆网络，高传输率，支持网段之间的单向、双向通信； 白名单过滤机制不同于传统防毒产品的黑名单机制，产品永远不需要升级。 现仅以此文，总结我台在三网融合发展过程中使用“红旗-9”全台网病毒防范系统的些许经验。 系统构成 “红旗-9”全台网病毒防范系统由以下三个部分组成：移动介质病毒隔离墙、网间病毒隔离墙和病毒报警器。可全面保障电视台外部不可信网络、移动传输介质向内部可信网络的视音频影像数据高速、安全导入，实现了影像数据资料的受控传输、内容审查、内网网络拓扑隐蔽、日志审计等安全功能，确保整个传输过程高速、安全、可控。系统三个组成部分如下： 板块内安全——移动介质病毒隔离墙 在设计上严格遵循“除非明确允许，否则就禁止”的白名单原则，以文件为单位对传输内容进行格式分析和过滤，确保对USB设备、DVD光盘等存储设备上的病毒进行有效识别、隔离。在体系结构上采用软硬件有机结合，根据两者之间的“协作”关系量身定制，充分发挥系统的潜力，其典型应用场景如下： 板块间交互安全——网间病毒隔离墙 基于制播网络各个板块之间进行病毒防护而开发，典型的应用是在制作网与播出网之间。通过对传输内容进行分析，仅仅容许通过“认可的”和符合规则的文件，对无法识别的文件或者格式错误的文件一律视为非法文件限制在网络上传输。网间病毒隔离墙能