制播网与互联网数据的互通互联.docVIP

制播网与互联网数据的互通互联-新闻学 制播网与互联网数据的互通互联 广电总局新62 号令要求制播网完全与外网隔绝，要拆除光驱、软驱和USB 等通讯接口，以达到安全播出的目的。另一方面新媒体的发展需求，互联网海量素材的采用，主持人、记者的强烈要求。制播网与外网数据流的互通互联就成为急需要解决的问题。一、数据安全技术发展的过程、交换的模型以及各种方案的优劣比较从目前流行的防火墙类型看，大致可以分为数据包过滤型、应用代理型和全状态检测型，比较如下：1、数据包过滤型该技术工作在OSI 模型的网络层，主要是根据数据包的源地址，目的地址和可信端口号、网络协议类型等标志确定是否允许数据包通过。在数据包的检测过程中，网络两端的计算机之间是有实际的数据包流过。该类型防火墙没有切断两端计算机的实际连接，在设计分析判断策略时往往只对网络传输协议（TCP/IP）中特定的少数关键字段进行检测，如数据包的报头特征码。由于互联网中新的数据类型层出不穷，防火墙的协议分析能力更新不够及时，很容易被黑客利用更改病毒码特征，不被防火墙发现进入安全网络攻击得手。如图1：2、应用代理型防火墙应用代理（Application Proxy）：也叫应用网关（Application Gateway）能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系，安全级别比包过滤强。应用代理只检查协议，没有进行物理隔离，也没有对数据包头进行剥离，通过复制传递可能把协议攻击带入后端系统。应用代理针对特定应用而设，每种应用必须有它自己的代理，如Http 代理、Ftp代理等。并且应用代理只对应用层进行保护，而它并不保护应用层以下的各层。应用代理防火墙的结构图，如图2：3、全状态检测型防火墙全状态检测防火墙又叫动态数据包过滤防火墙，检查引擎在OSI 模型的网络层提取数据包有关信息，检测后决定通过还是拒绝，而且对后续数据包进行不断检查，一旦发现连接的数据包参数发生变化，就立即终止连接。该技术克服了前两种防火墙的缺陷，能对数据连接的协议、端口、源地址和目的地址进行综合检测，是目前较好的安全防火墙。但是该技术也有运行时资源消耗大，对硬件性能要求高。（见图3） 二、隔离网闸技术简介 隔离网闸是在全状态检测防火墙基础上发展的一种安全技术，它的原型：静态数据摆渡技术。（见图4） 在该技术中，由管理员来操作两个网络：不可信网络和可信网络，这两个网络物理隔断，有独立的计算机或者与两个网络分离的存储缓冲区域，用于内容检查。网络数据流交换如下： 1、管理员在不可信网络上的计算机上手工方式拷贝文件到数据存储设备 2、管理员将数据存储设备拿到一个独立的计算机上进行内容检测。检测包括（不仅仅这些）：病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。 3、如果内容检测为不安全或非法，它们将被丢弃；如果内容是安全和合法的，管理员在可信网络上的计算机上手工方式将存储设备的文件复制到计算机上。 4、数据流从可信网络传输到不可信网络采用相反的流程。 在该项技术中，没有人可以从不可信的网络访问和操作控制可信网络上的计算机，所有允许到可信网络的数据都在一个安全的环境中经过详细的审查，这是从不安全环境到安全环境信息传输的一个最安全的方法。 隔离网闸模型的实现：隔离网闸是基于上述机理实现的一种安全信息交换技术。在数据摆渡技术中，管理员的作用是在两个网络之间进行低效的手工交换数据，而在采用隔离网闸技术的设备中，用大规模集成半导体电子开关来实现这一功能；用在数据摆渡技术中做数据交换的磁介质，在隔离网闸技术中则用半导体存储设备来代替。在某一时刻，大规模集成半导体电子开关只能连接到两个网络中的一个网络，其它的硬件和软件实施则类似于数据摆渡技术的装置。 半导体电子开关以纯物理方式实现了电路的导通与断开，同与或加、编解码加密等逻辑断开方式不同，半导体电子开关具有程序固化到芯片的特性，不会因为程序被改变造成内存溢出等逻辑问题导致系统的崩溃，在OSI 最底层物理层面上保证了数据流传输与断开的实现，具有较高的安全可靠性。 由于大规模集成半导体电子开关可以准确模拟出数据摆渡模型中管理员的工作机制，所以隔离网闸模型组成。如图5。 隔离网闸系统完全基于硬件体系，不依赖于任何可编程通信协议和操作系统服务，具有独立的硬件逻辑电路和传输总线交换数据，实现了两个网络间数据的高速交换。当网络数据流经隔离网闸时，数据包在系统上被处理，经过协议终止、报头特征码检查并剥离数据包装，进行编解码校验后剥离出的裸数据被隔离网闸系统静态摆渡送到另一边网络计算机。 在