高清非編安全邊界解決方案粗析

沈敏華

(上海廣播電視臺，上海 200041)

責任編輯:任健男

高清非編系統具備獨立編輯，統一審片的業務需求，辦公區域與節目制作業務網的安全邊際規范，在高清非編系統設計中，采用綜合的安全邊際方案，充分利用安全邊界上專業安全硬件設備的防護功能，同時也在FTP軟件上體現自動化、人性化的設計，實現高清非編系統的節目內容能安全迅速地在兩個不同安全級別的網絡上傳遞，實現高清非編的高效運行［1］。

1 具體方案

高清非編安全邊界示意圖如圖1所示。

圖1 高清非編安全邊界示意圖

1)高清非編系統中各大板塊節目都獨立制作，各大節目板塊的網絡作為每個獨立的VLAN，相互之間不可相互訪問，每個板塊的網段VLAN上都有存儲服務器。節目編輯分別在自己網絡中的非編工作站制作編排節目，完成后按照文件的命名規范存入該節目板塊的存儲服務器的指定目錄中。

2)高清非編的存儲服務器上安裝FTP的自動上傳軟件AGENT，該軟件作為服務器的服務進程自動運行。同時，存儲服務器安裝合規的防病毒軟件，并定期升級防病毒軟件的病毒庫，檢查系統漏洞安裝系統補丁，以確保各大非編板塊的存儲服務器的安全穩定運行。

3)高清非編的存儲服務器上運行的FTP上傳AGENT將24 h監控指定目錄中的文件變化，一旦發現有新的節目文件生產，在檢測該視頻文件完整性后，調用視頻轉碼程序將高碼流的文件轉換成低碼流的文件;FTP上傳AGENT首先上傳低碼流的文件到業務網絡FTP服務器上，在得到審片的確認結果之后，再將高碼流文件上傳到FTP服務器上。在建立FTP上傳文件隊列時，該程序進程會檢查文件命名規范，只有符合文件命名規范的文件才會被獲取建立FTP上傳隊列，同時存儲服務器上的防病毒軟件會檢查FTP上傳隊列的文件，以確保FTP上傳文件的安全。

4)建立在高清業務網的FTP服務器，分別為各大板塊節目建立目錄，存儲制作好的節目資源，以備審片調用。

5)高清業務網的FTP服務器采用雙機運行方式，同時邊界的網絡安全設備將采用雙鏈路方式。FTP上傳AGENT在上傳文件時，可以詢問FTP服務器A/B的工作狀態，如果FTP服務器A正在接受上傳文件，可以自動再連接FTP服務器B，以充分利用FTP服務器雙機和網絡安全設備雙鏈路的網絡優勢。

6)建議在資源共享區增加網絡入侵檢測設備McAfee IPS，以阻擋病毒蠕蟲的傳播以及黑客DOS/DDOS攻擊和滲透入侵行為，拒絕其他服務器對業務網絡的非法訪問。

2 設備選型

2.1 McAfee IPS 2950［2］

McAfee IPS基于完整的攻擊分析方法而構建，并引入了業界最為全面的網絡攻擊特征檢測、異常檢測以及拒絕服務檢測技術，在可以探測阻擋網路攻擊和入侵滲透的同時，還可以探測檢測病毒蠕蟲和后門程序的傳播，使得其具備了完整的網絡安全邊際功能，充分保證在實現媒體資源共享的同時，業務網絡不會受到網絡攻擊、入侵滲透以及病毒蠕蟲的傳播和控制，滿足SMG業務網絡的邊界安全標準。

McAfee IPS 2950的優點有:

1)提供全面的安全防護，既可以探測阻擋網絡入侵滲透，又可阻擋病毒蠕蟲的傳播。

2)具備無可比擬的檢測準確性。為了實現高性能的網絡攻擊特征檢測，IPS體系結構不僅采用了創新的專利技術，而且集成了全面的狀態檢測引擎、完善的特征規范語言、“用戶自定義特征”以及實時特征庫更新，確保了IPS能夠提供并維護業界最為全面、更新最及時的攻擊簽名數據庫，目前簽名特征超過4500種，解碼協議超過106種。對已知的SQL攻擊和蠕蟲攻擊可提供非常有效的攔截。

3)新一代的DOS/DDOS網絡突發訪問的防護，既提供基于自動記憶以及基于閾值的檢測，又可以采用多項檢查模式(智能化簽名檢測、異常檢測以及拒絕服務防護技術)的互動操作，以提高應對DOS/DDOS網絡突發訪問的保護能力。

4)具備風險識別功能的入侵防護，可以基于對內部網絡的安全風險檢測結果，有針對性的提供特別的防護策略。

2.2 網閘

推薦使用網御星云 SIS－3000－Z6101［3］，部署在邊界處的網閘實現了對網絡數據包的網絡隔離和擺渡交換，從而滿足了非編制作OA網絡與業務網絡的安全防護需求。內網外網示意圖如圖2所示。

圖2 內網外網示意圖

網閘SIS－3000－Z6101的優點有:

1)高安全性。提供安全的硬件隔離體系和操作系統。FTP文件訪問協議的數據包通過網閘的內部的擺渡機制，以實現內外網段的數據交換。

2)高性能。運用并行處理技術、雙擺渡傳輸技術、鏈路集合技術以提高數據包的傳輸能力。

3)高適用性。能夠靈活地多網隔離和安裝部署。

4)高可靠性。端口冗余，雙機熱備，動態負載均衡。

5)網御星云SIS－3000－Z6101內外網分別提供4個100/1000 Mbit/s自適應網絡接口和1個管理端口，可以將4個外網端口分別連接4個節目板塊的網絡，內部端口連接內部的網絡交換機，FTP支持的流量為850 Mbit/s。

6)高管理性。具有高效的集中式管理系統、完善的日志和審計、友好的管理界面。

3 方案說明及數據訪問流程

高清非編人員在完成節目資料編輯后，可以將制作好的節目文件拷貝到相對應的存儲服務器指定的目錄上，這時存儲服務器上的防病毒軟件會自動對該文件進行掃描。存儲服務器上運行的FTP AGENT在檢測到有新的節目文件后，會建立FTP文件上傳隊列，將新編輯的節目文件上傳到業務網絡上的FTP服務器。業務網絡上的FTP服務器在接收到上傳的文件后，會通過CIFS協議將該文件寫入后臺的NAS存儲，同時完成對文件二次安全掃描，以確保文件在傳遞上安全。

將McAfee IPS 2950和網御星云網閘SIS－3000－Z6101以串聯的方式連接在NAS存儲FTP服務器和各大節目制作平臺，實現兩個不同安全級別的網段之間網絡鏈路隔離、蠕蟲病毒的防護以及網絡入侵滲透的阻斷。在邊界安全設備上通過訪問策略，可以限定存儲服務器允許向業務網的FTP服務器上傳節目文件，從而防止其他工作站對業務網的非法訪問，同時也完成了節目資源上傳業務網的業務需求。

4 小結

目前越來越多的高清非編網絡在電視臺內使用，作為以頻道為單位的網絡化制播模式，高清非編網絡系統為節目生產帶來便捷的同時，也使節目的生產流程和方式產生了根本的變化。但從系統安全性角度考慮，邊界的安全將越來越引起使用者的重視，安全、高效、管理便捷將成為系統設計的依據。

［1］國家廣播電影電視總局.廣播電視安全播出管理規定［EB/OL］.［2012－08－20］.http://www.sarft.gov.cn/articles/2009/12/21/20091221171804840035.html.

［2］McAfee IPS 2950［EB/OL］.［2012－08－20］.www.mcafee.com/us/resources/data－sheets/ds－network－security－platform.pdf.

［3］聯想 SIS－3000 系列安全隔離網閘白皮書［EB/OL］.［2012－08－20］.http://wenku.baidu.com/view/a5922ebd960590c69ec376c5.html.