【摘要】 本文以湖南公共频道非编制作网为实例,对日常工作中碰到的影响网络安全的因素进行一些归纳,重点讲述网络安全主要有哪几个方面的问题,并就如何做好安全防范、为节目制作提供一个稳定的、安全的、高效的运行平台进行经验性的总结。
【关键词】 非编制作网络 安全防范
一. 网络安全的重要性
随着电视台节目的编辑从以录像机为平台、磁带为载体的传统对编方式向以计算机为平台、硬盘为载体的非性线编辑方式的转变以来,平台及载体的开放性在带来方便快捷的同时也带来了很多不安全的因素。这些隐患贯穿节目制作的每个环节,犹如颗颗炸弹,一旦防范不到位随时都会爆炸,大则造成整个网络系统的崩溃,甚至影响安全播出,小则影响单个站点工作不正常,影响节目编辑。
但实际的节目制作中,不可避免的会有很多文本、图片、网络素材要进行交流,不可能真正做到绝对完全封闭。比如我们频道的“台海视线”、“帮助直通车”这两档时效性较强的新闻栏目,信息量很大,需要与外网的交流特别多。归纳起来,影响非编网的安全主要集中在以下几个方面:
1.集中存储安全性问题;
2.节目制作人员素质不一,对计算机平台的设置参数进行误操作;
3.病毒感染,网络攻击;
4.人为操作或人为破坏;
5.数据库安全。
二. 防范措施与解决方案
湖南电视台公共频道搭建的DTV非编网,采用光纤加以太的双网结构(拓朴结构图见图1),网络规模较大,共有20个站点,其中有卡点11台,无卡点8台,配音工作站1台,使用至今已有七年多。在这几年中,通过不断的摸索总结,形成了一套行之有效的方法,杜绝了各类问题的出现,没有一桩因为网络安全的漏洞而造成制作网出现故障。现结合以上几个问题与本单位在安全方面的措施,进行说明。
第一.集中存储安全性问题。非编网络采用的是集中存储的SAN网络,网络存储中心大多都是采用光纤接口的RAID存储阵列,硬盘采用光纤硬盘或SAS硬盘,硬盘阵列组建RAID5方式,这些都很好的提高了存储的自身安全性。光纤硬盘和SAS硬盘本身就是针地企业级的产品。使用寿命长,故障率低。而RAID5是一种带奇偶校验信息的多硬盘组合方式 ,把一个数据源分散存储在同一存储的所有硬盘上,以提高读写性能,同时再把分散的数据产生一个校验信息,同时也存到所有的硬盘上。当一块硬盘出现故障时,可以根据校验信息来恢复出故障硬盘上的数据内容,从而不会出现数据丢失和影响编辑工作。
而双盘阵互备份。我们在建网初期因经费问题也只有一个盘阵。但使用了几年后,发生过盘阵控制器报错。这个时候表现出所有工作站都找不到硬盘,每一个站点都不能工作,严重影响节目制作。从安全考虑后来我们又添加了一个硬盘阵列。同一个用户,在两个硬盘阵列上都有素材,节目等。这样一旦某个盘阵出现问题,用户可以马上转移到另外一个硬盘上的备用账户工作。从而不会影响当天节目的正常生产。再把所有的用户根据使用时段,把同期时段的用户进行错开处理,设置到不同的硬盘阵列上。当然也可以进一步解决带宽问题。目前经过几次升级的非编网有11个有卡站点,8个无卡站点,1个配音站点。没有发生过因为存储速度、带宽的问题,造成节目制作时的画面抖动,丢帧等现象。
第二.节目编辑人员私自修改计算机设置,而影响非编工作站的正常使用。我们通过在Windows server 2000服务器上建立域账号管理,这样做方便对每一台非编工作站进行管理。每台非编工作站以相同的帐户加入到同一个域中,再在域管理中新建组织单元,把所有登录用户放入新建的组织单元中,再给新建的组织单元配置组策略。在组策略中屏蔽控制面板、网上邻居、运行、禁用计算机属性操作、禁用安装软件。
具体步骤是:点击开始→控制面板→管理工具,双击Active Directory用户和计算机图标,首先新建一个组织单元。如取名为dayang,再在dayang组织单元中新立一个所在工作站登录用的账户editor,设置参数时右击dayang组织单元打开属性,选择组策略,选中editor登陆域帐户,选择编辑进入组策略设置。参照图2:
在组策略中,依次选中用户配置→管理模板→Windows组件→任务栏和[开始]菜单,在图2的右边显示出各种参数设置,对上述用户配置设置启用后,工作站登陆域后,开始菜单将屏蔽掉文档、收藏夹、帮助、运行等菜单项,无法显示出来,这样就可以最大限度地限制节目编辑人员私自修改计算机设置,只有使用非编软件的权限,杜绝因更改计算机设置造成非编工作站不正常。没有严格的权限,有时制作人员图自己一时方便,随意改动。比如改变digisuit的配置信息,如采集接口类型,私自调整卡的音频增益等。或者修改网络的IP地址。那么别的工作人员用同一台工作站时,他不知道有人改动了设备信息,就以为工作站不正常。从而影响节目正常制作。
第三.病毒感染,网络攻击问题。由于DTV板卡是基于Windows系统的PC平台,但是Windows系统的PC平台病毒泛滥。非编网又必须与外界进行素材、节目的交流,常用的图片、字幕、唱词文本、音效等节目素材要通过拷贝的方式进入网络共享使用,有些节目生成DVD、流媒体文件又要拷贝出来。严格来说,非编网络是独立的,是不与Internet、文稿网联网,而是物理隔离,避免病毒、木马在网络中传播。一旦网络感染病毒,后果将是灾难性的。在湖南公共频道非编网的几年维护当中,我们摸索出一些行之有效的办法以供借鉴:
1.在非编工作站方面,通过BIOS设置,在COMS中屏蔽掉每台工作站的输入外设,如USB口、光驱、软驱,把计算机的USB、光驱、软驱全部关闭禁止掉(建议把光驱、软驱的数据线和电源线拔掉),BIOS设置密码,由专人保管,杜绝节目制作人员私自通过USB、光驱、软驱等输入设备向非编网中拷贝东西,特别是USB设备,小巧、操作方便,感染病毒的机率很大。只是这样做麻烦些,所有考进的东西,都要经过技术值班人员进行杀毒处理,才能进入网里。2003年初。那个时候计算机本身配置不是很高。所以中毒后,病毒在网络中不断的传输,会严重影响工作站的性能。比如,软件运行慢,软件运行报错,计算机响应慢,甚至造成计算机蓝屏等。因为病毒本身要占用大量的计算机资源,病毒的传输会占用网络带宽,影响网络正常数据的传输。这个会造成节目制作时非编访问硬盘带宽不够,下载节目造成画面不流畅,丢帧。
[Page]
2.在整个网络中,我们安装一台专门用于拷贝素材的电脑,由专人操作,设置密码。这台电脑安装杀毒软件,定时升级。在拷贝文件前,严格按照先杀毒再拷贝,并且要求将拷贝的文件放到介质的根目录下,在根目录下不能再有别的文件,这样就基本杜绝了通过USB、光盘等传播病毒。其它非编工作站没有必要安装杀毒软件,因为杀毒软件要占用系统资源,会影响非编软件的使用效率,同时,非编网是独立的,不能及时保证每台电脑的杀毒软件病毒库是最新的。
3.内部大量文件的拷贝设置一个中转站。例如:新闻类栏目,每天都有很多素材要进行包装,非编视频文件一般都比较大,交流又频繁,而负责包装的人员一般都要求能够上Internet网,是因为包装人员要在互联网上找资源、材料。如果都由专人去专用的计算机拷贝操作是一项极其繁重的工作。在此,我们非编网和包装网之间架设一台专门的中转服务器,服务器安装苹果操作系统,因为苹果系统是基于UNIX内核,从我们使用情况来看,苹果系统至今还没有发现感染病毒,Windows下的病毒在苹果系统下也不能执行。中转服务器安装双网卡,一块与非编网络相连,设置非编网的IP地址段;另一块与包装工作室网络相连,网卡设置包装网的IP地址段。两个网络都可以访问到苹果系统,但彼此不能相互访问。中转服务器安装大容量SATA硬盘,价格便宜。在苹果系统上建立一个出口目录共享出来,再对共享目录进行权限设置。让非编网中的用户可以对目录进行读、写操作,非编网中的用户把要包装的素材拷贝到该目录中。该目录对包装网中用户设置只有读的权限。这样,包装网中的用户可以直接访问该共享目录拷贝需要的素材,不能对该目录进行写操作,也就杜绝了病毒、木马从包装网侵入苹果系统。相应的建立入口目录共享出来,用于包装网向非编网拷贝包装制作好的节目素材,对应的权限是包装网用户可以进行读、写操作,而非编网用户只能进读操作。再在苹果系统上建立批处理命令文件,定时对该目录进行搜索,将AVI文件格式以外的所有文件进行删除。
第四、人为误操作及人为破坏的预防。人为误操作主要是节目制作人员访问硬盘,不小心删除了别人的素材和故事板。人为破坏就有可能人为地格式化整个硬盘。综合这些情况,我们以栏目为单位设置用户名和密码,由栏目操作人员自己保存,不能透露给其他人。栏目间素材的共享可通过非编软件共享属性设置来实现。其次,在服务器端的域管理器中,将组策略的用户启动项,执行一个注册表修改脚本。
脚本代码如下:、
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoDrives"=hex:ff,ff,b7,03
把以上代码存为一个扩展名为REG的文件,笔者将它命名为NoDrivers.reg,然后通过域用户管理器中的用户登录运行功能,使每个工作站在登录时都运行以上代码来修改注册表,进而屏蔽所有盘符的显示及浏览(除T和W盘符),这样操作人员就不能通过直接访问硬盘来删除素材或格式化硬盘。
每台非编工作站登陆域时,弹出对话框,如图3所示,点击确定。
经过修改本地注册表,在我的电脑中只显示T和W盘符,如图4所示。
映射服务器上的一个共享目录为盘符,作为保存图片、字幕等文件,允许开放这个盘符的显示。所有要拷贝进来的文件,只能放到这个映射盘符下,再导入进非编软件进行节目编辑。为防止人为地通过修改注册表来开放硬盘的显示,在服务器的组策略管理中再启用“禁止工作站的注册表修改”,这样就做到了节目制作人员不能直接通过硬盘盘符访问素材。因此在编辑工作站上我的电脑中,都只有一个T盘符,为外来图片、字幕等交换盘符。同时映射苹果系统上的一个共享目录,作为与包装网素材交换盘符W。其他所有盘符看不到,也不能直接访问。因此普通操作人员不能通过我的电脑访问盘符来直接删除素材、节目,或者格式化硬盘等。如果不认真的进行这些设置操作,一旦某个人、或者不法份子或者对频道或其他人员不满,就很容易通过“我的电脑”中的硬盘盘符,直接删除别人的节目,给节目制作造成麻烦。甚至格式化整个硬备,而造成整个网络的瘫痪。这是非常可怕的事情。
第五.数据库安全性问题。基于CS模式的网络版非编系统,要实现素材的共享、故事板的协同工作,就必须要有统一的素材、故事板信息管理中心。每个工作站点都是读取数据库信息,而不直接对存储在存储中心上的音视频文件处理。每个素材、故事板,包括操作记录,都是存储在数据库服务器中。如果数据库文件损坏或丢失,而整个存储中心中只是一些实实在在的音视频文件,没有数据库信息记录,就不能进行正常的节目编辑工作,因此数据库的安全性也非常重要。我频道的非编网选用的是微软的SQL数据库系统,针对它的安全性问题,我们在SQL数据库中进行了每天定时备份机制。具体操作方法是:
打开SQL SERVER Enterprise Manager窗口,选中Database Maintenance plans,在右边空白处单击鼠标右键,新建一个任务,实际应用中取名databackup,如图5所示。
在General面框中选取要备份的数据库名称,在Complete backup页框中选中Use this directory,填入备份的目录路径,如图6所示。确定后,退出SQL SERVER Enterprise Manager窗口,最后将SQL SERVER AGENT服务启动。
进行以上操作后。每天都备份了一份数据库,如果那一天服务器坏了,或者服务器硬盘损坏了。就可以重装系统或者重新添加服务器,安装后SQL数据库软件后,再把备份的数据库记录恢复到数据表中。让数据记录与实际素材,节目对应起来。可以很快的恢复节目的制作,不会造成只剩一堆素材音视频文件,而没有一点用户。影响节目的制作。
综上所述,我们从以上五个方面采取安全防范措施,对湖南公共频道的非编网整体架构进行精心规划、合理布局、选择最优安全策略,有效地为非编网络的使用提供了一个稳定的、安全的运行环境。
三. 结束语
随着非编网络的广泛运用,特别是电视台制播存全台网的推出,即非编网络与播出网络、媒资网络互联互通,网络流媒体,IPTV,手机TV等新媒体的兴起,都以非编网络为中心进行节目、素材的大量交流,就更给广电技术人员在网络安全方面提出了很高的要求。只有不断的摸索总结,从实践中获得经验,才能较好解决网络安全方面的问题。B&P[Page]