制播网是数字化广播的骨干,因此对网络和数据的安全性要求极高。目前,大多数制播网为确保安全,跟“外界”完全的物理隔离。然而,完全的物理隔离是把“双刃剑”;一方面所有站点均不允许使用诸如U盘、移动硬盘等外接设备与制播网进行对接,杜绝了整个系统被外界病毒感染侵袭。另一方面,却导致了网络传输高效、制作便捷、资源共享等优点没有得到充分发挥;延长了编辑记者使用外采音频的制作时间,为电台与外界大量的文件交换设置了人为的障碍。
隔离是为了安全,但过度地隔离势必严重阻碍发展,而若过度地开放,置系统安全于不顾,则必会生产严重的安全隐患,所以安全、适度、高效地开放才是解决发展与生存的合理方案。
一.数据交互的需求分析
为了保障安全播出,河南电台通过采用服务器群集、磁盘阵列镜像、双链路冗余设计等一系列先进技术,建成了基于SAN存储架构的制播网。随着事业的发展、技术的进步,“孤岛式”的隔离模式不再便于对整个制播网内的音频文件进行管理,而逐步有序的实现制播网与互联网间以及其他存储媒介的数据交互越来越重要,目前音频交互需求主要表现为以下几种形式:
1. 广告管理:广告收入是维持电台持续发展的基础,若所有用户都只能在制播网上对广告进行查询管理,势必给制播网络造成极大的额外负担。目前广告经营管理部门将广告播出音频交给广告客户,只能通过调音台1:1将广告播出音频录制到至办公网电脑中,再通过办公网电脑将音频刻录出来交给广告客户的导出方式,对客户拿来的需要播出的广告音频也只能采通过调音台1:1将广告音频录入制播网中,这无疑增加了广告经营管理部门和客户沟通的难度。
2. 节目音频文件交互:音频资料作为无形资产所能产生的价值是无法估量的,在实际应用中,为电台网站的网络广播和点播提供必要的音频文件,从国际互联网上下载音频文件作为创作素材,为友好台站提供交流的节目文件,这些都要我们做大量的制播网和其他网络、媒介之间的数据交换,当然这些交换都需要在严格保证安全的前提下进行的。
3. 数据备份:电台有众多的珍贵音频资料需要备份,需要在严格保证安全的前提下有效的实现数据多地点、多载体的备份,使音频数据不再局限在音频数据网络中,当系统出现严重故障时,安全有效地恢复备份数据是减少损失、及时恢复系统的有力保证。
二.音频防火墙详细技术方案
1. 音频防火墙的功能设计
对于在安全性和私密性方面要求很高的制播网来讲,单纯利用防火墙软件和杀毒软件来构成屏障,防范大量存在的网络攻击和病毒入侵就难以保证系统的安全。由于防火墙和杀毒软件都是相对开放的技术,都是基于数据通用性要求来实现数据的安全传输的,所以它们只能在一定程度上提供安全保证,无法满足制播网的安全要求。在近些年的实例中,也多次出现安全防护相当严密的大型门户网站被黑客攻击的情况。而且制播网站点众多,网络体系复杂,增加软件防火墙的远不及增加硬件防火墙来的方便,因此,对硬件型音频防火墙的需要就显得更加迫切。
为此,我们测试并引入“音频防火墙”IAF-100,在确保安全播出的同时,提高广播制播网的运转效率。
(1)安全性
音频防火墙利用专门的RTOS实时操作系统和专门开发的通讯硬件和软件,能够实现将存储介质上的文件传输到制播网计算机的过程中,实时解析并过滤音频文件,当发现文件不是音频文件时,会拒绝上传或者抛弃音频文件中的不可识别数据;音频防火墙对音频文件进行严格的检测,而且是逐帧检测,保证任何有威胁的病毒代码都不能隐藏在音频文件中传到内网,更不可能获得执行的机会。同时出于安全性考虑,该音频防火墙具有内置的嵌入非开放式系统,以免防火墙自身被病毒感染,为内外网文件交换提供了安全快速的解决方案。
如果把音频防火墙连接到内网交换机,可使用MAC地址锁定功能,保证音频防火墙上的内网网线不会被拔下并被其他非授权电脑使用。另外,音频防火墙的内网网口带RJ45接头锁定装置,保证内网网线被固定在音频防火墙上,无法把内网网线从音频防火墙上拔下再连接到其他非授权电脑上
(2)实用性
音频防火墙既可以连接到内网交换机上,也可以在内网电脑上插第二网卡而直接连接到内网电脑上。无论是哪种方式,内网电脑都可以通过专用的PC端软件透过音频防火墙和外面的电脑、U盘、CF卡、SD卡、记忆棒等各种设备交换音频文件。
2. 音频防火墙的设备需求
硬件式音频防火墙内置了非开放式的管理软件,不仅具备存储卡、U盘等设备的读卡器接口,还能够通过USB接口与移动硬盘、计算机等设备连接,接口丰富,技术规格符合我们的基本要求,同时由于是硬件式防火墙,直接通过网络接口进行管理连接到制播网,拆装便捷,安全性及稳定性更高,符合我们设计的思路。
3. 音频防火墙的工作模式
音频防火墙与现有制播网有两种对接方式,对接功能实现的拓扑图如下图所示:
模式一:在有文件交换需求的制播网电脑配置一台音频防火墙,把这个音频防火墙作为该电脑的一个经过安全验证的外接存储读写器。既可以通过在该电脑上安装第二网卡连接该音频防火墙,也可以直接把音频防火墙连接到内网交换机上。
模式二:音频防火墙也有共享型号,该型号可以连接到内网交换机上,提供多台内网电脑访问外部文件之用。一般而言,一个办公室可以配置一台这样的共享型号的音频防火墙。
在制播网电脑上通过一个音频防火墙软件来透过音频防火墙读写外部文件。IAF-100支持的文件格式有:S48、MP3、WAVE、BWF等,支持的编码帧检查的编码格式主要有:MPEG-1 Layer II、MPEG-1 Layer III以及Linear PCM。
音频防火墙的内外网之间的通讯硬件和软件都是自主开发的,而内外网两端的网络接口则是标准的百兆以太网,因为中间是一个独木桥式的私有通讯硬件/软件,所以不存在透过 IP 进行攻击的可能性,而其他的诸如黑客攻击和病毒传播也都依赖标准的网络协议,在这样一个私有的独木桥式的关口前面,它们都无法透过。[page]
4. 音频防火墙的安装调试
第一步,硬件防火墙安装。
将防火墙固定后,插入网线,该网线只允许与制播网内部相连接,不能与互联网连接,连接适配器电源,打开电源开关,完成前期硬件安装工作。
第二步,设置音频防火墙参数,对用户权限及安全性数据进行设置。
若要对防火墙进行设置,需先安装防火墙配置程序,然后将防火墙电源关闭,之后将音频防火墙背面的Update升级开关放在打开的位置上,打开防火墙电源后,将升级所用的USB数据线连接到音频防火墙后部的升级用USB数据端口上,此时系统会自动弹出窗口选择配置文件sys.ini,保存后退出,移除USB升级数据线,关闭防火墙电源后将Update按钮拨回Normal状态。
对sys.ini文件参数进行设置如下图所示:
第三步,安装客户端软件,对制播网电脑进行参数设置。
软件安装完成后需要对制播网客户端电脑进行设置,以指定访问用户的访问密码和权限,以保证整个制播网的安全。
整个音频防火墙及制播网客户端的安装调试工作基本完成后。通过反复的上传下载测试,音频防火墙只对规定格式范围内的文件予以放行,对不符合要求的文件类型及数据包进行拦截。同时,在用户访问安全性方面,只对配置文件中设置好的用户IP进行放行,能够始终保证上传下载环境的安全稳定,找到了系统安全及使用便利性的平衡点。测试结论:音频防火墙的工作正常,满足应用要求。
三. 音频防火墙的实施效果
音频防火墙建立在独立的硬件通讯基础之上,紧密结合应用软件来解决互联的安全问题,有效的防范了攻击与病毒。在确保制播网安全、高效、稳定运行的前提下,提高了节目制播速度,在河南电台各系列广播和广告经营管理部试用以来,运行安全、稳定。
记者使用录音笔、MP3等便携设备录音后,通过音频防火墙直接将外来的文件进行过滤筛选,将录音以数据读取的方式安全、快捷的导入到制播网中,大大简化了传统的流转模式广告经营管理部改变了将广告资料按1:1的录放速度导入导出,然后刻录成光盘送给客户的传统方式,方便的实现的数据的交互,提高了工作效率,方便了客户,降低了成本。
综上所述,音频防火墙是一种更加私有、更加安全的数据交换技术,从最底层硬件平台开始开发,为内外网数据交互提供了安全快速的解决方案。它的应用打破了制播网完全物理隔离的坚冰,在确保制播网安全、高效、稳定运行的前提下,提高了制播效率,成为内、外网络之间的安全摆渡。B&P