【摘 要】 本文主要在新一代全台网的设计中采用动态网络隔离技术、包括电视台信息安全系统建设、系统物理隔离的方式作了详细介绍,对技术人员在设计新一代全台网时,具有较好的参考价值。
一. 引 言
网络化架构制、编、播、存的电视台“全台网”的观念被提出至今已有近四个年头。早期的全台网的概念是,电视节目的采集、编辑、制作、播出等“节目生产过程”采用贯穿始终的“全程非线性”的模式,实现台内全程文件化、无带化和无纸化的节目生产。
早期的全台网概念主要考虑解决电视台节目生产业务系统中的信息孤岛问题,实现各生产系统间互连互通。为了确保节目生产业务系统安全,往往采取与台内其他信息系统物理隔离的方式。
在此模式下,电视台的节目生产系统—即网络化采、编、播、存系统,与桌面办公管理信息系统(如OA系统)等节目生产系统以外的其他信息系统还是相互隔离的。OA系统的PC不能访问节目生产系统,电视台依然存在综合管理方面的信息孤岛,各种信息和资源无法实现真正意义的共享。
由此可见,只有将电视台节目生产系统与办公管理信息系统融合在一起,才能完整实现全台网络化流程,达到资源统一管理及共享和节目生产业务高效运行。
构建真正意义的全台网项目的核心思想是以企业信息化集成(EAI)为理论基础,通过的创新的设计理念、软件模块化、接口标准化等技术手段,结合成熟的技术和产品,构建全面完整、安全稳定的电视台媒体信息系统。
扩展的全台网范畴包括:以网络化节目编播系统、综合管理业务系统及计算机网络信息平台三个部分构建一体化网络,通过三个系统相互配合和支撑,实现全台各个业务和管理流程的无缝连接和高效运行。建设好一个真正意义上的全台网,决不仅仅是多个子系统的简单组合,而是在统一的规划和实施原则下,根据各个子系统的业务特点来进行优化设计,并通过互联互通的媒体总线框架来支撑业务系统之间的各种关联,形成有效的信息共享、资源共享和相互关联;在全台信息化网络的范围内,消除业务运营瓶颈,打通互联通道,实现全网内各种业务信息和数据的高效传送、共享和管理,丰富节目制作内容,增强节目竞争力,提高工作效率,从而达到提高电视台整体运营管理能力和核心竞争力的目标。
二. 衡阳电视台信息安全保障体系
业务的融合、网络的开放、管理的统一,对系统和网络的安全管理和控制也提出了更高的要求,但不能以损失系统安全为代价。
衡阳电视台信息安全系统建设,既充分考虑到节目生产系统网络和普通办公网对系统的安全性要求不同,又充分考虑到全台各业务系统互连互通的必要性;在统一安全管理措施的前提下,在网络上设计了多级安全区域,高安全级别区域可以发起请求访问低安全级别区域,低安全级别区域必须通过必要的身份认证安全措施才能访问高安全级别区域。整个系统具有完整的认证及加密措施,在满足成都台现有生产和办公需求的基础上,最大限度保证系统安全。
1.安全体系设计思路
基于上述的要求,我们在规划、设计安全保障体系时,遵循以下的思路:
(1) 多级安全区域
传统的网络安全设计只强调外部网络和内部网络间的安全区域划分,而对内部网络则没有考虑。但针对衡阳电视台计算机网络系统的高安全性要求,将内部网络部分分成了几个不同的安全区域,其中节目生产系统网络区域的安全级别为最高,桌面办公OA网络区域次之,外部网络安全级别最低。
在节目生产系统网络和桌面办公OA网络中,分别设置高安全区。将各自网络区域中安全级别较高的服务器(比如节目生产系统网络中的统一管理系统、桌面办公OA网络中的财务管理服务器等)以防火墙隔离、保护起来,形成节目生产系统网络高安全区和OA网高安全区。通过对特定服务器的保护,来提高整个系统的安全性和稳定性。
(2) 运用IPsec VPN技术实现节目生产系统网络与桌面办公OA网络的融合
目前国内大多数电视台,节目生产系统网络和桌面办公OA网络之间,大都采用物理绝对隔离的形式。如要实现桌面办公计算机既能访问节目生产系统(如审片),又可访问INTERNET,则该计算机要安装两个硬盘及隔离网卡。这种方式只是简单的、机械的将两个计算机安装在同一个机箱,要实现对不同系统的访问,不得不频繁的关闭和启动计算机。这样既影响效率,又会大大降低计算机设备的使用寿命。重要的是这种方式其实并没有真正实现节目生产系统和桌面办公系统的有机融合。
衡阳电视台在建设全台网系统时,充分考虑了这个问题。通过采用VPN技术,实现节目生产系统网络和桌面办公OA网之间的动态隔离。并辅以防火墙的隔离和访问控制策略,安全地实现节目生产系统网络与桌面办公OA网络的融合。
(3) 桌面办公OA网络区域PC的动态网间隔离
衡阳电视台计算机网络系统中处于OA区的PC有双重作用:一是日常办公处理,如上Internet查询资料,接收邮件等;二是作为访问节目生产业务系统的终端,比如写稿、看片、审片、媒资素材查询、节目收录预约等需要访问节目生产系统网络业务系统。
从节目生产系统网络信息安全的角度来看,一定要做到访问Internet和访问节目生产系统网络系统的PC的隔离。但从投资和可管理性的角度来看,安装两套独立的PC硬盘和隔离网卡是不可取的。所以需要寻求一种能进行动态隔离的解决方案。
通过在OA网和节目生产系统网络间放置一台VPN的服务器,当OA网的PC要访问节目生产系统网络时先建立VPN连接,VPN的建立实现了OA网PC的逻辑网络重定位,此时桌面PC在逻辑上属于节目生产网络的一部分。通过在服务器上做策略控制实现当PC要访问节目生产系统网络时将不能访问OA网络和Internet,实现动态隔离。
在此架构和策略保障下,衡阳电视台的节目生产系统网络和桌面办公OA网络通过高速连接有机融合。员工在桌面办公计算机上,不必通过关机和重新启动,就可以完成写稿、低码率编辑、媒资检索、查询、审看、收录约传等工作。
(4) 统一身份认证及权限管理
基于数字化、网络化、信息化、智能化的思路,结合电视台的实际需求,通过统一规划和构思,建立一个全台统一身份认证及权限管理平台,采用统一管理、分散控制的原则,能够对用户和岗位操作使用权限做出规定,从而较好实现全台资源统一调度管理。
(5) 全台统一的安全管理措施
面向全台,从网络规划、操作系统以及业务系统等各个层次上统一考虑安全措施,并充分考虑易操作性。这其中包括网络的多级安全区域的规划与设计、各业务系统在多级网络中的部署与互通、系统运行状况的监控和管理以及防入侵、防病毒等措施的统一规划、设计与部署。
(6) 网络公共服务的开放不降低内部系统的安全性
衡阳电视台的新闻发布、流媒体发布、远程节目上传,这些业务系统都与电视台节目生产系统有直接的网络连接,并且都需要内部网络对外具有一定的开放型。我们的设计思路是:
将这些网络公共服务业务系统根据功能划分前台和后台两套设备,前台设备负责对外发布和上载中转;后台设备负责与内部节目生产系统的通信。
前后台两套设备之间通过FC光交换及存储设备连接,光交换和存储设备负责前后台设备之间的信息的传递。通过光交换和存储打断了前后台设备之间的直接协议通信。
这样一来,既实现了前后台设备的信息传递,又隔断了外网到内网的IP连接。既保证了业务的开展,又没有降低系统的安全性。
(7) 提高安全不以增加管理和操作难度为代价
为加强管理、简化终端操作,特为办公桌面终端开发了电视台综合业务统一桌面系统。既作为日常桌面办公的客户端,将日常的OA、节目生产的系统集成在统一界面;又能提供简化用户操作的桌面后台综合处理功能,如单点登录、后台VPN拨号等,在用户访问生产系统的时候,为终端用户提供透明的后台操作。既保证了安全,又没有增加操作难度。