【内容择要】 本文给出了目前中小电视台制作网普遍面临的节目制作网采用外来视音频文件、图片、文字等资料时病毒浸入问题的实用解决方案,适度、有效的保护了制作网和播出网的安全运行。
【关键词】 制作网 病毒 安全
随着IT技术在广电行业的广泛应用,计算机病毒也给我们带来了巨大的威胁,给我们正常的节目生产和播出带来安全隐患。近年来,计算机病毒的传播途径主要演变成两个,一是互联网,一是移动存储。由于我们节目制作网与互联网是物理隔离的,因此移动存储是我台感染病毒的主要途径。通过对病毒传播规律的分析,并结合我台的实际情况,我们设计了阜阳电视台节目制作网两级防病毒方案,有效地防止了计算机病毒造成的危害,同时满足了我台节目制作的要求。系统投入运行一年多,至今未发生一起非编系统感染病毒的事件。
网络系统结构
为满足我台电视节目制作的需要,2008年我们建立以IP-SAN基础的非线性编辑网络。网络结构非常简单,我们的节目制作网共有20套非编工作站,其中配音工作站2套,无卡站点6个,有卡站点12个(大洋D3-Edit 5000系列2套,大洋D3-Edit 3000系列10套),在这个系统中有3台DELL2950的服务器,其中两台作为制作网MDC服务器,数据库服务器,另外一台用于制作网和播出网以及外来素材的节目交换,此外系统中还有两套打包转码服务器,3台杀毒工作站。网络拓扑如下:
网络安全需求分析
为丰富节目内容,提高节目制作效率,我们不可避免会使用外来第三方素材。采用USB接口技术的移动存储介质由于体积小、存储容量大、读写速度快,在节目制作中被广泛用于第三方素材的存储和交换。频繁交叉使用的移动存储介质成了计算机病毒的又一新传播途径。移动存储介质最易感染的病毒是U盘病毒。
U盘病毒主要有两种表现,
1.中了U盘病毒,电脑硬盘里面所有的文件夹里都有一个与这个文件夹名字相同的后缀为EXE的文件夹,而且都一样大。
2.双击硬盘打不开的,但杀毒软件解决不了。一般是病毒在那个分区里建了一个autorun.inf文件,它的属性是隐藏、只读、存档性质的,在windows下看不到。
U盘病毒主要依赖于U盘等可移动设备生存,用户从网上下载或在有病毒的电脑使用U盘时,病毒就会自动移植到U盘当中,并在U盘内自动创建一个Autorun.inf的系统文件,当然这些文件都以隐藏形式存储,当用户在其他电脑使用中毒的U盘,以正常的方式双击U盘盘符时,便启动了隐藏了的Autorun.inf系统文件,Autorun.inf是一个安装信息文件,通过它便实现了病毒的自动运行,这样病毒便传播到另一电脑当中。
由于节目制作网的网络结构相对比较简单,服务器采取集中单一的管理模式,为了保证非编有足够的运行速度,以及非编软件的兼容性,所有的非编站点和服务器没有安装任何防病毒软件,整体的节目制作网网络安全性低,如果不加控制,就有可能受到病毒的入侵等安全问题。网络病毒对安全性低的节目制作网会带来多种不同程度的危害:
(1)信息失窃。网络病毒在发作后常常在造成直接破坏的同时,还会释放后门程序,一旦重要服务器中毒,就有可能带来素材资料的丢失或修改,造成严重的事故。
(2)文件服务器瘫痪。文件服务器是网络环境下文件储存和访问的主要应用服务器,病毒极易通过文件复制的方式在服务器中传播、复制,大量的病毒入侵可以导致文件服务器功能下降或瘫痪。
(3)客户机病毒泛洪。病毒可以通过多种介质传播,一旦客户机感染病毒,便会通过交叉感染迅速传播,给正常的节目制作网带来极大的威胁。
(4)网络带宽占有。高速传播和具有网络攻击能力的病毒,能大量占用有限的网络带宽,导致网络瘫痪。
2007年我台淘汰了上一代的非编网络,采用了大洋公司IP-SAN构架的非编节目制作网。以前我们所有的非编站点运行在Windows NT4.0环境下,这个系统平台不支持USB接口的移动存储,所以只要我们有效管理好软驱和光驱,断开与外网的连接就可以避免感染计算机病毒。现在我们所有非编工作站点运行在Windows XP平台,如果继续沿用以前的管理模式,完全隔离我们的节目制作网,放弃移动存储带来的工作便利,这样并不适应我们的发展。
网络安全设计与实现
如何解决这一鱼和熊掌的问题,是摆在我们技术人员面前的一个首要任务。通过对病毒传播规律的分析,并结合我台的实际情况,我们制定了一个两级防病毒技术方案,再加上相应的规章制度,很好的解决了这一问题。
“病从口入”,只要我们能够把好这个“口”,就可以有效的防止病毒的感染。首先,我们通过技术手段屏蔽所有非编工作站点的USB接口、光驱(现在的计算机一般不再配置软驱)。如果仅仅只是停用了USB接口、光驱,稍微掌握计算机使用经验的人员还是可以通过重新设置计算机,恢复这些功能的。因此,我们对登陆制作网的用户做了策略限制,使普通账号登陆网络后,无法对计算机系统进行重新设置或更改,同时对登陆到本地的管理账号设置密码保护。例如,我们在网络中设置了一个“fytv”的通用账号,用于登陆非编网,将本地的管理员级账号“administrator”设置了密码,防止一般使用人员登陆到本地。对于登陆到非编网的账号“fytv”,我们还在服务器做了策略限制,使用这个账号的操作人员,不能使用鼠标右键,查看计算机信息,不能对计算机安全敏感区域进行访问、不能访问系统盘,这样也就无法设置或更改计算机配置了,但这账号可以正常使用非编系统,丝毫不影响使用。
“光堵不疏”,还是不能解决问题,我们在外来素材与非编制作网之间建立了一个防病毒子系统,外来的第三方素材可以通过这里导入我们的非编。
网络拓扑如下,
在这个FTP服务器中我们使用了三块网卡,一块与非编网交换机相连接,一块与播出网交换机连接,一块与杀毒工作站交换机连接,这三块网卡分别工作在三个网段188.8.8.*、192.168.0.*、192.168.1.*。这样可以有效防止内部侵入,带来的安全隐患。杀毒工作站运行在192.168.0.*网段,在第一级防病毒中将两台杀毒工作站通过一个单独的交换机与FTP服务器相连接。在这两台工作站中我们安装了最新的杀毒软件,并规定每周定时对杀毒工作站进行病毒库升级。在第二级防病毒中,我们配置了一台双网卡的杀毒工作站,主要供我们网络维护人员使用。一个网卡接入互联网,一个网卡接入用于杀毒的以太网交换机,与FTP服务器互联,FTP服务器的数据盘通过网络映射的方式与这台计算机连接。我们在这个杀毒工作站中也配置了最新的杀毒软件,并设置为每隔1小时自动查杀一次映射过来的网络驱动器,同样也每周定期升级杀毒软件。我们内部规定,连接互联网的网卡只能在升级杀毒软件的时候才启用,在启用这个网卡的之前必须禁用连接FTP服务器的网卡,待杀毒软件升级完成后立即禁用该网卡,重新计算机后启用内网网卡。这样即便是这台杀毒工作站系统瘫痪,也不会影响FTP服务器的安全。 [Page]
技术流程如下:
首先,用户在第一级杀毒工作站对移动存储设备进行杀毒,之后通过FTP账号将素材上传到各自的FTP空间,第二级杀毒工作站每隔1小时,对存储在FTP服务器上的数据自动查杀一次病毒,再次检查上传内容是否包含病毒。在我们的节目制作网中交换的文件一般是视文件、音频文件、图片以及文本,这些文件是不会被感染病毒的。为以防万一,我们根据病毒传播的特点以及我们本身的特殊应用,在FTP服务器添加了一个名为autodel.bat计划任务,这个计划任务会每隔1分钟自动删除数据盘中所有扩展名为exe、bat、com、inf、sys、dll、vbs、asp、vbe、reg、ini等文件。文件格式如下:
attrib k:\ftp1\*.* -s -h -r -a /s /d
del k:\ftp1\*.ini /s
del k:\ftp1\*.dll /s
del k:\ftp1\*.sys /s
del k:\ftp1\*.inf /s
del k:\ftp1\*.com /s
del k:\ftp1\*.exe /s
del k:\ftp1\*.bat /s
del k:\bc\*.ini /s
del k:\bc\*.dll /s
del k:\bc\*.sys /s
del k:\bc\*.inf /s
del k:\bc\*.com /s
del k:\bc\*.exe /s
del k:\bc\*.bat /s
有了这个计划任务以后,即便是不小心将感染了病毒的文件上传到了服务器,系统也能够自动将它删除。
素材上传结束后,登陆非编网就可以在自动映射的K:盘中找到上传的内容(我们将FTP服务器的目录通过192.168.1.*网段映射成非编工作站的一个网络驱动器)。这时可以安全地将素材导入到非编使用。用户如果需要将非编网里面的素材传走,可以直接将资料生成拷贝到K盘,然后在杀毒工作站使用FTP方式登陆服务器,即可下载自己的资料。为了解决上传速度慢的问题,我们的防病毒网络全部使用的是千兆的网络设备。
面临的新问题
随着数字电视技术与IT技术的融合,在电视节目制作中记录介质也发生了很大的变化,基于半导体,光盘、电子硬盘等存储介质的摄录一体机被广泛使用。新一代的记录存储介质逐渐成为广播电视节目发行新载体,以前常用的各种磁带必将会被新一代的记录介质所取代。新的记录介质具有所有非线性的特点,非常适合用于非编网路的节目制作,且完全兼容IT技术。这就给我们目前的防病毒系统带来了一个新的难题。如果这些存储介质感染了病毒,同样会给我们的节目制作网带来极大的威胁,我们目前的网络结构无法有效防御病毒的蔓延。特别是半导体存储和电子硬盘又极易感染病毒(由于光盘的物理特性,光盘一般不易感染病毒)。因此在基于新一代记录介质的设备被普及使用的同时,这是我们无法回避的问题。
任何技术方案并不能做到100%的完善,因此我们还出台了相应的规章制度,做到人防和技防相结合。我们规定我们的所有非编工作站,不得私自安装其他软件,做到专机转用。我们设计的这个两级防病毒方案,投入使用一年以来,运行稳定,未出现一起病毒感染事件。我们在保障系统安全运行的同时,最大限度的为使用者提供操作上的便利。B&P