一 . 项目背景
在三网融合的大背景下,构建全台业务网络互联互通一体化系统数字电视平台也是发展的必然,它可以有效地整合电视资源,对提高业务效率,提高节目质量、强化管理有着重要的作用。全台网从根本上改变了以往传统的运作模式,节目以文件传递取代了磁带,最大限度实现信息流通、跨平台跨频道资源共享和高效管理,并为运作、管理、应用提供了先进完善的技术手段,使节目的业务处理更加高效率、高质量。全台业务网络互联互通一体化系统一般由以下几个网络板块组成:制作网、录音网、收录网、播出网和媒资网。
全台网的互联互通主要包括:制作网与媒资网的互联互通、收录网与制作网的互联互通、录音网与制作网的互联互通、制作网与播出网、媒资网与播出网的互联互通。
全台网的建立,为电视台的业务运营提高了效率的同时,也带来了安全隐患,因为全台网也是标准网络,也存在网络安全问题。最典型的就是病毒的感染。一旦某个网络节点感染了病毒,就有可能使病毒在在网络内部迅速蔓延,并通过网络边界,传播到与之互联的网络,继而扩散到全台网,那样后果将会非常严重!
多数基于全台网设计的电视台在与外网交换数据时,采用的是安全隔离网闸的技术。
安全隔离网闸,又名“网闸”、“物理隔离网闸”,用以实现不同安全级别网络之间的安全隔离,并提供适度可控的数据交换的软硬件系统。安全数据交换单元不同时与内外网处理单元连接,采用安全隔离技术,创建一个内、外网物理断开的环境。通用的网闸模型设计一般分三个基本部分:
a. 内网处理单元:
包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。
b. 外网处理单元:
与内网处理单元功能相同,但处理的是外网连接。
c. 隔离与交换控制单元(隔离硬件):
是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。
1)摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。
2)通道方式是在内外网之间改变通讯模式,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。
在内外网处理单元中,接口处理与数据缓冲之间的通道,称内部通道1,缓冲区与交换区之间的通道,称内部通道2。对内部通道的开关控制,就可以形成内外网的隔离。
采用“中间数据交换区”摆渡数据,称为三区模型;摆渡时,交换区的总线分别与内、外网缓冲区连接,也就是内部通道2的控制,完成数据交换。
取消数据交换区,分别交互控制内部通道1与内部通道2,称为二区模型。二区模型的数据摆渡分两次:先是连接内、外网数据缓冲区的内部通道2断开,内部通道1连接,内外网接口单元将要交换的数据接收过来,存在各自的缓冲区中,完成一次摆渡。然后内部通道1断开,内部通道2连接,内外网的数据缓冲区与各自的接口单元断开后,两个缓冲区连接,分别把要交换的数据交换到对方的缓冲区中,完成数据的二次摆渡。
通过以上传统网闸原理的简单描述,我们知道其存在以下缺点:
1. 由于采用专用硬件和相应的系统,网闸的价格很高;
2. 只能针对已知的病毒进行防范,存在和杀毒软件一样的滞后性;
3. 操作使用不方便,交换数据需使用专用软件,而且只能在安装有客户端的电脑上交换数据;
4. 安全管理人员需定期更新网闸中的安全策略。
二. 焦作广电局安全交换平台的设计
焦作广电局从搬入新广电大厦后这两年,在使用外来IT素材方面一直采用传统手工摆渡的方式:记者将需要导入的素材用U盘拷贝给技术人员,技术人员在电脑上杀毒后拷贝到专用移动硬盘里,再对专用移动硬盘杀毒后拷贝到制作网内。这种方式效率低下,而且安全性也不是很好。2010年下半年,随着焦作广电局自办节目对外来素材使用的增加,自动化的网络安全交换数据平台的建设已迫在眉睫。
2010年9月,焦作广电局设立了以主管技术工作的副局长为组长,技术中心为主体的项目小组。通过对多家公司的网络安全产品进行比较,并联合一些院校的安全专家进行论证,在10月份确定了自主研发的思路,并制定了该平台的设计目标:
1、针对4种常见素材进行深度安全分析,通过检测的安全数据才能进入摆渡存储区;
2、摆渡存储区与内、外网之间没有任何传输协议,实现真正意义上的物理隔离,安全级别高于通用网闸;
3、任何一台办公室电脑不需要安装专用软件即能上传素材,实现桌面到全台网的安全连通,方便性高于通用网闸;
4、内、外网服务器不需改变使用的操作系统。
针对制定的设计目标,研发小组拿出了详细的设计日程表,并于5月初完成了项目的设计,目前该项目正在焦作广电局试运行,在确保网络安全的前提下,极大地提高了工作效率,取得了较好的使用效果。
三. 核心技术
1.文件深度检测分析:
通过分析文件内部数据对文件进行深度检测,避免了JPG病毒等利用系统漏洞的可能;
2.USB数据摆渡:
通过USB摆渡的方式,内、外网没有任何协议连接,实现了真正的物理隔绝。
四. 效果
该项目实现了编辑、记者在自己办公电脑上就能将需要导入的素材进行提交,配合相应的管理流程“自动”交换数据。在安全性上具备专业网闸的文件深度检测功能(由于只需针对广电行业经常使用的文件格式深度检测,在牺牲通用性的同时,安全性比网闸的安全性能大大提升),并且不使用任何通用协议(真正实现了物理隔绝)。
五. 总结
全台网在保证安全的前提下与外网交换数据,是电视台都面临的一个共同课题。在这方面,焦作广电局做了从桌面到制作网物理隔绝数据交换平台开发和研究的有益尝试,并取得了较好的效果,可以给地市级电视台提供一些借鉴和参考。
