一、網(wǎng)絡(luò)特點(diǎn)及需求

隨著計(jì)算機(jī)技術(shù)、視音頻技術(shù)的發(fā)展，“數(shù)字化、網(wǎng)絡(luò)化、自動(dòng)化”是目前廣播電視行業(yè)的流行語，也是各級(jí)廣播電視臺(tái)共同追求的目標(biāo)，各地都紛紛投入大量資金搭建了（廣播）電視數(shù)字節(jié)目制作網(wǎng)和播出網(wǎng)。

非編設(shè)備的改良，播出設(shè)備的兼容性增強(qiáng)，使得非編與播出系統(tǒng)可以實(shí)現(xiàn)直接的打包文件傳輸播出，很多地方已經(jīng)實(shí)現(xiàn)了制播網(wǎng)絡(luò)一體化。與傳統(tǒng)的制播系統(tǒng)相比，網(wǎng)絡(luò)化的制播系統(tǒng)為我們帶來了不可比擬的優(yōu)勢，但也帶來了前所未有的安全問題。

傳統(tǒng)制播系統(tǒng)是由一個(gè)個(gè)相對(duì)獨(dú)立的子系統(tǒng)組成，子系統(tǒng)之間主要采用SDI信號(hào)或者磁帶進(jìn)行數(shù)據(jù)傳遞。這樣的數(shù)據(jù)交換方式，雖然效率比較低，但是從一定程度上降低了安全風(fēng)險(xiǎn)，安全隱患比較容易固定在子系統(tǒng)內(nèi)，不易向別的子系統(tǒng)擴(kuò)散。

安全播出歷來備受關(guān)注，在技術(shù)上我們主要通過各種IT設(shè)備、各級(jí)鏈路、系統(tǒng)協(xié)作等多層冗余機(jī)制，來提高系統(tǒng)的安全性和可靠性，以提升系統(tǒng)的應(yīng)急響應(yīng)能力，確保最終的安全播出。

而網(wǎng)絡(luò)化的制播系統(tǒng)由采集、制作、存儲(chǔ)、播出等多個(gè)業(yè)務(wù)子板塊構(gòu)成，各個(gè)業(yè)務(wù)子板塊之間是相互連通的，基于網(wǎng)絡(luò)安全上的木桶原理和網(wǎng)絡(luò)的無邊界性，我們必須保證整個(gè)網(wǎng)絡(luò)的各個(gè)業(yè)務(wù)子板塊的安全才能保證最終的播出安全。

傳統(tǒng)的技術(shù)手段對(duì)于保證制播設(shè)備的正常運(yùn)轉(zhuǎn)是行之有效的。但網(wǎng)絡(luò)化數(shù)字系統(tǒng)的運(yùn)行卻面臨新的挑戰(zhàn)—病毒攻擊。由于計(jì)算機(jī)病毒已經(jīng)是無處不在，已經(jīng)對(duì)數(shù)字制播系統(tǒng)構(gòu)成重大威脅，成為了很多廣電人士的心頭之恨，擔(dān)心和困擾揮之不去。目前，中小（廣播）電視臺(tái)的網(wǎng)絡(luò)化普及率較高，病毒危害最深。大型（廣播）電視臺(tái)由于擔(dān)心病毒攻擊造成播出事故，安全責(zé)任重大，制播一體化工作一直不敢實(shí)施，造成設(shè)備和人員冗余、工作效率低下。

目前，大家采用常規(guī)的技術(shù)手段來應(yīng)對(duì)，如加防火墻、封閉USB接口、軟件殺毒等措施，不僅費(fèi)時(shí)費(fèi)力，而且事倍功半，防不勝防。針對(duì)廣電數(shù)字制播系統(tǒng)的結(jié)構(gòu)和數(shù)據(jù)特點(diǎn)，能夠安全、有效、放心地實(shí)現(xiàn)病毒隔離的防范系統(tǒng)，深受業(yè)內(nèi)人士期盼。

安徽天虹數(shù)碼科技有限公司為此而設(shè)計(jì)的“紅旗-9”全臺(tái)網(wǎng)病毒防范系統(tǒng)，正是秉承以上制播網(wǎng)絡(luò)應(yīng)用要求研發(fā)的。該系統(tǒng)采用“白名單”確認(rèn)原理，通過板塊外病毒隔離、板塊間病毒隔離、病毒檢測定位手段，在快速、安全、完整地轉(zhuǎn)發(fā)對(duì)實(shí)時(shí)性要求極高的大數(shù)據(jù)量視音頻數(shù)據(jù)流的同時(shí)，切實(shí)達(dá)到了“業(yè)務(wù)板塊內(nèi)安全”、“各個(gè)板塊間交互安全”以及“有效的病毒監(jiān)測”等安全要求。

“紅旗-9”全臺(tái)網(wǎng)病毒防范系統(tǒng)主要技術(shù)內(nèi)容和創(chuàng)新點(diǎn)包括：

1、國內(nèi)自主研發(fā)的數(shù)字視音頻網(wǎng)絡(luò)專用安全系統(tǒng)，申請(qǐng)了發(fā)明專利，具有自主知識(shí)產(chǎn)權(quán)；

2、采用FPGA實(shí)現(xiàn)的專用安全引擎，對(duì)大數(shù)據(jù)量視頻流進(jìn)行實(shí)時(shí)檢查 ；

3、安全系統(tǒng)運(yùn)行在特殊定制的操作系統(tǒng)之上，使通用平臺(tái)程序代碼無法在該系統(tǒng)上運(yùn)行，從而有效地避免了通用計(jì)算機(jī)病毒和黑客程序的攻擊 ；

4、系統(tǒng)采用分離總線處理進(jìn)入和發(fā)出的數(shù)據(jù)流，任何網(wǎng)絡(luò)接口之間的通訊都必須通過視頻網(wǎng)絡(luò)安全裝置，切實(shí)做到了安全隔離。

5、通過可靠檢測確保病毒完全隔離，在設(shè)計(jì)上遵循——“除非明確允許，否則就禁止”的白名單基本原則，以文件為單位對(duì)傳輸內(nèi)容進(jìn)行格式分析和過濾，任何問題素材都不能通過。

二、系統(tǒng)描述

“紅旗-9”全臺(tái)網(wǎng)病毒防范系統(tǒng)是由安徽天虹數(shù)碼技術(shù)有限公司自主研發(fā)的計(jì)算機(jī)網(wǎng)絡(luò)邊界安全防護(hù)產(chǎn)品，是專門針對(duì)目前各（廣播）電視臺(tái)外部不可信網(wǎng)絡(luò)、移動(dòng)傳輸介質(zhì)向內(nèi)部可信網(wǎng)絡(luò)的視音頻影像數(shù)據(jù)高速、安全導(dǎo)入而研制的，其部署于外部不可信網(wǎng)絡(luò)、移動(dòng)傳輸介質(zhì)與內(nèi)部制播網(wǎng)絡(luò)之間，或內(nèi)部網(wǎng)絡(luò)的各個(gè)板塊之間，實(shí)現(xiàn)了影像數(shù)據(jù)資料的受控傳輸、內(nèi)容審查、內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)潆[蔽、日志審計(jì)等安全功能，確保整個(gè)傳輸過程高速、安全、可控。其產(chǎn)品結(jié)構(gòu)如下圖所示：

首先，為了保證全臺(tái)網(wǎng)中采集、制作、播出、存儲(chǔ)等各個(gè)業(yè)務(wù)板塊的網(wǎng)絡(luò)相互之間能夠正常連接、傳輸數(shù)據(jù)，并且保證板塊間數(shù)據(jù)傳遞安全，我們采用了在板塊和板塊之間設(shè)置網(wǎng)間病毒隔離墻的方法。

其次，為了確保制播網(wǎng)中的各個(gè)業(yè)務(wù)板塊的子網(wǎng)絡(luò)，在快速、高效地接受外部移動(dòng)存儲(chǔ)設(shè)備中數(shù)據(jù)的同時(shí)，不受移動(dòng)存儲(chǔ)設(shè)備中可能的病毒的侵害，我們采用了在外部網(wǎng)絡(luò)、移動(dòng)介質(zhì)與相應(yīng)板塊的子網(wǎng)絡(luò)之間添加移動(dòng)存儲(chǔ)隔離墻的方法；

另外，為了保障對(duì)全臺(tái)制播網(wǎng)絡(luò)數(shù)據(jù)交換中心實(shí)施病毒監(jiān)測，我們采用了病毒報(bào)警器，一旦在制播網(wǎng)中發(fā)現(xiàn)病毒，病毒報(bào)警器就會(huì)快速作出反應(yīng)，提供實(shí)時(shí)報(bào)警。

“紅旗-9”全臺(tái)網(wǎng)病毒防范系統(tǒng)主要為下圖中的三個(gè)組成部分，我們分別介紹每個(gè)部分的系統(tǒng)特性和功能特點(diǎn)。

1、板塊內(nèi)安全——移動(dòng)介質(zhì)病毒隔離墻

移動(dòng)介質(zhì)病毒隔離墻在設(shè)計(jì)上嚴(yán)格遵循——“除非明確允許，否則就禁止”的白名單基本原則，以文件為單位對(duì)傳輸內(nèi)容進(jìn)行格式分析和過濾，以確保對(duì)USB設(shè)備、DVD光盤等存儲(chǔ)設(shè)備上的病毒進(jìn)行有效識(shí)別、并隔離。

移動(dòng)介質(zhì)病毒隔離墻在體系結(jié)構(gòu)上采用軟硬件有機(jī)結(jié)合的設(shè)計(jì)理念，根據(jù)軟件和硬件之間的“協(xié)作”關(guān)系量身定制，充分發(fā)揮系統(tǒng)的潛力，保持較高的工作效率和穩(wěn)定性，并且采用安全增強(qiáng)和優(yōu)化的操作系統(tǒng)，安全級(jí)別高，具有強(qiáng)大的功能特性。其典型的系統(tǒng)特性如下：

文件內(nèi)容深度分析，通過對(duì)文件內(nèi)容和格式的深度比對(duì)，讓非法文件無所遁形；

安全性高，通過用戶身份驗(yàn)證、數(shù)據(jù)內(nèi)容驗(yàn)證等多種方式保證有效數(shù)據(jù)安全傳輸；

傳輸透明化，保證用戶迅捷的上傳、下載和選擇文件；

專有的傳輸協(xié)議，保證傳輸過程的安全性；

傳輸完整性檢測，通過收發(fā)雙方的MD5碼校驗(yàn)，最大限度保證傳輸?shù)恼_性；

設(shè)備自動(dòng)搜索功能，用戶不需要進(jìn)行繁瑣的設(shè)置；

支持常見的視音頻、圖片以及文本等文件；

定制應(yīng)用交換功能；

訪問控制功能；

數(shù)字內(nèi)容審查；

內(nèi)網(wǎng)拓?fù)潆[蔽功能。

通過在制播網(wǎng)各個(gè)業(yè)務(wù)板塊子網(wǎng)絡(luò)中運(yùn)用移動(dòng)介質(zhì)病毒隔離墻，可以充分保障各個(gè)子網(wǎng)絡(luò)的安全，有效地防止外部移動(dòng)存儲(chǔ)設(shè)備中的病毒的侵入。如下圖：

2、板塊間交互安全——網(wǎng)間病毒隔離墻

網(wǎng)間病毒隔離墻是基于制播網(wǎng)絡(luò)各個(gè)板塊之間進(jìn)行病毒防護(hù)而開發(fā)的一套產(chǎn)品，典型的應(yīng)用是在制作網(wǎng)與播出網(wǎng)之間。通過對(duì)傳輸內(nèi)容進(jìn)行分析，僅僅容許通過“認(rèn)可的”和符合規(guī)則的文件，對(duì)無法識(shí)別的文件或者格式錯(cuò)誤的文件一律視為非法文件限制在網(wǎng)絡(luò)上傳輸。網(wǎng)間病毒隔離墻能夠用來隔開網(wǎng)絡(luò)中的多個(gè)網(wǎng)段，能夠防止某一網(wǎng)段中的安全隱患通過網(wǎng)絡(luò)向別的網(wǎng)段傳播。這樣，通過在全臺(tái)網(wǎng)各個(gè)業(yè)務(wù)板塊子網(wǎng)絡(luò)之間安裝網(wǎng)間病毒隔離墻，即可保證板塊之間數(shù)據(jù)交互的安全性。

網(wǎng)間病毒隔離墻作為板塊網(wǎng)絡(luò)間訪問的唯一點(diǎn)，所有進(jìn)出信息都必須通過網(wǎng)間病毒隔離墻，所以網(wǎng)間病毒隔離墻非常適用在被保護(hù)的網(wǎng)絡(luò)之間收集關(guān)于系統(tǒng)、網(wǎng)絡(luò)使用和用戶操作行為的信息。其典型的系統(tǒng)特性如下：

支持千兆網(wǎng)絡(luò)，高傳輸率，用戶幾乎感覺不出性能的損失，保證了傳輸?shù)牧鲿承裕?/span>

多種模式靈活選擇，單向、逆向、雙向工作模式可選，可實(shí)現(xiàn)一對(duì)多、多對(duì)多等應(yīng)用場景；

傳輸透明化，保證用戶迅捷的上傳、下載和選擇文件；

專有的傳輸協(xié)議，保證傳輸過程的安全性；

傳輸完整性檢測，通過收發(fā)雙方的MD5碼校驗(yàn)，最大限度保證傳輸?shù)恼_性；

權(quán)限控制，對(duì)工作目錄的文件進(jìn)行讀寫的權(quán)限設(shè)置、保證文件的安全性；

日志記錄功能，對(duì)文件操作和多傳輸過程進(jìn)行詳細(xì)的日志記錄，保證文件的修改有據(jù)可查；

設(shè)備自動(dòng)搜索功能，用戶不需要進(jìn)行繁瑣的設(shè)置；

文件內(nèi)容深度分析，通過對(duì)文件內(nèi)容和格式的深度比對(duì)，讓非法文件無所遁形；

靈活的傳輸規(guī)則，除內(nèi)置的文件格式外，還支持用戶自定義傳輸格式文件(以擴(kuò)展名驗(yàn)證)；

支持常見的視音頻、圖片以及文本等文件。

設(shè)備的安裝、配置簡單，可以很容易的整合到現(xiàn)有的網(wǎng)絡(luò)環(huán)境中，在安裝過程中僅需要設(shè)置相關(guān)的IP地址信息，就可以正常工作，降低了對(duì)相關(guān)人員專業(yè)性的要求；

通過在全臺(tái)網(wǎng)各個(gè)業(yè)務(wù)板塊子網(wǎng)絡(luò)間運(yùn)用網(wǎng)間病毒隔離墻，可以充分保障各個(gè)子網(wǎng)絡(luò)交互傳輸數(shù)據(jù)的安全，有效地防范病毒在各個(gè)子網(wǎng)絡(luò)間交互傳播。

3、病毒監(jiān)測——病毒報(bào)警器

在確保了各業(yè)務(wù)板塊內(nèi)部安全和板塊間交互傳輸數(shù)據(jù)的安全之后，我們剩下最后一步，即：對(duì)網(wǎng)內(nèi)病毒進(jìn)行監(jiān)測。這一步由病毒防范系統(tǒng)中的病毒報(bào)警器來完成。

病毒報(bào)警器是天虹公司自主研發(fā)的病毒監(jiān)測類安全產(chǎn)品，其主要作用是用來幫助我們發(fā)現(xiàn)、查找、跟蹤、定位以太網(wǎng)的各種威脅，并提供有效的反病毒措施和提高系統(tǒng)防病毒能力，并能夠?qū)θ_(tái)網(wǎng)安全情況提供有效評(píng)估。

病毒報(bào)警器采用了融合多種分析方法的新一代病毒監(jiān)測技術(shù)，配合經(jīng)過全面優(yōu)化的高性能雙系統(tǒng)安全平臺(tái)。其中一個(gè)系統(tǒng)模擬被攻擊機(jī)，收集病毒；另一個(gè)安全系統(tǒng)跟蹤病毒動(dòng)向，并繞過欺騙主機(jī)定位病毒來源。更可以根據(jù)用戶定制安全策略，準(zhǔn)確分析、報(bào)告網(wǎng)絡(luò)中正在發(fā)生的各種異常事件和攻擊行為，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒的“全面檢測”，同時(shí)通過實(shí)時(shí)的報(bào)警和用戶界面系統(tǒng)、短信系統(tǒng)，為用戶提供詳細(xì)、可操作的安全措施，幫助用戶完善安全保障措施。其典型的功能特點(diǎn)如下：

支持多級(jí)、分布式部署，實(shí)現(xiàn)策略統(tǒng)一下發(fā)，信息集中收集。

支持協(xié)議自識(shí)別與協(xié)議插件技術(shù)，可準(zhǔn)確識(shí)別非常規(guī)端口的協(xié)議和新型協(xié)議。

支持基于特征和基于原理的兩種檢測方式，在保障檢測精度的基礎(chǔ)上，擴(kuò)大了檢測可識(shí)別的范圍。

有一套業(yè)界最規(guī)范的后繼服務(wù)支撐體系，確保對(duì)新型事件的快速準(zhǔn)確響應(yīng)。

提供網(wǎng)絡(luò)入侵事件、網(wǎng)絡(luò)違規(guī)事件、流量異常事件等多種異常檢測。

采用最短時(shí)間優(yōu)先算法，確保了產(chǎn)品在網(wǎng)絡(luò)數(shù)據(jù)高負(fù)載情況下的檢測效率。

結(jié)合了環(huán)境指紋技術(shù)，在發(fā)現(xiàn)有攻擊行為后，與存儲(chǔ)的環(huán)境信息進(jìn)行二次匹配，將那些能夠確信為“有用”的報(bào)警信息單獨(dú)呈現(xiàn)，減少用戶的分析操作消耗。

除了事件的雙方地址、協(xié)議等信息外，還包括了對(duì)事件的具體描述、漏洞信息、修補(bǔ)建議、影響系統(tǒng)等，可以將最細(xì)致的事件信息呈現(xiàn)給用戶。

提供與實(shí)際地理拓?fù)湎嘟Y(jié)合的報(bào)警顯示方式。在大規(guī)模部署的情況下，可以將設(shè)備拓?fù)渑c地理拓?fù)湎嘟Y(jié)合，使得管理員可以直觀而迅速的判斷威脅所在。

提供基于時(shí)間、地址、事件等多重參數(shù)信息的分析報(bào)表，結(jié)合歷史分析數(shù)據(jù)，可清晰展現(xiàn)安全建設(shè)發(fā)展趨勢，協(xié)助考查網(wǎng)絡(luò)安全建設(shè)水平。病毒報(bào)警器可依照用戶定制的策略，準(zhǔn)確分析、報(bào)告網(wǎng)絡(luò)中正在發(fā)生的各種異常事件和攻擊行為，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的“全面監(jiān)測”。

三、白名單檢測過濾技術(shù)