天虹病毒隔离墙-制播网的病毒防范.doc

此文档收集于网络，如有侵权，请联系网站删除制播网的病毒防范引言随着计算机技术、视音频技术的发展，“数字化、网络化、自动化”是目前广播电视行业的流行语。而非编设备的改良，播出设备的兼容性增强，使得非编与播出系统可以实现直接的打包文件传输播出，很多地方已经实现了制播网络一体化。与传统的制播系统相比，网络化的制播系统为我们带来了不可比拟的优势，但也带来了前所未有的安全问题。传统制播系统是由一个个相对独立的子系统组成，子系统之间主要采用SDI信号或者磁带进行数据传递。这样的数据交换方式，虽然从一定程度上降低了安全风险，安全隐患比较容易固定在子系统内，不易向别的子系统扩散，但是效率比较低。而网络化的制播系统由采集、制作、存储、播出等多个业务子板块构成，各个业务子板块之间是相互连通的，基于网络安全上的木桶原理和网络的无边界性，我们必须保证整个网络的各个业务子板块的安全才能保证最终的播出安全。针对制播网病毒防范的问题，芜湖电视台根据台内的具体情况，立足于台内原有设备的基础上，着眼于安全性、实用性、简洁性、经济性，最终选择了安徽天虹数码科技有限公司的“红旗-9”全台网病毒防范系统。经过一年多来的使用，收到了非常满意的效果，切实做到了制播网各个业务板块以及板块之间的病毒防范，真正起到了为电视台的安全播出保驾护航的作用。基本情况和解决思路安全播出历来备受关注，在技术上我们主要通过各种IT设备、各级链路、系统协作等多层冗余机制，来提高系统的安全性和可靠性，以提升系统的应急响应能力，确保最终的安全播出。众所周知，传统的技术手段如传统防火墙、防毒墙和杀毒软件，对于保证制播设备的正常运转是行之有效的，但他们自身都存在一定的安全隐患。例如，就防火墙而言，其安全决策模块直接面对不可信的连接，难以确保安全策略的完整性和安全策略实施过程的完整性。传统防毒墙河杀毒软件采用的是黑名单的方式，存在下面问题：首先，病毒的产生总是先于病毒库的升级，升级不及时就有可能造成感染；其次，在线直接升级病毒库存在一定的安全风险，离线升级将带来极大且繁琐的工作量。网络化数字系统的运行面临着新的挑战病毒攻击。由于计算机病毒已经是无处不在，已经对数字制播系统构成重大威胁，成为业内人士的心头之恨，担心和困扰挥之不去。而电视台由于担心病毒攻击造成播出事故，安全责任重大，制播一体化工作一直不敢实施，造成设备和人员冗余、工作效率低下。在使用“红旗-9”全台网病毒防范系统之前，我台也主要采用了传统的技术手段来应对制播网安全问题，如加防火墙、封闭USB接口、软件杀毒等措施，不仅费时费力，而且事倍功半，防不胜防。出于此种状况，我台进行了制播网病毒防范系统的招标工作，其间得到了许多广电行业精英公司和人士的热切帮助和指导，经过对各个产品各项性能的综合对比，我们锁定了安徽天虹数码科技有限公司的“红旗-9”全台网病毒防范系统。“红旗-9”全台网病毒防范系统因为具有以下特点，很好得解决了制播网中的病毒防范问题：1、 采用特别配置的操作系统，使通用平台程序代码无法在该系统上运行，从而有效地避免了通用计算机病毒和黑客程序的攻击；2、 采用了白名单过滤机制，即“除非明确允许，否则就禁止”的方式，以文件为单位，对文件进行内容层次上的过滤，确保病毒不会通过篡改后缀名等方式漏网；3、 支持多种文件格式，包括视频、音频、图片和文本格式，并且具有自定义格式功能；4、 通过专有的管理软件进行管理设置，具有身份验证功能，日志记录查询功能，MD5校验功能等；5、 传输策略灵活，支持千兆网络，高传输率，支持网段之间的单向、双向通信；6、 白名单过滤机制不同于传统防毒产品的黑名单机制，产品永远不需要升级。现仅以此文，总结我台在三网融合发展过程中使用“红旗-9”全台网病毒防范系统的些许经验。系统构成“红旗-9”全台网病毒防范系统由以下三个部分组成：移动介质病毒隔离墙、网间病毒隔离墙和病毒报警器。可全面保障电视台外部不可信网络、移动传输介质向内部可信网络的视音频影像数据高速、安全导入，实现了影像数据资料的受控传输、内容审查、内网网络拓扑隐蔽、日志审计等安全功能，确保整个传输过程高速、安全、可控。系统三个组成部分如下：板块内安全移动介质病毒隔离墙在设计上严格遵循“除非明确允许，否则就禁止”的白名单原则，以文件为单位对传输内容进行格式分析和过滤，确保对USB设备、DVD光盘等存储设备上的病毒进行有效识别、隔离。在体系结构上采用软硬件有机结合，根据两者之间的“协作”关系量身定制，充分发挥系统的潜力，其典型应用场景如下：板块间交互安全网间病毒隔离墙基于制播网络各个板块之间进行病毒防护而开发，典型的应用是在制作网与播出网之间。通过对传输内容进行分析，仅仅容许通过“认可的”和符合规则的文件，对无法识别的文件或者格式错误的文件一律视为非法文件限制在网络上传输。网间病毒隔离墙能够用来隔开网络中的多个网段，能够防止某一网段中的安全隐患通过网络向别的网段传播。这样，通过在全台网各个业务板块子网络之间安装网间病毒隔离墙，即可保证板块之间数据交互的安全性。网间病毒隔离墙作为板块网络间访问的唯一点，所有进出信息都必须通过网间病毒隔离墙，所以网间病毒隔离墙非常适用在被保护的网络之间收集关于系统、网络使用和用户操作行为的信息。其典型应用场景如下：病毒监测病毒报警器作为病毒监测类安全产品，其主要作用是用来帮助我们发现、查找、跟踪、定位以太网的各种威胁，并提供有效的反病毒措施和提高系统防病毒能力，并能够对全台网安全情况提供有效评估。融合多种分析方法的新一代病毒监测技术，配合经过全面优化的高性能双系统安全平台：一个系统模拟被攻击机，收集病毒；另一个安全系统跟踪病毒动向，并绕过欺骗主机定位病毒来源。根据用户定制安全策略，准确分析、报告网络中正在发生的各种异常事件和攻击行为，实现对网络病毒的“全面检测”，同时通过实时的报警和用户界面系统、短信系统，为用户提供详细、可操作的安全措施，帮助用户完善安全保障措施。其典型应用场景如下：应用实例我台自运用“红旗-9”全台网病毒防范系统以来，无论在制播网病毒防范方面还是制播工作效率方面都取得了令人满意的效果。全台网病毒防范系统在我台应用的典型场景如下图：“红旗-9”全台网病毒防范系统考虑周全、技术先进、传输速度快，重要的是完全能够胜任我台不同结构、不同规模的网络病毒隔离任务，在一年多的实际使用过程中没有出现一例病毒“漏网”事件，真正做到了我台业务不中断、数据不丢失、播出无事故，实现了防病毒、防攻击、防破坏的效果，保障了全台网“板块内安全”、“板块间交互安全”，完美地满足了我台的信息安全需求和期望。2.2 产品功能及性能指标1、产品功能指标PSC1000-IP数字视频网络安全系统各型号的产品功能指标：指标类型指标内容功能指标通过对传输的内容进行分析，仅仅容许通过“认可的”和符合规则的文件，对无法识别的文件或者格式错误的文件一律视为非法文件限制其在网络上传输在设计上遵循“除非明确允许，否则就禁止”的白名单基本原则，以文件为单位对传输内容进行格式分析和过滤。支持文件格式众多视频：MPEG1、MPEG2、MPEG4（mp4 m4v m4a m4p 3gpp 3gp 3gpp2 3g2 k3g）、MPEG传输流（ts m2t m2s m4t m4s ts tp trp）、MOV、AVI、FLASH、Windows Media（ASF、WMV、WMA）、RealMedia（RM、RMVB、RA）、mkv mka mks等音频：MP1、MP2、MP3、WAV、MIDI、OGG、AAC、AC3、DTS图片：BMP、JPG、TGA、GIF、PNG、ICO、TIF其他格式：TXT专有的传输协议，保证传输的安全性传输的完整性检测，通过MD5码校验，确保传输的正确性设备的安装、配置简单，可以很容易的整合到现有的网络环境中，在安装过程中仅需要设置相关的IP地址信息。设备详细的记录了用户在网络中的操作行为，方便了管理人员查阅、统计历史文件操作，确定问题的根源。管理人员或用户可以很方便的设置本地的共享目录供其他用户访问，并对目录的操作权限（如只读、可写、删除）进行定义，保证文件的安全性。支持远程升级与管理支持文件深度检测和尾缀识别联合检测，使病毒、非法信息彻底无法通过。支持数据跨网段传输，内网、外网可分别设置多个不同网段的IP地址。支持灾难恢复默认出厂设置功能。支持文件内外网双向上传下载功能，上传和下载可分别限定文件类型。支持多目录自动上传功能。支持传输日志审计功能，保证文件传输操作有据可查，便于责任追踪。支持千兆以太网连接，保证传输速度。支持文件夹传输。支持自动上传,自动识别本地文件夹更新。支持目录传输, 自动识别目录、子目录中的文件；自动创建目标目录。高可用性功能双机热备：提供基于主从模式的双机热备功能负载均衡: 提供内置的负载均衡模块，保证两台设备共担数据通信流量系统监控与审计功能系统监控: 提供对系统运行状态的实时监控功能日志审计: 提供对用户访问行为、安全事件信息、系统日志信息的记录及审计功能2、产品性能指标PSC1000-IP的工作性能:指标类型指