北京电视台制播网数据安全交换系统的设计及实现

王学奎 陈 奇 赵 涛

（北京电视台）

[摘 要] 为了提高外来素材数据导入到制播网的工作效率、提高制播网安全防护水平、实现制播网与外部数据交换业务的统一管理，北京电视台建设了专业高效的制播网数据安全交换系统。制播网数据安全交换系统是一个与制播网相对独立的网络系统，其核心功能是实现自动杀毒，并采用私有协议，通过USB专用线缆传输数据。建立独立的以太网络，将杀毒传输站点连接起来，实现任务统一管理、自动推送病毒库、素材数据自动入库等功能。[关键词] 制播网等级保护 数据安全交换 自动杀毒 安全传输 1 引言电视台制播网络一体化设计，极大地为电视节目制作解放了生产力，但这种设计思路为电视节目制作播出带来方便的同时，导致制播网内的设备能够互联互通，给网络安全防护带来很大的压力，网内任何一个节点存在安全隐患，将可能导致整个网络瘫痪。根据实际维护经验，网络安全隐患主要来自于制播网与外界数据交互环节。在总结制播网运维经验的基础上，我们设计并建设了制播网数据安全交换系统，主要完成制播网内业务数据与网外业务数据的安全交换。 2 北京电视台制播网络安全防护措施及存在的隐患制播网络安全防范体系按照功能可以分为两部分，一部分为制播网络内部的安全防护措施；一部分为制播网与外部网络接口部分的安全防护措施。北京电视台制播网采用SOA架构搭建，每个应用系统单独划分为一个相对独立的区域（采用Vlan隔离方式），各个区域通过访问控制列表（acl）实现与主干平台互联。制播网内部的终端部署了SYMANTEC或MCAFEE两家公司的终端安全产品，可以对设备硬件进行有效地管理，如关闭光驱、USB端口、1394端口等。此外，我们在制播网内搭建了微软补丁服务器和应急调试系统，经过应急调试系统验证后的应用软件和微软补丁才可以在实际环境中安装使用。根据一年多的维护经验，我们认为以上各种网络安全措施基本可以保证制播网内的安全。与制播网内的安全措施相比，制播网与外部网络的接口部分则是安全防范的关键点，几乎所有的安全隐患都来自于与外部网络的接口部分。制播网与外部网络的接口分为两类，一类是与办公网的网络接口，一类是各应用系统素材导入工作站的USB接口。与办公网的网络接口称为高安全区，高安全区由防火墙、防毒墙等设备组成。制播网如何做到安全的通过办公网或各应用系统导入工作站完成数据安全交换，是本文主要论述的内容。3 数据安全交换系统的设计3.1 北京电视台制播网素材导入现状制播网素材导入分为音视频信号重新编码上载和经过存储介质以文件形式导入到素材库中两种方式，前一种方式采用基带信号传输，因此是相对安全的。后一种素材导入方式所涉及的素材种类繁多，且来源不确定。这种导入方式是对制播网络安全最具危害性、但又是不可避免的一种导入方式。在数据安全交换系统建立以前，制播网素材导入是以手动的方式，通过位于编辑机房内的三层单机杀毒站点完成的。手动查毒及导入方式效率低、防病毒能力有限，耗费大量的人力资源，并缺乏统一管理及监控。3.2 系统设计思路根据实际需求分析，数据安全交换系统的设计需要解决以下几个问题：1）非以太网数据自动传输功能通常木马、蠕虫病毒都是基于互联网协议传播的，想要有效地防止此类病毒的传播，必须摒弃以太网连接的方式，而采用1394、USB、RS232等非以太网络接口方式连接。经过技术调研，我们认为使用USB总线传输数据的方式比较成熟，不必过多开发私有通信协议。2）自动杀毒如果可以做到素材数据以USB总线的方式自动传输，则可以考虑在每个传输工作站接收到素材数据后，自动触发病毒扫描程序。数据安全交换系统每个节点通过调用病毒扫描引擎SDK接口，每次数据传输主动开启、关闭病毒扫描引擎，可以保证每次病毒扫描的效果。3）素材数据分析功能数据在被导入数据安全交换系统时，系统应对文件类型进行分析，判断文件类型的真实性和完整性（真实文件类型是否和后缀名一致、文件头二进制代码信息判断及文件完整性判断），以及待导入的素材是否为允许导入的文件类型。4）系统异构数据安全交换系统面向全制播网开放，我们在方案中设计了IP存储，作为导入、导出数据的中转存储区，IP存储为NAS架构，NAS控制器为Linux操作系统。IP存储通过以太链路与第三级杀毒传输站点连接，可以实现IP存储与第三级杀毒传输站点操作系统异构。异构操作系统可以屏蔽利用window漏洞传播的木马、蠕虫病毒等。5）任务流程监控管理与系统日志要做到无人值守，才可以真正节省人力，因此任务流程监控管理非常有必要。要求所有数据安全交换系统导入、导出任务，都会将各节点的工作状态保存下来，并作为系统日志存入数据库中，实时地反映任务执行情况及各节点的工作状态。6）素材数据自动入库功能数据安全交换系统客户端在生成导入任务时，会产生一个元数据文件。导入素材数据与相应的元数据文件经数据安全交换系统传输至IP存储后，各制作系统的入库服务可以调用元数据文件完成素材的自动入库。7）格式规划数据安全交换系统是制播网络系统与外部数据交换的平台，数据类型种类繁多。根据实际工作需要，目前数据格式规划为以下几类：视频类：AVI、MXF、MPEG、MOV音频类：WAV、WMV、MP3图片类：JPG、BMP、GIF、TGA、PNG文本类：TXT3.3 系统架构及业务流程3.3.1 系统架构设计制播网数据安全交换系统是一个与制播网相对独立的网络。根据北京电视台的实际应用场景，数据交换分两类场景，一类为素材从各编辑机房直接导入，另一类为从办公网导入。

在办公网通过B/S方式，在编辑机房通过C/S方式登录数据安全交换系统服务界面，触发导入、导出任务。系统中所有第一级杀毒传输工作站与本系统应用服务器、认证服务器和病毒特征库升级服务器连接起来组成独立于制播网的专用网，完成任务管理、任务状态反馈、节点状态反馈、病毒库升级、统一认证等工作。所有第三级杀毒站点与集中IP存储都接入到数据安全交换系统的专用以太网交换机上，组成另外一个局域网，完成素材数据、元数据传输至制播网内IP存储和自动入库等工作。杀毒传输工作站第一节点安装卡巴斯基杀毒软件，第二节点安装瑞星杀毒软件，第三节点安装NOD32杀毒软件。数据安全交换系统的存储体采用集中式大容量IP存储，存储体既与数据安全交换系统第三级杀毒工作站连接，又连接制播网内的汇聚或核心交换机，实现导入数据在制播网内的共享。3.3.2 业务流程使用者通过本人帐号及密码登录，挑选要导入的素材，点击素材传送按钮后，即可完成一次素材导入任务。编辑记者在选定要导入的素材后，系统在后台要完成以下操作：第一层杀毒站点完成文件分析、过滤，同时对符合要求的文件进行第一层病毒扫描，并通过USB方式将素材数据和元数据摆渡到第二层杀毒站点；第二台杀毒站点完成第二层病毒扫描后，将素材数据和元数据转送至第三台杀毒站点；第三层杀毒站点完成病毒扫描后，将素材数据和元数据文件传送至IP存储相应目录。各应用系统接口服务实时扫描元数据文件目录，根据元数据文件中的信息，将素材数据拷贝到该系统资料库中，完成数据的导入操作。数据导出方式相对简单，用户将需要导出的数据拷贝至IP存储的相应目录下，在专用的导出工作站上就可以将数据导出至移动存储设备上。3.3.3 三级杀毒站点消息传递模式三级杀毒传输工作站中主要部署了杀毒和传输两个功能模块。杀毒模块用于调用杀毒软件对数据的病毒查杀。传输模块用于素材数据的传输和任务状态的反馈。如下图所示：

图2 三级杀毒传输节点消息传递示意图

传输模块会将导入任务在各级杀毒传输工作站中的杀毒、传输情况反馈到客户端程序中，让使用者直观的了解导入数据在整个处理流程中的状态，同时在应用程序服务端可以看到所有客户端的任务执行情况。4 数据安全交换系统应用效果北京电视台制播网数据安全交换系统自2010年12月开始试运行，试运行初期，手动单机杀毒系统与数据安全交换系统同时运行，我们对两种方式进行了对比。对比内容分为查毒测试和传输测试两部分，以下是测试结果。4.1 查毒测试1）测试内容（1）单一格式文件包含有毒文件杀毒效果。（2）多格式文件包含有毒文件杀毒效果。2）测试结果表1 数据安全交换系统查毒测试结果一览表4.2 传输测试1）测试内容（1）单任务单格式文件传输效率。（2）单任务多格式文件传输效率。（3）多任务，多格式混合传输测试效率。2）测试结果表2 数据安全交换系统传输效率测试结果一栏表数据安全交换系统自动查杀病毒与手动查杀病毒效果一致。但大文件或一次传输过多的文件，传输效率和杀毒效率会显著降低，建议单个任务上传文件数量不要超过100、单个任务大小不要超过4G；任务中文件数量越多，查杀时间会更长。 5 结束语数据安全交换系统正式运行，显著降低了客户端维护人员的工作量，节省了大量人力，使北京电视台制播网的网络安全防护水平上了一个新的台阶。我们将按照国家等级保护的相关要求，继续完善各项网络安全措施。 编辑：中国新闻技术工作者联合会