北京电视台制播网高安全区设计与实现
王学奎 陈奇 丁辰
(北京电视台)
摘要
根据所传输的数据对安全的要求不同,北京电视台制播网高安全区设计并建设了三条传输通道:各类安防措施齐备的控制信息及元数据双向传输通道;重点防范病毒和非法入侵的办公网至制播网数据单向传输通道;实现网络隔离的制播网至办公网数据单向传输通道。在此三条物理通道的基础上,建设SOA架构的综合性业务支撑平台,所有制播网和办公网需要数据交换的业务系统将服务注册在此平台,由平台完成元数据交换和媒体数据通道分配和数据迁移。
关键词
制播网 数据安全交换 综合性业务支撑平台 安全交换通道 1 绪论 北京电视台制播网自2009年初正式运行,2010年对制播网进行了高清化扩建和改造,2012年基本完成制播网高清二期项目建设。随着制播网业务的拓展及三网融合、IPTV、网络电视台建设的实际需要,制播网向办公网的业务延伸及办公网向制播网提供的服务越来越多,独立的两个网络系统不便于以上业务的拓展。 制播网网络边界一般采用物理隔离或全方位防护(防火墙、防毒墙、应用防火墙、IPS等设备串联在一起)的防护措施来保证网络系统的安全性。此类方式在安全性方面有了足够的考虑,却损失了数据交换的便利性和效率。为实现制播网、办公网互联互通,又能够兼顾安全性和提高数据传输效率,北京电视台在办公网与制播网之间建设了一个综合性的数据安全交换平台,此平台基于松耦合的接入方式,实现制播网与办公网交互业务的统一管理。 2 高安全区交互业务分析 北京电视台制播网目前建成的系统包括1个业务支撑平台,5个公共服务系统(总编室编播系统、媒资系统、收录系统、共享演播系统、共享审片系统),及10余个后期制作系统。整个制播网系统以SOA架构建成,系统间的数据交换通过业务支撑平台完成。随着制播网业务及新媒体业务的快速发展,北京电视台制播网收录系统任务预约、演播共享系统演播室申请、远程文稿系统、B/S非线粗编、共享审片内容审查、总编室编播信息查询、媒资系统和各制作网低码流浏览检索功能等需要延伸至办公网,同时办公网公共组件Ldap认证信息、新闻舆情系统数据、3G文件数据、台外记者站素材数据等需要向制播网安全快捷地传送,制播网向IPTV和网络电视台素材传送也需要通过高安全区完成。通过对以上业务功能需求进行分析,可以总结出在办公网与制播网之间有四种不同的交互数据类型,分别是文件类型、消息类型、服务调用类型和流媒体类型。 1、文件类型:办公网与制播网间单向传递的各类文件,包括视音频媒体文件、文本文件、图片文件等。 2、消息类型:办公网与制播网间双向传递的消息信息,通过消息服务等方式发送或接收。 3、服务调用:采用WebService的方式进行的服务调用。服务提供者可部署在办公网,也可以部署在制播网。 4、流媒体:对于需要在线浏览的业务,要求提供媒体文件的传输服务,主要是低码率视音频流。 所有交互应用都可以通过以上四种交互数据的组合完成数据交换。
3 高安全通道设计与实现
网络安全防护滞后的现实,使制播网和外部网络连通后,会面临着来自不安全区域的攻击与入侵。为了保证不同网络区域的安全互联和数据安全交换,需要采取有效的技术防范手段。因此,需要在制播网和办公网之间建立一个可监控的、安全的、专用的数据交换网,负责交换业务数据、抵御外部攻击、阻止病毒入侵。 目前比较流行的五种安全交换技术包括防火墙、多重安全网关、网闸、数据交换网、人工交换。其中人工交换是不得已而为之,是简单文件的传递。防火墙与多重网关是关卡方式,依靠安全检测技术保证安全。网闸依靠摆渡技术隔离网络。数据交换网技术是网络加关卡方式,包含了防火墙、多重安全网关、网闸的技术优点,采用了边界安全防护设备、终端防病毒系统、入侵检测系统、网络安全审计系统、异构代理服务器等多种安全技术,实现了事前的防护、事中的监控和事后的审计,可以全面、立体地保障业务的安全性。 综合分析在办公网和制播网间需要实现的交互业务,发现各类业务对安全的要求是不一致的,如从办公网向制播网传输数据,可以认为是从安全级别低的网络向安全级别高的网络传输数据,需重点防范网络攻击和病毒入侵。而从制播网向办公网传输数据,则可认为是从安全级别高的网络向安全级别低的网络传输数据,设计重点是网络隔离。而元数据和控制信息则需要双向传输。 以下是安全传输通道的设计方案。
3.1 控制信息及元数据传输通道
该通道传输控制信息及元数据,数据交互方向为双向,应用系统采用HTTP等通用应用协议。该条通道所面临的安全风险最高,需要采用各类安全措施进行防护,实现从网络层到应用层的立体防护,保证控制信息及元数据传输的安全性,防范攻击者及恶意代码侵入制播网。 该通道两台办公网交换机与两台防毒墙之间采取主备连接模式,同时通道上部署了一体化安全网关,开启了防火墙、入侵检测、防毒墙功能模块,还部署了web应用防火墙。此通道在网络层和应用层都进行了严格的防护,经过攻防测试,全面达到安全防护要求。
3.2 办公网至制播网数据传输通道
该通道为办公网至制播网单向传输通道,主要传输内容为媒体文件。由于该通道数据来源是相对不可靠的,该通道的安全防护重点是病毒和入侵防范,是高安全区系统的设计关键点。 该通道部署了NIPS、安全审计系统、数据摆渡系统,在NIPS上开启防毒墙功能。 数据摆渡系统:采用私有传输协议,杀毒工作站之间通过USB线缆连接。基用WinUSB架构、BAFO7313标准,支持USB2.0协议,实际测试平均传输速度在25MB/s左右,以集群方式部署,可以方便扩容,足以满足小文件传输需求。同时本系统还具备任务管理功能、文件类型判断功能、自动杀毒功能、信息反馈功能等。 入侵防御及防病毒系统:入侵防御及防病毒系统主要用于防范各类针对应用层的攻击,弥补传统网络安全设备的不足,能够阻挡各类针对FTP、NETBIOS、HTTP等应用协议攻击。并且依靠内部的防病毒模块,实现防毒墙的功能。 网络安全审计系统:网络安全审计系统能够记录所有用户的网络和业务操作行为,能够回溯用户行为,还能够辅助管理员对安全事件进行分析,完善安全策略。 入侵检测系统:入侵检测系统同时具备病毒库及异常行为检测模块,协助发现防病毒系统所不能发现的最新的蠕虫病毒等恶意代码,弥补了病毒库模式所带来的不足。
3.3 制播网至办公网数据传输通道:
该通道为单向传输通道,与第二条通道的数据传输方向相反,媒体文件以及视音频流由此通道从制播网传入办公网。由于制播网的安全性比办公网高,可认为该条通道的数据来源是可靠的,仅需实现单向的数据传输即可保障其安全性,实现网络隔离是本通道设计的重点。该通道部署两套专用网闸进行冗余部署,实现由制播网至办公网的单向数据摆渡。 该通道主要部署流媒体和数据摆渡网闸,根据不同的业务分配不同的网闸通道,如媒资低码流浏览通过流媒体网闸实现,而素材数据导出则通过数据摆渡网闸实现。
3.4 通道分配机制
在办公网和制播网边界交换机上划分了不同的Vlan,三类通道所连接的设备分别在不同的Vlan内,保证不同的业务数据在不同的链路上传输。 第一条链路:在一体化安全网关(USG)上做了基于源地址的NAT和基于目的地址的NAT,在与高安全区交换机相连的办公网汇聚交换机上配置了一条与第一条链路相关的静态路由,从而实现双向安全链路。 第二条链路:为办公网向制播网上传文件的链路,上传文件经过NIPS第一层杀毒后,再由BFSS Matrix进行杀毒并传输到转码缓存中,由转码代理服务器通过第一条链路回传任务执行状态。本链路用到了基于源地址的PBR策略。 第三条链路:为制播网向办公网传输流媒体数据的链路,采取PBR与静态路由方式实现链路控制。 第四条链路:为文件导出链路,数据文件导出网闸对需要导出的文件从制播网IP存储摆渡至办公网IP存储,办公网用户从办公网IP存储取得所需文件。采取PBR与静态路由方式实现链路控制。
3.5 高安全区传输通道攻击测试
对三条安全传输通道的严格测试结果表明,此设计方案可以达到安全要求,测试结果如表1所示。
表1 高安全区安全攻击测试结论表
| 北京台综合业务支撑平台针对网络攻击的防范机制 | |||
| 序号 | 攻击类型 | 攻击种类 | 防范机制 |
| 1 | 拒绝服务攻击 | ping of death | 这些攻击手段基本上来自于公网,均可以通过防火墙来阻断。 |
| teardrop | |||
| UDP flood | |||
| SYN flood | |||
| Land攻击 | |||
| Smurf攻击 | |||
| Fraggle攻击 | |||
| 电子邮件炸弹 | |||
| 畸形消息攻击 | |||
| 2 | 利用型攻击 | 口令猜测 | 通过加强密码安全意识及行政手段来避免。 |
| 特洛依木马 | 是一种实体程序,必须进入到目标系统才能起作用。此系统中,实体文件在数据安全传输系统USB传输链路中彻底规避了TCP/IP协议通过,并对文件类型进行严格分析,只有合法的文件才能穿过,否则只能封闭在外网。 | ||
| 缓冲区溢出 | 可以通过入侵防御系统及入侵检测系统对该攻击手段进行防范。 | ||
| 3 | 信息收集型攻击 | 地址扫描 | 这些攻击手段均会被防火墙侦测到,可以通过防火墙的配置来阻断这些攻击。 |
| 端口扫描 | |||
| 反响映射 | |||
| 慢速扫描 | |||
| 体系结构探测 | 控制信息和元数据链路设有防毒墙、WAG、防火墙、一体化安全网关等一系列防护措施,均具有防范该手段的能力。 | ||
| 利用信息服务 | |||
| 4 | 假消息攻击 | DNS高速缓存污染 | 该攻击手段防火墙完全可以抵御 |
| 伪造电子邮件 | 控制信息和元数据链路已被防火墙等安全措施控制,而实体恶意文件也无法穿越第二条链路,该攻击手段无法实现。 | ||
4 综合性业务支撑平台
如果制播网或办公网需要向对方提供的服务都通过在高安全区部署代理服务器的方式实现,将会在高安全区产生一个庞大的代理服务器群,这样的方式不仅造成大量的设备、动力资源的浪费,也不利于统一维护和系统扩展。通过建设一个SOA架构的综合性业务支撑平台,将需要进行业务交互的服务注册在这个平台上,通过这个业务支撑平台进行消息传递,从而完成办公网和制播网业务系统之间的数据交换,任何系统只要遵照规定的标准接口协议,都可以很容易实现系统接入。
4.1 软件架构设计
综合性业务支撑平台的系统架构如图6所示,系统结构可分为基础层(支撑体系)、平台层(框架体系)、适配层、服务层(功能体系)、通道接口层及信息通道。 系统层次结构说明如下: 基础层(支撑体系):数据库、应用服务器、中间件平台。 平台层(框架体系):在中间件平台上开发的平台级应用系统的核心,平台层要为部署于制播网、办公网的各类服务(功能)提供服务注册、注销、中止、状态查看及整个生命周期的管理,与ESB总线类似;同时要提供各种类型的信息通道的接入、注销、状态监控等管理内容,类似于EMB,但比EMB要复杂。另外,还要配置一个轻量级的工作流引擎,以便对工作流性质的业务做处理。 适配层:定义和规范各类服务的协议,即WSDL和XSD Scheme。 服务层(功能体系):服务层也是平台的功能体系,一般为WebService服务,实现平台的各项具体功能。 通道接口层:定义通道的动态状态反馈机制,使平台能够了解每一时刻通道的工作状态,进行任务的合理分配和调度。 信息通道:信息通道类似于EMB总线,不仅仅限于网络链路,还有独立的硬件或系统,比如USB摆渡、网闸、特定网络协议(端口)通过的TCP/IP网络链路,而且未来还有可能接入采用新技术实现的通道。
4.2 系统功能设计
为实现对交互业务的统一管理和控制,综合业务支撑平台提供消息转发、任务监控以及统一访问入口。 消息转发:将需要交互的消息型数据在制播网和办公网之间进行传递,包括提供web接口服务,接收来自制播网或办公网的消息数据;调用制播网或者办公网的web接口服务,将消息数据进行转发。 传输监控:对通过平台进行传输的任务进行管理;包括查看任务传输进度,历史任务查询等。 统一访问入口:向办公网提供统一的访问页面地址,页面上为制播网各子系统的入口链接。
5 结论
目前,北京电视台制播网与办公网已完成联通,并实现了双方业务互通,向全台“一张网”的目标迈出了实质性的一步。北京电视台制播网高安全区综合性业务支撑平台的成功设计与实现,使制播网的部分业务安全方便地延伸至办公网,方便了编辑、记者,有效节约并充分利用了昂贵的制播网资源。办公网乃至互联网的数据快速安全便捷传送至制播网,使制播网的应用越来越灵活,为新媒体、新技术与制播网的便捷融合提供了平台。北京电视台制播网高安全区是广电行业等保要求安全数据交换的成功范例,为国内制播网网络安全边界建设提供了有益的参考。
评论 点击评论