一、網絡特點及需求

隨著計算機技術、視音頻技術的發(fā)展，“數字化、網絡化、自動化”是目前廣播電視行業(yè)的流行語，也是各級廣播電視臺共同追求的目標，各地都紛紛投入大量資金搭建了（廣播）電視數字節(jié)目制作網和播出網。

非編設備的改良，播出設備的兼容性增強，使得非編與播出系統(tǒng)可以實現(xiàn)直接的打包文件傳輸播出，很多地方已經實現(xiàn)了制播網絡一體化。與傳統(tǒng)的制播系統(tǒng)相比，網絡化的制播系統(tǒng)為我們帶來了不可比擬的優(yōu)勢，但也帶來了前所未有的安全問題。

傳統(tǒng)制播系統(tǒng)是由一個個相對獨立的子系統(tǒng)組成，子系統(tǒng)之間主要采用SDI信號或者磁帶進行數據傳遞。這樣的數據交換方式，雖然效率比較低，但是從一定程度上降低了安全風險，安全隱患比較容易固定在子系統(tǒng)內，不易向別的子系統(tǒng)擴散。

安全播出歷來備受關注，在技術上我們主要通過各種IT設備、各級鏈路、系統(tǒng)協(xié)作等多層冗余機制，來提高系統(tǒng)的安全性和可靠性，以提升系統(tǒng)的應急響應能力，確保最終的安全播出。

而網絡化的制播系統(tǒng)由采集、制作、存儲、播出等多個業(yè)務子板塊構成，各個業(yè)務子板塊之間是相互連通的，基于網絡安全上的木桶原理和網絡的無邊界性，我們必須保證整個網絡的各個業(yè)務子板塊的安全才能保證最終的播出安全。

傳統(tǒng)的技術手段對于保證制播設備的正常運轉是行之有效的。但網絡化數字系統(tǒng)的運行卻面臨新的挑戰(zhàn)—病毒攻擊。由于計算機病毒已經是無處不在，已經對數字制播系統(tǒng)構成重大威脅，成為了很多廣電人士的心頭之恨，擔心和困擾揮之不去。目前，中小（廣播）電視臺的網絡化普及率較高，病毒危害最深。大型（廣播）電視臺由于擔心病毒攻擊造成播出事故，安全責任重大，制播一體化工作一直不敢實施，造成設備和人員冗余、工作效率低下。

目前，大家采用常規(guī)的技術手段來應對，如加防火墻、封閉USB接口、軟件殺毒等措施，不僅費時費力，而且事倍功半，防不勝防。針對廣電數字制播系統(tǒng)的結構和數據特點，能夠安全、有效、放心地實現(xiàn)病毒隔離的防范系統(tǒng)，深受業(yè)內人士期盼。

安徽天虹數碼科技有限公司為此而設計的“紅旗-9”全臺網病毒防范系統(tǒng)，正是秉承以上制播網絡應用要求研發(fā)的。該系統(tǒng)采用“白名單”確認原理，通過板塊外病毒隔離、板塊間病毒隔離、病毒檢測定位手段，在快速、安全、完整地轉發(fā)對實時性要求極高的大數據量視音頻數據流的同時，切實達到了“業(yè)務板塊內安全”、“各個板塊間交互安全”以及“有效的病毒監(jiān)測”等安全要求。

“紅旗-9”全臺網病毒防范系統(tǒng)主要技術內容和創(chuàng)新點包括：

1、國內自主研發(fā)的數字視音頻網絡專用安全系統(tǒng)，申請了發(fā)明專利，具有自主知識產權；

2、采用FPGA實現(xiàn)的專用安全引擎，對大數據量視頻流進行實時檢查 ；

3、安全系統(tǒng)運行在特殊定制的操作系統(tǒng)之上，使通用平臺程序代碼無法在該系統(tǒng)上運行，從而有效地避免了通用計算機病毒和黑客程序的攻擊 ；

4、系統(tǒng)采用分離總線處理進入和發(fā)出的數據流，任何網絡接口之間的通訊都必須通過視頻網絡安全裝置，切實做到了安全隔離。

5、通過可靠檢測確保病毒完全隔離，在設計上遵循——“除非明確允許，否則就禁止”的白名單基本原則，以文件為單位對傳輸內容進行格式分析和過濾，任何問題素材都不能通過。

二、系統(tǒng)描述

“紅旗-9”全臺網病毒防范系統(tǒng)是由安徽天虹數碼技術有限公司自主研發(fā)的計算機網絡邊界安全防護產品，是專門針對目前各（廣播）電視臺外部不可信網絡、移動傳輸介質向內部可信網絡的視音頻影像數據高速、安全導入而研制的，其部署于外部不可信網絡、移動傳輸介質與內部制播網絡之間，或內部網絡的各個板塊之間，實現(xiàn)了影像數據資料的受控傳輸、內容審查、內網網絡拓撲隱蔽、日志審計等安全功能，確保整個傳輸過程高速、安全、可控。其產品結構如下圖所示：

首先，為了保證全臺網中采集、制作、播出、存儲等各個業(yè)務板塊的網絡相互之間能夠正常連接、傳輸數據，并且保證板塊間數據傳遞安全，我們采用了在板塊和板塊之間設置網間病毒隔離墻的方法。

其次，為了確保制播網中的各個業(yè)務板塊的子網絡，在快速、高效地接受外部移動存儲設備中數據的同時，不受移動存儲設備中可能的病毒的侵害，我們采用了在外部網絡、移動介質與相應板塊的子網絡之間添加移動存儲隔離墻的方法；

另外，為了保障對全臺制播網絡數據交換中心實施病毒監(jiān)測，我們采用了病毒報警器，一旦在制播網中發(fā)現(xiàn)病毒，病毒報警器就會快速作出反應，提供實時報警。

“紅旗-9”全臺網病毒防范系統(tǒng)主要為下圖中的三個組成部分，我們分別介紹每個部分的系統(tǒng)特性和功能特點。

1、板塊內安全——移動介質病毒隔離墻

移動介質病毒隔離墻在設計上嚴格遵循——“除非明確允許，否則就禁止”的白名單基本原則，以文件為單位對傳輸內容進行格式分析和過濾，以確保對USB設備、DVD光盤等存儲設備上的病毒進行有效識別、并隔離。

移動介質病毒隔離墻在體系結構上采用軟硬件有機結合的設計理念，根據軟件和硬件之間的“協(xié)作”關系量身定制，充分發(fā)揮系統(tǒng)的潛力，保持較高的工作效率和穩(wěn)定性，并且采用安全增強和優(yōu)化的操作系統(tǒng)，安全級別高，具有強大的功能特性。其典型的系統(tǒng)特性如下：

文件內容深度分析，通過對文件內容和格式的深度比對，讓非法文件無所遁形；

安全性高，通過用戶身份驗證、數據內容驗證等多種方式保證有效數據安全傳輸；

傳輸透明化，保證用戶迅捷的上傳、下載和選擇文件；

專有的傳輸協(xié)議，保證傳輸過程的安全性；

傳輸完整性檢測，通過收發(fā)雙方的MD5碼校驗，最大限度保證傳輸的正確性；

設備自動搜索功能，用戶不需要進行繁瑣的設置；

支持常見的視音頻、圖片以及文本等文件；

定制應用交換功能；

訪問控制功能；

數字內容審查；

內網拓撲隱蔽功能。

通過在制播網各個業(yè)務板塊子網絡中運用移動介質病毒隔離墻，可以充分保障各個子網絡的安全，有效地防止外部移動存儲設備中的病毒的侵入。如下圖：

2、板塊間交互安全——網間病毒隔離墻

網間病毒隔離墻是基于制播網絡各個板塊之間進行病毒防護而開發(fā)的一套產品，典型的應用是在制作網與播出網之間。通過對傳輸內容進行分析，僅僅容許通過“認可的”和符合規(guī)則的文件，對無法識別的文件或者格式錯誤的文件一律視為非法文件限制在網絡上傳輸。網間病毒隔離墻能夠用來隔開網絡中的多個網段，能夠防止某一網段中的安全隱患通過網絡向別的網段傳播。這樣，通過在全臺網各個業(yè)務板塊子網絡之間安裝網間病毒隔離墻，即可保證板塊之間數據交互的安全性。

網間病毒隔離墻作為板塊網絡間訪問的唯一點，所有進出信息都必須通過網間病毒隔離墻，所以網間病毒隔離墻非常適用在被保護的網絡之間收集關于系統(tǒng)、網絡使用和用戶操作行為的信息。其典型的系統(tǒng)特性如下：

支持千兆網絡，高傳輸率，用戶幾乎感覺不出性能的損失，保證了傳輸的流暢性；

多種模式靈活選擇，單向、逆向、雙向工作模式可選，可實現(xiàn)一對多、多對多等應用場景；

傳輸透明化，保證用戶迅捷的上傳、下載和選擇文件；

專有的傳輸協(xié)議，保證傳輸過程的安全性；

傳輸完整性檢測，通過收發(fā)雙方的MD5碼校驗，最大限度保證傳輸的正確性；

權限控制，對工作目錄的文件進行讀寫的權限設置、保證文件的安全性；

日志記錄功能，對文件操作和多傳輸過程進行詳細的日志記錄，保證文件的修改有據可查；

設備自動搜索功能，用戶不需要進行繁瑣的設置；

文件內容深度分析，通過對文件內容和格式的深度比對，讓非法文件無所遁形；

靈活的傳輸規(guī)則，除內置的文件格式外，還支持用戶自定義傳輸格式文件(以擴展名驗證)；

支持常見的視音頻、圖片以及文本等文件。

設備的安裝、配置簡單，可以很容易的整合到現(xiàn)有的網絡環(huán)境中，在安裝過程中僅需要設置相關的IP地址信息，就可以正常工作，降低了對相關人員專業(yè)性的要求；

通過在全臺網各個業(yè)務板塊子網絡間運用網間病毒隔離墻，可以充分保障各個子網絡交互傳輸數據的安全，有效地防范病毒在各個子網絡間交互傳播。

3、病毒監(jiān)測——病毒報警器

在確保了各業(yè)務板塊內部安全和板塊間交互傳輸數據的安全之后，我們剩下最后一步，即：對網內病毒進行監(jiān)測。這一步由病毒防范系統(tǒng)中的病毒報警器來完成。

病毒報警器是天虹公司自主研發(fā)的病毒監(jiān)測類安全產品，其主要作用是用來幫助我們發(fā)現(xiàn)、查找、跟蹤、定位以太網的各種威脅，并提供有效的反病毒措施和提高系統(tǒng)防病毒能力，并能夠對全臺網安全情況提供有效評估。

病毒報警器采用了融合多種分析方法的新一代病毒監(jiān)測技術，配合經過全面優(yōu)化的高性能雙系統(tǒng)安全平臺。其中一個系統(tǒng)模擬被攻擊機，收集病毒；另一個安全系統(tǒng)跟蹤病毒動向，并繞過欺騙主機定位病毒來源。更可以根據用戶定制安全策略，準確分析、報告網絡中正在發(fā)生的各種異常事件和攻擊行為，實現(xiàn)對網絡病毒的“全面檢測”，同時通過實時的報警和用戶界面系統(tǒng)、短信系統(tǒng)，為用戶提供詳細、可操作的安全措施，幫助用戶完善安全保障措施。其典型的功能特點如下：

支持多級、分布式部署，實現(xiàn)策略統(tǒng)一下發(fā)，信息集中收集。

支持協(xié)議自識別與協(xié)議插件技術，可準確識別非常規(guī)端口的協(xié)議和新型協(xié)議。

支持基于特征和基于原理的兩種檢測方式，在保障檢測精度的基礎上，擴大了檢測可識別的范圍。

有一套業(yè)界最規(guī)范的后繼服務支撐體系，確保對新型事件的快速準確響應。

提供網絡入侵事件、網絡違規(guī)事件、流量異常事件等多種異常檢測。

采用最短時間優(yōu)先算法，確保了產品在網絡數據高負載情況下的檢測效率。

結合了環(huán)境指紋技術，在發(fā)現(xiàn)有攻擊行為后，與存儲的環(huán)境信息進行二次匹配，將那些能夠確信為“有用”的報警信息單獨呈現(xiàn)，減少用戶的分析操作消耗。

除了事件的雙方地址、協(xié)議等信息外，還包括了對事件的具體描述、漏洞信息、修補建議、影響系統(tǒng)等，可以將最細致的事件信息呈現(xiàn)給用戶。

提供與實際地理拓撲相結合的報警顯示方式。在大規(guī)模部署的情況下，可以將設備拓撲與地理拓撲相結合，使得管理員可以直觀而迅速的判斷威脅所在。

提供基于時間、地址、事件等多重參數信息的分析報表，結合歷史分析數據，可清晰展現(xiàn)安全建設發(fā)展趨勢，協(xié)助考查網絡安全建設水平。病毒報警器可依照用戶定制的策略，準確分析、報告網絡中正在發(fā)生的各種異常事件和攻擊行為，實現(xiàn)對網絡的“全面監(jiān)測”。

三、白名單檢測過濾技術