锡林郭勒盟广播电视台网络安全设计

高 歌

锡林郭勒盟广播电视台 内蒙古 锡林浩特市 026000

近年来，随着电视节目高清化的发展，锡林郭勒盟广播电视台现有非编制作网络已经无法满足现有需求。现有制作网络于2008年建成，如今设备老化，工作站机器性能配置低，非编软件版本低，没有高清节目编辑能力，加之以前在防病毒等方面防护不够，造成整个非编制作网络病毒蔓延，经常影响节目制作。为了满足现有制作高清节目的要求，提高整个制作网络的安全性，锡林郭勒盟广播电视台于2017年投资建设了新的高清非编制作网络。笔者作为台网络管理中心负责人，负责对整个网络进行规划和设计，在安全性方面，我们采取了相应的技术和措施，保证整个非编制作网络的安全运行。

1 原有网络存在的安全问题

1.1 病毒泛滥

原有制作网络是与互联网物理隔离的，无法及时的安装系统补丁，杀毒软件也无法实时在线更新。同时，网络内工作站的USB 口没有禁用，摄像人员及工作人员可随意进行移动存储设备的使用。同时整个网络内工作站之间使用windows 操作系统的文件夹共享方式进行文件素材的交互。一旦一台工作站感染病毒，就会迅速的传播给网内的所有工作站，严重时可导致整个网络瘫痪，工作站无法正常工作。

1.2 操作人员误操作

因台内制作人员对计算机操作知识掌握不足，经常无意之中进行误操作，误删系统关键文件，导致工作站系统无法正常工作。同时，部分制作素材存储在工作站本地硬盘上，不同的工作人员可操作同一台工作站，经常导致部分素材误删除。

2 网络拓扑

结合锡林郭勒盟广播电视台实际情况，我们把全台网络分为播出内网，制作内网和办公互联网三个区域。如图1所示。

图1 台内网络分类

三个网络区域采用物理隔离，采用独立的交换机独立组网。根据实际业务情况，三个网络区域之间有如下的业务文件交换需求：

（1）制作网需要向播出上传节目；

（2）制作网需要从外网下载旗县上传的素材；

（3）制作网需要通过外网把节目发送给自治区广播电视台。

为了满足以上的业务交换需求，我们采用了一台数字视频网络安全网关，三个网络区域中的文件交换都通过该网关进行交换。

3 数字视频网络安全网关

实际上，杀毒软件用于内网的环境清理更合适，如果边界的数据进入仅仅依赖于杀毒软件为过滤机制，是存在漏杀可定性的（因为病毒库的升级永远落后于病毒的产生）。而防火墙作为网间隔离设备，因为是逻辑隔离设备，不具有物理隔离功能，所以内网被攻击的可能性是存在的。网闸类产品，虽然具有物理隔离功能（避免攻击），但是对于数据内容本身的安全性不做检测，存在应用数据携带危险信息的可能性。即便再配合杀毒软作辅助过滤，仍然存在漏杀的可能性。

数字视频网络安全网关是新一代网络边界防护设备，是专门为广电行业进行定制开发的，其根据事先的配置，对经过其的所有文件根据文件类型进行文件解析过滤，并对数据内容作全文解析过滤，支持广电行业内部所有的文件类型，彻底杜绝来自网络通道和数据内部非法及危险信息的通过。其独特的安全防护技术，克服了杀毒软件、防火墙及网闸等传统技术的缺点和漏洞，使得内部网络在与外部交换数据时，实现传输信道的物理隔离。

该网关支持使用windows 文件共享和FTP 协议进行文件传输。这里我们采用FTP 进行文件的交换，因为FTP 比windows 文件共享更方便的进行权限控制及运维管理。我们在播出网内和办公互联网内分别搭建FTP 服务器，分别用于制作网向播出上传节目和制作网和办公互联网进行文件交互。

4 网络中采取的其他网络安全措施

4.1 在线式编辑模式

这次升级改造中，非编制作软件采用了在线式编辑模式，整个制作网络中使用了一台EMC isilon260 NAS 存储，所有非编工作站上挂载该网络存储，所有非编素材和工程文件存储在NAS 存储上，制作人员可在任意一台工作站上打开自己创建的工程进行节目的编辑制作。假如一台非编制作工作站故障，可在另一台上接着进行工作，不存在工作站单点故障。我们按用户进行权限的划分，每个制作用户只可以访问自己的文件，这样也避免了多用户操作造成的误删除操作。

4.2 USB口隔离

移动存储设备的使用是内部网络感染病毒的重要途径。制作网络内部需要使用USB 口进行摄像素材的上传。在这次新的网络设计中，我们指定了几台工作站为素材上载机，其余所有工作站我们在BIOS 配置了USB 口的禁用。用户使用上载机进行素材的上传，直接把素材存放到网络存储上，制作时可直接在任意一台工作站上进行编辑制作。

在上载机上，我们采用了一款专门为广电行业开发的USB 安全隔离器。该隔离器是一款基于ARM 微处理器开发的隔离设备，内部运行Linux操作系统，它可以对文件进行深度检测，可配置允许通过的文件类型，支持广电行业内的全部文件类型。通过对文件格式的深度检测，可以阻止所有的病毒木马及无效文件通过。安装好该USB隔离盒的驱动后，该驱动会禁用上载机上的所有USB 口，只允许通过该隔离盒上的USB 口进行移动设备的读写操作。

4.3 Windows域控

我们所有的工作站都运行着Windows 7 操作系统，这里我们采用Windows 域控统一对所有工作站用户进行权限控制。我们在制作网络内搭建一台域控服务器，在域控服务器上对域控用户账号进行如下权限配置：

（1）在桌面禁用右键操作

（2）禁止用户安装/卸载程序

（3）禁止用户对系统盘的访问

（4）禁止用户对注册表的访问和操作

每台工作站用户使用事先分配好的域控账号进行登录。通过对用户权限的限制，可有效的防止用户的误操作导致工作站系统崩溃或软件被破坏。

总 结

在整个网络的设计时，网络安全性和可靠性是网络规划建设的重点，通过使用如上介绍的措施和方法，很好的保证了网络的安全。整个网络通过实际运行，经受住了考验，没有发生过任何的网络安全问题，取得了令人满意的效果。