沛縣電視臺制播一體網的安全體系設計與構建

摘 要：目前，制作和播出數字化、網絡化技術在中小型電視臺已全面成熟，各種制播和存貯設備已相繼正常運行，但網絡的安全已成為全臺技術的重點，文章就我臺設備的運營管理發表一點看法。

關鍵詞：制播一體網；網絡技術；網絡通信；安全

目前，制作和播出數字化、網絡化已經在各級電視臺推廣開來，各業務板塊網絡之間安全、高速、高效的全程數字化、網絡化、文件化的數據交換、資源共享、互聯互通的全臺級網絡技術平臺和業務平臺及管理系統已經全面成熟，但是為了保證全臺網的高可用和高安全，全臺網安全體系已經成為技術工作的重中之重。

1 機房環境層安全

我臺全臺網核心設備均部署在專業機房內，良好的機房環境是系統安全運行的重要保障。

1.1 機房環境

我臺機房內鋪設了防靜電地板，完善了機房的防雷、接地、消防、溫度濕度控制、防靜電、防電磁泄漏、防電磁干擾等安全系統。安裝了機房獨立專用的精密空調進行制冷，實時監測機房內溫度濕度，確保符合設備正常運行的要求，并建立、執行人工巡檢制度。做好機房內所有的指標的檔案記錄。

1.2 機房供電保障

機房供電系統我們將動力、照明與信號線路分開，并建有備用供電系統。采用了10KW大容量UPS電源1+1并聯冗余供電方式，避免電壓波動、斷電等對系統的影響。所有機架的電源分兩路獨立供電，服務器及關鍵存儲、交換設備等配置冗余電源，并分別接至兩路電源。

1.3 機房監控

我們采取了解門禁、紅外報警、視頻監控等安全措施，對進出機房的人員進行嚴格控制，嚴禁閑雜人員入內。安裝了機房環境監控系統，對機房環境狀態及報警信息進行監控，以便及時發現機房安全隱患。

2 網絡交換層安全

2.1 以太網安全技術

全臺網中以太網安全技術主要有物理隔離、VLAN、防火墻、IDS（入侵檢測系統）、IPS（入侵防御系統）等多層面、多方位的網絡安全防御體系。

2.2 FC網安全技術

（1）通過分區劃分，對不同分區授予不同的訪問權限，避免越區訪問。（2）通過識別碼及訪問控制列表，對設備和交換機進行接入控制。（3）基于交換機的端口綁定功能，對來自不同端口的訪問授予相應的訪問權限。

3 網絡通信層安全

3.1 安全域等級劃分

我們將全臺網合理劃分為多個安全域等級，以便合理分配資源，實施等級化安全保護。

3.2 邊界安全

不同安全域業務網絡之間邊界防護策略主要有：

（1）修橋策略：業務協議在一定的控制策略下直接通過，數據不重組，對速度影響小，但安全性較低。軟硬件實現方法有ACL（訪問控制列表）、防火墻、IPS、VPN（虛擬專用網）、UTM（統一威脅管理）等。（2）渡船策略：業務協議不直接通過，數據要重組，安全性很高。軟硬件實現方法有物理隔離網閘、USB私有協議、高安全區等。（3）人工策略：不做物理連接，人工用移動介質交換數據。

3.3 終端安全

（1）建立域管理環境，將計算機終端劃分到合適的安全域，正確配置域安全策略，嚴格管理、控制終端對網絡的訪問權限。（2）對終端用戶賬號進行統一管理、認證和授權。（3）制定網絡用戶行為規范，管理用戶行為。（4）通過網絡準入控制技術，防止未經授權的、不滿足安全準入條件的終端接入全臺網。

3.4 網絡可靠性

（1）核心層、匯聚層網絡設備選用具有大量應用案例、成熟、可靠的產品，并配備冗余雙電源、雙風扇。（2）核心層、匯聚層交換機應采用雙機熱備和雙鏈路冗余機制。基礎網絡采用鏈路冗余備份、多鏈路聚合捆綁和負載均衡技術，確保鏈路可靠性和高傳輸帶寬，服務器應采用雙網卡接入網絡。

3.5 擁塞控制與服務質量保證

全臺網中網絡設備具備擁塞控制功能，避免瞬間大量的丟包現象。根據用戶所在網段、應用類型、流量大小等自動對業務進行分類，對不同等級的業務進行不同的處理，為其保留帶寬或提供QoS（服務質量）保證。

4 系統平臺層安全

4.1 總體架構安全

（1）采用主干平臺加業務板塊的結構，業務板塊只需與主干平臺連接，可以降低結構上的復雜性。（2）根據承載業務的不同將全臺網劃分為若干板塊，板塊間的連接采用松散耦合方式，減少相互間的依賴和影響，存儲、數據庫系統采用分布式結構，保證各業務板塊可以獨立運行。（3）將各業務板塊按重要程度劃分為不同的安全域等級，對不同安全域進行安全隔離和訪問控制。（4）各業務板塊采取模塊化、分層設計，構建從網絡設備、平臺軟件到業務功能的安全、科學、合理的技術體系。（5）重要的業務板塊采取本地編輯、緊急上載、專業光盤播出、備份系統等必要的應急措施來完成緊急情況下的生產和播出。

4.2 硬件設備安全

（1）選用高性能、高可靠性、在廣電行業具有廣泛應用的成熟的主流產品。（2）為保證整個系統沒有單潰點，節目制播存各環節的關鍵設備除了提高自身可靠性外，全部采用整機熱冗余配置，并配備可熱插拔的存儲控制器、網卡、硬盤、電源、風扇等冗余部件。（3）采用不同傳輸路由對網絡鏈路進行鏈路冗余備份，當一條網絡鏈路發生故障時，可快速切換到冗余鏈路。（4）設備應支持本地和遠程管理、監控、自動報警、日志及自動診斷功能。

4.3 平臺軟件安全

選用安全性、可靠性、穩定性更高的平臺軟件，服務器應選擇UNIX平臺的操作系統或Windows平臺的企業版操作系統，數據庫系統、應用服務器、中間件、ESB等軟件應選擇企業級產品。核心服務器選用異構操作系統進行防護，關閉操作系統可能易受攻擊的系統服務或訪問端口。建立安全補丁更新、安裝與管理流程，定期檢查安全漏洞。定期對平臺軟件的安全性進行評估、檢查和修正。

5 數據層安全

5.1 數據保密性

（1）根據珍貴程度、保密要求對內容數據資源進行保密分級管理。（2）通過嚴格的身份認證和權限管理機制。（3）采用數字水印和數據加密技術，對數據資源在分發、傳輸、交換等各個環節進行版權控制和管理，阻止非授權用戶訪問和共享數據資源，有效地防范黑客攻擊、數據篡改、數據盜用和竊取等。

5.2 數據完整性

（1）可通過同/異介質冗余備份、實/延時數據備份、本/異地數據備份等安全控制策略，防止數據丟失。（2）通過MD5校驗等機制，確保數據文件在傳輸過程中的安全性、一致性、完整性和不可篡改性。

5.3 數據可用性

（1）通過RAID容錯盤陣、集群或存儲網格等技術，增強存儲設備的可靠性。通過主備存儲體備份、磁帶庫存儲備份、本地-中心雙份存儲、備份-恢復機制、異地容災機制、同步-持續性數據保護機制等技術，保證數據的可用性和業務的連續性。（2）在集群環境下建立多機共享數據庫，以提高數據庫服務的可用性。（3）對于安全級別高的媒體數據，采用在線鏡像方式提高數據可用性。（4）通過定期或不定期備份數據恢復校驗，確保備份數據有效。

另外還有業務應用層管理，系統安全管理等不在一一累述，以上是本人在實際工作中的一點點經驗之談，僅供同行參考。

參考文獻

[1]陳樹凡.非編網絡的管理維護技巧[J].現代電視技術，2008（1）.

[2]徐儉.新一代非編網系統的運行管理[J].有線電視技術，2008（4）.