2015年1月22日,沈阳中数科技有限公司与战略合作伙伴IT国际知名公司戴尔(中国)以“IT新技术助力广电发展”为主题,在沈阳丽都索菲特酒店会议厅,与14家地市级电视台的技术专家们进行了一次技术研讨交流。广电行业发展至今,从最早的字幕机开始,到非线编、到非编网、媒资网、到全台网,每一次的发展都是在IT技术的支撑下得以完成。IT技术发展对广电技术起到了极大的助力作用。同时,随着广电技术发展提出了很多具有行业特点的需求。
沈阳中数科技有限公司在2014年完成了辽宁广播电视台“全台网安全监控管理系统”的搭建,有效提升了网络安全运行的监控管理手段。我们实施的大数据安全交互系统,解决了节目上载过程中外网对内网的的安全隐患。同时我们与Autonomy公司合作,推进大数据自动采集、管理、查询系统,解决媒资录入及查询中存在的实际问题,这一系统目前在北京电视台、上海SMG、湖南卫视已经在使用。
随着IT技术的快速发展,桌面虚拟化技术开始应用在各个行业的系统网络搭建,桌面虚拟化技术减轻了网络维护工作,提升了网络安全,解决了设备更新的价值流失,目前国内多家电视台已经开始搭建虚拟桌面化架构的非编网络。戴尔公司在会上介绍了桌面虚拟化技术的最新应用和未来发展。
沈阳中数、文件安全交互系统,已经在辽宁省全面启用,其中包括辽宁广播电视台、沈阳台、盘锦台、营口广电等。其中,辽宁广播电视台更是在全台所有网络运用了本系统作为文件安全交互的唯一途径。
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术——“网络隔离技术”应运而生。网络隔离技术的目标是确保把有害的攻击和病毒进行隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
着眼未来安全技术的发展方向,针对广电行业对网络安全要求的特殊性并结合自身需求,文件安全交互平台建设项目。
对于外来数据的导入,我们采用了独有的USB数据隧道技术,通过“两层防毒过滤+两层防攻击+一次统一认证”设计,确保了数据能安全的从外网导入业务网络中,该技术已在国内多家大型电视台得以广泛应用,同时在《电视台数字化网络化建设白皮书(2007)》中被列为推荐使用安全措施之一。
l 两个服务端装有不同的杀毒软件
安全交互软件能与包括:Kaspersky、ESET Nod32、Avira在内的多家杀毒软件生产厂商进行底层的深度耦合。
l 指定格式的数据迁移
指定格式做数据迁移后,软件能自动的识别传输文件的类型,屏蔽指定传输文件以外的格式,只将经过安全认定的格式进行传输。
l 软件深层检测:
安全交互软件能自动判断识别将更改后的病毒文件,能自动识别二级后缀的文件,能将隐藏病毒文件进行排除。
l 两个服务端通过专用USB线进行连接:
两台传输设备使用USB进行连接,而非以太网线进行连接,避免了IP链路的链接,没有了IP地址的链接就防止了网络攻击,起到了防火墙的作用。
l 服务端采用私有交互指令:
两个服务端采用私有的交互指令,严格指令校验,防止在外网端被恶意控制的情况下,无法对内网造成任何威胁。
外网安全交互软件仍然需要登录认证才能使用,且外网的登录认证与内网的统一认证绑定在一起,未在内网登记注册的用户,无法将数据交互到内网,确保外来内容在内网的数据流向,又增加了个人素材的隐私性。
本设计方案专门针对制作网、媒资网、演播室及播出机房,意在通过这种安全、高效,便捷的方式,将来至于非安全网络的文档、图片、字幕模板、视音频素材、节目单等数据安全的交互到高安全网络指定的缓存区存储,以供相关人员使用。
基于USB2.0的安全隔离和信息交换,由2个拥有操作系统的独立主机系统(内网服务器和外网服务器)和连接硬件组成。连接硬件是与以太网异构的介质组成(USB线缆),连接硬件通过主机上的程序和硬件上独立的芯片来对两个网络中需要交换的信息数据进行封包、摆渡、解包,从而实现内外网之间数据的交换。这种架构抛弃了较为脆弱的基于TCP/IP协议的内外网安全隔离机制,从真正意义上达到内外网连接时的安全隔离。
采用国外著名的杀毒软件(卡巴斯基,ESET NOD32,Avira等),拥有强大的杀毒引擎和完善的病毒库,使用内嵌式后台杀毒模式,快速高效的扫描所有传输的文件,从根本上解决病毒木马等问题。并且采用双独立主机系统异种杀毒软件的查杀,几乎可以清除掉所有的病毒威胁。
用户可自定义文件传输类型,可允许传输和拒绝传输某些类型文件,可根据配置检测问题内部格式是否是相对应的文件类型,防止某些恶意的文件类型修改欺骗(如将EXE执行程序更改为AVI类型)。从传输文件的类型上进行又一次过滤,确保进入内网的文件没有被病毒感染的可能。
自动检测任务并控制传输,采用MD5文件完整性效验,保证传输到内网的所有文件完整。自动检测现有文件,并根据设定规则进行重命名,防止重复传输同名文件被覆盖。可根据文件类型自动分类保存,方便在内网进行文件的检索。
可根据实际使用情况配置多种文件传输的方式。CIFS(文件共享式),按WINDOWS权限进行共享权限设定,操作简单方便,即日常的文件复制粘贴操作。WEB网页上传、C/S客户端上传可按用户权限设定用户可传输的文件类型,支持在带路由的办公网或英特网进行远程传输。
所提供的文件安全交互平台系统方案及软硬件设备配置,选用成熟的技术和先进的设备、软硬平台建设,整个系统易于管理和维护。能满足网络高安全隔离的需要;同时也能满足高效数据交互的需要。
n 运行维护
所设计和提供的文件安全交互平台具备优秀的可用性能,同时也提供了良好的检错、纠错能力,具有完善的备份措施。在系统出现故障时,能够在较短的时间内恢复系统运行。
n 网络管理
所设计的文件安全交互平台具备完善的网络管理功能,网络管理操作简单、直观、维护管理方便。所有日常维护工作要求能实现在线式操作,同时所有的主要设备必须支持在线热插拔。
文件安全交互平台除了保证功能齐全之外,对技术的前瞻性要求更是技术实力的体现。在保证安全性和高效性的前提下,先进的技术对整体网络来说如虎添翼,所以对产品技术前瞻性的考虑,应该更加充分,才能确保系统的可持续发展能力。系统的先进性涉及多方面的因素,例如:整体架构、系统平台、网络构件、技术实现手段等,需要综合全面的设计。
关于系统的先进性,贯穿整个项目系统的设计理念、设备选型及工程施工的全过程,不仅完全符合我国电视广播规范和有关标准,符合国际广播电视技术发展潮流,完全适应视音频编辑技术、计算机技术、网络通信技术及系统中其他技术发展的要求,同时,借鉴和发展了国际领先的理念,实现先进、高效的自动化流程,以保证系统的先进性。