沈阳中数 数据文件安全交互系统在盘锦广播电视台使用情况

阅读 34  ·  发布日期 2019-10-18 08:25:35

    面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术——“网络隔离技术”应运而生。网络隔离技术的目标是确保把有害的攻击和病毒进行隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。

    在现今的广电行业中,网络数据隔离交互普遍是通过网闸进行的。网闸所起到的作用,就是广电网络间进行有效的数据传输,并在进行数据传输的过程中,屏蔽病毒和攻击等有害信息,保证广电制播网络文件传输的安全、完整、高效。然而,目前市面上大多数网闸产品普遍存在两点弊端。第一,网闸产品只具备一层杀毒模式,这与广电总局所要求的异构杀毒模式不符。第二,通过网闸过滤传输数据,对速度有极大的限制,一般传输速度只能达到28MB/s左右


图片关键词

       沈阳中数大数据文件安全交互系统通过“两层防毒过滤、两层防攻击、一次统一认证”的设计,确保了数据能安全的从外网导入业务网络中。连接上,采用了独有的USB数据隧道技术传输数据,通过USB线缆连接内外网,数据传输时不签署TCP/IP协议,确保了内外网的绝对隔离。在防病毒方面,采用双独立主机系统异种杀毒的方式,在内、外网服务器搭载不同的杀毒软件,使用内嵌式后台杀毒模式,快速高效的扫描所有传输的文件,发现疑似病毒立即删除,从根本上解决病毒问题。同时,通过黑白名单双向隔离策略,只允许白名单文件类型通过,阻止黑名单文件类型通过,并对文件的文件头进行校验,确保传输文件安全可靠。在传输速度上,支持最多4条USB线缆并发传输,最高传输速度可达到480MB/s,完全能满足各行业用户的传输速率需求。

       该项技术已通过国家广播电影电视总局广播电视计量检测中心、公安部信息安全产品检测中心及公安部计算机信息系统安全产品质量监督检验中心等部门的检测。

   目前,沈阳中数大数据文件安全交互系统已经在辽宁省全面启用,其中包括辽宁广播电视台、沈阳台、盘锦台、营口广电等。其中,辽宁广播电视台更是在全台所有网络运用了本系统作为文件安全交互的唯一途径


沈阳中数、文件安全交互系统,已经在辽宁省全面启用,其中包括辽宁广播电视台、沈阳台、盘锦台、营口广电等。其中,辽宁广播电视台更是在全台所有网络运用了本系统作为文件安全交互的唯一途径。

概述

面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术——“网络隔离技术”应运而生。网络隔离技术的目标是确保把有害的攻击和病毒进行隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。

着眼未来安全技术的发展方向,针对广电行业对网络安全要求的特殊性并结合自身需求,文件安全交互平台建设项目。

二、项目特点介绍

对于外来数据的导入,我们采用了独有的USB数据隧道技术,通过“两层防毒过滤+两层防攻击+一次统一认证”设计,确保了数据能安全的从外网导入业务网络中,该技术已在国内多家大型电视台得以广泛应用,同时在《电视台数字化网络化建设白皮书(2007)》中被列为推荐使用安全措施之一。

1、两层防毒过滤:

l  两个服务端装有不同的杀毒软件

安全交互软件能与包括:Kaspersky、ESET Nod32、Avira在内的多家杀毒软件生产厂商进行底层的深度耦合。

l  指定格式的数据迁移

指定格式做数据迁移后,软件能自动的识别传输文件的类型,屏蔽指定传输文件以外的格式,只将经过安全认定的格式进行传输。

l  软件深层检测:

安全交互软件能自动判断识别将更改后的病毒文件,能自动识别二级后缀的文件,能将隐藏病毒文件进行排除。

2、两层防攻击

l  两个服务端通过专用USB线进行连接:

两台传输设备使用USB进行连接,而非以太网线进行连接,避免了IP链路的链接,没有了IP地址的链接就防止了网络攻击,起到了防火墙的作用。

l  服务端采用私有交互指令:

两个服务端采用私有的交互指令,严格指令校验,防止在外网端被恶意控制的情况下,无法对内网造成任何威胁。

3、一次统一认证

外网安全交互软件仍然需要登录认证才能使用,且外网的登录认证与内网的统一认证绑定在一起,未在内网登记注册的用户,无法将数据交互到内网,确保外来内容在内网的数据流向,又增加了个人素材的隐私性。

总体设计

本设计方案专门针对制作网、媒资网、演播室及播出机房,意在通过这种安全、高效,便捷的方式,将来至于非安全网络的文档、图片、字幕模板、视音频素材、节目单等数据安全的交互到高安全网络指定的缓存区存储,以供相关人员使用。

二、系统工作流程

    图片关键词

 

三、系统特点

基于USB2.0的安全隔离和信息交换,由2个拥有操作系统的独立主机系统(内网服务器和外网服务器)和连接硬件组成。连接硬件是与以太网异构的介质组成(USB线缆),连接硬件通过主机上的程序和硬件上独立的芯片来对两个网络中需要交换的信息数据进行封包、摆渡、解包,从而实现内外网之间数据的交换。这种架构抛弃了较为脆弱的基于TCP/IP协议的内外网安全隔离机制,从真正意义上达到内外网连接时的安全隔离。

 

采用国外著名的杀毒软件(卡巴斯基,ESET NOD32,Avira等),拥有强大的杀毒引擎和完善的病毒库,使用内嵌式后台杀毒模式,快速高效的扫描所有传输的文件,从根本上解决病毒木马等问题。并且采用双独立主机系统异种杀毒软件的查杀,几乎可以清除掉所有的病毒威胁。

3、严格的文件类型检查

 

用户可自定义文件传输类型,可允许传输和拒绝传输某些类型文件,可根据配置检测问题内部格式是否是相对应的文件类型,防止某些恶意的文件类型修改欺骗(如将EXE执行程序更改为AVI类型)。从传输文件的类型上进行又一次过滤,确保进入内网的文件没有被病毒感染的可能。

4、智能的传输控制

图片关键词

自动检测任务并控制传输,采用MD5文件完整性效验,保证传输到内网的所有文件完整。自动检测现有文件,并根据设定规则进行重命名,防止重复传输同名文件被覆盖。可根据文件类型自动分类保存,方便在内网进行文件的检索。

5、简单易用的操作方式

可根据实际使用情况配置多种文件传输的方式。CIFS(文件共享式),按WINDOWS权限进行共享权限设定,操作简单方便,即日常的文件复制粘贴操作。WEB网页上传、C/S客户端上传可按用户权限设定用户可传输的文件类型,支持在带路由的办公网或英特网进行远程传输。

实用性

   所提供的文件安全交互平台系统方案及软硬件设备配置,选用成熟的技术和先进的设备、软硬平台建设,整个系统易于管理和维护。能满足网络高安全隔离的需要;同时也能满足高效数据交互的需要。

易用性

n  运行维护

所设计和提供的文件安全交互平台具备优秀的可用性能,同时也提供了良好的检错、纠错能力,具有完善的备份措施。在系统出现故障时,能够在较短的时间内恢复系统运行。

n  网络管理

所设计的文件安全交互平台具备完善的网络管理功能,网络管理操作简单、直观、维护管理方便。所有日常维护工作要求能实现在线式操作,同时所有的主要设备必须支持在线热插拔。

先进性

文件安全交互平台除了保证功能齐全之外,对技术的前瞻性要求更是技术实力的体现。在保证安全性和高效性的前提下,先进的技术对整体网络来说如虎添翼,所以对产品技术前瞻性的考虑,应该更加充分,才能确保系统的可持续发展能力。系统的先进性涉及多方面的因素,例如:整体架构、系统平台、网络构件、技术实现手段等,需要综合全面的设计。

关于系统的先进性,贯穿整个项目系统的设计理念、设备选型及工程施工的全过程,不仅完全符合我国电视广播规范和有关标准,符合国际广播电视技术发展潮流,完全适应视音频编辑技术、计算机技术、网络通信技术及系统中其他技术发展的要求,同时,借鉴和发展了国际领先的理念,实现先进、高效的自动化流程,以保证系统的先进性。