网络化制播安全系统.doc

此文档收集于网络，如有侵权，请联系网站删除网络化制播安全系统随着数字化、网络化技术的发展，“数字化、网络化、自动化”是目前广播电视行业最流行的三个词汇，也是各个广播电视台共同追求的目标。它渗透到广电行业采、编、播各个业务环节。国内各级电视台纷纷投入大量资金搭建了数字电视节目制作网络和播出网络。播出设备的兼容性增强，非编设备的改良，使的非编与播出系统可以实现直接的打包文件传输播出，制播网络化呼之欲出。而IT技术和广播电视技术的有机结合，也使得制播环境网络化成了势不可挡的趋势。与传统的制播系统相比，网络化的制播系统为我们带来了传统系统没有的优势，但是也带来了前所未有的安全问题。传统制播环境是由一个个相对独立的子系统组成，子系统之间主要采用SDI信号或者磁带进行数据传递。这样的数据交换方式，虽然效率比较低，但是从一定程度上降低了安全风险，安全隐患比较容易固定在子系统，不易向别的子系统扩散。而网络化的制播系统由采集、制作、存储、播出等多个业务子板块构成，各个业务子板块之间是相互连通的，基于网络安全上的木桶原理和网络的无边界性，我们必须保证整个网络的各个业务子板块的安全才能保证最终的播出安全。网络化的制播系统由各个业务子板块组成。不同于传统制播系统中各个子系统单兵作战、协作性差、协调性差，网络化制播系统各个业务子板块之间分工明确、协作紧密，采用流水线式大规模生产，这样板块和板块之间耦合度更高，要求时效性也更强。因此每一个板块能否正常运行都直接影响着整个制播网络能否正常运行。网络化制播系统在传统的制播系统的基础上，大规模的使用了相应的IT设备，又由于各个业务子板块之间的紧密联通，使得整个制播网络结构复杂，这样安全问题又具有了多元化和动态易变的特性。再加上网络故障的突发性、难定位和易传播的特性，使得安全故障的检测、判断、排查的方法和范围都有了较大的改变，这就要求技术人员进行较大程度的知识更新。传统制播系统往往按物理分布进行分块管理。而网络化的直播系统运维管理更加专业化，采用专业化程度更高的分层管理。这样就要求我们分层管理的角度更加专业化，如从物理层、网络层、应用层等角度来分层，对每一层进行统一管理。而每个管理岗位人员必须掌握更加专业的技能，操作更加规范。这样就要求我们运维管理人员能够有良好的心态接受新知识，并且有足够的积极性将新技能运用到工作中去。网络化的制播系统作为IT技术和广播电视技术有机结合的产物，与普通的IT网络相比，它又具有典型的广电特征，在安全方面网络化制播系统的特点主要有：安全要求高、政策要求严、可靠性要求高以及技术特色鲜明。作为党和国家信息传播的主要媒体，广播电视行业的正常运行关系到国家和政府的政令传播是否畅通、信息是否安全，以及由此引来的社会和谐和稳定问题，其后果往往比单纯的经济损失严重得多。因此网络化的制播系统对安全性的要求非常高。鉴于广播电视行业的特殊性和安全播出的重要性，因此制播系统的建设有着严格的政策要求。网络化制播系统也必须遵循相应的政策要求。电视台网络化的制播系统与通常IT网络不同之处还在于：安全保障不仅在于防攻击、数据被盗窃等，还在于播出系统的稳定性和可靠性。而我们主要通过各种IT设备、各级链路、系统协作等多层冗余机制，来提高系统的安全性和可靠性，以提升系统的应急相应能力，确保最终的安全播出。电视台网络化的直播系统每天要处理的数据量巨大，这样就加大了对网络带宽和网络实时性的要求；而制播网络中业务的纷繁复杂，也造成了不同业务种类的安全等级互不相同；各个业务板块处理的数据类型更是有很大的差别，采集网络、存储网络、控制网络和播出网络并存。因而与通常的IT网络相比，网络化制播系统的安全性显得尤为重要，而保障系统安全任务的艰巨性尤其突出。从上述介绍的电视台网络化制播系统的特点以及网络安全隐患的调研结果能够看出，网络化制播系统与传统的制播系统相比，安全问题涉及的范围更大、涉及的深度更深、涉及到的难度更大、影响的范围更广，并且安全保障涵盖到技术层面、管理安全、运维安全等方面。技术层面来说，要保证制播系统在设计以及运行的过程中，全面考虑到各种可能的安全因素，确实完善安全措施，消灭可预见的安全隐患。管理安全方面，要保证在制播系统运行过程中，确保提供完善的管理手段来消除可预知的安全隐患。运维安全方面，要确保制播系统在运行过程中，提供有效稳定的运维模式和手段，减少系统运行的安全风险。网络化制播安全系统应当集IT技术、广播电视技术及管理于一体的系统结构，它应当全面解决安全风险，并且能够为信息安全实践活动提供可依据的建设蓝图。广播电视行业中，我们对制播安全系统的探索，走过了局部到整体、片面到整体、静态至动态、技术到管理的道路。网络化的制播安全系统应该是一个能够明确描述制播网络安全标准及安全方案构成因素的架构，在这个架构中，制播系统网络安全的特征能够展现出来，技术层面和管理层面的关系也应当明确清晰。通过上面对电视台网络化制播安全系统的特点和安全风险的分析，再结合广播电视行业业务活动与发展对制播网络的安全要求。具体讲，网络化制播安全系统应当具有高可用性（业务不中断）、数据安全（数据不会丢失）、信息安全（防攻击、防病毒、防破坏）等特点，其中涵盖了“业务板块内安全”、“各个业务板块间交互安全”、“制播系统网络与办公网络交互安全”等方面。安徽天虹数码科技有限公司设计的全台网网络安全系统正是秉承以上制播网络的设计要求和设计理念研发出来的一套全新的电视台制播网络安全系统。全台网网络安全系统确实保证了制播网络各个业务子板块数据安全、业务不中断、信息安全，在快速、安全、完整地转发对实时性要求极高的大数据量视音频数据流的同时，切实达到了“业务板块内安全”、“各个板块间交互安全”以及有效的病毒监测等安全要求。全台网网络安全系统主要技术内容和创新点包括：1、国内自主研发的数字视频网络专用安全系统，具有自主知识产权；2、采用FPGA实现的专用安全引擎对大数据量视频流进行实时检查 ；3、安全系统运行在特殊定制的操作系统之上， 使通用平台程序代码无法在该系统上运行，从而有效地避免了通用计算机病毒和黑客程序的攻击 ；4、系统采用分离总线处理进入和发出的数据流，任何网络接口之间的通讯都必须通过视频网络安全装置，切实做到了安全隔离。5、通过可靠检测确保病毒完全隔离，在设计上遵循“除非明确允许，否则就禁止”的白名单基本原则，以文件为单位对传输内容进行格式分析和过滤，任何问题素材都不能通过。全台网网络安全系统是由安徽天虹数码技术有限公司自主研发的计算机网络边界安全防护产品。本产品是专门针对目前各电视台外部不可信网络向内部可信网络的视频影像数据高速、安全导入而研制的，其部署于电视台采编网络（连接英特网）与播放网络（内部局域）之间，实现外部影像数据到内网的传输的同时，实现了影像数据资料的受控传输、内容审查、内网网络拓扑隐蔽、日志审计等安全功能，确保整个传输过程高速、安全、可控。其产品结构如下图所示：首先，为了保证全台网中采集、制作、播出、存储等各个业务板块的网络相互之间能够正常连接、传输数据，并且保证板块间数据传递安全，我们采用了在板块和板块之间添加网间病毒隔离墙的方法；其次，为了确保各个业务板块的子网络在快速、高效地接受外部移动存储设备中数据的同时，不受移动存储设备中可能的病毒的侵害，我们采用了在各个业务板块和子网络之间添加移动存储隔离墙的方法；另外，为了保障对全台网数据交换中心安全的实施监测，我们采用了病毒报警器，一旦在全台交换中心发现病毒，病毒报警器就会快速作出反应，向我们提出实时报警。全台网网络安全系统其主要组成为以下图中三个部分，下面我们分别介绍每个部分的系统特性和功能特点。板块内安全移动存储病毒隔离墙移动存储病毒隔离墙是天虹公司最新推出全台网系统安全体系中基于视音频文件格式分析、模式识别技术开发出的一套安全产品，在设计上严格遵循“除非明确允许，否则就禁止”的白名单基本原则，以文件为单位对传输内容进行格式分析和过滤，以确保对USB、DVD光盘等存储设备上的病毒进行有效防范、并隔离。其秉承了天虹系列产品一贯的优异特性，操作简单，功能强大。本产品致力于解决广电行业中全台网的网络安全问题，极大的保障了电视台的播出安全。移动存储病毒隔离墙在体系结构上采用软硬件有机结合的设计理念，根据软件和硬件之间的“协作”关系量身定制，充分发挥系统的潜力，保持高的工作效率和稳定性。其典型的系统特性如下：u 文件内容深度分析，通过对文件内容和格式的深度比对，让非法文件无所遁形；u 安全性高，通过用户身份验证、数据内容验证等多种方式保证有效数据安全传输；u 传输透明化，保证用户迅捷的上传、下载和选择文件；u 专有的传输协议，保证传输过程的安全性；u 传输完整性检测，通过收发双方的MD5码校验，最大限度保证传输的正确性；u 设备自动搜索功能，用户不需要进行繁琐的设置；u 支持常见的视音频、图片以及文本等文件。移动存储病毒隔离墙采用安全增强和优化的操作系统，安全级别高，具有强大的功能特性。其主要功能特点如下：u 定制应用交换功能u 访问控制功能u 数字内容审查u 防病毒功能u 身份认证功能u 内网拓扑隐蔽功能u 文件深度检查移动存储病毒隔离墙的典型应用实例如下，通过在全台网各个业务板块子网络中运用移动存储病毒隔离墙，可以充分保障各个子网络的安全，有效得防止外部移动存储设备中的病毒对台内网的侵害：板块间交互安全网间病毒隔离墙网间病毒隔离墙是基于制播网络病毒防护考虑而开发的一套产品，通过对传输内容进行分析，仅仅容许通过“认可的”和符合规则的文件，对无法识别的文件或者格式错误的文件一律视为非法文件限制在网络上传输。网间病毒隔离墙能够用来隔开网络中的多个网段，这样，能够防止影响一个网段的问题通过这个网络进行传播。这样，通过在全台网各个业务板块子网络之间安装网间病毒隔离墙即可保证板块之间的交互安全性。网间病毒隔离墙作为板块网络间访问的唯一点，所有进出信息都必须通过网间病毒隔离墙，所以网间病毒隔离墙非常适用在被保护的网络之间收集关于系统、网络使用和用户操作行为的信息。其典型的系统特性如下：u 跨网段传输，支持多个网段的局域网计算机之间进行数据的交换；u 安全性高，通过用户身份验证、数据内容验证等多种方式保证有效数据安全传输u 多种模式灵活选择，单向、逆向、双向工作模式可选，可实现一对多、多对多等应用场景；u 传输透明化，保证用户迅捷的上传、下载和选择文件；u 专有的传输协议，保证传输过程的安全性；u 传输完整性检测，通过收发双方的MD5码校验，最大限度保证传输的正确性；u 权限控制，对工作目录的文件进行读写的权限设置、保证文件的安全性；u 日志记录功能，对文件操作和多传输过程进行详细的日志记录，保证文件的修改有据可查；u 设备自动搜索功能，用户不需要进行繁琐的设置；u 文件内容深度分析，通过对文件内容和格式的深度比对，让非法文件无所遁形；u 灵活的传输规则，除内置的文件格式外，还支持用户自定义传输格式文件(以扩展名验证)；u 支持常见的视音频、图片以及文本等文件。网间病毒隔离墙作为全台网各个板块子网间唯一数据交互通道，安全级别高，具有强大的功能特性。其主要功能特点如下：u 支持千M网络，高传输率，用户几乎感觉不出性能的损失，保证了传输的流畅性；u 支持网段之间的单向、双向通信，以适应不同的网络环境；u 专有的传输协议，保证传输的安全性；u 传输的完整性检测，通过MD5码校验，最大限度保证传输的正确性；u 设备的安装、配置简单，可以很容易的整合到现有的网络环境中，在安装过程中仅需要设置相关的IP地址信息，就可以正常工作，降低了对相关人员专业性的要求；u 设备详细的记录了用户在网络中的操作行为，方便了管理人员查阅、统计历史文件操作，确定问题的根源；u 管理人员或用户可以很方便的设置本地的共享目录供其他用户访问，并对目录的操作权限（如只读、可写、删除）进行定义，保证文件的安全性。网间病毒隔离墙的典型应用实例如下，通过在全台网各个业务板块子网络间运用网间病毒隔离墙，可以充分保障各个子网络交互传输数据的安全，有效得防范病毒在各个子网络间交互传播：病毒监测病毒报警器在确保了各业务板块内安全和板块间交互传输数据的安全之后，我们剩下最后一步，即：对网内病毒进行监测，这一步由我们全台网网络安全系统中的病毒报警器来完成。病毒报警器是天虹公司自主研发的病毒监测类安全产品，其主要作用是帮助用发现、查找、跟踪、定位来以太网的各种威胁，并提供有效的反病毒措施和提高系统防病毒能力，并能够对全台网安全情况提供有效评估。病毒报警器采用了融合多种分析方法的新一代病毒监测技术，配合经过全面优化的高性能双系统安全平台。其中一个系统模拟被攻击机，收集病毒；另一个安全系统跟踪病毒来源，并绕过欺骗主机定位病毒来源。更可以根据用户定制安全策略，准确分析、报告网络中正在发生的各种异常事件和攻击行为，实现对网络病毒的“全面检测”，同时通过实时的报警和用户界面系统、短信系统，为用户提供详细、可操作的安全措施，帮助用户完善安全保障措施。其典型的功能特点如下：u 支持多级、分布式部署，实现策略统一下发，信息集中收集。u 支持协议自识别与协议插件技术，可准确识别非常规端口的协议和新型协议。u 支持基于特征和基于原理的两种检测方式，在保障检测精度的基础上，扩大了检测可识别的范围。u 有一套业界最规范的后继服务支撑体系，确保对新型事件的快速准确响应。u 提供网络入侵事件、网络违规事件、流量异常事件等多种异常检测。u 采用最短时间优先算法，确保了产品在网络数据高负载情况下的检测效率。u 结合了环境指纹技术，在发现有攻击行为后，与存储的环境信息进行二次匹配，将那些能够确信为“有用”的报警信息单独呈现，减少用户的分析操作消耗。u 除了事件的双方地址、协议等信息外，还包括了对事件的具体描述、漏洞信息、修补建议、影响系统等，可以将最细致的事件信息呈现给用户。u 提供与实际地理拓扑相结合的报警显示方式。在大规模部署的情况下，可以将设备拓扑与地理拓扑相结合，使得管理员可以直观而迅速的判断威胁所在。u 提供基于时间、地址、事件等多重参数信息的分析报表，结合历史分析数据，可清晰展现安全建设发展趋势，协助考量网络安全建设水平。病毒报警器采用了融合多种分析方法的新一代入侵检测技术，配合经过安全优化的高性能硬件平台，可依照用户定制的策略，准确分析、报告网络中正在发生的各种异常事件和攻击行为，实现对网络的“全面检测”，其典型应用实例如下：技术亮点从技术层面上来讲，全台网网络安全系统中采用了许多专有的重要技术，下面我们以基于“白名单”文件监测过滤技术为例来加以说明。在限制病毒在全台网网络安全系统中传播和扩散方面，全台网网络安全系统在设计上面用严格遵循“除非明确允许，否则就禁止”的白名单基本原则，以文件为单位对传输内容进行格式分析和过滤。通过对传输内容进行严格分析和过滤，仅仅容许通过“认可的”和符合规范的文件通过，对无法识别的文件和格式错误的文件一律视为非法文件限制其向本地计算机传播。比如，我们允许Mpeg2格式的视频文件和Jpeg格式的图片文件通过。那么我们怎么判断一个文件是否是真正的Mpeg2格式的文件或者Jpeg格式的文件呢？如果，攻击者将非法文件的扩展名改成以上两种文件格式的扩展名，那么是不是就逃避安全规则的检查，而侵入局域网中的计算机呢？事实上我们的安全检测机制并不是这么简单，并非只是通过扩展名就确定一个文件是否是非法文件。除了对扩展名的分析以外，我们还会对文件内部结构做严格的检查。而文件内部结构往往是比较复杂的。比如，我们就以以上两种文件Mpeg2文件和Jpeg文件为例来说明一下文件的内部结构及病毒通过它们进行传播的机制：MPEG-2:MPEG-2制定于1994年，设计目标是高级工业标准的图象质量以及更高的传输率。MPEG-2的编码码流分为六个层次。为更好地表示编码数据，MPEG-2用句法规定了一个层次性结构。它分为六层，自上到下分别是：图像序列层、图像组(GOP)、图像、宏块条、宏块、块。序列层是编码流最高层，它包含序列标题和后续的一系列图像组。序列层开始于序列开始码（0x000001b7），结束于序列结束码（0x000001b3）。在序列标题中包含有一系列关于序列的信息，包括每幅图像的垂直和水平尺寸、像素宽高比、画面速率（画面/秒）、比特率（以400bps为单位）、解码器所需的最小缓冲区大小（以2KB为单位）等；标题中还包含一位指出编码流是否是前面提到过的受限参数比特流；另外，标题中还可能包括帧间或帧内编码时用到的DCT系数量化矩阵以及一些用户定义的信息。图组层编码一个图像组，一个图像组是一系列要连续编码的图像。一个图像组中至少还有一个I帧。一个图像组可以以I帧或B帧开始，而结尾必须是I帧或P帧。图像组层的标题中含有的信息包括定时信息、封闭标志及一些扩展信息和用户定义信息。图像层定义了每幅图像的编码信息。由于可能要进行P帧和B帧的重排序，在图像层的标题中定义了一个时间参考数用于定义各帧的显示顺序。其他的标题信息包括图像类型、同步、分辨率和运动矢量范围等。每幅图像都被切割成一系列的片。片的大小是可变的，最大可以是整幅图像，最小的可以是一个宏块。片标题中的信息记录了片在图像中的位置以及该片的量化因子Q，Q在131之间，解码器在反量化时要用到它。定义量化因子可以使得解码器在片这个层次上对码流进行校正。一个片被进一步划分为若干宏块。每个宏块的标题定义了宏块的类型、位置信息、水平和垂直运动矢量等，也表明在一个宏块中的哪些块真正被编码和传送了。宏块中包含块，其中有表示色度的块和表示亮度的块等。最近报出的通过MPEG-2视频的0day漏洞进行的大规模网络攻击既是一个典型的实例。该漏洞与微软“DirectShow视频开发包”0day漏洞相似，但是这个漏洞却更加容易利用得多，通过病毒的传播，能够使受攻击的电脑变为任由黑客摆布的“肉鸡”。JPEG:JPEG图像存储格式一个比较成熟的图像有损压缩格式，虽然一个图片经过转化为JPEG图像后，一些数据会丢失，但是，人眼是很不容易分辨出来这种差别的。也就是说，JPEG图像存储格式既满足了人眼对色彩和分辨率的要求，又适当的去除了图像中很难被人眼所分辨出的色彩，在图像的清晰与大小中JPEG找到了一个很好的平衡点。虽然图像转化为JPEG格式会减小很多，但是并不是文件就变得简单了，相反，JPEG文件的格式是比较复杂的。不经过认真地分析，是不容易弄懂它的。JPEG文件由下面八个部分组成：图像开始SOI（Start of Image）标记、APP0标记、APPn标记（其中n=115任选）、一个或者多个量化表DQT、帧图像开始SOF0、一个或者多个霍夫曼表DHT、扫描开始SOS、图像结束EOI。其中图像开始标记SOI为0xD8。APP0标记包含的信息有APP0长度、标识符、版本号、X和Y的密度单位、X方向像素密度、Y方向像素密度、缩略图水平