河南人民广播电台技术部 李佳祺

音频数据在制播网与互联网之间的安全交换技术

河南人民广播电台技术部 李佳祺

音频制播系统是电台集制、编、播于一体的计算机系统，考虑到广播节目安全播出的要求，有效地杜绝黑客、病毒的攻击破坏，一般都是将音频制播网络与“外界”完全物理隔绝，这包括将设备光驱、软驱、USB输入端口等完全封闭，制播网络与其他网络物理隔绝，制定并严格执行有效的规章制度和安全监控措施等。在实际工作中，封闭网络确实有效地阻止了外来的网络攻击和病毒的传播，杜绝了一切已知和未知的网络风险。但是，由于缺少和外界进行一定数据交换的有效途径，也为我们的日常工作带来的一个极大的弊端——系统功能受到限制、工作效率降低。例如：外出采访获得的素材只能通过音频方式以人工接收后转录的方式进入制播系统，外场直播室不能调用广播大厦数据库中的节目，文稿系统和播出系统的融合工作无法开展等。

当今社会，随着对新闻节目报道实时性要求的越来越高，广播电台要将异地事件快速而准确地向外界发布，随着信息传输网络带宽容量的提升，特别是对音视频内容的需要，广播电台作为音频内容提供者的角色要将音频资料向外部网络传输。这就要求电台内部的制播网络可以及时地与外部的互联网做数据内容的交换。因解决所有这些问题的方法，都需要我们找到一条内网和外界进行数据交换的安全途径。

一、利用采编办公网建立信息安全缓冲区

1.信息安全缓冲区。为了保证制播网与互联网之间安全高效地交换信息，最好利用台内采编网建立安全缓冲地带，在缓冲地带尽可能地杀灭病毒，同时也可有效地阻隔黑客对内网的直接攻击，实践证明，在现有的Windows2000、xp操作系统中，如果能够及时进行系统升级、杀毒软件病毒库升级、软件防火墙升级和杀恶意代码程序升级，是可以保证系统安全运行的。我们根据黑客、病毒对安全的影响程度将互联网、采编办公网和制播网分别定义为高污染区、洁净区和真空区，如图1所示。但高污染区是无法控制的，所要做的是尽量加强采编办公网的管理，将威胁降低到制播网要求的安全范围内。

2.采编办公网络的安全管理。采编办公网络的安全管理是数据交换过程中非常重要的环节，既是自身工作的需要，也是制播网与互联网安全交换数据的需要。这个网络中的设备多、放置地点分散、工作任务复杂且使用人员不是很专业，经常出现各种问题，网络的安全管理是非常繁重的工作，单靠人力是非常低效的，应该借助于网络安全管理系统来完成。一方面，在采编办公网内要尽可能地杀灭病毒和杜绝黑客的攻击行为。另一方面，区分重要程度，在尽量方便使用的同时，做好安全防范工作。全台采编办公网内各计算机上互联网，使用内网IP地址通过代理服务器上互联网。这样能够在有效扩充IP地址的同时，避免外网直接访问内网设备；使用补丁升级服务器，基本保证客户端操作系统等软件漏洞的及时升级；使用网络版杀病毒系统，能够保证系统整体的实时升级；在大多数客户端设备上使用软件防火墙，并保证及时升级；使用内网安全管理系统，有效地执行主动安全防御策略，实现内部资源可控，做好单点防护、网络联动、全面管理；加强对重要服务器的防护与管理，做好数据备份工作。

二、利用USB传输文件的隔离网桥

1.USB传输文件方式。采用两台PC机作主机，分别连在内、外网系统上，在内、外网主机之间，使用带存储转发芯片的USB双端电缆通过USB端口连接，在两台主机上分别安装自行开发的USB驱动程序和专用程序，用于存储转发芯片的控制和文件检测和传输，如图2所示。其中，使用带存储转发芯片的USB双端电缆，这是一种非标准的物理连接方式，它不被任何一种网络技术所支持，在物理层、链路层和网络层都采用了和现在网络技术完全不同的技术和协议，为独特的带存储转发芯片的USB通讯电缆专门开发了排他的通讯驱动。

2.内外网安全传输信息特点。在实现内外网安全传输信息时，要保证内网和外网之间没有任何其他可能的数据传输方式，因为通讯的一端是位于内网的，在内网安装任何协议软件都是不可以的，完全私有的协议不会同时在内、外网被其他协议代替和接管，从而保证链路不会失控。

3.防止音频文件携带病毒进入内网。在防止音频文件携带病毒进入内网方面，使用了加密校验码技术，这是一种主动防篡改技术。MPEG1 Layer2 48K采样立体声文件的帧格式与帧长是固定的，每帧只有768字节，通过加密计算，产生校验码，将每帧的校验码写到该帧的辅助数据块中。在对每帧进行检测时，其中只要有一个数据位发生篡改，其校验结果与写到辅助块的数据就不一致，即可判断音频是否被改动过。

4.防攻击方面存在的问题。在防攻击方面存在的问题，即PC机系统自身的防病毒、防攻击稳定性问题。黑客进入外网主机破坏USB驱动程序造成网桥中断工作。黑客截获USB端口信息，特别是存储转发芯片的控制信息，利用市面上出售的产品进行分析，用自己的驱动替换或接管应用，使网桥失去隔离作用。

三、网络安全隔离网闸

1.网闸的工作模型。网闸最基本的设计理念来源于一个简单的日常工作模型，该模型期望解决一个矛盾，即在最大程度上保护我们私有网络安全的同时，又可与外界（如Internet）进行安全的数据交换。这实际上也是目前很多广播电台的实际工作模型。在这种工作模型中，一般由网络管理员完成在不可信网络和可信网络间的数据搬迁操作，往往还会有一个独立的计算机，或者一个与两个网络分离的DMZ区域，用于内容的检查。系统管理员在办公网或外网的计算机上将数据拷贝到CD、磁盘或磁带上，在一台独立且经过严格审查的计算机上，对CD、磁盘或磁带进行内容检测，包括病毒扫描、检验该文件格式是否和预先定义的文件格式相符等检测。如果内容检测为不安全或非法，他们将被丢弃；如果内容是安全和合法的，系统管理员在内网计算机上将数据拷贝到自动播出系统中。

2.网闸的功能。网闸是使用多种控制功能的固态开关控制两个独立主机系统执行读写操作的信息安全设备，它是一种在保证两个网络安全隔离的基础上实现数据安全交换和资源共享的技术。在两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、传输协议及依据协议的信息包转发，切断网络之间的通用协议连接，将数据包进行分解或重组为静态数据，对静态数据进行安全审查，包括网络协议检查和代码扫描等，确认后的安全数据流入内部单元，内部用户通过严格的身份认证机制获取所需的数据。网闸只进行数据文件的无协议“摆渡”，阻断了潜在攻击的可能。

3.网闸的组成。网闸一般由3部分组成，即内网处理单元、外网处理单元和专用隔离硬件交换单元，图3为某种网闸式隔离设备的原理图。由于采用独特的硬件设计并集成了多种软件防护策略，能够抵御各种已知和未知的攻击。安全隔离网闸上的数据交换全部由管理员在信任方进行管理配置，其所有的请求都由安全隔离网闸主动发起，不接受外来请求，不提供任何系统服务。从网络架构上来讲，安全隔离网闸是处在网关的位置，因此其安全性不言而喻，两个处理单元都采用经过安全加固的操作系统。安全隔离网闸处理单元上都采用了安全加固的操作系统，包括强制访问控制、基于内核的入侵检测等安全功能。安全隔离网闸是在硬件链路层上断开的。安全隔离网闸不支持交互式访问。

4.主要的网闸产品。由于国内对网闸技术的理解不同，缺乏标准，所以各个厂家的产品在功能和设计思路上有比较大的差别，使得市场上出现了两类网闸产品：一种是采用串口、1394口、USB、网卡或加密卡等实现隔离的安全产品，使用所谓的私有协议或加密信道来传输数据，希望达到隔离内外网的作用。其实这与传统的被动防护安全思想相同，鉴于没有硬件的开关隔离装置，没有在物理链路层上的保障，使得系统仍然具有传统安全技术一样的漏洞隐患和被攻击的可能；另一种其核心特性就是采用了硬件的物理开关。通过物理隔离开关实现物理链路层上的断开，隔断网络协议，其硬件的不可编程特性在物理层保证了系统的安全性。同时通过独立的存储介质与开关的分时连通实现数据的高效逻辑传输。

四、交换方式

制播网与互联网的安全数据交换有多种方式，每种方式都有其特点和特殊防护措施，直接使用都存在一些不足，考虑到广播电台制播网工作的特殊性，综合各种防护方式的特点，通过前面多种隔离方式原理的分析，我们认为内外网之间安全数据传输设备应采用网闸式设备，应以传输静态音频文件为主，对静态音频文件有可能藏匿病毒的处理，采取主动破坏病毒的方法最为可靠，最简便的方法就是在网闸的缓冲区内，利用MPEG1 Layer2格式与WAV格式的关系，对音频文件进行 MPEG1 Layer2—WAV－MPEG1 Layer2的变换，即将可能藏匿的病毒溶解，如果还认为不安全可在转换成WAV文件后对16比特采样量化进行微小的增加或减小，然后再转换成MPEG1 Layer2格式，即可彻底消灭音频文件中可能藏匿的病毒，同时这对音频质量的影响也可以降低到最小。

内部职能网的传统架构方式是与外部互联网物理隔绝的，但是随着“三网合一”及“3G”时代的到来，这种隔绝也需要突破。内网需要在一个更广阔的平台上发挥其作用，创造更大的价值。安全交换技术正是为内网在新环境中的稳定运行提供了可靠保障。

book=360,ebook=360