节目制作网络的病毒防控
2015-02-27于文博
于文博
(作者单位:新疆生产建设兵团广播电视台)
节目制作网络的病毒防控
于文博
(作者单位:新疆生产建设兵团广播电视台)
摘 要:随着网络技术的不断成熟和发展,互联网是追求时效性的新闻媒体必须依托的平台,但随之而来的安全问题也是保证新闻制作及播出的重中之重,稍有闪失,即可造成素材丢失、制作网瘫痪、延误播出等重大事故。针对这种情况,在工作和实践磨合中总结了一些应对措施。本文重点介绍了目前新疆生产建设兵团广播电视台非编制作网的安全防护和病毒防治的一些策略。
关键词:非编制作网;安全防护;病毒防治
过去的节目制播系统往往需要依赖磁带等记录介质,耗时长、制作繁复、信号损失大、资料不易存储、难以集群化管理等问题日益严重。随着网络技术的不断成熟和发展,旧的制播方式渐渐被新的网络化制播系统所代替,从节目素材的传输、收集、制作一直到播出形成了一条链式的网络结构,新的制播方式具有很多老方式所无法解决的优势。从制作系统来看,网络化的架构比以往的系统管理上具有无法比拟的优点、素材的大规模共享、快速便捷的传输方式、格式的兼容、制作人员的集群化管理、素材的大批量保留、视频音频质量损失的减小、各部门直接的交流(业务层面)更加快捷安全,因此,大部分的节目制作已转为网络化制作方式。但是,节目制作系统并不是一个全封闭的网络结构,从素材的收集一直到节目的制作,编辑人员需要大量的外来素材进入制作网络,同时,每天都有大量的文件在不同的网络(制作网络、播出网络、媒资系统)之间传输。由于计算机病毒往往寄生于素材文件中,或伪装成某素材格式,一个小小的疏忽很有可能使整个网络面对病毒感染的风险。病毒的潜伏性和破坏性使得制作网络的安全问题日益严峻,如何做到对节目制作网络的病毒防控渐渐成为技术人员所研究的课题。
在做病毒防控之前,首先要做的是分析自己的网络结构,分析出各个网络之间的衔接口(例如制作网络和播出网络之间、制作网络和媒资系统之间、内网与外网之间)所在。在分析得到结果之后,采取相应的措施来控制各个网络之间的传输途径,避免病毒随着文件在不同的网络之中传输。根据不同的需要采取控制方式(软件或硬件防控)来做到病毒防控工作。在网络系统之间传输的都是文件及数据,病毒寄生在文件之中会随着网络传输而流通,如果采用软件杀毒定期对网络进行扫描,耗时长、消耗大、工作繁琐的问题会产生很多的麻烦,病毒的突然爆发之后再去杀毒会浪费很多宝贵的时间。而且病毒更新很快,这就需要网内的杀毒系统频繁升级,造成大量的繁杂工作。因此,更需要从源头上进行病毒的防控工作。
之前老旧的制作网,站点10余台,盘塔10T,由于之前的防控工作不够重视,网内被蠕虫病毒入侵。蠕虫病毒导致非编站点无法访问网络共享盘,看不到盘塔里的素材。采取的措施是断网查杀,非编站点的单机可查杀掉蠕虫病毒,可是重新接回网络时,蠕虫病毒会再次传播回来,若想完全杀掉蠕虫病毒,就必须将盘塔整个扫描一遍,制作网几乎是24小时工作,盘塔整体扫描需要耗费很长时间,所以很难实现彻底清除病毒。
现在更换了新的制作系统,新系统病毒的防控工作是很重要的一个环节。防控工作分为两个部分,分别为:内网之间相互传输的病毒防控和内外网之间的病毒防控。
1 制作网及其他内部网络之间的病毒防控
节目制作网络需要节目播出网络与全台媒资系统进行信息交互,它们都属于内网网络,划分出不同的网段相互区别,每个网络之间采用光纤传输进行信息的交互。由于网络之间属于相对封闭的内网环境,所以采用网闸进行物理隔离,所有信息传输时通过网闸进行传输。对于内网环境之间的信息交互来说,网闸更加适合。
硬件上网闸用将两个网络之间物理隔离,划分出内外网之分(相对),开启相应的端口进行数据传输,网闸具有路由功能,通过路由将内外网之间相链接,从而从链路层隔开两个网络之间的链接,避免了木马病毒之间的相互通信。
软件上在两个系统之间安装服务器,服务器分别部署于两个网络之中,软件安装在服务器上,通过传输任务来进行文件的传输工作。首先,通过节目策略(调度任务)将需要传输的文件放在指定的服务器中,存放在某个特定的盘符下的文件夹内;软件任务设定定时扫描该文件夹,当扫描到文件时,软件任务分析文件,与任务策略中的黑白名单相比对(黑名单上文件禁止通过,白名单上文件容许通过。一般设定白名单,指文件类型,例如MXF文件等),如果该文件在白名单中,软件即开始传输任务,另一端的软件开始接收并将接受文件存放在对面指定文件夹中。通过不同的软件任务来实现素材的双向传输功能。
由于播出网络和媒资系统属于高度封闭的内网网络,且三个网络之间在同一个内网环境内,相互传输的都是文件并且文件种类单一,采用网闸(硬件+软件)来进行内网网络之间的病毒防控工作。
2 制作网同外网之间的病毒防控
由于节目制作的需要,每天制作网都需要进出大量的素材,文稿系统需要外网信息等,所以节目制作网络的病毒防控是日常工作中的重中之重。
文稿系统需要外网信息,例如各大门户网站的消息、新华社、各个下属记者站的报稿,为了方便日常工作,必须要有一部分文稿机器可以访问外网,因
此,做出如下设计。
一方面,文稿系统采用BS架构,所有文稿操作均在WEB页上进行,只需要访问正确的网络地址,不需要专门的软件。因此,划分出一个独立的文稿机房,该机房所有机器与内网隔开(外网环境),不属于内网环境,在它们与内网交互时,通过防火墙(硬件)+网闸(硬件)来实现病毒的防控工作。从防火墙上开通特定的端口使外网文稿系统能访问数据库并进行读写,网闸的存在使得病毒文件无法传输(文稿只传输数据)。在外网文稿登陆其他外网时,防火墙拦下对内网的恶意攻击,网闸拒绝文件传输。同时制定该机房只容许文稿操作,从而堵住外网对内网的病毒流通。
另一方面,节目制作中需要大量的外来素材,部分素材由专网传输可确保其安全性,而其他大量素材均来自外网。例如FTP、新华社素材等。对这样的情况做如下处理。
首先,将非编站点除鼠标键盘外的闲置USB口禁用,站点的主动防御使病毒无法从站点进入制作网。一般对于外来拷入素材,大部分技术人员采取异构系统来进行杀毒扫毒工作,即不同操作系统不同杀毒软件之间的异构。将拷入素材从外来介质上拷入自己的传输介质(摆渡U盘),在苹果系统上进行素材的拷贝工作,然后在windows系统中对摆渡盘进行杀毒,结束后进入第二步。
将素材拷入摆渡机中。使用2台摆渡机来进行素材的拷贝工作,A摆渡机位于内网环境,IP是内网IP;B摆渡机独立不连入任何网络。两台摆渡机之间使用SAS口进行数据交换。两台机器均装有SAS板卡,传输稳定而且速率达到百兆以上(实测为200~400 MB/S之间)。2台机器上均装有特定的传输软件,传输时软件会进行文件类型分析,不属于白名单之内的文件将无法传送,同时,两端的软件分别内置不同的杀毒软件(NOD32及Bitddefender),在文件传输之前再次进行病毒的查杀工作。它的工作流程如下:第一步,素材拷入B摆渡机指定文件夹内,进入软件点开文件传输选择要发送的文件,此时摆渡软件进行文件分析,判断文件是否为正常文件还是病毒文件伪装;第二步,判断该文件类型是否处于白名单(即容许传输的文件类型)之中,两次分析通过之后,软件对传输文件进行杀毒扫描。以上过程均在后台进行,由于摆渡机器配置比较高,所以该过程时间很短即可忽略不计。在扫毒结束后,文件开始发送至A摆渡机。
此时,A摆渡机上的摆渡软件接收到文件,先对文件进行分析、杀毒(同上),确定文件无误后将文件存放至指定文件夹(本机)中。该文件夹不共享。技术人员将指定文件夹中的文件剪切至网络素材库中完成所有工作。素材的拷出方式与拷入相同,只是起始位置不同。
