龙廷波 尹丽娜 徐州广播电视传媒集团

1．前言

节目的安全播出是电视台的重中之重，其中安全播出的重要环节即非编系统的安全性，直接关系到电视节目的制作和播出。

病毒渗透、恶意软件破坏、黑客攻击等都会对非编网系统造成巨大伤害，影响正常的广电制作和播出的安全运行，因此需要加强对外部攻击的预防，抵御局域网外的恶意攻击，隔断非编网与互联网的直接连接。然而节目的制作需要丰富的素材，包括编辑记者在互联网上查找的图片和音乐，后期包装人员制作的栏目角标，广告公司制作的视频广告等等。大量类似的数据文件需要导入非编网，但外来文件的导入必然会增加感染病毒的风险，因此需要构建非编系统的病毒隔离机制，防范病毒的入侵。

2．物理隔离设备MRG9000工作原理及关键技术

非编网络的外来数据导入面临数据迁移有可能伴随病毒和攻击同时引入，如何能做到既可以交换数据，又能隔离威胁是需要重点考虑的问题。我台选择了MRG9000 数字视频网络安全系统，将它部署在外网和内网（非编网）之间，用于保护内网的安全。

2.1　工作原理

MRG系统选用双核 CPU 技术，在其中一个CPU内核上运行支持标准协议（TCP/IP等）的专有系统，通过外网接口连接外部计算机，接收可能存在安全隐患的数据文件；另一个 CPU内核则运行Linux操作系统，用来完成文件深度分析（白名单检测）功能，并通过内网接口与服务器交换数据文件。两个系统之间采用硬件队列技术进行数据摆渡，实现分时导通的物理隔离。

图1　MRG 物理隔离技术

采用电子开关技术，分时控制缓存池的导通方向，缓存池永远只和其中的一个网络连通，所以从整体上看，内外网之间在任一时刻都是断开的，这样也就实现了内网和外网之间的物理隔离，其原理如图1 所示。

2.2　关键技术

2.2.1文件格式的深度检测

任何计算机文件都有独特的数据格式，MRG将文件扩展名与特定的数据格式相对应，在文件数据传输到内网文件服务器上之前，MRG文件格式分析模块对文件数据进行格式分析、比对，只有数据格式与扩展名一致并且该扩展名在白名单以内的才允许传输。这就从根本上断绝了病毒数据的扩散，保证了内网安全。

2.2.2内网拓扑隐蔽功能

SAT（服务器地址转换功能）能够将内部的服务器地址映射为MRG外端机对外访问IP地址，外部用户访问MRG的外部IP时，等于访问被保护的内部网络服务器地址，如果用户直接访问内部服务器IP地址和特定的通信端口，则这种访问将被拒绝。

2.2.3访问控制功能

MRG实现了从网络接口层到应用层的访问控制功能，通过贯穿整个协议栈的访问控制能够有效过滤非法连接、数据的非法传输。由表1可以看出在OSI模型的具体层级是如何实现访问控制功能的。

表1　访问控制功能表

3．非编系统安全方案

3.1　非编系统安全策略

外网数据来源复杂，使得数据容易携带威胁进入到非编网，这些威胁一旦进入，有可能影响非编工作站的正常工作，例如系统不能正常启动，或是大量占用系统内存导致非编软件自动退出，甚至会造成整个非编系统网络瘫痪，直接影响节目的制作和送播。我台在制作网前端部署网络安全设备，所有进入到制作网的素材都需要通过 MRG9000过滤和分析。

如图2所示，我们将MRG9000部署在内网（非编网）和外网之间，并将内网所有工作站的USB端口和DVD禁用，给工作站设置BIOS密码，防止病毒从工作站进入系统。

所有数据文件进入非编系统只有两条安全途径：

（1）通过蓝光盘驱动器、SXS读卡器或P2读卡器连接上载工作站进行记者外拍素材的采集上载；

（2）通过MRG工作站上安装的客户端软件进行外来素材的导入，有安全性潜在威胁的文件必须通过安全设备的过滤和分析才能进入非编网。

图2　非编系统安全示意图

图3　非编系统安全隔离网络图

3.2　非编系统安全隔离网络结构

从图3中可以看出，我台有三套各自独立的非编系统，每套非编系统有独立的服务器、存储和工作站，都统一连接到一个交换机。为此，我们对交换机进行了VLAN划分，将三套非编系统划分到三个相应的VLAN中。每个非编系统都配置一个MRG网闸与外网交换数据，每个网闸的内网网口连接到交换机相应的VLAN中，另一网口与外网相连。对每个非编网的存储建立一个共享文件夹，用于存放和外网之间的交换数据，MRG工作站上的客户端软件通过网闸可以与该文件夹相互传输数据，由此完成内外网之间的数据交换。

3.3　MRG的软件设置

3.3.1网络接口配置

网络连接设计好后，需要给MRG配置内网和外网分配IP地址，使设备可以连接到内网和外网，图4是网络接口配置界面。

3.3.2传输目录配置

在非编网的存储上建立共享文件夹，用于存放需要传输的数据，图5为共享文件夹的管理配置。

图4　网络接口配置

图5　传输目录配置

图6　白名单设置

图7　客户端软件使用界面

3.3.3白名单设置

白名单上设置的是能够通过MRG的数据文件类型，白名单以外的数据文件都不能通过。广电网络涉及的文件类型主要包括视音频文件、图片文件和文稿文件等，采用白名单的方式可以提高检测和传输的效率。

管理员可以用白名单的方式对通过 MRG9000 传输的文件类型进行控制。为了避免某些不在白名单之内的文件逃避安全检查，即使攻击者将文件的后缀修改了，使其符合白名单的规范也难以通过，因为MRG9000实现了文件的一致性检查，这种检查不但停留在尾缀识别，还要做特征码分析、语义分析和逻辑结构分析等深度解析，彻底避免假冒文件通过。当传输文件中被注入恶意代码时，能识别出其结构的变化并加以阻断和警告。图6为白名单设置界面。

3.4　客户端操作

当用户需要在外网和内网之间传输数据时，在MRG工作站上打开客户端软件，如图7所示，窗口右侧是非编网的共享文件夹路径，窗口左侧是本地目录（包括所映射的外网网盘目录），如果需要从非编网传输文件到外网，选中共享目录下的文件，右击鼠标，选择“下载文件”，文件即可传输。从图中可以看到，传输速度能达到7MBps左右，当然这是参考值，因为和网络带宽、存储读取带宽也有很大关系。如果选择的文件是白名单之外的类型，在传输失败窗口软件会提示详细原因。

4．总结

本文提出了非编系统安全的重要性，需要与外网交换文件的特殊性，根据这些需求在内外网之间部署了MRG9000 数字视频网络安全系统， 介绍了MRG的工作原理和关键技术，着重介绍了我台非编系统网络安全方案和网络结构，并对MRG软件的几个重要配置做了简单介绍。

根据我台近些年MRG9000的使用情况来看，设备较为稳定，软件操作简单，传输速度能够满足非编网和外网之间文件的传输要求，成功的完成了内外网之间的病毒物理隔离任务，很好的保障了非编系统的安全。