广播电视台业务网络网间安全方案设计

VOICE &
SCREEN 百家争鸣|_WORLD
广播电视台业务网络 网间安全方案设计
□刘海芸
摘要：随着计算机网络技术在广播电视台的广泛应
用，各台基本实现了采、编、播的全程文件化。

台内网整体
安全体系的主要任务就是保障业务网络系统网络安全。

本
文从网络存在的威胁、网间安全解决方案、安全方案比较
及综合安全隔离应用范围等方面对广播电视台的媒体业
务网络的网间安全进行分析。

关键词：广播电视媒体业务网络网间安全物理隔离
随着网络技术在各级广播电视台广泛使用，各台均已
实现了采、编、播的全程文件化，极大地提高了工作效率和
播出质量，但同时也带来了网络安全问题。

如何保障广播
电视台业务网络系统的正常运行和相关资源得以合法访
问，使业务网络系统免受病毒、恶意软件、黑客或其他不良
意图的攻击就显得尤为重要。

如何既能严格执行国家相关
规定将内外网络物理隔离，解决好网络的安全，而又能实
现各网络的信息系统数据方便地安全交换呢？我们常常采
用下列方法。

杀毒软件也称反病毒软件或防毒软件，是用于消除电
脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软
件。

杀毒软件通常集成监控识别，病毒扫描和清除、自动升
级病毒库，主动防御等功能，有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能，是计算机 防御系统的重要组成部分。

杀毒软件适用单机使 用，方便易用。

但存在漏杀和误杀、工作效率低、升 级有风险等不足。

防火墙是最常用的网络隔离手段。

防火墙设计 原理来自于数据包过滤与应用代理技术，工作在 OSI七层协议的1至4层，主要执行访问控制策略，可以通过设置ICMP或TC P/IP参数对数据包IP地址 或M AC地址进行过滤。

防火墙的逻辑是在保证连接
联通的情况下尽可能安全，不对数据格式进行深度检测。

防火墙对于安全要求初级的隔离是可以的，但对于需要深 层次的网络隔离就显得不足了。

另外还存在物理通道、未 设置策略无效、协议漏洞威胁、无数据的检测等问题。

网闸即采用隔离卡架构，以物理方式将一台PC虚拟为 两个电脑，实现工作站的双重状态，既可在安全状态，又可 在公共状态，两个状态是完全隔离的，从而使一部工作站 可在完全安全状态下联结内、外网。

网闸做到了物理上不 同时连接，对攻击防护好，但协议的代理对病毒防护仍然依赖当前技术，只适合定期的批量数据交换，不适合多应 用的穿透。

另外，无数据的检测、低级名单识别、数据威胁 需要辅助、无广电特点是其硬伤。

USB隔离采用两台PC机作主机，分别连在内、外网系 统上，在内、外网主机之间，使用USB双端电缆连接，在两 台主机上分别安装USB驱动程序和专用程序，用于存储转 发芯片的控制和文件检测、传输，但USB隔离在防攻击方 面存在问题。

一是PC机系统自身的防病毒、防攻击稳定性 问题；二是黑客进入外网主机破坏USB驱动程序造成网桥 中断工作；三是采用通用的USB协议取代T C P/IP协议；四能阻断网络攻击但容易传播USB病毒；五是无深度检测，需配杀毒软件做辅助检测；六是病毒库升级需连接外网，
果好坏的决定因素。

因此，现场直播一 定要请专业的灯光、音响技术人员来 设计、安装、调试。

目前，县级电视台一 般都没有专业灯光师和音响师，可以 在县文化部门聘请指导。

首先，要保证现场内被拍摄区的 照度。

照度低，拍摄出的图像信噪比 低、质量差。

其次，既要保证现场的灯 光艺术效果，又要保证电视现场直播 中音频信号传输播出的良好效果。

相对来说，音频信号的传输播出质量应放在首位。

音响师要根据不同的节目
内容选择采用不同的话筒及话筒分配
布局，并通过调频、均衡器、效果器等
设备进行音效处理后将音频信号送入
场内扩音设备和通过现场直播信号系
统中的导播切换台，再通过光缆传输
设备送至台内播出。

上面介绍的三个系统，在现场直
播中，虽因直播的内容、时间、地点、环
境不同，组成这些系统的设备、形式、
方法会略有不同，但这三个系统缺一
不可，且要进行技术统筹考虑，精心安
装调试，方能使它们正常稳定运行，较
好地完成直播任务。

另外直播中的一
些细节问题也应值得重视，如电源供
应问题，线缆布设固定问题，设备使用
安全问题等都不可小视。

随着科学技
术的不断发展，数字化电视技术的时
代已经到来，县级电视台应紧跟形势
的发展，做好活动直播、录播工作，使
自办节目更加丰富多彩。

(作者单位：南昌县广播电视台）
声屏世界2016/1245
VOICE &SCREEN WORLD
网络异构
USB 隔离
网闸
杀毒
软件
方案类型
运行维护
病毒
库升级，维
护繁琐遥
安全 策略及协
议漏洞补
丁升级遥
连外网操作系 统补丁升
级遥操作 系统补丁
升级'
病毒 库升级，后 续维护繁 琐—操作
系统补丁
升级— 病毒
库升级，后
续维护繁
琐—
专用
系统无需
升级.—管
理及维护
简单-技术特点及问题
存在误杀和漏杀，对大文
件检测速度慢，并需要连接互
联网不断升级病毒包—非隔离
产品，用于环境检测清理—
内、外网之间有物理连接，存在网络通道，安全策略 遭到破坏后攻击行为可长驱 直入，危险将直达内网！防火 墙采用通用传输协议，对于协 议漏洞造成的安全问题无法
解决—没有数据深度检测功
能，对来自文件内部的危险无
法识别—安全策略随着需求和 漏洞而需要不断升级，维护费 用高—通用设备，管理配置有 一定复杂性、不方便、无灾难 恢复—
没有数据深度检测功能， 对来自文件内部的危险无法
识别—外端机采用标准的操作
系统容易被攻击而瘫痪—有的 网闸采用普通硬盘作为迁移 介质，未考虑到硬盘的冗余备 份问题，一旦硬盘损坏用户无
法自行更换—
设备成本低，结构简单， 无数据深度检测功能，对来自 文件内部的危险无法识别—采 用通用的U S B 协议取代 T C P /IP 协议，能阻断网络攻 击但容易传播U SB 病毒，因 为无深度解析所以需配杀毒 软件（具有杀毒软件的所有缺 陷）做辅助检测，广电适用功 能少—
设备成本低，结构简单，
在同一主板和操作系上运行
两个网卡，对于操作系统病毒
和文件内部病毒毫无隔离功
能—无深度检测—需配杀毒软
件（具有杀毒软件的所有缺
陷冤做辅助检测—
物理隔离，嵌入式Linux
系统和专用封装协议，对外封
闭所有端口，对外来数据进行
重新封装，文件数据的深度检
测，让病毒无处遁形—可根据
行业特性定制白名单—
隔离方式
无隔离逻辑隔离物理
隔离
协议隔离
网段
隔离
物理
隔离
设计理念及构架
黑名单检测 机制，病毒代码比 对，支持单机或网络版。

设计原理来 自于包过滤与应 用代理技术，工作 在O S I 七层协议 的1至4层，主要 执行访问控制策 略，可以通过设置
ICMP 或 TCP/IP 参数对数据包IP 地址或M A C 地 址进行过滤，防火 墙的逻辑是在保 证连接联通的情 况下尽可能安全， 不对数据格式进 行深度检测—
采用隔离卡 以物理方式将一 台P C 虚拟为两
个电脑，实现工作
站的双重状态，两 个状态是完全隔 离的—
采用两台 PC 架构，1台P C 连 接外网，1台PC
连
接内 网 ， 两台
P C 之间通过USB 接口通讯—2个 U SB 接口之间采 用U SB 数据桥连 接—
采用标准月服
务器通过异构操
作系统交换数据—
采用先杀毒再导 入的工作模式—
采用定制的 Linux 操作系统及 双核C PU 分别运
行不同的系统，采
用硬件队列技术 进行数据摆渡，实 现物理隔离—
百家争鸣
安全与风险并存。

系统异构是指硬件平台、操作系统、并发控制、访问方 式和通信能力等的不同，这里主要指两个或两个以上的操 作系统不同。

操作系统是管理和控制计算机硬件与软件资 源的计算机程序，是用户和计算机的接口，同时也是计算 机硬件和其他软件的接口。

操作系统交换数据是采用先杀
毒再导入的工作模式，适用环境有安全要求的节点。

异构 网络存在不足：先杀毒再导入的模式；系统病毒和文件病 毒毫无隔离功能；无深度检测，需要选配杀毒软件检测。

综合安全隔离应该是软硬结合的安全隔离，主要是进 行通道控制，并实现内容检查。

通道控制主要采用物理隔 离技术，内网与外网没有物理连接；依靠电子开关和数据 缓存池分时导通，隔离开关摆渡传输数据，保证在任意时 刻内外网都是断开的。

内容检查的核心是检测数据文件真 伪和是否有夹带，首先根据扩展名对传输文件与特定数据 格式进行分析、比对，判断文件的真伪。

在确定文件真正身 价后，再全文扫描，确认文件是否有夹带，比如含执行代码 语言等。

这就从根本上断绝了病毒数据的扩散，保证了内 网的安全。

安全方案比较
以上几种安全解决方案各有优缺点，各机构应该根据 本单位的实际情况，选择安全解决方案。

根据我台的实际 情况，我们在各类网络系统中采用综合隔离方案。

一、
制作播出安全隔离。

综合安全隔离设备部署在制作
网与播出网之间，制作网向播出网传输的播出素材，必须 通过综合安全隔离设备的检测后，才能够进入播出的二级 存储中，再通过转码软件迁移到播出服务器中。

通过该设 备可彻底杜绝来自网络通道的威胁（网络攻击及木马程序 等），并依靠数据深度检测彻底避免非法文件及病毒的入 侵，进而全面保护播出网，保证播出安全运行。

二、
外部素材安全导入。

综合安全隔离设备部署在广播
电视台外来素材的安全导入环节。

通过安装在不同部门的 上传工作站进行外部数据的交换和共享，可以避免因需要 导入外来数据而带来安全隐患，避免因使用外部介质（U 盘、移动硬盘、2卡等）而带来的各种病毒进入内网。

三、
外网数据安全交互。

部署多台综合安全隔离设备用
于广播电视台各个网络之间的安全隔离，其中有部署在广 告中心和制作网之间的，也有部署在几个不同的制作网之 间的。

保证网络之间的数据交换和共享，同时可以避免相 互之间的网络攻击和病毒传播。

四、
远程数据安全上传。

部署综合安全隔离设备，通过
FTP 方式，将外地数据素材上传到外网上载客户端，之后上
载客户端经过综合安全隔离，将素材传到内网服务器。

通 过安全隔离设备安全地将广播电视台的数据素材传输到 非编网中，保证数据的安全交换，同时可以避免相互之间 的网络攻击和病毒传播。

五、
文稿数据安全交互。

综合安全隔离设备部署于内部
合全离备
综
奋隔设
防火墙
46声屏世界2016/12
VOICE &
SCREEN
百家争鸣|_WORLD 江西广电网络数字电视无线覆盖建设
□廖虹剑裴熠
摘要：利用无线覆盖进行村村通联网可对现行的光缆 网联网工程起到一个重要的补充，具有一定的优越性。

本 文列举了现有数字电视无线覆盖的主流技术，并介绍了江 西广播电视农网覆盖的技术方案。

关键词：广电网络无线覆盖
随着我国有线电视的迅猛发展，三网融合的不断加强，有线电视村村通全网覆盖工程显得日益紧迫。

要实现 所有村的有线电视全网覆盖，现行的传统光缆网覆盖技术 手段显得力不从心，特别是在农网光缆联网工程实施的后 期，一些方便施工的、投入产出比高的自然村已全部光缆网覆盖了，而剩下未覆盖的自然村大部处于边远山区，居 住分散，继续使用光缆网覆盖的技术手段将面临以下困难：一是建设光缆杆路投入资金过大，投入产出比低；二是 工程建设周期长；三是施工难度高。

我省境内除北部较为 平坦外，东西南部三面环山，中部丘陵起伏，为一个整体向 鄱阳湖倾斜而往北开口的巨大盆地。

东西南部三面环山的 农村地区，电视群体具有面积广阔，居住分散，不利于有线 线路架设，且成本较高的特点，环鄱阳湖地区农村也呈现出零散点状分布的特点，如若利用无线覆盖进行村村通联 网可对现行的光缆网联网工程起到一个重要的补充，具有 一定的优越性。

现有无线覆盖主流技术
一、数字电视地面广播传输系统D T M B c1999年我国设 立数字电视研发及产业化并成立国家数字电视领导小组，明确宣布自主制定技术标准。

针对我国数字电视应用的具 体标准，2006年8月18日，原国家广播电影电视总局正式 颁布了《数字电视地面广播传输系统帧结构、信道编码和 调制》，（G B20600-2006)地面数字电视广播传输标准实现了
网络与制作网互联，办公网用户使用自动上传方式向制作 网上传文件，将客户端安装在FTP服务器上，用户通过ftp 将文件传输到服务器上各个账户指定的自动上传目录来传输到安全网络中。

每个记者使用自己的特定ft p账号，互相之间看不到任何有关传输文件的信息。

固定电视和公共交通移动电视的数字电视信号传送。

D T M B
于2007年8月1号成为中国广播业地面电视信号的强制
标准。

2011年12月，国际电信联盟在修订地面数字电视
国际标准时，将我国的数字电视地面多媒体广播系统D T M B
标准纳入其中，DTM B标准也正式成为继美、欧、日之后的第
四个数字电视国际标准。

DTM B是一个支持多种音视频编码标准的透明传输系
统，可支持M P E G-2、H.264、AVS音视频编码标准。

DTM B标准
同时使用了时域同步正交频分复用和残留边带复用技术，
其中的时域正交频分复用（TD S-OFDM)核心调制技术形成
了自有知识产权体系，具有自己鲜明的技术特点。

DTM B具
有传输效率或频谱效率高、抗多径干扰能力强、信道估计
性能良好、适于移动接收的优点。

二、数字多路微波系统M M D S。

M M D S适用于用户分布很
分散的情况，但是由于信道数量的限制，如用更高调制技
术的方式来提高应用频率又较为冒险，而且大的覆盖范围
也容易引起M M D S小区之间的干扰。

M M D S所能提供的数据
带宽同样与可利用的频段、采用的调制方式（Q PSK、16Q A M
或64Q AM)和扇区数量有关，其技术的特点如下。

(一) M M D S技术使用了最新的传送数字信号的信源编码 与信道编码技术，同时在M M D S系统中人们还引入了最新
的调制技术，这样会使得数字信号的频谱压缩，数字压缩
技术最终解决M M D S频道容量少的缺陷。

(二) M M D S工作频段与地面电视广播V H F、UHF频段相比，M M D S其绕射能力要弱一点，各种楼层建筑物对其吸收大，
反射波弱，不会产生重影。

(三) M M D S无线传输网与有线电视光纤网一样，可采用 加/解扰技术，计算机用户管理系统。

(四) 采用残留边带调幅制式，在技术上多路多点分配 系统M M D S最基本的特点之一是沿用了地面电视广播的残
随着黑客和病毒的攻击方式的不断变换，任何防护手
段都是相对的，只有提高安全意识，多方面采取安全措施，
不断研究探讨新的防护手段，不断更新提高防护技术，才
能保证内网与互联网安全、高效交换信息。

(作者单位：江西广播电视台）
声屏世界2016/1247。