构筑中控系统网络安全体系探析

桑志彬

（国家新闻出版广电总局七八三台 河北 071052）

0 引言

信息技术的高速发展，使得广播电台系统设备也不断向网络化、智能化发展。我局组建的广域网已运行多年，形成了运行较稳定、使用较方便的网络安全体系。以数字调度、运行监控、质量保证、网络化主控为主要组成部分的网络化中央控制系统（简称中控系统），使电台的数据采集、节目传输发射以及天线交换等系统更加稳定，大大提高了广播电台的工作效率与播音质量。

1 中控系统网络化的基础框架

中控系统作为广播发射台音频信号的接收、传送、发射的中心，承上启下地连接着传输和发射系统，是广播发射台的“心脏”，它的网络化建设显得尤其重要。中控系统网络化的基础框架如下。

1.1 监测控制网络

根据全局业务需求，台站局域网按照统一IP地址管理规则进行IP地址管理和分配，通过虚拟局域网（VLAN）对台站应用和各部门的职责分工进行细分；通过访问控制列表（ACL）方式进行业务隔离和互访限制。台站局域网分为办公网和技术网。其中技术网主要部署中控服务器、机房自动化系统、发射机控制终端等和安全播出直接相关的业务。办公网主要部署包括OA、财务、智能物资等其余业务。

1.2 数字音频网络

台站整个接收系统中的数字音频信号源则靠传统的电缆方式来传输。中控系统接收来自不同路由的数字音频节目源，通过控制数字音频切换器加以切换和调整后，统一采用AES/EBU信号格式和标准的工作电平，对音频信号进行调度和发送。

2 中控系统网络化的技术实现

中控系统网络化是指以计算机网络为基础，利用广播技术和计算机信息技术，实现广播节目音频传输、交换、分配、调度、监测、应急播出以及相关辅助功能的网络化环境。中控系统网络化给广播电台提供了更灵活、功能更强大的传输发射系统，使得安全备份系统完善可靠，节目通道任意调配，状态信息实时掌握和控制处理手段多样灵活。

2.1 监测控制网络的技术实现

台站监测控制网络采用与互联网物理隔离的方式，按照星型结构部署，接入交换机采用TRUNK方式上联到中心交换机。接入交换机运行在二层模式下，所有三层交换在中心交换机上进行。在办公网与技术网之间，办公网用户与技术网用户不需要进行数据交换，办公网服务器与技术网服务器之间只有各自一台服务器需要同步数据，因此，防火墙隔离设置中将全部禁止办公网与技术网其余用户和服务器的数据交换，只允许办公网通讯服务器和技术网通讯服务器之间数据传递。

图1 监测控制网络图

如图1所示，监测控制网络中包括数字音频调度系统、台站运行管理系统、智能调度系统、天线交换系统等不同的应用服务。通过在办公网交换机、技术网交换机等设备上以虚拟局域网（VLAN）方式对台站应用和用户权限进行细分，[1]以访问控制列表（ACL）方式对业务隔离和互访限制；在防火墙上配置路由模式，通过静态路由实现网络连通，技术网作为TRUST区，办公网作为UNTRUST区；增加包过滤规则，对匹配通讯服务器之间的网络流量允许通过，其余流量禁止通过，同时利用访问控制类别过滤病毒端口。

2.2 数字音频与控制网络的实现

图2 数字音频与控制网络图

以时分复用TDM技术为核心，采用光纤、网线或铜缆架构数字音频与控制网络，它是通信技术、计算机网络技术与音频技术相互融合的产物。如图2所示，数字音频与控制网络中，接收的节目源一方面通过多部接收机将音频信号送入数字音频四选一，经通道选择后由数字音频切换器控制输出，经过数/模转换器传送到发射机房的音频切换器至发射机，其中数字音频切换器还与串口服务器Nport 5410相连至技术网，只要接入一台上位机，待发射机发生故障时，便可利用一键代播功能将故障发射机的音周信号发送到代播机上，实现远程控制；另一方面接收的节目源从串口服务器 Nport5610通过本地服务器、通讯服务器至办公网实现局与台之间的数据交换，保障安全播出。

3 中控系统网络化的功能特点

3.1 智能化监测监控

中控网络实现对网内设备的集中管理和监测监控，使技术人员可以很方便地在监控客户端对网内任一设备的工作状态进行监测，对网内设备故障、音频信号异常、供电线路等作出迅速反应，并且可以灵活地调整系统配置。

3.2 高质量数据传输[2]

为了解决整个平台在数据远程传输中的高质量问题，网络采用数字音频编解码技术，音频信号在传输过程中不易受到各类环境噪声的干扰。在其余系统与播出监控系统进行通讯时，必须遵循本系统所规定的通信协议进行数据传输，所有其他不符合本通信协议的数据都将被拒绝。

3.3 维护便捷高效

使用模块化设置，今后能便捷地在硬件、软件方面进行升级、扩展和维护。其中设备播音最宝贵的就是时间，一旦发射机或节目源切换器出现事故，在中控控制桌启用一键代播功能，可以迅速、省时的在最短的时间内完成设备的开启代播。

3.4 数据实时备份

关键运行数据的多重备份保护，通过主、备双重磁盘阵列共享磁盘，实时备份台平台服务器数据，确保了控制系统在发生各种故障时，都能不间断、稳定连续地运行。

3.5 严格的身份验证

关键系统软件在系统设置模块中，对各软件模块、系统用户进行了完善的设置。在系统设置模块中将操作人员分属不同的权限等级，不同的等级分别拥有不同的操作权限，避免操作人员违规操作和越权操作，有完善的系统日志便于管理者查询。

4 结束语

随着信息技术的高速发展，构建电台业务网络互联互通一体化系统是发展的必然趋势，它可以有效地实现节目通道任意调配，状态信息实时掌握和灵活多样的控制处理手段，对提高节目质量、强化管理有着重要的作用。在已建成的网络平台的基础上，在保证安全可靠的前提下，考虑网络平台的多元化和持续性发展，已成为今后广播技术人员应该不断努力、认真思考的问题。

[1]张卫玲.对广电网络边界安全问题的思考.广播电视信息.2011年11月.

[2]提文雁.试论广播电台播控系统的网络化建设.广播电视信息》2011年9月.