广播电视制播网络边界数据交换安全及效率分析

黄永芳

随着信息产业与新媒体行业的快速发展，广播电视呈现信息化，网络化的趋势，尤其是5G网络牌照的发放，给未来广播电视带来了极大的机遇与挑战。网络在广播电视系统中广泛应用，为广播电视节目制作与播出带来了极大便捷。但是由于网络的开放性，网络安全问题日益突出。计算机网络病毒层出不穷，也为网络安全带来了极大挑战。为实现广播电视数字化的总体目标，随着广电行业数字化建设进程加快，广电行业的数字化建设也呈现出新的特点。制作类业务逐渐向利用混合型网络环境转变，新媒体等与制播网络随时频繁大量交换数据，给制播网络边界数据交换提出了新的安全效率要求。

1 广播电台制播网络边界数据交换现状

传统业务模式中制播与外部网络没有直接的网络连接，各类数据通过P2P卡或者蓝光等介质承载在上下载工作站导入导出，在工作站上进行数据传送，这样的数据交换方式在一定程度上限制了网络化制播业务发展需求。同时制播系统边界业务类型复杂，包括媒资检索浏览，节目生产管理信息交换等新增业务的发展，对于网络化提出了更高的要求。而传统业务需要携带介质到上载工作站操作，影响节目制作的时效性；移动存储设备在网络环境中使用，工作站杀毒软件只能离线更新，则存在很大的安全风险[1]。

网络安全是保证广播电视正常应用的前提，只有加强网络安全技术措施的应用，才能保证广播电视系统安全运行。当前流行的网络安全技术主要有病毒防护技术，数字身份认证技术，数据加密技术，访问控制技术等。

为解决数据交换时效性问题，一些单位采用共享存储体交换设备进行边界数据交换，通常在制播系统边界部署跨网段存储设备，由制播网络终端设备取回数据，媒体数据交换设备分为内外两个模块，模块间基于USB等非线缆开发软件，但只能解决数据交换时效性问题。目前一些新建全台网络系统在部署多种安全设备，但如何进行有机结合，缺乏完善的解决方案。

2 广播电台制播网络边界数据交换需求

制播网络边界数据交换行为按涉及的制播业务系统分为制作系统、媒资系统、收录系统等。制作系统包括原始的音视频文件，以及通过视音频共享系统下载的外来文件等，还有低码率文件浏览，如新闻部门编导在办公网中浏览新闻素材。

媒资系统包括低码率文件浏览，通过多种检索方式查询。下载请求，外部用户提交下载请求，将资源在制播系统内迁移。节目调用，提交资源调用，媒资系统将资源进行跨边界传输。

审片系统是用户在办公网络中审阅成片。收录系统是外部用户想制播网络中收录系统提交约传单。其他系统有新员工身份信息需同步至制播网络内身份认证系统，需要送至制播系统，节目生产管理系统需获得节目制作进度等信息。

2.1 交换类型与流程

数据交换需求类别包括文件交换，存在系统交互的数据交换，流媒体数据交换。制播网络边界上文件交换需按带编目信息与不带编目信息分别考虑，以FTP协议为例讨论文件交换流程。

不带编目信息文件可直接使用FTP协议下载到制播网络，带编目信息文件通常业务部门调用节目，调用节目流程由外部用户向媒资系统提交请求，将媒体文件推送至制播网络外的某FTP服务器。节目归档采用FTP交换，制播网络内接口服务器运行守护进程，外部用户将媒体文件放置到特定位置，守护进程发现下载XML文件[2]。

目前常见的媒资等业务系统用户使用界面大多采用B/S架构设计，访问系统服务器获得需要信息提交数据到制播系统内服务器端处理。

与媒资、文稿系统的交互过程需要进行低码率文件内容浏览，外部客户首先访问Web服务器，Web服务器返回流媒体服务器地址等信息，客户端向流媒体服务器请求内容，向客户端发送请求内容。一些特定应用需在制播系统与外部系统间进行制定端口数据交换。

2.2 安全需求

在信息系统中，业务功能主要通过应用操作与网络通信环节实现，如信息系统中使用者经认证，其操纵符合规定，可认为系统中不会产生攻击性安全事故。

制播网络主要面临漏洞供给，口令猜测等安全风险，实现边界数据交换安全，需要通过边界服务器端采用可靠的操作系统，适应密文传输FTP服务器端软件强化安全配置，包括账户管理策略，更改软件banner，建立完善的防恶意代码机制，清除木马等，流媒体服务可使用加密技术。Web服务器部署可靠的安全策略，包括防止跨站脚本攻击等攻击非法手段。专有应用数据交换应尽量采用自定义端口，对制播网络外数据源进行安全加固处理。

3 广播电视网络数据边界交换策略

为减少业务板块间的边界数量，在全台网中建立数据交换区，作为数据交换的安全实现区域。台内网业务区域通过数据交换区网络设施连接，制播网络边界数据安全交换的基础是保证交换区网络安全连通。需在数据交换区与业务区间采用主备链路实现冗余备份。在数据交换区与办公网络，电台业务区域间分别部署防火墙进行访问控制。数据交换区内部采用支持双机热备的交换机。

3.1 文件交换功能设计

对区域内网络设备进行安全加固，在数据交换区与办公网络，电台业务域部署安全网关系系统，通过光纤级联，检测网络流量。分散区域内的安全设备管理权限，使操作与日志审核员分属不同角色。

实际运用中，可将新媒体业务域与电视台业务域的边界进行合并防护，通过虚拟防火墙对三个边界进行逻辑隔离，可利用私有协议降低蠕虫攻击行为的威胁[3]。

对纯文件的交换，采用SFTP协议进行，SFTP是FTP协议的替代，实现文件加密传输，避免被安全威胁。SFTP客户端将文件上传至指定目录，通过用户身份认证机制进行安全控制。SFTP客户端通过身份认证后下载文件。

3.2 系统交换功能设计

全台网是为完成特定信息共享进行交互的端系统相关资源集合。办公，电台等业务板块可视为应用区多子区域。区域网关通过安全插件实现身份认证等安全策略。网关在网络平台获得可靠数据传输服务。每个子区域通信在逻辑上隔离。

数据交换区是各区域互联的网关，需保证离开边界数据被授权得到保护，需保证只有合法访问请求才能通过边界。设计数据交换区可采用反向代理服务器实现对会话的封装，代理服务器将接收到的服务请求进行身份认证，将请求发送到制播网络中实际媒资系统服务器，可依据边界通信流量设置多台反向代理服务器。

首先需保护代理服务器操作系统安全可靠。需通过操作系统赋予服务器系统主动防御能力。通过强制访问控制机制限制用户权限，防止越权访问。缺乏服务器重要数据无法被非法泄露。通过执行程序真实性确保服务器操作系统无法被病毒等恶意代码破坏，通过数据加密保护机制，确保非授权用户无法获取重要数据。

通过用户行为审计机制，防违规行为抵赖。漏洞扫描系统对数据交换区进行脆弱性扫描。通过在代理服务器使用安全功能插件，对数据提供机安全防伪。典型的安全服务包括加密，病毒防护，审计等。

3.3 流媒体数据交换功能设计

流媒体浏览业务应用分为数据量较小及数据量较大的情况，数据量较小的情况，可直接访问流媒体服务器获得资源，控制能访问流媒体资源的用户身份。

数据量较大的情况，可在部署流媒体服务器，将制播网络中的流媒体资源同步到交换区。对各区域专有应用业务，可启用定制规则实现数据交换。

4 结语

网络安全在广播电视传播中是重要的系统工程，需要仔细考虑安全技术要求，结合各种安全技术，才能形成高效安全的广播电视系统。必须加强对网络安全技术的研究，实现广播电视持续发展，本文分析了全台网络制播系统边界数据交换行为，借鉴对应用区域边界安全体系结构模型研究成果，简化全台网业务板块数据交换，实现制播网络边界数据的安全高效交换。