【內容擇要】 本文給出了目前中小電視臺制作網普遍面臨的節目制作網采用外來視音頻文件、圖片、文字等資料時病毒浸入問題的實用解決方案，適度、有效的保護了制作網和播出網的安全運行。
【關鍵詞】 制作網  病毒  安全

　　隨著IT技術在廣電行業的廣泛應用，計算機病毒也給我們帶來了巨大的威脅，給我們正常的節目生產和播出帶來安全隱患。近年來，計算機病毒的傳播途徑主要演變成兩個，一是互聯網，一是移動存儲。由于我們節目制作網與互聯網是物理隔離的，因此移動存儲是我臺感染病毒的主要途徑。通過對病毒傳播規律的分析，并結合我臺的實際情況，我們設計了阜陽電視臺節目制作網兩級防病毒方案，有效地防止了計算機病毒造成的危害，同時滿足了我臺節目制作的要求。系統投入運行一年多，至今未發生一起非編系統感染病毒的事件。

　　網絡系統結構

　　為滿足我臺電視節目制作的需要，2008年我們建立以IP-SAN基礎的非線性編輯網絡。網絡結構非常簡單，我們的節目制作網共有20套非編工作站，其中配音工作站2套，無卡站點6個，有卡站點12個（大洋D3-Edit 5000系列2套，大洋D3-Edit 3000系列10套），在這個系統中有3臺DELL2950的服務器，其中兩臺作為制作網MDC服務器，數據庫服務器，另外一臺用于制作網和播出網以及外來素材的節目交換，此外系統中還有兩套打包轉碼服務器，3臺殺毒工作站。網絡拓撲如下：

　　網絡安全需求分析

　　為豐富節目內容，提高節目制作效率，我們不可避免會使用外來第三方素材。采用USB接口技術的移動存儲介質由于體積小、存儲容量大、讀寫速度快，在節目制作中被廣泛用于第三方素材的存儲和交換。頻繁交叉使用的移動存儲介質成了計算機病毒的又一新傳播途徑。移動存儲介質最易感染的病毒是U盤病毒。

　　U盤病毒主要有兩種表現，
　　1.中了U盤病毒，電腦硬盤里面所有的文件夾里都有一個與這個文件夾名字相同的后綴為EXE的文件夾，而且都一樣大。
　　2.雙擊硬盤打不開的，但殺毒軟件解決不了。一般是病毒在那個分區里建了一個autorun.inf文件，它的屬性是隱藏、只讀、存檔性質的，在windows下看不到。 

　　U盤病毒主要依賴于U盤等可移動設備生存，用戶從網上下載或在有病毒的電腦使用U盤時，病毒就會自動移植到U盤當中，并在U盤內自動創建一個Autorun.inf的系統文件，當然這些文件都以隱藏形式存儲,當用戶在其他電腦使用中毒的U盤，以正常的方式雙擊U盤盤符時,便啟動了隱藏了的Autorun.inf系統文件,Autorun.inf是一個安裝信息文件,通過它便實現了病毒的自動運行，這樣病毒便傳播到另一電腦當中。

　　由于節目制作網的網絡結構相對比較簡單，服務器采取集中單一的管理模式，為了保證非編有足夠的運行速度，以及非編軟件的兼容性，所有的非編站點和服務器沒有安裝任何防病毒軟件，整體的節目制作網網絡安全性低，如果不加控制，就有可能受到病毒的入侵等安全問題。網絡病毒對安全性低的節目制作網會帶來多種不同程度的危害：

　　(1)信息失竊。網絡病毒在發作后常常在造成直接破壞的同時，還會釋放后門程序，一旦重要服務器中毒，就有可能帶來素材資料的丟失或修改，造成嚴重的事故。

　　(2)文件服務器癱瘓。文件服務器是網絡環境下文件儲存和訪問的主要應用服務器，病毒極易通過文件復制的方式在服務器中傳播、復制，大量的病毒入侵可以導致文件服務器功能下降或癱瘓。

　　(3)客戶機病毒泛洪。病毒可以通過多種介質傳播，一旦客戶機感染病毒，便會通過交叉感染迅速傳播，給正常的節目制作網帶來極大的威脅。

　　(4)網絡帶寬占有。高速傳播和具有網絡攻擊能力的病毒，能大量占用有限的網絡帶寬，導致網絡癱瘓。

　　2007年我臺淘汰了上一代的非編網絡，采用了大洋公司IP-SAN構架的非編節目制作網。以前我們所有的非編站點運行在Windows NT4.0環境下，這個系統平臺不支持USB接口的移動存儲，所以只要我們有效管理好軟驅和光驅，斷開與外網的連接就可以避免感染計算機病毒。現在我們所有非編工作站點運行在Windows XP平臺，如果繼續沿用以前的管理模式，完全隔離我們的節目制作網，放棄移動存儲帶來的工作便利，這樣并不適應我們的發展。

　　網絡安全設計與實現

　　如何解決這一魚和熊掌的問題，是擺在我們技術人員面前的一個首要任務。通過對病毒傳播規律的分析，并結合我臺的實際情況，我們制定了一個兩級防病毒技術方案，再加上相應的規章制度，很好的解決了這一問題。

　　“病從口入”，只要我們能夠把好這個“口”，就可以有效的防止病毒的感染。首先，我們通過技術手段屏蔽所有非編工作站點的USB接口、光驅（現在的計算機一般不再配置軟驅）。如果僅僅只是停用了USB接口、光驅，稍微掌握計算機使用經驗的人員還是可以通過重新設置計算機，恢復這些功能的。因此，我們對登陸制作網的用戶做了策略限制，使普通賬號登陸網絡后，無法對計算機系統進行重新設置或更改，同時對登陸到本地的管理賬號設置密碼保護。例如，我們在網絡中設置了一個“fytv”的通用賬號，用于登陸非編網，將本地的管理員級賬號“administrator”設置了密碼，防止一般使用人員登陸到本地。對于登陸到非編網的賬號“fytv”，我們還在服務器做了策略限制，使用這個賬號的操作人員，不能使用鼠標右鍵，查看計算機信息，不能對計算機安全敏感區域進行訪問、不能訪問系統盤，這樣也就無法設置或更改計算機配置了，但這賬號可以正常使用非編系統，絲毫不影響使用。

　　“光堵不疏”，還是不能解決問題，我們在外來素材與非編制作網之間建立了一個防病毒子系統，外來的第三方素材可以通過這里導入我們的非編。

　　網絡拓撲如下，

　　在這個FTP服務器中我們使用了三塊網卡，一塊與非編網交換機相連接，一塊與播出網交換機連接，一塊與殺毒工作站交換機連接，這三塊網卡分別工作在三個網段188.8.8.*、192.168.0.*、192.168.1.*。這樣可以有效防止內部侵入，帶來的安全隱患。殺毒工作站運行在192.168.0.*網段，在第一級防病毒中將兩臺殺毒工作站通過一個單獨的交換機與FTP服務器相連接。在這兩臺工作站中我們安裝了最新的殺毒軟件，并規定每周定時對殺毒工作站進行病毒庫升級。在第二級防病毒中，我們配置了一臺雙網卡的殺毒工作站，主要供我們網絡維護人員使用。一個網卡接入互聯網，一個網卡接入用于殺毒的以太網交換機，與FTP服務器互聯，FTP服務器的數據盤通過網絡映射的方式與這臺計算機連接。我們在這個殺毒工作站中也配置了最新的殺毒軟件，并設置為每隔1小時自動查殺一次映射過來的網絡驅動器，同樣也每周定期升級殺毒軟件。我們內部規定，連接互聯網的網卡只能在升級殺毒軟件的時候才啟用，在啟用這個網卡的之前必須禁用連接FTP服務器的網卡，待殺毒軟件升級完成后立即禁用該網卡，重新計算機后啟用內網網卡。這樣即便是這臺殺毒工作站系統癱瘓，也不會影響FTP服務器的安全。 [Page]

　　技術流程如下：

　　首先，用戶在第一級殺毒工作站對移動存儲設備進行殺毒，之后通過FTP賬號將素材上傳到各自的FTP空間，第二級殺毒工作站每隔1小時，對存儲在FTP服務器上的數據自動查殺一次病毒，再次檢查上傳內容是否包含病毒。在我們的節目制作網中交換的文件一般是視文件、音頻文件、圖片以及文本，這些文件是不會被感染病毒的。為以防萬一，我們根據病毒傳播的特點以及我們本身的特殊應用，在FTP服務器添加了一個名為autodel.bat計劃任務，這個計劃任務會每隔1分鐘自動刪除數據盤中所有擴展名為exe、bat、com、inf、sys、dll、vbs、asp、vbe、reg、ini等文件。文件格式如下：
attrib k:\ftp1\*.* -s -h -r -a /s /d
del k:\ftp1\*.ini /s
del k:\ftp1\*.dll /s
del k:\ftp1\*.sys /s
del k:\ftp1\*.inf /s
del k:\ftp1\*.com /s
del k:\ftp1\*.exe /s
del k:\ftp1\*.bat /s
del k:\bc\*.ini /s
del k:\bc\*.dll /s
del k:\bc\*.sys /s
del k:\bc\*.inf /s
del k:\bc\*.com /s
del k:\bc\*.exe /s
del k:\bc\*.bat /s

　　有了這個計劃任務以后，即便是不小心將感染了病毒的文件上傳到了服務器，系統也能夠自動將它刪除。

　　素材上傳結束后，登陸非編網就可以在自動映射的K：盤中找到上傳的內容（我們將FTP服務器的目錄通過192.168.1.*網段映射成非編工作站的一個網絡驅動器）。這時可以安全地將素材導入到非編使用。用戶如果需要將非編網里面的素材傳走，可以直接將資料生成拷貝到K盤，然后在殺毒工作站使用FTP方式登陸服務器，即可下載自己的資料。為了解決上傳速度慢的問題，我們的防病毒網絡全部使用的是千兆的網絡設備。

　　面臨的新問題

　　隨著數字電視技術與IT技術的融合，在電視節目制作中記錄介質也發生了很大的變化，基于半導體，光盤、電子硬盤等存儲介質的攝錄一體機被廣泛使用。新一代的記錄存儲介質逐漸成為廣播電視節目發行新載體，以前常用的各種磁帶必將會被新一代的記錄介質所取代。新的記錄介質具有所有非線性的特點，非常適合用于非編網路的節目制作，且完全兼容IT技術。這就給我們目前的防病毒系統帶來了一個新的難題。如果這些存儲介質感染了病毒，同樣會給我們的節目制作網帶來極大的威脅，我們目前的網絡結構無法有效防御病毒的蔓延。特別是半導體存儲和電子硬盤又極易感染病毒（由于光盤的物理特性，光盤一般不易感染病毒）。因此在基于新一代記錄介質的設備被普及使用的同時，這是我們無法回避的問題。

　　任何技術方案并不能做到100%的完善，因此我們還出臺了相應的規章制度，做到人防和技防相結合。我們規定我們的所有非編工作站，不得私自安裝其他軟件，做到專機轉用。我們設計的這個兩級防病毒方案，投入使用一年以來，運行穩定，未出現一起病毒感染事件。我們在保障系統安全運行的同時，最大限度的為使用者提供操作上的便利。B&P