制播網是數字化廣播的骨干����,因此對網絡和數據的安全性要求極高。目前���,大多數制播網為確保安全,跟“外界”完全的物理隔離�。然而���,完全的物理隔離是把“雙刃劍”���;一方面所有站點均不允許使用諸如U盤�、移動硬盤等外接設備與制播網進行對接�����,杜絕了整個系統被外界病毒感染侵襲�����。另一方面,卻導致了網絡傳輸高效�、制作便捷���、資源共享等優點沒有得到充分發揮;延長了編輯記者使用外采音頻的制作時間,為電臺與外界大量的文件交換設置了人為的障礙�。
隔離是為了安全��,但過度地隔離勢必嚴重阻礙發展,而若過度地開放,置系統安全于不顧�,則必會生產嚴重的安全隱患���,所以安全�����、適度、高效地開放才是解決發展與生存的合理方案。
一.數據交互的需求分析
為了保障安全播出,河南電臺通過采用服務器群集、磁盤陣列鏡像��、雙鏈路冗余設計等一系列先進技術,建成了基于SAN存儲架構的制播網。隨著事業的發展��、技術的進步��,“孤島式”的隔離模式不再便于對整個制播網內的音頻文件進行管理�����,而逐步有序的實現制播網與互聯網間以及其他存儲媒介的數據交互越來越重要,目前音頻交互需求主要表現為以下幾種形式:
1. 廣告管理:廣告收入是維持電臺持續發展的基礎��,若所有用戶都只能在制播網上對廣告進行查詢管理��,勢必給制播網絡造成極大的額外負擔�����。目前廣告經營管理部門將廣告播出音頻交給廣告客戶,只能通過調音臺1:1將廣告播出音頻錄制到至辦公網電腦中,再通過辦公網電腦將音頻刻錄出來交給廣告客戶的導出方式�,對客戶拿來的需要播出的廣告音頻也只能采通過調音臺1:1將廣告音頻錄入制播網中�����,這無疑增加了廣告經營管理部門和客戶溝通的難度���。
2. 節目音頻文件交互:音頻資料作為無形資產所能產生的價值是無法估量的���,在實際應用中���,為電臺網站的網絡廣播和點播提供必要的音頻文件�,從國際互聯網上下載音頻文件作為創作素材,為友好臺站提供交流的節目文件����,這些都要我們做大量的制播網和其他網絡��、媒介之間的數據交換���,當然這些交換都需要在嚴格保證安全的前提下進行的���。
3. 數據備份:電臺有眾多的珍貴音頻資料需要備份��,需要在嚴格保證安全的前提下有效的實現數據多地點、多載體的備份�����,使音頻數據不再局限在音頻數據網絡中�����,當系統出現嚴重故障時��,安全有效地恢復備份數據是減少損失、及時恢復系統的有力保證。
二.音頻防火墻詳細技術方案
1. 音頻防火墻的功能設計
對于在安全性和私密性方面要求很高的制播網來講�����,單純利用防火墻軟件和殺毒軟件來構成屏障�����,防范大量存在的網絡攻擊和病毒入侵就難以保證系統的安全。由于防火墻和殺毒軟件都是相對開放的技術�����,都是基于數據通用性要求來實現數據的安全傳輸的�,所以它們只能在一定程度上提供安全保證,無法滿足制播網的安全要求���。在近些年的實例中,也多次出現安全防護相當嚴密的大型門戶網站被黑客攻擊的情況���。而且制播網站點眾多,網絡體系復雜���,增加軟件防火墻的遠不及增加硬件防火墻來的方便,因此��,對硬件型音頻防火墻的需要就顯得更加迫切����。
為此,我們測試并引入“音頻防火墻”IAF-100���,在確保安全播出的同時,提高廣播制播網的運轉效率��。
?����。?)安全性
音頻防火墻利用專門的RTOS實時操作系統和專門開發的通訊硬件和軟件,能夠實現將存儲介質上的文件傳輸到制播網計算機的過程中,實時解析并過濾音頻文件,當發現文件不是音頻文件時�����,會拒絕上傳或者拋棄音頻文件中的不可識別數據�;音頻防火墻對音頻文件進行嚴格的檢測,而且是逐幀檢測,保證任何有威脅的病毒代碼都不能隱藏在音頻文件中傳到內網�����,更不可能獲得執行的機會���。同時出于安全性考慮�����,該音頻防火墻具有內置的嵌入非開放式系統�����,以免防火墻自身被病毒感染�����,為內外網文件交換提供了安全快速的解決方案。
如果把音頻防火墻連接到內網交換機����,可使用MAC地址鎖定功能���,保證音頻防火墻上的內網網線不會被拔下并被其他非授權電腦使用���。另外,音頻防火墻的內網網口帶RJ45接頭鎖定裝置,保證內網網線被固定在音頻防火墻上,無法把內網網線從音頻防火墻上拔下再連接到其他非授權電腦上
(2)實用性
音頻防火墻既可以連接到內網交換機上,也可以在內網電腦上插第二網卡而直接連接到內網電腦上�����。無論是哪種方式����,內網電腦都可以通過專用的PC端軟件透過音頻防火墻和外面的電腦、U盤���、CF卡、SD卡���、記憶棒等各種設備交換音頻文件。
2. 音頻防火墻的設備需求
硬件式音頻防火墻內置了非開放式的管理軟件�,不僅具備存儲卡�����、U盤等設備的讀卡器接口,還能夠通過USB接口與移動硬盤、計算機等設備連接����,接口豐富�����,技術規格符合我們的基本要求,同時由于是硬件式防火墻,直接通過網絡接口進行管理連接到制播網�����,拆裝便捷���,安全性及穩定性更高�����,符合我們設計的思路。
3. 音頻防火墻的工作模式
音頻防火墻與現有制播網有兩種對接方式�����,對接功能實現的拓撲圖如下圖所示:
模式一:在有文件交換需求的制播網電腦配置一臺音頻防火墻���,把這個音頻防火墻作為該電腦的一個經過安全驗證的外接存儲讀寫器����。既可以通過在該電腦上安裝第二網卡連接該音頻防火墻,也可以直接把音頻防火墻連接到內網交換機上�����。
模式二:音頻防火墻也有共享型號���,該型號可以連接到內網交換機上��,提供多臺內網電腦訪問外部文件之用���。一般而言���,一個辦公室可以配置一臺這樣的共享型號的音頻防火墻����。
在制播網電腦上通過一個音頻防火墻軟件來透過音頻防火墻讀寫外部文件。IAF-100支持的文件格式有:S48��、MP3�、WAVE�����、BWF等�,支持的編碼幀檢查的編碼格式主要有:MPEG-1 Layer II�����、MPEG-1 Layer III以及Linear PCM��。
音頻防火墻的內外網之間的通訊硬件和軟件都是自主開發的,而內外網兩端的網絡接口則是標準的百兆以太網��,因為中間是一個獨木橋式的私有通訊硬件/軟件�����,所以不存在透過 IP 進行攻擊的可能性���,而其他的諸如黑客攻擊和病毒傳播也都依賴標準的網絡協議���,在這樣一個私有的獨木橋式的關口前面����,它們都無法透過��。[page]
4. 音頻防火墻的安裝調試
第一步�����,硬件防火墻安裝。
將防火墻固定后�,插入網線�,該網線只允許與制播網內部相連接���,不能與互聯網連接����,連接適配器電源�,打開電源開關,完成前期硬件安裝工作。
第二步�,設置音頻防火墻參數����,對用戶權限及安全性數據進行設置����。
若要對防火墻進行設置,需先安裝防火墻配置程序,然后將防火墻電源關閉,之后將音頻防火墻背面的Update升級開關放在打開的位置上��,打開防火墻電源后�,將升級所用的USB數據線連接到音頻防火墻后部的升級用USB數據端口上,此時系統會自動彈出窗口選擇配置文件sys.ini,保存后退出���,移除USB升級數據線,關閉防火墻電源后將Update按鈕撥回Normal狀態。
對sys.ini文件參數進行設置如下圖所示:
第三步��,安裝客戶端軟件�,對制播網電腦進行參數設置。
軟件安裝完成后需要對制播網客戶端電腦進行設置,以指定訪問用戶的訪問密碼和權限����,以保證整個制播網的安全��。
整個音頻防火墻及制播網客戶端的安裝調試工作基本完成后。通過反復的上傳下載測試,音頻防火墻只對規定格式范圍內的文件予以放行,對不符合要求的文件類型及數據包進行攔截。同時��,在用戶訪問安全性方面��,只對配置文件中設置好的用戶IP進行放行�����,能夠始終保證上傳下載環境的安全穩定,找到了系統安全及使用便利性的平衡點。測試結論:音頻防火墻的工作正常,滿足應用要求。
三. 音頻防火墻的實施效果
音頻防火墻建立在獨立的硬件通訊基礎之上����,緊密結合應用軟件來解決互聯的安全問題���,有效的防范了攻擊與病毒�����。在確保制播網安全、高效、穩定運行的前提下�����,提高了節目制播速度���,在河南電臺各系列廣播和廣告經營管理部試用以來���,運行安全、穩定��。
記者使用錄音筆��、MP3等便攜設備錄音后�����,通過音頻防火墻直接將外來的文件進行過濾篩選,將錄音以數據讀取的方式安全��、快捷的導入到制播網中���,大大簡化了傳統的流轉模式廣告經營管理部改變了將廣告資料按1:1的錄放速度導入導出�����,然后刻錄成光盤送給客戶的傳統方式,方便的實現的數據的交互��,提高了工作效率�,方便了客戶,降低了成本����。
綜上所述��,音頻防火墻是一種更加私有、更加安全的數據交換技術�����,從最底層硬件平臺開始開發����,為內外網數據交互提供了安全快速的解決方案。它的應用打破了制播網完全物理隔離的堅冰�,在確保制播網安全�����、高效、穩定運行的前提下�����,提高了制播效率���,成為內���、外網絡之間的安全擺渡�����。B&P