【摘要】 本文以湖南公共頻道非編制作網(wǎng)為實(shí)例，對(duì)日常工作中碰到的影響網(wǎng)絡(luò)安全的因素進(jìn)行一些歸納，重點(diǎn)講述網(wǎng)絡(luò)安全主要有哪幾個(gè)方面的問(wèn)題，并就如何做好安全防范、為節(jié)目制作提供一個(gè)穩(wěn)定的、安全的、高效的運(yùn)行平臺(tái)進(jìn)行經(jīng)驗(yàn)性的總結(jié)。
【關(guān)鍵詞】 非編制作網(wǎng)絡(luò)  安全防范

　　一． 網(wǎng)絡(luò)安全的重要性

　　隨著電視臺(tái)節(jié)目的編輯從以錄像機(jī)為平臺(tái)、磁帶為載體的傳統(tǒng)對(duì)編方式向以計(jì)算機(jī)為平臺(tái)、硬盤(pán)為載體的非性線編輯方式的轉(zhuǎn)變以來(lái)，平臺(tái)及載體的開(kāi)放性在帶來(lái)方便快捷的同時(shí)也帶來(lái)了很多不安全的因素。這些隱患貫穿節(jié)目制作的每個(gè)環(huán)節(jié)，猶如顆顆炸彈，一旦防范不到位隨時(shí)都會(huì)爆炸，大則造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的崩潰，甚至影響安全播出，小則影響單個(gè)站點(diǎn)工作不正常，影響節(jié)目編輯。

　　但實(shí)際的節(jié)目制作中，不可避免的會(huì)有很多文本、圖片、網(wǎng)絡(luò)素材要進(jìn)行交流，不可能真正做到絕對(duì)完全封閉。比如我們頻道的“臺(tái)海視線”、“幫助直通車(chē)”這兩檔時(shí)效性較強(qiáng)的新聞欄目，信息量很大，需要與外網(wǎng)的交流特別多。歸納起來(lái)，影響非編網(wǎng)的安全主要集中在以下幾個(gè)方面：
　　1．集中存儲(chǔ)安全性問(wèn)題；
　　2．節(jié)目制作人員素質(zhì)不一，對(duì)計(jì)算機(jī)平臺(tái)的設(shè)置參數(shù)進(jìn)行誤操作；
　　3．病毒感染，網(wǎng)絡(luò)攻擊；
　　4．人為操作或人為破壞；
　　5．?dāng)?shù)據(jù)庫(kù)安全。

　　二． 防范措施與解決方案

　　湖南電視臺(tái)公共頻道搭建的DTV非編網(wǎng)，采用光纖加以太的雙網(wǎng)結(jié)構(gòu)（拓樸結(jié)構(gòu)圖見(jiàn)圖1），網(wǎng)絡(luò)規(guī)模較大，共有20個(gè)站點(diǎn)，其中有卡點(diǎn)11臺(tái)，無(wú)卡點(diǎn)8臺(tái)，配音工作站1臺(tái)，使用至今已有七年多。在這幾年中，通過(guò)不斷的摸索總結(jié)，形成了一套行之有效的方法，杜絕了各類(lèi)問(wèn)題的出現(xiàn)，沒(méi)有一樁因?yàn)榫W(wǎng)絡(luò)安全的漏洞而造成制作網(wǎng)出現(xiàn)故障。現(xiàn)結(jié)合以上幾個(gè)問(wèn)題與本單位在安全方面的措施，進(jìn)行說(shuō)明。

　　第一．集中存儲(chǔ)安全性問(wèn)題。非編網(wǎng)絡(luò)采用的是集中存儲(chǔ)的SAN網(wǎng)絡(luò)，網(wǎng)絡(luò)存儲(chǔ)中心大多都是采用光纖接口的RAID存儲(chǔ)陣列，硬盤(pán)采用光纖硬盤(pán)或SAS硬盤(pán)，硬盤(pán)陣列組建RAID5方式，這些都很好的提高了存儲(chǔ)的自身安全性。光纖硬盤(pán)和SAS硬盤(pán)本身就是針地企業(yè)級(jí)的產(chǎn)品。使用壽命長(zhǎng)，故障率低。而RAID5是一種帶奇偶校驗(yàn)信息的多硬盤(pán)組合方式 ，把一個(gè)數(shù)據(jù)源分散存儲(chǔ)在同一存儲(chǔ)的所有硬盤(pán)上，以提高讀寫(xiě)性能，同時(shí)再把分散的數(shù)據(jù)產(chǎn)生一個(gè)校驗(yàn)信息，同時(shí)也存到所有的硬盤(pán)上。當(dāng)一塊硬盤(pán)出現(xiàn)故障時(shí)，可以根據(jù)校驗(yàn)信息來(lái)恢復(fù)出故障硬盤(pán)上的數(shù)據(jù)內(nèi)容，從而不會(huì)出現(xiàn)數(shù)據(jù)丟失和影響編輯工作。

　　而雙盤(pán)陣互備份。我們?cè)诮ňW(wǎng)初期因經(jīng)費(fèi)問(wèn)題也只有一個(gè)盤(pán)陣。但使用了幾年后，發(fā)生過(guò)盤(pán)陣控制器報(bào)錯(cuò)。這個(gè)時(shí)候表現(xiàn)出所有工作站都找不到硬盤(pán)，每一個(gè)站點(diǎn)都不能工作，嚴(yán)重影響節(jié)目制作。從安全考慮后來(lái)我們又添加了一個(gè)硬盤(pán)陣列。同一個(gè)用戶(hù)，在兩個(gè)硬盤(pán)陣列上都有素材，節(jié)目等。這樣一旦某個(gè)盤(pán)陣出現(xiàn)問(wèn)題，用戶(hù)可以馬上轉(zhuǎn)移到另外一個(gè)硬盤(pán)上的備用賬戶(hù)工作。從而不會(huì)影響當(dāng)天節(jié)目的正常生產(chǎn)。再把所有的用戶(hù)根據(jù)使用時(shí)段，把同期時(shí)段的用戶(hù)進(jìn)行錯(cuò)開(kāi)處理，設(shè)置到不同的硬盤(pán)陣列上。當(dāng)然也可以進(jìn)一步解決帶寬問(wèn)題。目前經(jīng)過(guò)幾次升級(jí)的非編網(wǎng)有11個(gè)有卡站點(diǎn)，8個(gè)無(wú)卡站點(diǎn)，1個(gè)配音站點(diǎn)。沒(méi)有發(fā)生過(guò)因?yàn)榇鎯?chǔ)速度、帶寬的問(wèn)題，造成節(jié)目制作時(shí)的畫(huà)面抖動(dòng)，丟幀等現(xiàn)象。

　　第二．節(jié)目編輯人員私自修改計(jì)算機(jī)設(shè)置，而影響非編工作站的正常使用。我們通過(guò)在Windows server 2000服務(wù)器上建立域賬號(hào)管理，這樣做方便對(duì)每一臺(tái)非編工作站進(jìn)行管理。每臺(tái)非編工作站以相同的帳戶(hù)加入到同一個(gè)域中，再在域管理中新建組織單元，把所有登錄用戶(hù)放入新建的組織單元中，再給新建的組織單元配置組策略。在組策略中屏蔽控制面板、網(wǎng)上鄰居、運(yùn)行、禁用計(jì)算機(jī)屬性操作、禁用安裝軟件。

　　具體步驟是：點(diǎn)擊開(kāi)始→控制面板→管理工具，雙擊Active Directory用戶(hù)和計(jì)算機(jī)圖標(biāo)，首先新建一個(gè)組織單元。如取名為dayang,再在dayang組織單元中新立一個(gè)所在工作站登錄用的賬戶(hù)editor，設(shè)置參數(shù)時(shí)右擊dayang組織單元打開(kāi)屬性，選擇組策略，選中editor登陸域帳戶(hù)，選擇編輯進(jìn)入組策略設(shè)置。參照?qǐng)D2：

　　在組策略中，依次選中用戶(hù)配置→管理模板→Windows組件→任務(wù)欄和[開(kāi)始]菜單，在圖2的右邊顯示出各種參數(shù)設(shè)置，對(duì)上述用戶(hù)配置設(shè)置啟用后，工作站登陸域后，開(kāi)始菜單將屏蔽掉文檔、收藏夾、幫助、運(yùn)行等菜單項(xiàng)，無(wú)法顯示出來(lái)，這樣就可以最大限度地限制節(jié)目編輯人員私自修改計(jì)算機(jī)設(shè)置，只有使用非編軟件的權(quán)限，杜絕因更改計(jì)算機(jī)設(shè)置造成非編工作站不正常。沒(méi)有嚴(yán)格的權(quán)限，有時(shí)制作人員圖自己一時(shí)方便，隨意改動(dòng)。比如改變digisuit的配置信息，如采集接口類(lèi)型，私自調(diào)整卡的音頻增益等?；蛘咝薷木W(wǎng)絡(luò)的IP地址。那么別的工作人員用同一臺(tái)工作站時(shí)，他不知道有人改動(dòng)了設(shè)備信息，就以為工作站不正常。從而影響節(jié)目正常制作。

　　第三．病毒感染，網(wǎng)絡(luò)攻擊問(wèn)題。由于DTV板卡是基于Windows系統(tǒng)的PC平臺(tái)，但是Windows系統(tǒng)的PC平臺(tái)病毒泛濫。非編網(wǎng)又必須與外界進(jìn)行素材、節(jié)目的交流，常用的圖片、字幕、唱詞文本、音效等節(jié)目素材要通過(guò)拷貝的方式進(jìn)入網(wǎng)絡(luò)共享使用，有些節(jié)目生成DVD、流媒體文件又要拷貝出來(lái)。嚴(yán)格來(lái)說(shuō)，非編網(wǎng)絡(luò)是獨(dú)立的，是不與Internet、文稿網(wǎng)聯(lián)網(wǎng)，而是物理隔離，避免病毒、木馬在網(wǎng)絡(luò)中傳播。一旦網(wǎng)絡(luò)感染病毒，后果將是災(zāi)難性的。在湖南公共頻道非編網(wǎng)的幾年維護(hù)當(dāng)中，我們摸索出一些行之有效的辦法以供借鑒：

　　1．在非編工作站方面，通過(guò)BIOS設(shè)置，在COMS中屏蔽掉每臺(tái)工作站的輸入外設(shè)，如USB口、光驅(qū)、軟驅(qū)，把計(jì)算機(jī)的USB、光驅(qū)、軟驅(qū)全部關(guān)閉禁止掉（建議把光驅(qū)、軟驅(qū)的數(shù)據(jù)線和電源線拔掉），BIOS設(shè)置密碼，由專(zhuān)人保管，杜絕節(jié)目制作人員私自通過(guò)USB、光驅(qū)、軟驅(qū)等輸入設(shè)備向非編網(wǎng)中拷貝東西，特別是USB設(shè)備，小巧、操作方便，感染病毒的機(jī)率很大。只是這樣做麻煩些，所有考進(jìn)的東西，都要經(jīng)過(guò)技術(shù)值班人員進(jìn)行殺毒處理，才能進(jìn)入網(wǎng)里。2003年初。那個(gè)時(shí)候計(jì)算機(jī)本身配置不是很高。所以中毒后，病毒在網(wǎng)絡(luò)中不斷的傳輸，會(huì)嚴(yán)重影響工作站的性能。比如，軟件運(yùn)行慢，軟件運(yùn)行報(bào)錯(cuò)，計(jì)算機(jī)響應(yīng)慢，甚至造成計(jì)算機(jī)藍(lán)屏等。因?yàn)椴《颈旧硪加么罅康挠?jì)算機(jī)資源，病毒的傳輸會(huì)占用網(wǎng)絡(luò)帶寬，影響網(wǎng)絡(luò)正常數(shù)據(jù)的傳輸。這個(gè)會(huì)造成節(jié)目制作時(shí)非編訪問(wèn)硬盤(pán)帶寬不夠，下載節(jié)目造成畫(huà)面不流暢，丟幀。

[Page]

　　2．在整個(gè)網(wǎng)絡(luò)中，我們安裝一臺(tái)專(zhuān)門(mén)用于拷貝素材的電腦，由專(zhuān)人操作，設(shè)置密碼。這臺(tái)電腦安裝殺毒軟件，定時(shí)升級(jí)。在拷貝文件前，嚴(yán)格按照先殺毒再拷貝，并且要求將拷貝的文件放到介質(zhì)的根目錄下，在根目錄下不能再有別的文件，這樣就基本杜絕了通過(guò)USB、光盤(pán)等傳播病毒。其它非編工作站沒(méi)有必要安裝殺毒軟件，因?yàn)闅⒍拒浖加孟到y(tǒng)資源，會(huì)影響非編軟件的使用效率，同時(shí)，非編網(wǎng)是獨(dú)立的，不能及時(shí)保證每臺(tái)電腦的殺毒軟件病毒庫(kù)是最新的。

　　3．內(nèi)部大量文件的拷貝設(shè)置一個(gè)中轉(zhuǎn)站。例如：新聞?lì)悪谀浚刻於加泻芏嗨夭囊M(jìn)行包裝，非編視頻文件一般都比較大，交流又頻繁，而負(fù)責(zé)包裝的人員一般都要求能夠上Internet網(wǎng)，是因?yàn)榘b人員要在互聯(lián)網(wǎng)上找資源、材料。如果都由專(zhuān)人去專(zhuān)用的計(jì)算機(jī)拷貝操作是一項(xiàng)極其繁重的工作。在此，我們非編網(wǎng)和包裝網(wǎng)之間架設(shè)一臺(tái)專(zhuān)門(mén)的中轉(zhuǎn)服務(wù)器，服務(wù)器安裝蘋(píng)果操作系統(tǒng)，因?yàn)樘O(píng)果系統(tǒng)是基于UNIX內(nèi)核，從我們使用情況來(lái)看，蘋(píng)果系統(tǒng)至今還沒(méi)有發(fā)現(xiàn)感染病毒，Windows下的病毒在蘋(píng)果系統(tǒng)下也不能執(zhí)行。中轉(zhuǎn)服務(wù)器安裝雙網(wǎng)卡，一塊與非編網(wǎng)絡(luò)相連，設(shè)置非編網(wǎng)的IP地址段；另一塊與包裝工作室網(wǎng)絡(luò)相連，網(wǎng)卡設(shè)置包裝網(wǎng)的IP地址段。兩個(gè)網(wǎng)絡(luò)都可以訪問(wèn)到蘋(píng)果系統(tǒng)，但彼此不能相互訪問(wèn)。中轉(zhuǎn)服務(wù)器安裝大容量SATA硬盤(pán)，價(jià)格便宜。在蘋(píng)果系統(tǒng)上建立一個(gè)出口目錄共享出來(lái)，再對(duì)共享目錄進(jìn)行權(quán)限設(shè)置。讓非編網(wǎng)中的用戶(hù)可以對(duì)目錄進(jìn)行讀、寫(xiě)操作，非編網(wǎng)中的用戶(hù)把要包裝的素材拷貝到該目錄中。該目錄對(duì)包裝網(wǎng)中用戶(hù)設(shè)置只有讀的權(quán)限。這樣，包裝網(wǎng)中的用戶(hù)可以直接訪問(wèn)該共享目錄拷貝需要的素材，不能對(duì)該目錄進(jìn)行寫(xiě)操作，也就杜絕了病毒、木馬從包裝網(wǎng)侵入蘋(píng)果系統(tǒng)。相應(yīng)的建立入口目錄共享出來(lái)，用于包裝網(wǎng)向非編網(wǎng)拷貝包裝制作好的節(jié)目素材，對(duì)應(yīng)的權(quán)限是包裝網(wǎng)用戶(hù)可以進(jìn)行讀、寫(xiě)操作，而非編網(wǎng)用戶(hù)只能進(jìn)讀操作。再在蘋(píng)果系統(tǒng)上建立批處理命令文件，定時(shí)對(duì)該目錄進(jìn)行搜索，將AVI文件格式以外的所有文件進(jìn)行刪除。

　　第四、人為誤操作及人為破壞的預(yù)防。人為誤操作主要是節(jié)目制作人員訪問(wèn)硬盤(pán)，不小心刪除了別人的素材和故事板。人為破壞就有可能人為地格式化整個(gè)硬盤(pán)。綜合這些情況，我們以欄目為單位設(shè)置用戶(hù)名和密碼，由欄目操作人員自己保存，不能透露給其他人。欄目間素材的共享可通過(guò)非編軟件共享屬性設(shè)置來(lái)實(shí)現(xiàn)。其次，在服務(wù)器端的域管理器中，將組策略的用戶(hù)啟動(dòng)項(xiàng)，執(zhí)行一個(gè)注冊(cè)表修改腳本。
腳本代碼如下：、
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoDrives"=hex:ff,ff,b7,03

　　把以上代碼存為一個(gè)擴(kuò)展名為REG的文件，筆者將它命名為NoDrivers.reg，然后通過(guò)域用戶(hù)管理器中的用戶(hù)登錄運(yùn)行功能，使每個(gè)工作站在登錄時(shí)都運(yùn)行以上代碼來(lái)修改注冊(cè)表，進(jìn)而屏蔽所有盤(pán)符的顯示及瀏覽（除T和W盤(pán)符），這樣操作人員就不能通過(guò)直接訪問(wèn)硬盤(pán)來(lái)刪除素材或格式化硬盤(pán)。

　　每臺(tái)非編工作站登陸域時(shí)，彈出對(duì)話框，如圖3所示，點(diǎn)擊確定。 

　　經(jīng)過(guò)修改本地注冊(cè)表，在我的電腦中只顯示T和W盤(pán)符，如圖4所示。

　　映射服務(wù)器上的一個(gè)共享目錄為盤(pán)符，作為保存圖片、字幕等文件，允許開(kāi)放這個(gè)盤(pán)符的顯示。所有要拷貝進(jìn)來(lái)的文件，只能放到這個(gè)映射盤(pán)符下，再導(dǎo)入進(jìn)非編軟件進(jìn)行節(jié)目編輯。為防止人為地通過(guò)修改注冊(cè)表來(lái)開(kāi)放硬盤(pán)的顯示，在服務(wù)器的組策略管理中再啟用“禁止工作站的注冊(cè)表修改”，這樣就做到了節(jié)目制作人員不能直接通過(guò)硬盤(pán)盤(pán)符訪問(wèn)素材。因此在編輯工作站上我的電腦中，都只有一個(gè)T盤(pán)符，為外來(lái)圖片、字幕等交換盤(pán)符。同時(shí)映射蘋(píng)果系統(tǒng)上的一個(gè)共享目錄，作為與包裝網(wǎng)素材交換盤(pán)符W。其他所有盤(pán)符看不到，也不能直接訪問(wèn)。因此普通操作人員不能通過(guò)我的電腦訪問(wèn)盤(pán)符來(lái)直接刪除素材、節(jié)目，或者格式化硬盤(pán)等。如果不認(rèn)真的進(jìn)行這些設(shè)置操作，一旦某個(gè)人、或者不法份子或者對(duì)頻道或其他人員不滿，就很容易通過(guò)“我的電腦”中的硬盤(pán)盤(pán)符，直接刪除別人的節(jié)目，給節(jié)目制作造成麻煩。甚至格式化整個(gè)硬備，而造成整個(gè)網(wǎng)絡(luò)的癱瘓。這是非?？膳碌氖虑?。

　　第五．?dāng)?shù)據(jù)庫(kù)安全性問(wèn)題?；贑S模式的網(wǎng)絡(luò)版非編系統(tǒng)，要實(shí)現(xiàn)素材的共享、故事板的協(xié)同工作，就必須要有統(tǒng)一的素材、故事板信息管理中心。每個(gè)工作站點(diǎn)都是讀取數(shù)據(jù)庫(kù)信息，而不直接對(duì)存儲(chǔ)在存儲(chǔ)中心上的音視頻文件處理。每個(gè)素材、故事板，包括操作記錄，都是存儲(chǔ)在數(shù)據(jù)庫(kù)服務(wù)器中。如果數(shù)據(jù)庫(kù)文件損壞或丟失，而整個(gè)存儲(chǔ)中心中只是一些實(shí)實(shí)在在的音視頻文件，沒(méi)有數(shù)據(jù)庫(kù)信息記錄，就不能進(jìn)行正常的節(jié)目編輯工作，因此數(shù)據(jù)庫(kù)的安全性也非常重要。我頻道的非編網(wǎng)選用的是微軟的SQL數(shù)據(jù)庫(kù)系統(tǒng)，針對(duì)它的安全性問(wèn)題，我們?cè)赟QL數(shù)據(jù)庫(kù)中進(jìn)行了每天定時(shí)備份機(jī)制。具體操作方法是：

　　打開(kāi)SQL SERVER Enterprise Manager窗口，選中Database Maintenance plans，在右邊空白處單擊鼠標(biāo)右鍵，新建一個(gè)任務(wù)，實(shí)際應(yīng)用中取名databackup，如圖5所示。

　　在General面框中選取要備份的數(shù)據(jù)庫(kù)名稱(chēng)，在Complete backup頁(yè)框中選中Use this directory,填入備份的目錄路徑，如圖6所示。確定后，退出SQL SERVER Enterprise Manager窗口，最后將SQL SERVER AGENT服務(wù)啟動(dòng)。

　　進(jìn)行以上操作后。每天都備份了一份數(shù)據(jù)庫(kù)，如果那一天服務(wù)器壞了，或者服務(wù)器硬盤(pán)損壞了。就可以重裝系統(tǒng)或者重新添加服務(wù)器，安裝后SQL數(shù)據(jù)庫(kù)軟件后，再把備份的數(shù)據(jù)庫(kù)記錄恢復(fù)到數(shù)據(jù)表中。讓數(shù)據(jù)記錄與實(shí)際素材，節(jié)目對(duì)應(yīng)起來(lái)?？梢院芸斓幕謴?fù)節(jié)目的制作，不會(huì)造成只剩一堆素材音視頻文件，而沒(méi)有一點(diǎn)用戶(hù)。影響節(jié)目的制作。

　　綜上所述，我們從以上五個(gè)方面采取安全防范措施，對(duì)湖南公共頻道的非編網(wǎng)整體架構(gòu)進(jìn)行精心規(guī)劃、合理布局、選擇最優(yōu)安全策略，有效地為非編網(wǎng)絡(luò)的使用提供了一個(gè)穩(wěn)定的、安全的運(yùn)行環(huán)境。

　　三． 結(jié)束語(yǔ)

　　隨著非編網(wǎng)絡(luò)的廣泛運(yùn)用，特別是電視臺(tái)制播存全臺(tái)網(wǎng)的推出，即非編網(wǎng)絡(luò)與播出網(wǎng)絡(luò)、媒資網(wǎng)絡(luò)互聯(lián)互通，網(wǎng)絡(luò)流媒體，IPTV，手機(jī)TV等新媒體的興起，都以非編網(wǎng)絡(luò)為中心進(jìn)行節(jié)目、素材的大量交流，就更給廣電技術(shù)人員在網(wǎng)絡(luò)安全方面提出了很高的要求。只有不斷的摸索總結(jié)，從實(shí)踐中獲得經(jīng)驗(yàn)，才能較好解決網(wǎng)絡(luò)安全方面的問(wèn)題。B&P[Page]