方案背景
随着数字化的节目载体和网络化的制作环境,改变了现有的媒体行业的业务流程。播出系统的建成及部分数字化网络制作系统的投入使用,需要建立一个用于支持将各个业务系统中的数据相互传递的交换系统以满足媒体用户逐步开展网络制播的发展趋势的需要。
系统接受节目生产管理系统的信息管理,实现网络制作系统形成的播出节目和音像资料馆重播的回迁节目,以数据文件的形式提供给播出文件库,供播出使用。
媒体高速数据交换系统的建设,主要实现了三大目标:
以媒资系统为数据核心为制作系统提供素材暂存空间。
实现各个厂家系统之间的数据、信息的交换。
媒体系统从初期设计就本着高度安全可靠性,满足和优化业务流程的需要,提高整体业务管理效率,实现与数字化网络制作系统、媒资系统(音像资料馆)和播出系统的互联和满足信息管理节目生产管理系统的需求为目标。
由于媒体办公网和互联网通过专线连接,容易受互联网上的黑客和病毒、木马的攻击,网络的安全度比较低;而业务网是电视台重要的业务系统,安全度要求是最高的,不能受到外部网和互联网的任何影响。
隔离技术在物理层次上限定了网络访问范围,同其它安全措施不同,由于它工作在OSI最低层,因此避免了因平台漏洞导致的安全隐患,能够稳定可靠地实现既定安全目标。我们从网络系统的实际结构和接入内部网的整体安全考虑出发,规划网络安全隔离方案设计,保证在安全隔离的基础上实现可控的数据交换。
网络隔离是最基本有效的安全措施
解决方案
根据业务网最高安全性的要求,在业务网和办公网之间部署伟思信安ViGap300网闸和防火墙设备。
伟思信安ViGap300网闸在这个位置的部署,可以利用其固有的安全隔离特性起到增强安全性的作用,并且可以实现信息数据的实时交换。
在外部活动的记者、编辑利用VPN通过互联网,把媒体信息传送到办公网的媒体暂存服务器上,利用网闸的FTP或数据库同步功能(通过伟思ViGap300在业务网内部服务器主动实现,可以根据数据的文件类型、文件名的特定字符进行传送),把暂存服务器的数据传送到业务网的媒体系统相关的服务器中,实现媒体信息的及时、准确的提交。
方案特点
伟思隔离网闸ViGap300具备完善的SAT功能
业务网中媒体系统服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap300的外网端接口上,通过隔离系统的外网端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。
伟思信安ViGap300系统的规则库后置,黑客不能透过只能传输静态数据的硬件隔离板,也不能修改系统的规则库,即伟思信安ViGap300系统不能被旁路。即使新闻暂存服务器被攻击和被控制后,也不会影响到业务网的媒体系统、制作系统、媒资系统、收录等其它系统。
伟思信安ViGap300系统不能被旁路
媒体网络安全隔离方案在安全应用方面体现在:
媒体业务网中的媒体系统要安全的接受记者、编辑通过外部互联网传输的媒体资料。
业务网的安全性要比办公网的安全性要高。
媒体业务网和办公网之间实现安全隔离,办公网无法影响到业务网。
办公网中部分工作人员可以有限的访问业务网中的部分服务器和资源。
部分领导具有审片的权限,访问协议为RSTP或其它协议。
数据的传输流向和访问协议,访问人员要进行控制。
只允许媒体暂存服务器的数据的特定文件格式信息进入业务网中指定的服务器,信息只能单向传送,新闻暂存服务器不能从业务网提取任何数据,可以保证业务网的服务器的安全。