【摘要】专用网络安全系统适用于外部信息导入和广电网络的互联，克服了传统安全设备的缺点，可以有效保护广播电视的信息网络安全。

【关键词】网络安全;广电互联;双重隔离;深度分析;白名单

1. 设计背景

广播电视台因为业务的需要建立了多个网络，如制作网、媒资网、播出网、办公网、新媒体网等。这些网络之间需要大量和频繁的数据交换，这样势必需要各个网络之间互联互通进行数据交换，如果进行简单的互联难以满足网络安全的需要，通常的做法是部署防火墙和杀毒软件。传统的网络安全解决方案如图1所示，本方案中杀毒软件是数据内容安全的检测工具，防火墙是网际间安全的隔离设备。

传统安全解决方案具有某些不能克服的缺点，杀毒软件永远存在漏杀的可能，因为病毒库的升级总是落后于病毒的产生。防火墙采用通用的网络传输协议，对属于协议漏洞产生的安全问题没有解决办法，由于不支持对文件数据的深度检测，对文件中的夹带问题没有办法，从而对携带型病毒无能为力，容易造成携带型病毒的传播。

2. 专用网络安全系统概述

为适应广播电视行业数字化网络化对网络安全的要求，针对传统安全解决方案存在的问题和广播电视行业信息网络系统应用特点，我们专门设计了专用网络安全系统。该系统适用于外部信息导入和广电网络的互联 ，克服了传统安全设备的缺点，可以有效的保护广播电视信息网络安全。

专用网络安全系统是具有物理隔离加协议隔离的双重隔离措施、数据深度分析、文件传输控制等功能为一体的网络安全系统，它支持广电行业常用的视音频格式和文本格式文件，对其进行深度分析，保证文件的安全性。克服了杀毒软件、防火墙等安全产品的缺点，是适用于广播电视行业的新一代网络安全解决方案。

专用网络安全系统物理隔离加协议隔离的双重隔离技术阻断了隧道威胁，可以彻底隔离通过通用网络协议的攻击行为和病毒的传播。数据深度分析技术隔绝了数据文件夹带的发生，从而避免了文件夹带型病毒的传播，保证了网络的数据安全和运行安全。同时优化了数据分析模块，在保证安全的前提下使数据传输速度更快。

3. 專用网络安全系统核心技术防护体系

内外网络交换的数据信息越原始，外部对内部网络攻击的可能性越低。因为数据越原始，数据隐藏的安全威胁越少。从TCP/IP底层开始，IP地址可以被伪造和欺骗，这源于IP协议的漏洞。在IP层以上类似SYN Flood、Doublful-TCP等传输层攻击依然存在。如果安全机制将TCP连接在外部中断，让TCP连接不能到达内部网络，从而基于传输层的攻击就可以被避免。但在传输层上面，还有如HTTP缓冲溢出等针对应用层的攻击存在。

这类应用层攻击在应用协议头中隐藏攻击代码用以攻击内部网络。应用代理安全机制可以将应用协议头去掉，从而能够有效抵御应用层的攻击。

但即便不将应用协议头传输到内网，应用数据中依然可能含有恶意代码，例如基于文件内容的病毒、基于WORD格式的宏病毒等。将有格式的数据文件进一步原始化，对数据文件进行深度分析，在内外网络之间只交换这种数据，则以上安全问题就都解决了。专用网络安全系统防护体系见图2。

由图2可见，专用网络安全系统的安全防御体系涵盖了从数据接口层到应用层的所有网络协议栈。原始应用数据通过硬件隔离开关进行安全处理，摆脱了TCP/IP协议实现双向数据交换。

专用网络安全系统作为新一代的安全产品，其核心技术由两大部分组成：双重隔离技术和数据深度分析技术。

3.1 双重隔离技术：物理隔离加协议隔离

专用网络安全系统核心由三个功能单元构成：一个外网单元、一个中间临时数据交换单元和一个内网单元。当数据需要从外网向内网传送时，外网单元分析应用数据，对数据进行安全处理并送到中间数据交换单元。安全处理后的数据被中间数据交换单元用专用封装格式重新封装后摆渡到内网单元。内网处理单元将应用数据解封装并重新进行通用协议的封装，传输到目的地。当数据由内网向外网传送时，也遵从相似的信息处理传送过程。

双重隔离技术的思路来自于“不同时连接”和“专用封装格式”，内网和外网不同时连接，通过中间缓冲处理单元来“摆渡”业务数据，阻断了攻击的可能，内部采用专用的通讯协议和专门的数据封装格式进行数据通讯，由于没有通用的命令、通用的协议，没有应用连接，没有包转发，从而避免了攻击、入侵和破坏。

3.2 数据文件深度分析技术

无论哪一种计算机文件都具有自己独特的数据格式，专用网络安全系统将广播电视行业最常用的几十种数据文件，进行了全面细致的分析，包括文件特征码、数据结构、逻辑结构、语法语义等，建立数据分析模块，通过数据分析模块可以随时得到数据分析结果。

文件深度分析，主要分析两个方面，一是文件类型的真伪及文件合法性的分析;二是文件安全性的分析，检查文件是否夹带其他内容，文件结构是否正确。数据文件被传输到内网之前，系统的数据分析模块会对文件进行深度分析，首先检测文件是否是允许传输的文件格式，如果是允许传输的格式则对该数据文件进行包括全文扫描、文件特征码、数据结构、逻辑结构及语法语义等的分析，同时检测文件是否被注入可疑信息，当检测没有问题的文件才会被重新封装并使用内部专用协议传输到内网，从而从根本上阻断了文件携带病毒的传播途径，保证了广播电视内部业务网络的安全。

4. 结束语

专用网络安全系统应用在广播电视内部网络的外来数据安全导入以及各个网络之间的安全隔离和数据交换，避免网络之间发生网络攻击和病毒传播，为建立广播电视网络一体化及信息安全传输保驾护航。

作者简介：郭青伟（1970-），本科，学士，朝阳广播电视台技术维护部主任，教授、研究员级高级工程师，主研广播电视工程。