网闸在广东台媒体数据交换中的应用

　　【摘要】本文介绍了网络安全隔离网闸的基本概念和原理，及网闸运用在媒体数据交换应用中的作用，并针对在媒体数据交换的特性问题提出了解决方法。希望能够与业内同行分享交流并提出宝贵意见。

　　【关键字】物理隔离 网闸 媒体数据交换 网络安全

　　一．前言

　　广电行业信息化和网络化已经涉及到各大电视机构的方方面面，网络化开放性和自由性的特点成为实现现信息收集处理、加强交流、提高工作效率和质量的重要手段。国家广播电影电视总局2011年七月发布的《广播电视安全播出管理规定》（广电局第62号令）电视中心实施细则第十四条第三小点，明确要求：“节目制作网与播出网之间的传输链路应采取配置网闸或采用平台异构方式、设置高安全区等安全措施；系统中应禁止接入移动存储介质（如U盘、移动硬盘等）。应配置网络管理系统，实现网络和系统提前预警和实时报警，并实时记录网络和系统运行日志。”在现在的大环境下，安全隔离网闸的使用，是物理隔离网络之间数据交换的最佳选择。下面就对网闸和市面上几种常见的网闸品牌及网闸在媒体数据交换中的应用进行介绍。

　　二．网闸的概念

　　物理隔离网闸是使用带有多种控制功能的通道开关连接两个独立主机系统的信息安全设备。数据文件在不存在通信的物理链接、逻辑链接、信息传输命令、信息传输协议的两个由物理隔离网闸所链接的独立网络系统之间进行无协议摆渡传输，在物理层切断各网络系统之间的物理链接，在网络层中断TCP会话，IP包“还原”为一个应用数据，阻挡了基于TCP协议的攻击。在系统内部，采用了专用高速数据处理部件，使系统具有了极高的数据吞吐能力。通过在专用操作系统内核中嵌入特有协议和认证机制，使得安全隔离的能力进一步增强。从根本上解决了基于应用协议漏洞的、基于TCP/IP协议漏洞的、基于命令的、基于包的这四种攻击，实现真正安全的网络连接。

　　三．主流安全隔离网闸产品

　　目前市面上有很多的安全隔离网闸品牌，各个品牌的网闸产品间有着相似的功能也有面向各个应用领域的特色功能，下面对几个公司的安全隔离网闸产品进行简单介绍：

　　从表1可以看出，主流的安全隔离网闸产品有很多相似之处，基本都是使用比较成熟“2+1”的系统结构和ASIC芯片，并将数据协议剥离转换成各厂商的自有协议通过运行自有系统的双主机“2+1”系统结构进行安全的数据交换。天行网安公司的Topwalk-GAP拥有十分强大的数据交换能力，达到280-1200Mbps，满足公安城市监控为代表的音视频数据传输需求，天行安全隔离网闸流媒体交换模块根据音视频数据特有的数据格式、编码格式、传输方式进行了针对性的优化设计。

　　伟思公司的ViGap针对大型网络的应用提供了双机热备功能，最大支持32台设备的负载平衡系统来实现高可用性，并通过负载平衡系统通过仲裁网络流量方式实现流量分配，从而将处理性能大幅提升，齐全的产品线满足各政府、军队、电信、金融、企事业等重要机构需求。

　　联想网御SIS多重冗余协议支持自身端口冗余、双机热备、2~32台安全隔离网闸负载均衡，保障了用户网络和应用的高可靠性，是国内安全隔离网闸业内产品线较全、市场占有率较高的厂商，较多面向政府、金融、交通、能源、教育等信息类的数据交换。天融信公司的安全隔离网闸TopRules采用了高速的专用硬件处理设备，具有了极高的数据吞吐能力；全面解析网络传输信息，通过深层次细粒度的内容过滤，预先拦截内、外网用户禁止访问的内容，还具有避免常见的掩饰手段（如拆分敏感关键词、加入标点、换行等）干扰的特点，达到了完全内容检测CCI（CompleteContentInspection）；同时仲裁系统对所有信息交换数据和行为进行审计记录，可以及时获知网络使用情况。

　　四．安全隔离网闸在媒体数据交换中的应用

　　1．安全隔离网闸在媒体数据交换的案例

　　广东电视台在2012年对自动播控系统进行了升级改造，加入了自动技审系统，从以前节目审看只能纯靠人眼进行一比一的审看或者快速播放进行粗略审看到现在利用自动技审系统对播出素材文件进行精确的节目内容审看和文件结构检测，从而提高播出安全性。

　　由图2可以看出，节目素材上载到自动播控系统的播出集群，经过安全隔离网闸传输到技审检测服务器，并且经安全隔离网闸从播出集群取得这个节目素材的文件回到技审检测服务器进行检测，通过技审管理工作站管理技审服务器和在回看审片工作站进行节目审片后，将技审的结果展示在技审管理工作站和回看审片工作站中。而播出集群里面的节目素材文件的重要性和技审检测服务器需要各种人为操作使其成为了一个需要用安全隔离网闸物理断开而又要有数据传输的内外网关系。安全隔离网闸使数据和命令只能从播出集群传向技审检测服务器，既提高审看工作效率，又方便管理，减少人为误操作影响到播出集群的节目素材，保证了播出集群节目素材安全。

　　2.安全隔离网闸在媒体数据交换应用中出现的问题

　　安全隔离网闸应用在媒体数据交换中最重要的就是传输速度。在实际测试中发现，安全隔离网闸在和视频服务器进行数据交换过程中，并不能达到理想的传输速度，甚至连最基本的用网线连接两台计算机间传输文件的速度都不如，传输速度一直保持在高清素材一倍速，标清素材四倍速，这远远低于媒体数据传输的要求。根据此速度，广东电视台在播22个标清频道，3个高清频道一天24小时播出文件进行传输大概需要100多个小时，这非但不能提高工作效率，反而大大影响正常播出秩序。为此，最先考虑到的是：是否因为经过多次的协议转换和层层的过滤审查，影响了传输速率。对此，关掉所有安全审查，病毒查杀，访问控制等一系列功能，传输速度问题依然存在。

　　其次，考虑到安全隔离网闸两端的视频服务器网络和技审检测服务器网络的IP段不同，是否会因为网络或者协议的兼容性问题导致传输受到限制，但将技审服务器IP设置成和视频服务器在同一个IP段后测试任然不能解决问题。

　　然后，根据以往经验，媒体数据往往都是大文件的形式存在，是否能支持巨型帧功能对媒体数据传输起到十分重要的作用。巨型帧是把以太网的最大帧长扩展到9K，减少网络中数据包的个数，减轻网络设备处理包头的额外开销，在传输速率，系统吞吐量和CPU占用率都有极大的优势。因此，安全隔离网闸若运用在媒体数据传输环节上时，必须支持巨型帧功能。打开安全隔离网闸巨型帧功能后，数据传输速度明显提升，但始终无法满足日常播出需要，传输无论任何时段都被限制在一定的网络带宽占有率。

　　最后，在多次与安全隔离网闸和视频服务器厂家沟通与实验后发现，虽然安全隔离网闸对隔离的两端网络的各种市面常用网络协议都有很好的兼容性，但是在视频服务器行业却往往并不是用通用协议，而也是每个厂家利用自己的私有传输协议进行媒体数据传输，以达到最优化传输和编解码的工作效率。广东电视台使用的播出视频服务器是SeaChange公司的设备，其内部传输协议SeaSS支持FTP文件传输协议，并确保与原上载集群和近线存储集群之间的数据能互联互通，各集群间的数据交换要做到无缝交换，不经转码或重新打包等转换。并且由于SeaSS传输协议可以支持对视频文件进行边传边播，所以对通过其他传输协议的传输任务保留了较多的系统资源并限制了网络带宽。因此，安全隔离网闸不但要对常见的通用协议的兼容性要过关，并且必须要能良好的支持其他特殊传输协议，才可以在媒体数据交换中起到应有的作用。

　　通过不断的修改与测试，在安全隔离网闸激活巨型帧功能并良好的支持播出视频服务器传输协议后，通过安全隔离网闸的媒体数据交换速度达到480Mb/s的速度。网络安全网闸对媒体数据交换优化后传输22个标清频道一天24小时标清素材文件使用约6.6小时；传输3个高清频道一天24小时高清素材文件使用约8.25小时，不但符合媒体数据交换速度需要，还大大提高数据交换效率，使媒体数据在传输过程中消耗的时间不会成为整个播出流程的瓶颈，使得播出中心有更多的时间进行素材文件完整性检查，内容安全性检查等更多的安全考量，提高播出质量，确保播出安全。

　　安全隔离网闸应用在媒体数据交换中，因为媒体数据的特殊性，除了常规的功能外，还必须拥有巨型帧功能和对各视频服务器厂商的传输协议有一个良好的支持，这样才能满足媒体数据交换的需求，使安全隔离网闸不会成为媒体数据交换环节中的瓶颈，成为保证安全播出的坚实壁垒。

　　五．安全隔离网闸的发展趋势

　　安全隔离网闸的发展越来越快而且越来越成熟，提升产品的安全功能和解决现在的速度瓶颈问题成为隔离技术的未来发展方向。使用光纤技术也有可能成为安全隔离网闸的发展潮流，将光纤发射器和接收器分别嵌入安全隔离网闸的内部处理单元和外部处理单元，利用光纤的高速性打破现时的速度瓶颈，使传输速度成倍提升；光纤发射器到光线接收器单向发射，单根光纤不能同时进行发送和接收数据的特性更加彻底阻断了网络间直接的连接，从而保证了数据交换的高速、安全、可控，使安全功能提升一个台阶。

　　六．结束语

　　安全隔离网闸应用广泛，作为网络间数据安全交换的关口设备，很好的保障几个不同网络安全等级间数据的安全交换。使用先进的手段保证节目素材的安全已经成为发展趋势。安全隔离网闸的使用，既减少可能发生的人为失误导致的播出事故又能提高播出系统的技术管理水平，是以后制播一体化系统建设不可或缺的重要组成环节，如何发掘安全隔离网闸在传媒行业更好的运用，也将会是将来重要的课题，提前对安全隔离网闸的接触与学习，有助于紧追技术潮流和熟悉新技术。

　　罗吉斯