王 鵬

內(nèi)蒙古自治區(qū)廣播電視傳輸發(fā)射中心包頭廣播發(fā)射中心臺 內(nèi)蒙古 包頭市 014010

概述

隨著廣播電視行業(yè)技術(shù)的發(fā)展，數(shù)字化、網(wǎng)絡(luò)化技術(shù)應(yīng)用于廣播發(fā)射臺內(nèi)的四項技術(shù)系統(tǒng)中，從信號源系統(tǒng)到發(fā)射系統(tǒng)，包括供配電系統(tǒng)、自臺監(jiān)管系統(tǒng)，相互基于網(wǎng)絡(luò)技術(shù)建立聯(lián)系，局域網(wǎng)內(nèi)，在統(tǒng)一的平臺上高效管理各類設(shè)備。當(dāng)發(fā)射臺分駐各地時，將分散于不同地理位置的發(fā)射機數(shù)據(jù)、音頻數(shù)據(jù)、安防視頻數(shù)據(jù)匯總處理，構(gòu)建遠程局域網(wǎng)。行政管理部門可以通過數(shù)據(jù)終端平臺，實現(xiàn)多點位運行維護、分級別監(jiān)測管理，通過數(shù)據(jù)對比，清晰的掌握各類設(shè)備運行狀態(tài)，實現(xiàn)管理信息化、數(shù)據(jù)實時化，但隨之而來的網(wǎng)絡(luò)安全問題亟待解決。

在遠程傳輸線路上，如第三方侵入系統(tǒng)會帶來內(nèi)部混亂，或是線路服務(wù)方維護會帶來數(shù)據(jù)風(fēng)險；在系統(tǒng)內(nèi)部，也存在非法接入互聯(lián)網(wǎng)，或某一個端點通過移動存儲介質(zhì)帶入病毒的可能。所以，要解決網(wǎng)絡(luò)安全問題，既要依靠制度管理，也要建設(shè)完備的技術(shù)防護系統(tǒng)，提升綜合保障能力。

1 遠程局域網(wǎng)

1.1 搭建物理層網(wǎng)絡(luò)鏈路

建設(shè)遠程局域網(wǎng)的目標(biāo)是實現(xiàn)在地理位置上相隔百公里以上的發(fā)射臺實時向中心臺傳輸數(shù)據(jù)。根據(jù)以上目標(biāo)需求，搭建遠程局域網(wǎng)，以中心臺機房為中心節(jié)點，發(fā)射臺為分支端點，采用星型網(wǎng)絡(luò)拓撲結(jié)構(gòu)，使用具有光和電兩種接口的交換機對接全部網(wǎng)絡(luò)化設(shè)備，如圖1 所示。遠程局域網(wǎng)為保障傳輸?shù)膶崟r和穩(wěn)定，以光纜干線為基礎(chǔ)，通過跨區(qū)域網(wǎng)絡(luò)轉(zhuǎn)接，實現(xiàn)百公里以上，數(shù)據(jù)從端口到端口的透明傳輸。

圖1 遠程局域網(wǎng)基本框圖

局域網(wǎng)以交換機為核心構(gòu)建網(wǎng)絡(luò)，交換機上匯聚的數(shù)據(jù)使用光通信接口連接。由于每個發(fā)射臺需要傳輸?shù)臄?shù)據(jù)類型相同，但分屬不同的業(yè)務(wù)范圍，各類數(shù)據(jù)在中心機房由不同類型的服務(wù)器收集處理，因此，需要通過固定IP 的方式，將各類IP 數(shù)據(jù)包指向目標(biāo)服務(wù)器，實現(xiàn)在同一個局域網(wǎng)內(nèi)高效傳輸數(shù)據(jù)。作為節(jié)點的交換機僅以光、電端口透明傳輸數(shù)據(jù)，不做Vlan 劃分，實現(xiàn)了維護工作的便捷性。

1.2 劃分網(wǎng)絡(luò)層業(yè)務(wù)項目

在實踐中，納入局域網(wǎng)內(nèi)的設(shè)備全部按照不同數(shù)據(jù)業(yè)務(wù)內(nèi)容劃分區(qū)域，使數(shù)據(jù)高效運行、互不交叉。根據(jù)實際設(shè)備數(shù)量，采用C 類IP 地址劃分，如表1 所示。

表1 業(yè)務(wù)對于IP 劃分表

發(fā)射機數(shù)據(jù)不僅包括由各臺采集器收集的發(fā)射機微控機數(shù)據(jù)，還包括電力、溫濕度等通用傳感器采集的專項數(shù)據(jù)，它們的輸出格式通常要將以串口通信的數(shù)據(jù)協(xié)議轉(zhuǎn)化為IP 層通信格式，這需要服務(wù)器在數(shù)據(jù)匯總前做前期處理或轉(zhuǎn)化。

視頻類數(shù)據(jù)往往需要較高的帶寬，這需要傳輸鏈路本身具有高數(shù)據(jù)容量，還需要軟件本身做好數(shù)據(jù)傳輸壓縮和解壓縮。視頻會議或通話一般使用UDP 協(xié)議，在網(wǎng)絡(luò)不穩(wěn)定或鏈路層不確定的情況下，仍可接收數(shù)據(jù)，保障數(shù)據(jù)連貫。

網(wǎng)絡(luò)安全設(shè)備包含了邊界防護、核定IP 掃描、流量監(jiān)控、病毒查殺等功能軟件。硬件部署以控制物理連接為主，軟件部署以監(jiān)控IP 數(shù)據(jù)為主。

1.3 在應(yīng)用層管理數(shù)據(jù)

處理后的數(shù)據(jù)，通常使用B/S 架構(gòu)實現(xiàn)多點位、多設(shè)備監(jiān)看的同時，也實現(xiàn)了分級分層運行維護管理，用于監(jiān)視管理多臺主機同步上線，而不消耗服務(wù)器資源。主機本身設(shè)置已分配使用的固定IP，訪問不同網(wǎng)段的地址時要增加IP 地址，這保障了主機的固定功能，也是確保局域網(wǎng)內(nèi)主機運行業(yè)務(wù)權(quán)限的基本方式。

2 網(wǎng)絡(luò)安全設(shè)備拓撲結(jié)構(gòu)

網(wǎng)絡(luò)安全硬件設(shè)備包括防火墻主機、監(jiān)管服務(wù)器，軟件包括威脅檢測、綜合審計等系統(tǒng)。系統(tǒng)對核心服務(wù)器的入口數(shù)據(jù)進行有效篩選和防護，對整個局域網(wǎng)的運行邊界進行巡檢。網(wǎng)絡(luò)安全系統(tǒng)對自身業(yè)務(wù)做了功能分區(qū)，使內(nèi)部工作邏輯清晰。作為技術(shù)設(shè)備升級需求的措施，系統(tǒng)每個功能區(qū)都預(yù)留了一定數(shù)量的端口，預(yù)分配了IP 段。網(wǎng)絡(luò)安全設(shè)備沒有改變原有規(guī)劃局域網(wǎng)架構(gòu)，只在各關(guān)鍵節(jié)點配置功能設(shè)備，最大限度的融入原系統(tǒng)。

網(wǎng)絡(luò)安全拓撲結(jié)構(gòu)將系統(tǒng)分為4 個功能區(qū)，如圖2 所示，分別是專線接入?yún)^(qū)、服務(wù)器區(qū)、運維區(qū)和終端區(qū)域。分區(qū)后能理順維護管理層次，方便維護管理。

圖2 網(wǎng)絡(luò)安全拓撲結(jié)構(gòu)

專線接入?yún)^(qū)是各類型數(shù)據(jù)通過光纖回傳的接口。中心節(jié)點交換機在技術(shù)層面上是以數(shù)據(jù)中心交換機為中心節(jié)點，處于數(shù)據(jù)上行和下行的出入口，此處部署防火墻設(shè)備，分別設(shè)立在本地各類型數(shù)據(jù)服務(wù)器端、網(wǎng)絡(luò)防護服務(wù)器端和光纖網(wǎng)絡(luò)遠程數(shù)據(jù)端兩個方向，可以有效攔截非法程序侵入核心設(shè)備，同時防止核心數(shù)據(jù)在非授權(quán)情況下向遠端傳輸。服務(wù)器區(qū)內(nèi)也配置一臺防火墻，用以隔離數(shù)據(jù)。運維區(qū)配置的安全威脅檢測系統(tǒng)、終端安全管理系統(tǒng)和綜合審計系統(tǒng)，為數(shù)據(jù)中心局域網(wǎng)提供了較好的網(wǎng)絡(luò)安全防護策略。終端區(qū)作為威脅檢測的顯示界面，用以管理各功能軟件。

總結(jié)

設(shè)備網(wǎng)絡(luò)化對推進數(shù)據(jù)實時化、業(yè)務(wù)經(jīng)驗信息化有很大的技術(shù)支撐作用，通過集中統(tǒng)一的“中心”節(jié)點做智能化處理，依托大數(shù)據(jù)分析、數(shù)學(xué)模型計算，實現(xiàn)定點定向發(fā)布預(yù)警信息。將“云管理”指揮調(diào)度、自臺監(jiān)測報警系統(tǒng)和人工值守相結(jié)合，給予值守監(jiān)測多重保險，消除因個別值班員監(jiān)管不力帶來的安全播出隱患。通過技術(shù)手段建設(shè)“弱化過程、明確目標(biāo)”的專用管理系統(tǒng)，積累、分析客觀數(shù)值，服務(wù)于無線發(fā)射臺站的業(yè)務(wù)需求，實現(xiàn)臺站運行維護的智慧化建設(shè)。

廣播發(fā)射臺主要業(yè)務(wù)是轉(zhuǎn)播廣播電視信號，其輔助設(shè)備網(wǎng)絡(luò)化程度發(fā)展較快。近些年，通過把新發(fā)展理論要求與廣播電視實際工作對標(biāo)對本的緊密結(jié)合，大力整合、完善現(xiàn)有安全播出管理體系，強化融入網(wǎng)絡(luò)安全概念，滿足了發(fā)射臺技術(shù)運行維護管理網(wǎng)絡(luò)安全防護要求，進一步提升臺站數(shù)據(jù)網(wǎng)絡(luò)安全防護的效能，為網(wǎng)絡(luò)安全等級保護定級提供技術(shù)支持。