USB 2.0端口在实现内外网隔离中的应用

随着数字化技术、电视制作技术和计算机网络技术的发展，基于计算机的制播网络系统在各级电视台广泛使用，较大地提高了工作效率和播出质量。但给电视台在节目制作、播出、存储模式等方面带来全新变革和机遇的同时，也带来了网络安全问题。

内外网存在的威胁

威胁计算机网络的不安全因素主要是互联网、操作系统和数据库等设计上存在的缺陷：互联网使用的基础协议TCP/IP(传输控制协议/网际协议)、FTP(文件传送协议)等都存在许多安全漏洞；操作系统的体系结构造成的不安全性及操作系统的无口令入口以及隐蔽通道都是黑客入侵的通道；数据库系统存在安全方面的问题。

由于内网主要用于视音频节目制作、播出工作，因此对内网的攻击行为严重威胁着播出安全，最直接的后果是视音频文件及重要数据被窃取、大量视音频资料被删除、系统失去控制不能按照正常播出秩序播出、视音频内容被篡改导致严重播出事故，系统完全瘫痪致使整个电视台瘫痪。

内外网交换信息是完成单一任务、在单一链路上的交换，并不是内外网全面的互联。在内外网系统信息交换链路上，必须有效解决计算机病毒和黑客攻击问题。针对各种安全漏洞，目前各种防范手段在技术上都不能完全保证计算机网络信息的安全。因此对于电视台制播系统必须做到工作流程独立、彻底与互联网等公共网物理结构隔离，制定并严格执行有效的规章制度和安全监控措施，以保证内部网不受来自其它网络的非法攻击。

利用usb端口实现内外网隔离的应用

内外网隔离与数据安全交换技术。在现有技术条件下有很多技术实现网络物理隔离:信息及传输通道的单一性、物理隔离卡、内外防火墙、多重安全网关、安全隔离网闸、交换网络、USB隔离网桥等。其中，通过USB隔离网桥实现内外网数据的安全隔离和信息交换系统在当前的市场上具有较大的潜力。该方案是内外网主机使用专用的程序把需要交换的数据信息通过USB 2.0端口进行传输，从而达到数据交换的目的。用这种技术可以抛弃较为脆弱的基于TCP/IP协议的内外网安全隔离机制，从真正意义上达到内外网连接时的安全隔离。因其安全性高、方便性能好、造价低，适合定期的批量数据交换。

利用USB端口安全隔离的具体应用。新余电视台制播系统为实现内外网数据共享构建了信息高安全区，根据自己的实际情况最终采用了以USB隔离网桥为主，内外防火墙为辅的解决方案。该方案把内部网的USB传输服务器与外网的FTP传输服务器用一条或两条USB共享线相连，通过服务器的双机文件同步系统进行文件数据的传输共享。因双机文件同步系统没有网络，不包括操作系统间的任何网络因数，具有网络的绝对“物理隔离”，网络攻击则因为没有了底层协议支持而无计可施。攻击者就算已经攻陷外网，取得了外网隔离服务器控制权，也无法对内网造成伤害。

信息高安全区是办公局域网和生产网的安全缓冲区，是制播系统与互联网和外网联系的枢纽。⑴系统与办公局域网的连接。办公局域网用户把制播系统所需的节目资料和节目相关数据，通过FTP传输协议方式传输至外网隔离，由USB双机传输同步系统，自动把节目素材和文字资料等文件传送到内部网USB传输服务器，并存放至指定位置保存，供编辑人员后续编辑制作使用。⑵系统与互联网的连接。去外地采访的记者或编辑，把采访拍摄的节目素材和文字资料，通过互联网以FTP传输协议方式回传至制作中心的外网隔离服务器，由USB双机传输同步系统，自动把节目素材和文字资料等文件传送到内部网USB传输服务器，并存放至指定位置保存，供编辑人员后续编辑制作使用。

无论是从互联网还是从办公局域网内传来的数据，首先通过硬件防火墙的防范、病毒防火墙的扫描和杀毒后，确保保存至外网的FTP传输服务器上的相关数据安全可靠，这样通过USB双机文件同步系统同步到内部网的USB传输服务器上的相关数据也是安全可靠的。节目相关数据到达内部网的USB传输服务器后，还必须在USB传输服务器的本地通过防毒软件杀毒，同时通过内部病毒防火墙的扫描，然后才存放至指定位置，供非编制作网和新闻媒资网内的用户调用。

数据文件导入流程。在外网隔离服务器上设置一个共享文件夹，所有外网的办公工作站都可以访问。无论是从办公局域网内还是从互联网需要传送到内网的文件就放入这个外网共享文件夹。首先，必须确保保存至外网隔离服务器上的相关数据的安全可靠，然后，在外网隔离服务器上运行一个守护进程，定时（例如每隔1秒）扫描外网共享文件夹。如果发现新文件，则将新文件通过USB线缆发往另一端的内网USB传输服务器。节目相关数据到达内部网的USB传输服务器后，还必须在USB传输服务器的本地通过防毒软件杀毒，同时通过内部病毒防火墙的扫描，然后才存放至指定位置，供制播系统网内具有相应权限的用户调用。反之，从内网传送文件到外网也一样。

外网用户通过访问外网隔离服务器上的WEB服务器，上传素材文件到发送文件夹；文件传输程序监视发送文件夹，传输发送文件夹下的相应文件到内网USB传输服务器上的接收文件夹。所有文件导入都可以在外网上进行操作，例如采用移动硬盘、光盘、网络下载等途径文件，记者可以在外网将文件提交发送至制播系统，系统自动进行过滤、杀毒、同步迁移，记者或编辑即可在很短时间内，在制播系统网络中使用这些导入的文件。

内网用户通过具有相应权限账号访问内网USB传输服务器上的Web服务器，下载接收文件夹下的素材文件，在内网制播系统网中进行工作。

USB隔离系统功能说明

文件传输模块。通过USB传输线在内网服务器和外网服务器之间传输文件；采用Win USB架构，支持Windows多个操作系统；支持USB2.0协议，通过文件夹监控方式支持文件自动双向传输；支持文件类型过滤和文件大小过滤，支持任意类型和任意大小的文件；支持文件正确性校验（MD5码校验）；支持传输完成后对源文件的处理，如备份或删除；有详细的日志记录。提供B/S面向外网和非编制作及新闻媒资网的访问页面。整个系统全程需要防病毒软件运行，一旦有新的文件加入，就需要先进行杀毒，再通知交换中心服务器，告知现在有新文件加入，需要交换中心服务器来取这个文件。同时在交换网关服务器上也有一份与交换中心服务器上完全相同的目录结构，即在交换网关服务器上监控着接收网关服务器上的一个文件夹。当有新内容时，在交换中心服务器上就通过USB连接的方式把新增加的内容移动过来，同样在交换网关服务器上同时运行杀毒程序，进入的文件也要先进行杀毒。病毒定义库的更新也是由网管来进行管理的。

人员权限管理。人员权限分为管理员和用户。用户又分为部门负责人、栏目负责人、栏目组负责人、栏目组成员。管理员权限包括配置用户信息，配置文件的时间周期、空间阀值，配置桌面传输程序的配置文件。部门负责人权限包括对所属部门下的文件进行管理。栏目负责人对所属栏目下的文件进行管理。栏目组负责人对栏目组文件夹下的文件进行管理。栏目组成员对本用户文件夹下的文件进行管理。

文件的管理。用户通过登录，访问指定文件夹，并仅对该文件夹进行维护和管理，每个人登陆之后的权限就只能看到和访问自己的文件夹，在有权限操作的情况下，文件的管理包括文件的浏览、重命名、删除、上传、下载等。

（作者单位：新余电视台）

栏目责编：肖　月