文档介绍:制播网与互联网数据的互通互联-新闻学制播网与互联网数据的互通互联 广电总局新62号令要求制播网完全与外网隔绝,要拆除光驱、软驱和USB等通讯接口,以达到安全播出的目的。另一方面新媒体的发展需求,互联网海量素材的采用,主持人、记者的强烈要求。制播网与外网数据流的互通互联就成为急需要解决的问题。一、数据安全技术发展的过程、交换的模型以及各种方案的优劣比较从目前流行的防火墙类型看,大致可以分为数据包过滤型、应用代理型和全状态检测型,比较如下:1、数据包过滤型该技术工作在OSI模型的网络层,主要是根据数据包的源地址,目的地址和可信端口号、网络协议类型等标志确定是否允许数据包通过。在数据包的检测过程中,网络两端的计算机之间是有实际的数据包流过。该类型防火墙没有切断两端计算机的实际连接,在设计分析判断策略时往往只对网络传输协议(TCP/IP)中特定的少数关键字段进行检测,如数据包的报头特征码。由于互联网中新的数据类型层出不穷,防火墙的协议分析能力更新不够及时,很容易被黑客利用更改病毒码特征,不被防火墙发现进入安全网络攻击得手。如图1:2、应用代理型防火墙应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway)能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系,安全级别比包过滤强。应用代理只检查协议,没有进行物理隔离,也没有对数据包头进行剥离,通过复制传递可能把协议攻击带入后端系统。应用代理针对特定应用而设,每种应用必须有它自己的代理,如Http代理、Ftp代理等。并且应用代理只对应用层进行保护,而它并不保护应用层以下的各层。应用代理防火墙的结构图,如图2:3、全状态检测型防火墙全状态检测防火墙又叫动态数据包过滤防火墙,检查引擎在OSI模型的网络层提取数据包有关信息,检测后决定通过还是拒绝,而且对后续数据包进行不断检查,一旦发现连接的数据包参数发生变化,就立即终止连接。该技术克服了前两种防火墙的缺陷,能对数据连接的协议、端口、源地址和目的地址进行综合检测,是目前较好的安全防火墙。但是该技术也有运行时资源消耗大,对硬件性能要求高。(见图3)二、隔离网闸技术简介隔离网闸是在全状态检测防火墙基础上发展的一种安全技术,它的原型:静态数据摆渡技术。(见图4)在该技术中,由管理员来操作两个网络:不可信网络和可信网络,这两个网络物理隔断,有独立的计算机或者与两个网络分离的存储缓冲区域,用于内容检查。网络数据流交换如下:1、管理员在不可信网络上的计算机上手工方式拷贝文件到数据存储设备2、管理员将数据存储设备拿到一个独立的计算机上进行内容检测。检测包括(不仅仅这些):病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。3、如果内容检测为不安全或非法,它们将被丢弃;如果内容是安全和合法的,管理员在可信网络上的计算机上手工方式将存储设备的文件复制到计算机上。4、数据流从可信网络传输到不可信网络采用相反的流程。在该项技术中,没有人可以从不可信的网络访问和操作控制可信网络上的计算机,所有允许到可信网络的数据都在一个安全的环境中经过详细的审查,这是从不安全环境到安全环境信息传输的一个最安全的方法。隔离网闸模型的实现:隔离网闸是基于上述机理实现的一种安全信息交换技术。在数据摆渡技术中,管理员的作用是