广电网络边界信息交换与安全隔离

北京师慧视联信息科技有限公司

www.bjshihui.com 1

讲解提纲

全台业务网的构成及网络安全综述 互联遇到的问题及风险分析 传统的解决方案及其缺点 我们的解决方案是什么 媒资卫士的关键技术摘要 媒资卫士在广电网络中的应用实例 媒资卫士与其他产品的优势比较

www.bjshihui.com 2

全台业务网的构成

www.bjshihui.com 3

广电网络安全包括：

硬件安全

软件安全

数据安全

管理安全

www.bjshihui.com 4

业务网安全风险的分布

硬件和管理是“常态” 软件和数据是“动态” 动态交换引入“风险” 风险的入口是“边界”

5www.bjshihui.com

总结： 由此可见，网络边界的安全防范是阻断威胁的重点！！！

简单互联遇到的安全问题

数据、病毒、攻击网络 A 网络 B

网络之间简单互联，在数据交换的同时必然导致病毒、攻击在网络间相互传播

www.bjshihui.com 6

传统的解决方案是什么

A 网络

防火墙 网络杀毒网络杀毒

网络间通过防火墙隔离网络内部安装杀毒软件

www.bjshihui.com 7

传统方案存在的缺点 防火墙：

1. 逻辑隔离存在网络通道，自身瘫痪后攻击行为可长驱直入；

2. 防火墙不能抵抗最新的未设置策略的攻击；

3. 因为采用了通用传输协议，对于协议漏洞造成的安全问题无法解决；

4. 防火墙 最大的问题是不能检测来自文件内部的危险。

www.bjshihui.com 8

传统方案存在的缺点

9www.bjshihui.com

杀毒软件：

1. 病毒库升级落后于新病毒的产生，容易漏杀；

2. 杀毒软件自身的缺陷，容易导致误杀 ； 3. 黑名单方式，查杀速度慢。

我们的解决方案是什么

MRG9000 媒资卫士，是专为解决广电网络边界的安全隔离和数据导入问题而开发的。它克服杀毒软件和防火墙的缺点，真正有效地保护内网的安全。

核心思想：交换与隔离！交换就是网络间进行有用的数据传输；隔离是指在进行数据传输的过程中，屏蔽病毒和攻击等有害信息。

核心目标：安全、完整、高效！

www.bjshihui.com 10

媒资卫士的关键技术摘要

物理隔离与专有协议

自定制系统与白名单

文件深度检测

www.bjshihui.com 11

物理隔离与专有协议

A 点到 B 点的通讯，是靠 C 点的大缓存及高速电子开关的反复摆动实现的。当 B 和 C 连通时数据从 B 传递到 C ; 当 C 和 A 连通时，数据再从 C 传递到 A ，间接实现了数据从 B 端到 A 端的传输。在 A 到 C 再到 B 的环节上， TCP/IP 协议被阻断，内部采用自有协议更安全！

内网与外网没有物理连接，依靠隔离开关摆动传输数据

www.bjshihui.com 12

自定制系统与白名单方式 一个保护别人安全的产品首先要保证自身的安全！

系统采用定制的 Linux 操作系统，及特殊的内存管理方式，使传统的病毒和攻击无法在其上运行。

白名单是设置能通过的用户，符合条件的的用户才能通过。 类似于人大代表进会场。

因为广电常用文件格式数量很少，所以适合采用白名单方式！

13www.bjshihui.com

文件深度检测 根据白名单对文件类型做深度检查，除了

尾缀识别外，还要做特征码分析、语义分析和逻辑结构分析等深度解析，彻底避免假冒文件通过；

当传输文件中被注入恶意代码时，媒资卫士能够准确识别其结构的变化并加以阻断和告警；

有些类似产品只停留在简单的尾缀识别，对假冒文件或来自文件内部的病毒威胁是检测不出的！

14www.bjshihui.com

真正有效的安全隔离 媒资卫士通过文件深度检测，彻底阻断来

自文件内部的威胁； 媒资卫士通过物理隔离和专有协议，彻底

阻断来自文件外部的威胁； 文件内部和文件外部的威胁全部被阻断，

进而实现真正安全有效的网络隔离。

15www.bjshihui.com

产品功能介绍

文件交换及 FTP 功能： 白名单设置及深度检测： 支持广电常用的文件格式：视音频文件格式、图片格式、动画模板、字幕等，用户可以根据需要设置白名单的种类，并通过深度检测彻底隔离威胁和伪装！

隐形插入协议透传：广电网络的很多业务，不是简单的文件拷贝，可能涉及到很多数据同步和协议透传问题，本设备可以隐形插入到原来的网络内部，不改变原来的使用习惯！！！

www.bjshihui.com 16

产品功能介绍

上传和下载可分别限定文件类型：可以保护重要数据不被泄密。

文件断点续传功能及任务优先级设置：断点续在传输大文件时能保证传输效率。优先级设置可以保证在紧急情况下新闻类文件可优先通过。

跨网段传输及传输状态声音报警提示：支持数据跨网段传输，内网、外网可分别设置多达 10 个不同网段的 IP 地址，支持文件传输状态声音报警提示，客户可为传输状态自定义对应的声音：任务结束、任务成功、任务失败。

17www.bjshihui.com

产品主要功能

文件夹传输及目录传输

支持松下 P2卡文件格式及常用非编格式

日志审计及报表管理

自动上传 , 自动识别本地文件夹更新18www.bjshihui.com

MRG9000 媒资卫士19www.bjshihui.com

著作权登记证书

媒资卫士在广电网络中的应用（一）

www.bjshihui.com 20

制作网、播出网或存储网络的外来数据安全导入

媒资卫士在广电网络中的应用（二）

www.bjshihui.com 21

各个局域网之间的安全隔离和数据交换

22www.bjshihui.com

实例 : 某台 5 个大局域网间网络互联结构图

媒资卫士在此台局域网间部署结构图

www.bjshihui.com 23

服务

器 服务器

媒资卫士应用实景照片

24www.bjshihui.com

承德电视台机房 广西来宾电视台机房

媒资卫士应用实景照片

特别感谢兰州电视台使用媒资卫士 !!!25www.bjshihui.com

徐州电视台机房 淄博电视台机房

媒资卫士与防火墙相比较 的技术优势

设计的理念不同：一个是在“安全”的前提下经可能的“通”，一个是在“通”的情况下尽可能“安全”。

隔离方式不同：一个是物理隔离，一个是逻辑隔离，前者更安全。

传输协议不同：一个是专有协议，一个是标准 TCP/IP 协议，前者抗风险能力更强。

检测范围不同：一个是深度检测，一个对文件内部的威胁不检测，前者检测的更深入。

通用设备与专用设备：一个是广电定制设备，一个是通用设备。媒资卫士开发了很多防火墙不 具备的实用功能。

www.bjshihui.com 26

媒资卫士与网闸相比较的技术优势

白名单的检测深度不同：一个是深度检测，一个对文件内部的威胁不检测，前者检测的更深入。

数据迁移缓存的介质不同：一个是用大缓存，一个是用硬盘，前者可靠性比后者强。

对大文件传输的支持不同：一个对大文件没限制，一个有限制。

通用设备与专用设备：一个是广电专用设备一个是电信通用设备。

www.bjshihui.com 27

关于用防火墙 和网闸“变脸”的安全网关防火墙不是物理隔离，防火墙 和网闸都通用设备且不能做文件深度检测。

用两台标准计算机搭建的所谓“门户网关”

单纯靠一个应用软件导入，中间既无隔离，又使用通用 TCP\IP 协议 ，其隔离性与安全性可想而知！

深度检测的测试方法白名单文件伪装法和带病毒文件检测法

特别提示

www.bjshihui.com 28

为广电网络建设添砖加瓦

为全台互联互通保驾护航

我们的目标

安全源于防范！安全重于泰山！

www.bjshihui.com 29