生产广播系统交换区的解决办法

调查

根据音像服务的需要，办公网络和专用生产网络之间存在着大量的数据交互，越来越多的音像制作服务被移植到办公网络中，终端也被部署到办公网络中，视频和音频文件通过办公网络的生产终端收集和上传，生产网络成品的音像文件通过办公网络在互联网上发布，因此，有必要进行安全交换区的建设，用于避免一般办公网络和专用生产网络之间的直接连接。

业务安全要求

• 办公网络与生产网络之间存在着大量的数据交互，办公网络用户接入生产网络，该链路可以直接到达生产网络的内部系统，这个链接有被黑的危险，病毒存在同时交互的视频和音频媒体文件、木马或其他恶意代码感染的风险。

• 办公网络用户WEB生产网络中服务系统的正式访问，业务查询和在线低比特率视频和音频文件浏览，生产网络中的业务系统直接暴露在与Internet紧密结合的办公网络中，有被恶意人员攻击的危险。

安全解决办法

一方面，该安全方案满足了等级保护的要求，另一方面，办公网络和生产网络实现了统一的数据交换接口，随着生产网络增加业务系统，数据交换区域不会改变。如果生产网络中有额外的业务，或者业务系统需要与office网络进行数据交互，只需更改安全产品上的适当安全策略即可，你可以满足要求，因此，它具有很强的可扩展性。同时降低了数据交换的复杂性，明确业务流程、简洁，简单管理。

安全数据交换：办公网络与生产网络之间的视音频文件数据交换，文件降落在安全交换区域，避免办公网络终端和用户直接访问生产网络中的侍者 和应用系统。通过部署统一的威胁保护系统，提供应用程序标识、防火墙、流程管理、VPN、恶意代码过滤和入侵预防功能，数据交换的安全控制；闸门系统的部署，收养私人非-TCP/IP实现办公网络与生产网络安全数据交换的协议。

反应剂：根据业务需要，办公网络的生产终端需要通过WEB对生产网络的模式访问，通过部署方向代理系统，接受访问办公室网络的请求，然后将请求转发到生产网络中的服务系统WEB侍者 上，并将结果从侍者 反馈到办公网络的生产终端，防止办公网络终端直接接入生产网络的内部业务系统WEB侍者 。

操作系统强化：安全交换区域中的侍者 充当办公网络和生产网络之间的接口侍者 ，承担大量媒体数据交换工作，很容易从许多方面接受恶意攻击，如果出现问题，将影响内部和外部网络数据的交换，因此，部署主机安全加强系统，操作系统的强制访问控制，确保侍者 安全。