TriCaster演播室系統(tǒng)與非編網(wǎng)的互聯(lián)

文/王文韜

引言

現(xiàn)代數(shù)字化演播室系統(tǒng)，在一臺(tái)主機(jī)上就集成了切換臺(tái)、調(diào)音臺(tái)、字幕機(jī)、多通道硬盤錄像機(jī)、多軌硬盤錄音機(jī)、非線性編輯、虛擬演播室、流媒體編碼、大屏互動(dòng)點(diǎn)評(píng)、云臺(tái)攝像機(jī)遙控、慢動(dòng)作播放等演播室主要設(shè)備的功能，甚至連演播室周邊設(shè)備的功能也可以集成進(jìn)去。但是，集成度的提高，也給系統(tǒng)安全性帶來隱患。

1.TriCaster演播室測試系統(tǒng)的連接

傳統(tǒng)的演播室系統(tǒng)，各個(gè)設(shè)備之間依靠SDI等專用通信協(xié)議傳輸數(shù)據(jù)，在配備冗余設(shè)備后，幾乎不可能出現(xiàn)單個(gè)設(shè)備引發(fā)整個(gè)系統(tǒng)崩潰的情況。而在數(shù)字化演播室中，所有設(shè)備都通過網(wǎng)絡(luò)連接在一起，視頻播放和字幕系統(tǒng)的素材大多需要通過移動(dòng)硬盤或u盤進(jìn)入系統(tǒng)，系統(tǒng)的許多功能也要求必須接入互聯(lián)網(wǎng)才能使用，防止病毒傳播和非法進(jìn)入成為當(dāng)前安全防范重點(diǎn)。

1.1 TriCaster演播室測試系統(tǒng)的連接方式

測試系統(tǒng)的搭建主要為了評(píng)測演播室系統(tǒng)與非編系統(tǒng)的素材交互及日常使用中的安全配置，在保障安全的前提下盡可能多地實(shí)現(xiàn)演播室系統(tǒng)的功能，特別是與互聯(lián)網(wǎng)的交互功能。在系統(tǒng)的連接方式上考慮的三種情況如下。

1.1.1 高度隔離的方式

演播室與非編網(wǎng)兩個(gè)系統(tǒng)完全獨(dú)立，系統(tǒng)之間素材的交互通過非編網(wǎng)已有的網(wǎng)閘隔離傳輸系統(tǒng)進(jìn)行。這種連接方式的優(yōu)點(diǎn)是，兩個(gè)系統(tǒng)完全隔離，不會(huì)互相產(chǎn)生影響，現(xiàn)有的系統(tǒng)也不必進(jìn)行任何更改。缺點(diǎn)是，新建的演播室系統(tǒng)在安全上需要重新設(shè)計(jì)，素材的導(dǎo)入、導(dǎo)出必須新增隔離傳輸設(shè)備，本地的主備錄制系統(tǒng)也需要增加設(shè)備，設(shè)備投入較大。錄制好的素材需要向非編網(wǎng)導(dǎo)入，工作效率低。

1.1.2 兩個(gè)系統(tǒng)互相融合的方式

這種方式將演播室系統(tǒng)放入非編網(wǎng)內(nèi)，由非編網(wǎng)的域進(jìn)行管理，其防病毒和推送補(bǔ)丁由非編網(wǎng)負(fù)責(zé)。其優(yōu)點(diǎn)是，素材的導(dǎo)入、導(dǎo)出可以利用非編網(wǎng)的現(xiàn)有設(shè)備，節(jié)目錄制也可以直接寫到非編網(wǎng)的素材盤上，既節(jié)省投資，也提高了工作效率。但缺點(diǎn)也非常明顯，非編和演播室分屬不同部門管理，工作協(xié)調(diào)不易，演播室系統(tǒng)某些功能必須連接互聯(lián)網(wǎng)，存在安全隱患。

1.1.3 相對獨(dú)立的連接方式

這種連接方式采用折中的辦法，演播室系統(tǒng)與非編網(wǎng)互聯(lián)時(shí)，在級(jí)聯(lián)的交換機(jī)端口上進(jìn)行限制，通過ACL配置，只允許指定主機(jī)通過指定端口訪問非編網(wǎng)的存儲(chǔ)節(jié)點(diǎn)，拒絕所有其他的連接，再使用組策略限制主機(jī)在存儲(chǔ)上運(yùn)行程序和腳本。這樣既保證了一定的隔離度，又讓演播室系統(tǒng)可以直接將節(jié)目寫入非編網(wǎng)的素材盤，提高了工作效率。同時(shí)，演播室需要的素材也可以通過非編網(wǎng)原有的網(wǎng)閘隔離傳輸系統(tǒng)導(dǎo)入，節(jié)省了設(shè)備投入。

1.2 測試系統(tǒng)概述

測試系統(tǒng)使用了TriCaster 410作為核心，周邊配備了外接的字幕機(jī)、錄制服務(wù)器，以及一臺(tái)連接互聯(lián)網(wǎng)，承擔(dān)互聯(lián)網(wǎng)應(yīng)用轉(zhuǎn)發(fā)的服務(wù)器，這臺(tái)服務(wù)器同時(shí)兼顧windows補(bǔ)丁分發(fā)和網(wǎng)絡(luò)版殺毒軟件的升級(jí)和管理。所有的設(shè)備通過一臺(tái)千兆交換機(jī)連接在一起。因?yàn)闇y試系統(tǒng)設(shè)備較少，沒有通過域進(jìn)行管理，在正式部署時(shí)應(yīng)建立演播室系統(tǒng)的域環(huán)境，使管理更加嚴(yán)格、方便、靈活。

在測試系統(tǒng)中，為了提高設(shè)備的使用率和工作效率，選擇了第三種相對獨(dú)立的連接方式，演播室系統(tǒng)的交換機(jī)和制作網(wǎng)的交換機(jī)級(jí)聯(lián)在一起，讓演播室系統(tǒng)可以直接讀取非編制作的視頻，在錄制節(jié)目時(shí)，演播室本地錄制一路信號(hào)，同時(shí)通過網(wǎng)絡(luò)將另一路信號(hào)直接錄制到非編的素材盤上，既實(shí)現(xiàn)了一主一備的錄制，同時(shí)又免除了向非編網(wǎng)遷移素材的過程。但是，與編輯網(wǎng)的聯(lián)通對安全防護(hù)提出了更高的要求。

2.系統(tǒng)的安全設(shè)置

在整個(gè)系統(tǒng)的安全設(shè)置中，主要有以下幾個(gè)方面：

2.1 病毒防護(hù)

為演播室系統(tǒng)的安裝網(wǎng)絡(luò)版殺毒軟件。在測試系統(tǒng)中使用了免費(fèi)的360企業(yè)版殺毒軟件，經(jīng)測試，軟件中的集中管理和升級(jí)均可正常使用。軟件中還包含了對主機(jī)光驅(qū)、USB存儲(chǔ)、1394接口等外掛設(shè)備的管理，可以統(tǒng)一禁止各個(gè)主機(jī)上usb存儲(chǔ)和光驅(qū)的使用，而不影響鍵鼠等非存儲(chǔ)類USB設(shè)備的使用。

禁止將U盤或移動(dòng)硬盤直接連接到系統(tǒng)內(nèi)的計(jì)算機(jī)上。在演播室系統(tǒng)和制作網(wǎng)絡(luò)連通后，需要上傳的素材文件通過制作網(wǎng)現(xiàn)有的網(wǎng)閘上傳系統(tǒng)，從辦公網(wǎng)或?qū)Ｓ蒙蟼鞴ぷ髡緦?dǎo)入系統(tǒng)內(nèi)，讓素材可以通過一條安全的通道進(jìn)入系統(tǒng)，避免病毒通過USB存儲(chǔ)進(jìn)入系統(tǒng)。通過操作系統(tǒng)的組策略，禁止所有驅(qū)動(dòng)器和非卷設(shè)備上的自動(dòng)播放功能。

在互聯(lián)網(wǎng)入口配置一體化安全網(wǎng)關(guān)UTM，進(jìn)行訪問控制、病毒防護(hù)、防網(wǎng)絡(luò)攻擊。

2.2 防止非法進(jìn)入

對登錄用戶進(jìn)行限制，防止未授權(quán)的訪問。所有計(jì)算機(jī)禁用本機(jī)的administrator用戶，另外建立管理員賬戶，由演播室技術(shù)人員掌握，并定期更改密碼。建立權(quán)限受限賬戶，通過組策略設(shè)置，隱藏本機(jī)盤符并限制用戶訪問、屏蔽右鍵的上下文菜單、禁止用戶訪問控制面板、網(wǎng)絡(luò)等關(guān)鍵組件。為受限用戶定制桌面，只允許運(yùn)行指定的應(yīng)用程序。

及時(shí)為系統(tǒng)內(nèi)的計(jì)算機(jī)推送安全補(bǔ)丁，安全補(bǔ)丁不僅可以堵住非法進(jìn)入的途徑，還可以抑制病毒在網(wǎng)內(nèi)的傳播。由于系統(tǒng)內(nèi)的設(shè)備都使用了windows 10操作系統(tǒng)，補(bǔ)丁分發(fā)服務(wù)要求使用windows server 2012以上的服務(wù)器版操作系統(tǒng)中集成的WSUS服務(wù)。操作系統(tǒng)安裝完成后，啟動(dòng)服務(wù)器管理器，選擇添加角色和功能windows server更新服務(wù)，系統(tǒng)會(huì)同時(shí)安裝其他一些WSUS必須功能，安裝成功后還要進(jìn)行兩步配置便可為其他主機(jī)推送補(bǔ)丁。（1）編輯組策略，進(jìn)入計(jì)算機(jī)配置策略管理模板windows組件windows updata，根據(jù)自己的情況配置“配置自動(dòng)更新”，并在“指定Intranet Microsoft更新服務(wù)位置”中指定自己的WSUS服務(wù)器地址；（2）打開WSUS管理器，配置好WSUS需要更新的產(chǎn)品和分類，指定同步計(jì)劃和補(bǔ)丁審批，之后便可以開始推送補(bǔ)丁。

2.3 操作系統(tǒng)加固

賬戶方面：禁用本地的administrator和Guest賬戶，另外新建管理員賬戶使用。進(jìn)入組策略：計(jì)算機(jī)配置windows設(shè)置安全設(shè)置賬戶策略，配置密碼復(fù)雜度、使用期限等策略，配置賬戶鎖定策略。進(jìn)入安全設(shè)置本地策略安全選項(xiàng)，啟用“網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉”，“網(wǎng)絡(luò)訪問：不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的密碼和憑證”，禁用“網(wǎng)絡(luò)訪問：允許匿名SID/名稱轉(zhuǎn)換”。在“交互式登錄中”，啟用“不顯示最后的用戶名”，禁用“無須按Ctrl+Alt+Del”。如果需要使用來賓賬戶，配置“賬戶：重命名來賓賬戶”為來賓賬戶改名后使用。

限制受限用戶對主機(jī)的操作權(quán)限：進(jìn)入組策略用戶配置管理模板，盡可能限制“桌面”和““開始”菜單和任務(wù)欄”中的項(xiàng)目，只保留用戶必須使用的部分。在“網(wǎng)絡(luò)網(wǎng)絡(luò)連接”中，禁止用戶對網(wǎng)絡(luò)屬性的訪問和更改。在“控制面板”中禁止用戶訪問控制面板。

在“windows組件windows資源管理器”中，啟用“刪除windows資源管理器的上下文菜單”可以禁止在系統(tǒng)中使用鼠標(biāo)右鍵菜單。啟用“隱藏“我的電腦”中這些指定的驅(qū)動(dòng)器”和啟用“防止從“我的電腦”訪問驅(qū)動(dòng)器”，可以防止用戶訪問驅(qū)動(dòng)器中的文件，即使使用“運(yùn)行”對話框也不行。如果想要自己定制需要隱藏的驅(qū)動(dòng)器盤符，需要修改C：WindowsPolicyDefinitions目錄下的WindowsExplorer.admx和C：WindowsPolicyDefinitionszh-CN目錄下的WindowsExplorer.adml兩個(gè)文件，記住修改前做好備份。

在連接互聯(lián)網(wǎng)的服務(wù)器上，最好關(guān)閉系統(tǒng)的默認(rèn)共享、遠(yuǎn)程訪問注冊表、遠(yuǎn)程桌面等項(xiàng)目，開啟防火墻，關(guān)閉不必要的服務(wù)和端口，啟用系統(tǒng)安全審核，并經(jīng)常進(jìn)行檢查。

2.4 對人員的安全管理

由于已經(jīng)使用組策略對受限用戶的操作進(jìn)行限制，這里主要要求技術(shù)人員不使用usb存儲(chǔ)、不連接手機(jī)充電、不在系統(tǒng)中安裝無關(guān)程序。要每天檢查系統(tǒng)日志，審核日志等記錄，及時(shí)發(fā)現(xiàn)系統(tǒng)故障和可疑的連接及操作。

結(jié)語

不管設(shè)置怎么嚴(yán)密，只要有了系統(tǒng)管理員的賬號(hào)和密碼，就對整個(gè)系統(tǒng)有了完全控制的權(quán)限，所以，一定要保護(hù)好自己的系統(tǒng)管理員的賬號(hào)和密碼。

[1]孫磊. Top3DSet虛擬演播室系統(tǒng)的應(yīng)用淺析[J]. 中國傳媒科技， 2018（03）：42-43.

[2]賴慧昌. 基于TriCaster的全媒體小型演播室設(shè)計(jì)與應(yīng)用[J]. 西部廣播電視， 2017（15）：195-196.

[3]孫晉珠. 新媒體時(shí)代的演播室系統(tǒng)設(shè)計(jì)與建設(shè)[J]. 中國有線電視， 2017（10）：1194-1196.