TriCaster演播室系統(tǒng)與非編網(wǎng)的互聯(lián)

文/王文韜

引言

現(xiàn)代數(shù)字化演播室系統(tǒng)，在一臺主機上就集成了切換臺、調(diào)音臺、字幕機、多通道硬盤錄像機、多軌硬盤錄音機、非線性編輯、虛擬演播室、流媒體編碼、大屏互動點評、云臺攝像機遙控、慢動作播放等演播室主要設(shè)備的功能，甚至連演播室周邊設(shè)備的功能也可以集成進去。但是，集成度的提高，也給系統(tǒng)安全性帶來隱患。

1.TriCaster演播室測試系統(tǒng)的連接

傳統(tǒng)的演播室系統(tǒng)，各個設(shè)備之間依靠SDI等專用通信協(xié)議傳輸數(shù)據(jù)，在配備冗余設(shè)備后，幾乎不可能出現(xiàn)單個設(shè)備引發(fā)整個系統(tǒng)崩潰的情況。而在數(shù)字化演播室中，所有設(shè)備都通過網(wǎng)絡(luò)連接在一起，視頻播放和字幕系統(tǒng)的素材大多需要通過移動硬盤或u盤進入系統(tǒng)，系統(tǒng)的許多功能也要求必須接入互聯(lián)網(wǎng)才能使用，防止病毒傳播和非法進入成為當(dāng)前安全防范重點。

1.1 TriCaster演播室測試系統(tǒng)的連接方式

測試系統(tǒng)的搭建主要為了評測演播室系統(tǒng)與非編系統(tǒng)的素材交互及日常使用中的安全配置，在保障安全的前提下盡可能多地實現(xiàn)演播室系統(tǒng)的功能，特別是與互聯(lián)網(wǎng)的交互功能。在系統(tǒng)的連接方式上考慮的三種情況如下。

1.1.1 高度隔離的方式

演播室與非編網(wǎng)兩個系統(tǒng)完全獨立，系統(tǒng)之間素材的交互通過非編網(wǎng)已有的網(wǎng)閘隔離傳輸系統(tǒng)進行。這種連接方式的優(yōu)點是，兩個系統(tǒng)完全隔離，不會互相產(chǎn)生影響，現(xiàn)有的系統(tǒng)也不必進行任何更改。缺點是，新建的演播室系統(tǒng)在安全上需要重新設(shè)計，素材的導(dǎo)入、導(dǎo)出必須新增隔離傳輸設(shè)備，本地的主備錄制系統(tǒng)也需要增加設(shè)備，設(shè)備投入較大。錄制好的素材需要向非編網(wǎng)導(dǎo)入，工作效率低。

1.1.2 兩個系統(tǒng)互相融合的方式

這種方式將演播室系統(tǒng)放入非編網(wǎng)內(nèi)，由非編網(wǎng)的域進行管理，其防病毒和推送補丁由非編網(wǎng)負(fù)責(zé)。其優(yōu)點是，素材的導(dǎo)入、導(dǎo)出可以利用非編網(wǎng)的現(xiàn)有設(shè)備，節(jié)目錄制也可以直接寫到非編網(wǎng)的素材盤上，既節(jié)省投資，也提高了工作效率。但缺點也非常明顯，非編和演播室分屬不同部門管理，工作協(xié)調(diào)不易，演播室系統(tǒng)某些功能必須連接互聯(lián)網(wǎng)，存在安全隱患。

1.1.3 相對獨立的連接方式

這種連接方式采用折中的辦法，演播室系統(tǒng)與非編網(wǎng)互聯(lián)時，在級聯(lián)的交換機端口上進行限制，通過ACL配置，只允許指定主機通過指定端口訪問非編網(wǎng)的存儲節(jié)點，拒絕所有其他的連接，再使用組策略限制主機在存儲上運行程序和腳本。這樣既保證了一定的隔離度，又讓演播室系統(tǒng)可以直接將節(jié)目寫入非編網(wǎng)的素材盤，提高了工作效率。同時，演播室需要的素材也可以通過非編網(wǎng)原有的網(wǎng)閘隔離傳輸系統(tǒng)導(dǎo)入，節(jié)省了設(shè)備投入。

1.2 測試系統(tǒng)概述

測試系統(tǒng)使用了TriCaster 410作為核心，周邊配備了外接的字幕機、錄制服務(wù)器，以及一臺連接互聯(lián)網(wǎng)，承擔(dān)互聯(lián)網(wǎng)應(yīng)用轉(zhuǎn)發(fā)的服務(wù)器，這臺服務(wù)器同時兼顧windows補丁分發(fā)和網(wǎng)絡(luò)版殺毒軟件的升級和管理。所有的設(shè)備通過一臺千兆交換機連接在一起。因為測試系統(tǒng)設(shè)備較少，沒有通過域進行管理，在正式部署時應(yīng)建立演播室系統(tǒng)的域環(huán)境，使管理更加嚴(yán)格、方便、靈活。

在測試系統(tǒng)中，為了提高設(shè)備的使用率和工作效率，選擇了第三種相對獨立的連接方式，演播室系統(tǒng)的交換機和制作網(wǎng)的交換機級聯(lián)在一起，讓演播室系統(tǒng)可以直接讀取非編制作的視頻，在錄制節(jié)目時，演播室本地錄制一路信號，同時通過網(wǎng)絡(luò)將另一路信號直接錄制到非編的素材盤上，既實現(xiàn)了一主一備的錄制，同時又免除了向非編網(wǎng)遷移素材的過程。但是，與編輯網(wǎng)的聯(lián)通對安全防護提出了更高的要求。

2.系統(tǒng)的安全設(shè)置

在整個系統(tǒng)的安全設(shè)置中，主要有以下幾個方面：

2.1 病毒防護

為演播室系統(tǒng)的安裝網(wǎng)絡(luò)版殺毒軟件。在測試系統(tǒng)中使用了免費的360企業(yè)版殺毒軟件，經(jīng)測試，軟件中的集中管理和升級均可正常使用。軟件中還包含了對主機光驅(qū)、USB存儲、1394接口等外掛設(shè)備的管理，可以統(tǒng)一禁止各個主機上usb存儲和光驅(qū)的使用，而不影響鍵鼠等非存儲類USB設(shè)備的使用。

禁止將U盤或移動硬盤直接連接到系統(tǒng)內(nèi)的計算機上。在演播室系統(tǒng)和制作網(wǎng)絡(luò)連通后，需要上傳的素材文件通過制作網(wǎng)現(xiàn)有的網(wǎng)閘上傳系統(tǒng)，從辦公網(wǎng)或?qū)Ｓ蒙蟼鞴ぷ髡緦?dǎo)入系統(tǒng)內(nèi)，讓素材可以通過一條安全的通道進入系統(tǒng)，避免病毒通過USB存儲進入系統(tǒng)。通過操作系統(tǒng)的組策略，禁止所有驅(qū)動器和非卷設(shè)備上的自動播放功能。

在互聯(lián)網(wǎng)入口配置一體化安全網(wǎng)關(guān)UTM，進行訪問控制、病毒防護、防網(wǎng)絡(luò)攻擊。

2.2 防止非法進入

對登錄用戶進行限制，防止未授權(quán)的訪問。所有計算機禁用本機的administrator用戶，另外建立管理員賬戶，由演播室技術(shù)人員掌握，并定期更改密碼。建立權(quán)限受限賬戶，通過組策略設(shè)置，隱藏本機盤符并限制用戶訪問、屏蔽右鍵的上下文菜單、禁止用戶訪問控制面板、網(wǎng)絡(luò)等關(guān)鍵組件。為受限用戶定制桌面，只允許運行指定的應(yīng)用程序。

及時為系統(tǒng)內(nèi)的計算機推送安全補丁，安全補丁不僅可以堵住非法進入的途徑，還可以抑制病毒在網(wǎng)內(nèi)的傳播。由于系統(tǒng)內(nèi)的設(shè)備都使用了windows 10操作系統(tǒng)，補丁分發(fā)服務(wù)要求使用windows server 2012以上的服務(wù)器版操作系統(tǒng)中集成的WSUS服務(wù)。操作系統(tǒng)安裝完成后，啟動服務(wù)器管理器，選擇添加角色和功能windows server更新服務(wù)，系統(tǒng)會同時安裝其他一些WSUS必須功能，安裝成功后還要進行兩步配置便可為其他主機推送補丁。（1）編輯組策略，進入計算機配置策略管理模板windows組件windows updata，根據(jù)自己的情況配置“配置自動更新”，并在“指定Intranet Microsoft更新服務(wù)位置”中指定自己的WSUS服務(wù)器地址；（2）打開WSUS管理器，配置好WSUS需要更新的產(chǎn)品和分類，指定同步計劃和補丁審批，之后便可以開始推送補丁。

2.3 操作系統(tǒng)加固

賬戶方面：禁用本地的administrator和Guest賬戶，另外新建管理員賬戶使用。進入組策略：計算機配置windows設(shè)置安全設(shè)置賬戶策略，配置密碼復(fù)雜度、使用期限等策略，配置賬戶鎖定策略。進入安全設(shè)置本地策略安全選項，啟用“網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉”，“網(wǎng)絡(luò)訪問：不允許存儲網(wǎng)絡(luò)身份驗證的密碼和憑證”，禁用“網(wǎng)絡(luò)訪問：允許匿名SID/名稱轉(zhuǎn)換”。在“交互式登錄中”，啟用“不顯示最后的用戶名”，禁用“無須按Ctrl+Alt+Del”。如果需要使用來賓賬戶，配置“賬戶：重命名來賓賬戶”為來賓賬戶改名后使用。

限制受限用戶對主機的操作權(quán)限：進入組策略用戶配置管理模板，盡可能限制“桌面”和““開始”菜單和任務(wù)欄”中的項目，只保留用戶必須使用的部分。在“網(wǎng)絡(luò)網(wǎng)絡(luò)連接”中，禁止用戶對網(wǎng)絡(luò)屬性的訪問和更改。在“控制面板”中禁止用戶訪問控制面板。

在“windows組件windows資源管理器”中，啟用“刪除windows資源管理器的上下文菜單”可以禁止在系統(tǒng)中使用鼠標(biāo)右鍵菜單。啟用“隱藏“我的電腦”中這些指定的驅(qū)動器”和啟用“防止從“我的電腦”訪問驅(qū)動器”，可以防止用戶訪問驅(qū)動器中的文件，即使使用“運行”對話框也不行。如果想要自己定制需要隱藏的驅(qū)動器盤符，需要修改C：WindowsPolicyDefinitions目錄下的WindowsExplorer.admx和C：WindowsPolicyDefinitionszh-CN目錄下的WindowsExplorer.adml兩個文件，記住修改前做好備份。

在連接互聯(lián)網(wǎng)的服務(wù)器上，最好關(guān)閉系統(tǒng)的默認(rèn)共享、遠(yuǎn)程訪問注冊表、遠(yuǎn)程桌面等項目，開啟防火墻，關(guān)閉不必要的服務(wù)和端口，啟用系統(tǒng)安全審核，并經(jīng)常進行檢查。

2.4 對人員的安全管理

由于已經(jīng)使用組策略對受限用戶的操作進行限制，這里主要要求技術(shù)人員不使用usb存儲、不連接手機充電、不在系統(tǒng)中安裝無關(guān)程序。要每天檢查系統(tǒng)日志，審核日志等記錄，及時發(fā)現(xiàn)系統(tǒng)故障和可疑的連接及操作。

結(jié)語

不管設(shè)置怎么嚴(yán)密，只要有了系統(tǒng)管理員的賬號和密碼，就對整個系統(tǒng)有了完全控制的權(quán)限，所以，一定要保護好自己的系統(tǒng)管理員的賬號和密碼。

[1]孫磊. Top3DSet虛擬演播室系統(tǒng)的應(yīng)用淺析[J]. 中國傳媒科技， 2018（03）：42-43.

[2]賴慧昌. 基于TriCaster的全媒體小型演播室設(shè)計與應(yīng)用[J]. 西部廣播電視， 2017（15）：195-196.

[3]孫晉珠. 新媒體時代的演播室系統(tǒng)設(shè)計與建設(shè)[J]. 中國有線電視， 2017（10）：1194-1196.