配置Q-SYS時要記住的網(wǎng)絡(luò)安全設(shè)置

    AV行業(yè)不斷的進行現(xiàn)代化的進步是非常重要的，幾十年來QSC一直為此理念而不斷創(chuàng)新。如今我們可以看到網(wǎng)絡(luò)化的AV系統(tǒng)已經(jīng)得到了廣泛認(rèn)可，越來越多的人開始了解它的優(yōu)勢。因此學(xué)會如何配置一個以安全為中心的系統(tǒng)也是尤為重要的。

    QSC一直致力于為客戶提供必要的資源和知識來給Q-SYS系統(tǒng)進行加強，使系統(tǒng)能夠發(fā)揮出最大的效能并維持一個安全的網(wǎng)絡(luò)環(huán)境。下面是您在構(gòu)建Q-SYS系統(tǒng)時應(yīng)當(dāng)注意的13個要點。

    升級固件：雖然這聽起來很簡單，但Q-SYS OS的固件更新經(jīng)常會被忽視。這個簡單的步驟是確保系統(tǒng)能夠接收到最新的（且非常必要的）安全補丁和功能的唯一方法。

    啟用訪問控制：不要把控制權(quán)交給每個用戶，Q-SYS有各種訪問控制選項，從用戶角色到創(chuàng)建自定義用戶權(quán)限都可以。并且可以設(shè)置設(shè)備密碼來保護某些設(shè)置。

    正確設(shè)置Q-SYS處理器的日期和時間：您可能不知道這會影響到安全計劃的可靠性，因為安全證書需要正確的日期和時間信息來進行更新。任何時間信息上的錯誤都可能會導(dǎo)致安全證書失效。

    啟用802.1X：不，這說的不是你開車時最喜歡聽的電臺。IEEE802.1X是一個定義如何為局域網(wǎng)上的連接設(shè)備提供身份驗證的標(biāo)準(zhǔn)，可同時用于有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)。一旦啟用，Q-SYS系列產(chǎn)品就會被自動進行配置，以便它們可以被驗證和授予網(wǎng)絡(luò)訪問權(quán)限。

    加強軟電話配置：VoIP電話仍然是一個潛在的網(wǎng)絡(luò)接入點，因此QSC建議只使用加密的軟電話通信和安全密碼。

    禁用FTP服務(wù)器：FTP服務(wù)器最初就不是為了安全而構(gòu)建的，它最初是為用戶提供基本的、未加密的文件傳輸功能。人們現(xiàn)在普遍認(rèn)為這是有安全風(fēng)險的。因此Q-SYS處理器上的FTP服務(wù)器默認(rèn)是禁用的，并建議保持“禁用”狀態(tài)。仔細(xì)檢查你的Q-SYS處理器，以確保一直是禁用狀態(tài)。

    加強您的SNMP服務(wù)器：簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是一種容易被濫用的未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備連接方式。正因為如此(類似于FTP服務(wù)器)，Q-SYS處理器上的SNMP服務(wù)器也是默認(rèn)為“禁用”。如果系統(tǒng)一定需要使用該功能，QSC建議只實現(xiàn)SNMPv3，并遵循客戶網(wǎng)絡(luò)的InfoSec指導(dǎo)來使用。

    安裝帶有證書頒發(fā)機構(gòu)(CA)簽名的設(shè)備證書：這些都是受信任的機構(gòu)，它們會發(fā)布SSL數(shù)字安全證書來證明特定密鑰的所有權(quán)。這讓網(wǎng)絡(luò)資源可以確認(rèn)Q-SYS產(chǎn)品已被授權(quán)在您的網(wǎng)絡(luò)上。

    配置DNS：域名系統(tǒng)(DNS)可以被潛在的攻擊者使用來將流量重定向到薄弱的網(wǎng)絡(luò)資源上。應(yīng)當(dāng)設(shè)置好Q-SYS處理器的網(wǎng)絡(luò)配置，讓其只能使用受信任的DNS服務(wù)器(由IT團隊提供的）。

    配置外部控制：有時，您可能需要利用些外部控制系統(tǒng)來控制或監(jiān)視您的Q-SYS系統(tǒng)。這種集成就可能成為一個潛在的安全漏洞，所以構(gòu)建它時一定要加倍小心。有兩種利用HTTPS上的管理api來對Q-SYS處理器進行加密控制的方法。通過APT管理，您可以確保您組織內(nèi)的APT都是安全的。第二種方法是設(shè)置外部控制PIN（密碼），以更獨立的來管理您的訪問。

    設(shè)置UCI密碼保護：說到密碼，用戶控制界面UCI也可以設(shè)置密碼來讓特定用戶擁有Q-SYS系統(tǒng)控制權(quán)限。此外，您還可以一鍵將您的控制界面設(shè)置為隱私界面而不對外開放。

    設(shè)置尋呼系統(tǒng)PIN保護：如果您有一個使用PA尋呼功能的系統(tǒng)，那么您就可以自己設(shè)置密碼來控制用戶對尋呼站功能的使用。這對于在公共空間的尋呼站尤其重要。(尤其適合阻止那些忍不住打開公共尋呼系統(tǒng)唱個歌的青少年。)

    禁用未使用網(wǎng)絡(luò)服務(wù)：這一點需要一些協(xié)助來完成。您需要和您的系統(tǒng)設(shè)計師進行溝通，找出在Q-SYS處理器上運行的設(shè)計中有哪些網(wǎng)絡(luò)服務(wù)是不需要的，然后將其禁用。目的是要盡可能多地消除潛在的侵入點。

    相信您現(xiàn)在已經(jīng)對應(yīng)該做什么以及為什么要做有了初步的認(rèn)識，那具體應(yīng)該怎么操作呢？下一步是點擊進入安全文檔。您會在文檔里找到一個關(guān)于上列主題的精簡列表，并配有相關(guān)說明和資源的鏈接。