配置Q-SYS時(shí)要記住的網(wǎng)絡(luò)安全設(shè)置

    AV行業(yè)不斷的進(jìn)行現(xiàn)代化的進(jìn)步是非常重要的，幾十年來QSC一直為此理念而不斷創(chuàng)新。如今我們可以看到網(wǎng)絡(luò)化的AV系統(tǒng)已經(jīng)得到了廣泛認(rèn)可，越來越多的人開始了解它的優(yōu)勢(shì)。因此學(xué)會(huì)如何配置一個(gè)以安全為中心的系統(tǒng)也是尤為重要的。

    QSC一直致力于為客戶提供必要的資源和知識(shí)來給Q-SYS系統(tǒng)進(jìn)行加強(qiáng)，使系統(tǒng)能夠發(fā)揮出最大的效能并維持一個(gè)安全的網(wǎng)絡(luò)環(huán)境。下面是您在構(gòu)建Q-SYS系統(tǒng)時(shí)應(yīng)當(dāng)注意的13個(gè)要點(diǎn)。

    升級(jí)固件：雖然這聽起來很簡(jiǎn)單，但Q-SYS OS的固件更新經(jīng)常會(huì)被忽視。這個(gè)簡(jiǎn)單的步驟是確保系統(tǒng)能夠接收到最新的（且非常必要的）安全補(bǔ)丁和功能的唯一方法。

    啟用訪問控制：不要把控制權(quán)交給每個(gè)用戶，Q-SYS有各種訪問控制選項(xiàng)，從用戶角色到創(chuàng)建自定義用戶權(quán)限都可以。并且可以設(shè)置設(shè)備密碼來保護(hù)某些設(shè)置。

    正確設(shè)置Q-SYS處理器的日期和時(shí)間：您可能不知道這會(huì)影響到安全計(jì)劃的可靠性，因?yàn)榘踩�證書需要正確的日期和時(shí)間信息來進(jìn)行更新。任何時(shí)間信息上的錯(cuò)誤都可能會(huì)導(dǎo)致安全證書失效。

    啟用802.1X：不，這說的不是你開車時(shí)最喜歡聽的電臺(tái)。IEEE802.1X是一個(gè)定義如何為局域網(wǎng)上的連接設(shè)備提供身份驗(yàn)證的標(biāo)準(zhǔn)，可同時(shí)用于有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)。一旦啟用，Q-SYS系列產(chǎn)品就會(huì)被自動(dòng)進(jìn)行配置，以便它們可以被驗(yàn)證和授予網(wǎng)絡(luò)訪問權(quán)限。

    加強(qiáng)軟電話配置：VoIP電話仍然是一個(gè)潛在的網(wǎng)絡(luò)接入點(diǎn)，因此QSC建議只使用加密的軟電話通信和安全密碼。

    禁用FTP服務(wù)器：FTP服務(wù)器最初就不是為了安全而構(gòu)建的，它最初是為用戶提供基本的、未加密的文件傳輸功能。人們現(xiàn)在普遍認(rèn)為這是有安全風(fēng)險(xiǎn)的。因此Q-SYS處理器上的FTP服務(wù)器默認(rèn)是禁用的，并建議保持“禁用”狀態(tài)。仔細(xì)檢查你的Q-SYS處理器，以確保一直是禁用狀態(tài)。

    加強(qiáng)您的SNMP服務(wù)器：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)是一種容易被濫用的未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備連接方式。正因?yàn)槿绱?類似于FTP服務(wù)器)，Q-SYS處理器上的SNMP服務(wù)器也是默認(rèn)為“禁用”。如果系統(tǒng)一定需要使用該功能，QSC建議只實(shí)現(xiàn)SNMPv3，并遵循客戶網(wǎng)絡(luò)的InfoSec指導(dǎo)來使用。

    安裝帶有證書頒發(fā)機(jī)構(gòu)(CA)簽名的設(shè)備證書：這些都是受信任的機(jī)構(gòu)，它們會(huì)發(fā)布SSL數(shù)字安全證書來證明特定密鑰的所有權(quán)。這讓網(wǎng)絡(luò)資源可以確認(rèn)Q-SYS產(chǎn)品已被授權(quán)在您的網(wǎng)絡(luò)上。

    配置DNS：域名系統(tǒng)(DNS)可以被潛在的攻擊者使用來將流量重定向到薄弱的網(wǎng)絡(luò)資源上。應(yīng)當(dāng)設(shè)置好Q-SYS處理器的網(wǎng)絡(luò)配置，讓其只能使用受信任的DNS服務(wù)器(由IT團(tuán)隊(duì)提供的）。

    配置外部控制：有時(shí)，您可能需要利用些外部控制系統(tǒng)來控制或監(jiān)視您的Q-SYS系統(tǒng)。這種集成就可能成為一個(gè)潛在的安全漏洞，所以構(gòu)建它時(shí)一定要加倍小心。有兩種利用HTTPS上的管理api來對(duì)Q-SYS處理器進(jìn)行加密控制的方法。通過APT管理，您可以確保您組織內(nèi)的APT都是安全的。第二種方法是設(shè)置外部控制PIN（密碼），以更獨(dú)立的來管理您的訪問。

    設(shè)置UCI密碼保護(hù)：說到密碼，用戶控制界面UCI也可以設(shè)置密碼來讓特定用戶擁有Q-SYS系統(tǒng)控制權(quán)限。此外，您還可以一鍵將您的控制界面設(shè)置為隱私界面而不對(duì)外開放。

    設(shè)置尋呼系統(tǒng)PIN保護(hù)：如果您有一個(gè)使用PA尋呼功能的系統(tǒng)，那么您就可以自己設(shè)置密碼來控制用戶對(duì)尋呼站功能的使用。這對(duì)于在公共空間的尋呼站尤其重要。(尤其適合阻止那些忍不住打開公共尋呼系統(tǒng)唱個(gè)歌的青少年。)

    禁用未使用網(wǎng)絡(luò)服務(wù)：這一點(diǎn)需要一些協(xié)助來完成。您需要和您的系統(tǒng)設(shè)計(jì)師進(jìn)行溝通，找出在Q-SYS處理器上運(yùn)行的設(shè)計(jì)中有哪些網(wǎng)絡(luò)服務(wù)是不需要的，然后將其禁用。目的是要盡可能多地消除潛在的侵入點(diǎn)。

    相信您現(xiàn)在已經(jīng)對(duì)應(yīng)該做什么以及為什么要做有了初步的認(rèn)識(shí)，那具體應(yīng)該怎么操作呢？下一步是點(diǎn)擊進(jìn)入安全文檔。您會(huì)在文檔里找到一個(gè)關(guān)于上列主題的精簡(jiǎn)列表，并配有相關(guān)說明和資源的鏈接。