配置Q-SYS时要记住的网络安全设置

    AV行业不断的进行现代化的进步是非常重要的，几十年来QSC一直为此理念而不断创新。如今我们可以看到网络化的AV系统已经得到了广泛认可，越来越多的人开始了解它的优势。因此学会如何配置一个以安全为中心的系统也是尤为重要的。

    QSC一直致力于为客户提供必要的资源和知识来给Q-SYS系统进行加强，使系统能够发挥出最大的效能并维持一个安全的网络环境。下面是您在构建Q-SYS系统时应当注意的13个要点。

    升级固件：虽然这听起来很简单，但Q-SYS OS的固件更新经常会被忽视。这个简单的步骤是确保系统能够接收到最新的（且非常必要的）安全补丁和功能的唯一方法。

    启用访问控制：不要把控制权交给每个用户，Q-SYS有各种访问控制选项，从用户角色到创建自定义用户权限都可以。并且可以设置设备密码来保护某些设置。

    正确设置Q-SYS处理器的日期和时间：您可能不知道这会影响到安全计划的可靠性，因为安全证书需要正确的日期和时间信息来进行更新。任何时间信息上的错误都可能会导致安全证书失效。

    启用802.1X：不，这说的不是你开车时最喜欢听的电台。IEEE802.1X是一个定义如何为局域网上的连接设备提供身份验证的标准，可同时用于有线网络和无线网络。一旦启用，Q-SYS系列产品就会被自动进行配置，以便它们可以被验证和授予网络访问权限。

    加强软电话配置：VoIP电话仍然是一个潜在的网络接入点，因此QSC建议只使用加密的软电话通信和安全密码。

    禁用FTP服务器：FTP服务器最初就不是为了安全而构建的，它最初是为用户提供基本的、未加密的文件传输功能。人们现在普遍认为这是有安全风险的。因此Q-SYS处理器上的FTP服务器默认是禁用的，并建议保持“禁用”状态。仔细检查你的Q-SYS处理器，以确保一直是禁用状态。

    加强您的SNMP服务器：简单网络管理协议(SNMP)是一种容易被滥用的未经授权的网络设备连接方式。正因为如此(类似于FTP服务器)，Q-SYS处理器上的SNMP服务器也是默认为“禁用”。如果系统一定需要使用该功能，QSC建议只实现SNMPv3，并遵循客户网络的InfoSec指导来使用。

    安装带有证书颁发机构(CA)签名的设备证书：这些都是受信任的机构，它们会发布SSL数字安全证书来证明特定密钥的所有权。这让网络资源可以确认Q-SYS产品已被授权在您的网络上。

    配置DNS：域名系统(DNS)可以被潜在的攻击者使用来将流量重定向到薄弱的网络资源上。应当设置好Q-SYS处理器的网络配置，让其只能使用受信任的DNS服务器(由IT团队提供的）。

    配置外部控制：有时，您可能需要利用些外部控制系统来控制或监视您的Q-SYS系统。这种集成就可能成为一个潜在的安全漏洞，所以构建它时一定要加倍小心。有两种利用HTTPS上的管理api来对Q-SYS处理器进行加密控制的方法。通过APT管理，您可以确保您组织内的APT都是安全的。第二种方法是设置外部控制PIN（密码），以更独立的来管理您的访问。

    设置UCI密码保护：说到密码，用户控制界面UCI也可以设置密码来让特定用户拥有Q-SYS系统控制权限。此外，您还可以一键将您的控制界面设置为隐私界面而不对外开放。

    设置寻呼系统PIN保护：如果您有一个使用PA寻呼功能的系统，那么您就可以自己设置密码来控制用户对寻呼站功能的使用。这对于在公共空间的寻呼站尤其重要。(尤其适合阻止那些忍不住打开公共寻呼系统唱个歌的青少年。)

    禁用未使用网络服务：这一点需要一些协助来完成。您需要和您的系统设计师进行沟通，找出在Q-SYS处理器上运行的设计中有哪些网络服务是不需要的，然后将其禁用。目的是要尽可能多地消除潜在的侵入点。

    相信您现在已经对应该做什么以及为什么要做有了初步的认识，那具体应该怎么操作呢？下一步是点击进入安全文档。您会在文档里找到一个关于上列主题的精简列表，并配有相关说明和资源的链接。