【數字視聽網訊】AV行業不斷的進行現代化的進步是非常重要的，幾十年來QSC一直為此理念而不斷創新。如今我們可以看到網絡化的AV系統已經得到了廣泛認可，越來越多的人開始了解它的優勢。因此學會如何配置一個以安全為中心的系統也是尤為重要的。

QSC一直致力于為客戶提供必要的資源和知識來給Q-SYS系統進行加強，使系統能夠發揮出最大的效能并維持一個安全的網絡環境。下面是您在構建Q-SYS系統時應當注意的13個要點。

升級固件：雖然這聽起來很簡單，但Q-SYS OS的固件更新經常會被忽視。這個簡單的步驟是確保系統能夠接收到最新的(且非常必要的)安全補丁和功能的唯一方法。

啟用訪問控制：不要把控制權交給每個用戶，Q-SYS有各種訪問控制選項，從用戶角色到創建自定義用戶權限都可以。并且可以設置設備密碼來保護某些設置。

正確設置Q-SYS處理器的日期和時間：您可能不知道這會影響到安全計劃的可靠性，因為安全證書需要正確的日期和時間信息來進行更新。任何時間信息上的錯誤都可能會導致安全證書失效。

啟用802.1X：不，這說的不是你開車時最喜歡聽的電臺。IEEE802.1X是一個定義如何為局域網上的連接設備提供身份驗證的標準，可同時用于有線網絡和無線網絡。一旦啟用，Q-SYS系列產品就會被自動進行配置，以便它們可以被驗證和授予網絡訪問權限。

加強軟電話配置：VoIP電話仍然是一個潛在的網絡接入點，因此QSC建議只使用加密的軟電話通信和安全密碼。

禁用FTP服務器：FTP服務器最初就不是為了安全而構建的，它最初是為用戶提供基本的、未加密的文件傳輸功能。人們現在普遍認為這是有安全風險的。因此Q-SYS處理器上的FTP服務器默認是禁用的，并建議保持“禁用”狀態。仔細檢查你的Q-SYS處理器，以確保一直是禁用狀態。

加強您的SNMP服務器：簡單網絡管理協議(SNMP)是一種容易被濫用的未經授權的網絡設備連接方式。正因為如此(類似于FTP服務器)，Q-SYS處理器上的SNMP服務器也是默認為“禁用”。如果系統一定需要使用該功能，QSC建議只實現SNMPv3，并遵循客戶網絡的InfoSec指導來使用。

安裝帶有證書頒發機構(CA)簽名的設備證書：這些都是受信任的機構，它們會發布SSL數字安全證書來證明特定密鑰的所有權。這讓網絡資源可以確認Q-SYS產品已被授權在您的網絡上。

配置DNS：域名系統(DNS)可以被潛在的攻擊者使用來將流量重定向到薄弱的網絡資源上。應當設置好Q-SYS處理器的網絡配置，讓其只能使用受信任的DNS服務器(由IT團隊提供的)。

配置外部控制：有時，您可能需要利用些外部控制系統來控制或監視您的Q-SYS系統。這種集成就可能成為一個潛在的安全漏洞，所以構建它時一定要加倍小心。有兩種利用HTTPS上的管理api來對Q-SYS處理器進行加密控制的方法。通過APT管理，您可以確保您組織內的APT都是安全的。第二種方法是設置外部控制PIN(密碼)，以更獨立的來管理您的訪問。

設置UCI密碼保護：說到密碼，用戶控制界面UCI也可以設置密碼來讓特定用戶擁有Q-SYS系統控制權限。此外，您還可以一鍵將您的控制界面設置為隱私界面而不對外開放。

設置尋呼系統PIN保護：如果您有一個使用PA尋呼功能的系統，那么您就可以自己設置密碼來控制用戶對尋呼站功能的使用。這對于在公共空間的尋呼站尤其重要。(尤其適合阻止那些忍不住打開公共尋呼系統唱個歌的青少年。)

禁用未使用網絡服務：這一點需要一些協助來完成。您需要和您的系統設計師進行溝通，找出在Q-SYS處理器上運行的設計中有哪些網絡服務是不需要的，然后將其禁用。目的是要盡可能多地消除潛在的侵入點。

相信您現在已經對應該做什么以及為什么要做有了初步的認識，那具體應該怎么操作呢?下一步是點擊進入安全文檔。您會在文檔里找到一個關于上列主題的精簡列表，并配有相關說明和資源的鏈接。

來源：佳聯

（編輯：bingjiling）