配置Q-SYS时要记住的网络安全设置
发布时间:2022.03.18 浏览次数:184
  

video-distribution-hdr-1024x549-1.jpg


AV行业不断的进行现代化的进步是非常重要的,几十年来QSC一直为此理念而不断创新。如今我们可以看到网络化的AV系统已经得到了广泛认可,越来越多的人开始了解它的优势。因此学会如何配置一个以安全为中心的系统也是尤为重要的。


QSC一直致力于为客户提供必要的资源和知识来给Q-SYS系统进行加强,使系统能够发挥出最大的效能并维持一个安全的网络环境。下面是您在构建Q-SYS系统时应当注意的13个要点。


升级固件:虽然这听起来很简单,但Q-SYS OS的固件更新经常会被忽视。这个简单的步骤是确保系统能够接收到最新的(且非常必要的)安全补丁和功能的唯一方法。


启用访问控制:不要把控制权交给每个用户,Q-SYS有各种访问控制选项,从用户角色到创建自定义用户权限都可以。并且可以设置设备密码来保护某些设置。


正确设置Q-SYS处理器的日期和时间:您可能不知道这会影响到安全计划的可靠性,因为安全证书需要正确的日期和时间信息来进行更新。任何时间信息上的错误都可能会导致安全证书失效。


启用802.1X:不,这说的不是你开车时最喜欢听的电台。IEEE802.1X是一个定义如何为局域网上的连接设备提供身份验证的标准,可同时用于有线网络和无线网络。一旦启用,Q-SYS系列产品就会被自动进行配置,以便它们可以被验证和授予网络访问权限。


加强软电话配置:VoIP电话仍然是一个潜在的网络接入点,因此QSC建议只使用加密的软电话通信和安全密码。


禁用FTP服务器:FTP服务器最初就不是为了安全而构建的,它最初是为用户提供基本的、未加密的文件传输功能。人们现在普遍认为这是有安全风险的。因此Q-SYS处理器上的FTP服务器默认是禁用的,并建议保持“禁用”状态。仔细检查你的Q-SYS处理器,以确保一直是禁用状态。


加强您的SNMP服务器:简单网络管理协议(SNMP)是一种容易被滥用的未经授权的网络设备连接方式。正因为如此(类似于FTP服务器),Q-SYS处理器上的SNMP服务器也是默认为“禁用”。如果系统一定需要使用该功能,QSC建议只实现SNMPv3,并遵循客户网络的InfoSec指导来使用。


安装带有证书颁发机构(CA)签名的设备证书:这些都是受信任的机构,它们会发布SSL数字安全证书来证明特定密钥的所有权。这让网络资源可以确认Q-SYS产品已被授权在您的网络上。


配置DNS:域名系统(DNS)可以被潜在的攻击者使用来将流量重定向到薄弱的网络资源上。应当设置好Q-SYS处理器的网络配置,让其只能使用受信任的DNS服务器(由IT团队提供的)。


配置外部控制:有时,您可能需要利用些外部控制系统来控制或监视您的Q-SYS系统。这种集成就可能成为一个潜在的安全漏洞,所以构建它时一定要加倍小心。有两种利用HTTPS上的管理api来对Q-SYS处理器进行加密控制的方法。通过APT管理,您可以确保您组织内的APT都是安全的。第二种方法是设置外部控制PIN(密码),以更独立的来管理您的访问。


设置UCI密码保护:说到密码,用户控制界面UCI也可以设置密码来让特定用户拥有Q-SYS系统控制权限。此外,您还可以一键将您的控制界面设置为隐私界面而不对外开放。


设置寻呼系统PIN保护:如果您有一个使用PA寻呼功能的系统,那么您就可以自己设置密码来控制用户对寻呼站功能的使用。这对于在公共空间的寻呼站尤其重要。(尤其适合阻止那些忍不住打开公共寻呼系统唱个歌的青少年。)


禁用未使用网络服务:这一点需要一些协助来完成。您需要和您的系统设计师进行沟通,找出在Q-SYS处理器上运行的设计中有哪些网络服务是不需要的,然后将其禁用。目的是要尽可能多地消除潜在的侵入点。


相信您现在已经对应该做什么以及为什么要做有了初步的认识,那具体应该怎么操作呢?下一步是点击进入安全文档。您会在文档里找到一个关于上列主题的精简列表,并配有相关说明和资源的链接。


上海佳联视听科技有限公司 沪ICP备18018197号