VoIP在企業(yè)通信中的應用范圍越來越廣,,已經(jīng)深入到了企業(yè)的各個管理流程,,除了費用的節(jié)省之外,,整合式的通訊能力直接提升了企業(yè)運營效率,。企業(yè)在部署VoIP系統(tǒng)時,,除了對服務質(zhì)量等問題的關(guān)注外,,對安全問題最為重視,。VoIP所面臨的一系列安全隱患,,實際上是互聯(lián)網(wǎng)絡上存在的若干安全問題的延續(xù),。只有很好地解決了網(wǎng)絡的安全問題,同時配合VoIP產(chǎn)品本身的一些安全認證機制,,基于VoIP的應用才能夠在企業(yè)中持久穩(wěn)定地發(fā)揮作用,,并成為解決企業(yè)話音通信需求的有效方法。
預先防范更重要
預先防范是解決網(wǎng)絡安全問題的最好辦法,,這也適用于VoIP,。雖然這是一個老生常談的話題,,但是很多企業(yè)卻沒有在部署VoIP系統(tǒng)時給予安全問題足夠的重視,尤其是亞太地區(qū)更為明顯,。有市場研究機構(gòu)調(diào)查表明,,目前亞太地區(qū)的服務供應商在VoIP安全性方面的支出遠遠落后于美國和歐洲,并且這一差距未來還將會進一步加大,,預計2008年亞太區(qū)在該方面的支出約為1.7億美元,,而亞太以外其他地區(qū)的總支出將超過3.7億美元。這充分說明了當前亞太區(qū)在VoIP安全意識方面的欠缺,。
上海貝爾阿爾卡特業(yè)務通信公司高級經(jīng)理顧均卓認為:“為了保證企業(yè)VoIP的安全,,用戶在選擇VoIP系統(tǒng)時,應該選用已經(jīng)內(nèi)置了安全保護的系統(tǒng),。”她進一步說明VoIP安全威脅主要來自于網(wǎng)絡的病毒和黑客對數(shù)據(jù)網(wǎng)絡的各種攻擊以及網(wǎng)絡的硬件設備自身出現(xiàn)的問題,。一般來說,面向語音通信服務器的網(wǎng)絡攻擊,,主要通過遠端維護的方式進入,,從網(wǎng)絡攻擊的角度看,主要通過Telnet方式接入,。造成的危害有:影響話音質(zhì)量,、語音系統(tǒng)和應用的連接中斷等,最嚴重時會出現(xiàn)因為數(shù)據(jù)網(wǎng)絡的阻塞和中斷,,導致語音網(wǎng)絡出現(xiàn)通信故障,。
Juniper網(wǎng)絡公司中國區(qū)系統(tǒng)工程師梁小東也認為企業(yè)在部署VoIP系統(tǒng)的時候,也應該設定相應的一體化安全防護手段,。
企業(yè)VoIP實質(zhì)上只是IP網(wǎng)絡上的一種應用,,和電子郵件、Web瀏覽等類似,。如今典型的企業(yè)IP電話系統(tǒng)其基本要素包括:呼叫控制服務器;VoIP客戶機;VoIP網(wǎng)關(guān),。所以理論上說VoIP系統(tǒng)和其他網(wǎng)絡數(shù)據(jù)應用一樣容易遭到攻擊。面臨的一系列潛在威脅包括:拒絕服務攻擊,、病毒,、蠕蟲、特洛伊木馬,、數(shù)據(jù)包嗅探,、垃圾郵件和網(wǎng)絡釣魚等。
就目前來看,,業(yè)界很少有關(guān)于VoIP系統(tǒng)受到大規(guī)模攻擊的報道,,不過這并不代表著VoIP系統(tǒng)比其他網(wǎng)絡應用更加安全。實際上,,這種情況的發(fā)生很大程度上是和VoIP系統(tǒng)本身標準化程度不足,,各個廠商之間設備互通性差聯(lián)系在一起的,。VoIP的非標準化雖然增加了企業(yè)的使用成本,但是卻“意外”地加大了黑客入侵的難度,。但是這并不意味著企業(yè)可以削減在VoIP安全上的投資,,這是因為隨著VoIP使用范圍的不斷擴大,VoIP標準化也隨之增強,。
梁小東對《中國電子報》記者說:“已經(jīng)出現(xiàn)了針對目前流行的VoIP通信協(xié)議SIP的攻擊方式,,可以讓企業(yè)的VoIP通話中斷。”
用老辦法解決新問題
VoIP面臨的安全威脅類型和大多數(shù)互聯(lián)網(wǎng)應用一樣,,所以從這個角度來說,,人們可以把防護其他應用安全的措施轉(zhuǎn)移到VoIP系統(tǒng)中來。比如在IP傳輸層使用防火墻,,用IPS/IDS解決方案進行更深入的分析,,使用應用程序或者協(xié)議分析器等。
可喜的是目前流行的防火墻在最新的發(fā)布版本中都有VoIP功能,。這對VoIP安全程度的提高大有幫助,。當然,要保障VoIP的安全,,僅僅把原來的安全措施遷移過來還不夠,,需要針對VoIP自身的特點進行優(yōu)化。
普遍意義上說為了企業(yè)VoIP系統(tǒng)的安全,,可以采取下面幾種手段:保護賬戶安全,,在建立和升級賬戶過程中,為用戶提供的資源應當通過具有可靠的認證機制的加密隧道進行;保護網(wǎng)絡安全,,最好讓語音適配器能夠與已有的防火墻/路由器保持同步;保護呼叫安全,,挑選包含VPN功能的設備;保證服務鏈的安全。
對于如何解決VoIP的安全問題,,專業(yè)廠商也推出了自己的解決方案,。
阿爾卡特朗訊的IP語音通信系統(tǒng)——OmniPCXEnterprise交換機已經(jīng)內(nèi)置了安全防護系統(tǒng)。主要采用如下手段:削減Linux標準版操作系統(tǒng)中與IP語音通信無關(guān)的部分(非必要部分),,把500M源代碼削減至70M;縮減Linux分布式系統(tǒng)所需的TCP端口;采用可適應的Linux應用程序;加入掃描軟件;對OmniPCXEnterprise通信服務器的訪問采用可信的ssh、sftp,、scp機制,,用來替代telnet、ftp,、rcp等,。
Juniper推出的防火墻則利用對通訊協(xié)議的分析來識別應用,把行為管理和安全問題聯(lián)合進行處理,。
目前VoIP還有向統(tǒng)一通信發(fā)展的趨勢,,多種通信方式的整合也在一定程度上增加了安全風險,。廠商應當為未來可能發(fā)生的風險早做準備,根據(jù)統(tǒng)一通訊整合式通信的特點,,針對其不同的應用,,開發(fā)出有針對性的安全防護機制。
平衡安全與性能
VoIP的安全問題確實值得重視,,但是由于VoIP是一種語音通信方式,,對業(yè)務的實時性要求非常高,企業(yè)在加強VoIP系統(tǒng)安全時要注意平衡安全與性能之間的關(guān)系,。
通常意義上,,為了達到和PSTN相媲美的語音通話質(zhì)量,VoIP單向流量的時延不得超過150毫秒,,否則用戶體驗將會異常糟糕,。一般來說語音編碼可能占用30毫秒的時間,橫跨長距離在公共IP網(wǎng)絡上傳送的語音呼叫可能占用長達100毫秒,、甚至125毫秒的時間,。在這種情況下,如果防火墻,、加密和入侵防御等安全措施帶來的時延過多的話,,必然會大大影響客戶的使用體驗。
已經(jīng)有很多企業(yè)對VoIP的通話質(zhì)量進行了抱怨,,認為其和PSTN無法相比,,而且還有回音出現(xiàn),這大大影響企業(yè)部署VoIP系統(tǒng)的積極性,。所以很難想象一個影響VoIP使用體驗的安全系統(tǒng)能夠得到客戶的歡迎,,這一問題值得致力于VoIP安全的企業(yè)去高度重視,找到有效的解決手段,。
除了要平衡安全與性能之間的關(guān)系之外,,值得注意的是安全是一整套體系。網(wǎng)絡安全不是一個點的概念,,而是一個面的概念,,要采用一個整體的安全防范體系。VoIP系統(tǒng)的安全不能和其他網(wǎng)絡應用互相割裂開來,,要對他們進行綜合考慮,,并且注意整體的投資收益問題。