一體化手段破解VoIP安全難題

　　VoIP在企業(yè)通信中的應(yīng)用范圍越來越廣，已經(jīng)深入到了企業(yè)的各個管理流程，除了費(fèi)用的節(jié)省之外，整合式的通訊能力直接提升了企業(yè)運(yùn)營效率。企業(yè)在部署VoIP系統(tǒng)時，除了對服務(wù)質(zhì)量等問題的關(guān)注外，對安全問題最為重視。VoIP所面臨的一系列安全隱患，實際上是互聯(lián)網(wǎng)絡(luò)上存在的若干安全問題的延續(xù)。只有很好地解決了網(wǎng)絡(luò)的安全問題，同時配合VoIP產(chǎn)品本身的一些安全認(rèn)證機(jī)制，基于VoIP的應(yīng)用才能夠在企業(yè)中持久穩(wěn)定地發(fā)揮作用，并成為解決企業(yè)話音通信需求的有效方法。

預(yù)先防范更重要

　　預(yù)先防范是解決網(wǎng)絡(luò)安全問題的最好辦法，這也適用于VoIP。雖然這是一個老生常談的話題，但是很多企業(yè)卻沒有在部署VoIP系統(tǒng)時給予安全問題足夠的重視，尤其是亞太地區(qū)更為明顯。有市場研究機(jī)構(gòu)調(diào)查表明，目前亞太地區(qū)的服務(wù)供應(yīng)商在VoIP安全性方面的支出遠(yuǎn)遠(yuǎn)落后于美國和歐洲，并且這一差距未來還將會進(jìn)一步加大，預(yù)計2008年亞太區(qū)在該方面的支出約為1.7億美元，而亞太以外其他地區(qū)的總支出將超過3.7億美元。這充分說明了當(dāng)前亞太區(qū)在VoIP安全意識方面的欠缺。

　　上海貝爾阿爾卡特業(yè)務(wù)通信公司高級經(jīng)理顧均卓認(rèn)為：“為了保證企業(yè)VoIP的安全，用戶在選擇VoIP系統(tǒng)時，應(yīng)該選用已經(jīng)內(nèi)置了安全保護(hù)的系統(tǒng)?！彼M(jìn)一步說明VoIP安全威脅主要來自于網(wǎng)絡(luò)的病毒和黑客對數(shù)據(jù)網(wǎng)絡(luò)的各種攻擊以及網(wǎng)絡(luò)的硬件設(shè)備自身出現(xiàn)的問題。一般來說，面向語音通信服務(wù)器的網(wǎng)絡(luò)攻擊，主要通過遠(yuǎn)端維護(hù)的方式進(jìn)入，從網(wǎng)絡(luò)攻擊的角度看，主要通過Telnet方式接入。造成的危害有：影響話音質(zhì)量、語音系統(tǒng)和應(yīng)用的連接中斷等，最嚴(yán)重時會出現(xiàn)因為數(shù)據(jù)網(wǎng)絡(luò)的阻塞和中斷，導(dǎo)致語音網(wǎng)絡(luò)出現(xiàn)通信故障。

　　Juniper網(wǎng)絡(luò)公司中國區(qū)系統(tǒng)工程師梁小東也認(rèn)為企業(yè)在部署VoIP系統(tǒng)的時候，也應(yīng)該設(shè)定相應(yīng)的一體化安全防護(hù)手段。

　　企業(yè)VoIP實質(zhì)上只是IP網(wǎng)絡(luò)上的一種應(yīng)用，和電子郵件、Web瀏覽等類似。如今典型的企業(yè)IP電話系統(tǒng)其基本要素包括：呼叫控制服務(wù)器；VoIP客戶機(jī)；VoIP網(wǎng)關(guān)。所以理論上說VoIP系統(tǒng)和其他網(wǎng)絡(luò)數(shù)據(jù)應(yīng)用一樣容易遭到攻擊。面臨的一系列潛在威脅包括：拒絕服務(wù)攻擊、病毒、蠕蟲、特洛伊木馬、數(shù)據(jù)包嗅探、垃圾郵件和網(wǎng)絡(luò)釣魚等。

　　就目前來看，業(yè)界很少有關(guān)于VoIP系統(tǒng)受到大規(guī)模攻擊的報道，不過這并不代表著VoIP系統(tǒng)比其他網(wǎng)絡(luò)應(yīng)用更加安全。實際上，這種情況的發(fā)生很大程度上是和VoIP系統(tǒng)本身標(biāo)準(zhǔn)化程度不足，各個廠商之間設(shè)備互通性差聯(lián)系在一起的。VoIP的非標(biāo)準(zhǔn)化雖然增加了企業(yè)的使用成本，但是卻“意外”地加大了黑客入侵的難度。但是這并不意味著企業(yè)可以削減在VoIP安全上的投資，這是因為隨著VoIP使用范圍的不斷擴(kuò)大，VoIP標(biāo)準(zhǔn)化也隨之增強(qiáng)。

　　梁小東對《中國電子報》記者說：“已經(jīng)出現(xiàn)了針對目前流行的VoIP通信協(xié)議SIP的攻擊方式，可以讓企業(yè)的VoIP通話中斷。”

用老辦法解決新問題

　　VoIP面臨的安全威脅類型和大多數(shù)互聯(lián)網(wǎng)應(yīng)用一樣，所以從這個角度來說，人們可以把防護(hù)其他應(yīng)用安全的措施轉(zhuǎn)移到VoIP系統(tǒng)中來。比如在IP傳輸層使用防火墻，用IPS/IDS解決方案進(jìn)行更深入的分析，使用應(yīng)用程序或者協(xié)議分析器等。

　　可喜的是目前流行的防火墻在最新的發(fā)布版本中都有VoIP功能。這對VoIP安全程度的提高大有幫助。當(dāng)然，要保障VoIP的安全，僅僅把原來的安全措施遷移過來還不夠，需要針對VoIP自身的特點(diǎn)進(jìn)行優(yōu)化。{{分頁}}

　　普遍意義上說為了企業(yè)VoIP系統(tǒng)的安全，可以采取下面幾種手段：保護(hù)賬戶安全，在建立和升級賬戶過程中，為用戶提供的資源應(yīng)當(dāng)通過具有可靠的認(rèn)證機(jī)制的加密隧道進(jìn)行；保護(hù)網(wǎng)絡(luò)安全，最好讓語音適配器能夠與已有的防火墻/路由器保持同步；保護(hù)呼叫安全，挑選包含VPN功能的設(shè)備；保證服務(wù)鏈的安全。

　　對于如何解決VoIP的安全問題，專業(yè)廠商也推出了自己的解決方案。

　　阿爾卡特朗訊的IP語音通信系統(tǒng)——OmniPCX

　　Enterprise交換機(jī)已經(jīng)內(nèi)置了安全防護(hù)系統(tǒng)。主要采用如下手段：削減Linux標(biāo)準(zhǔn)版操作系統(tǒng)中與IP語音通信無關(guān)的部分(非必要部分)，把500M源代碼削減至70M；縮減Linux分布式系統(tǒng)所需的TCP端口；采用可適應(yīng)的Linux應(yīng)用程序；加入掃描軟件；對OmniPCX

　　Enterprise通信服務(wù)器的訪問采用可信的ssh、sftp、scp機(jī)制，用來替代telnet、ftp、rcp等。

　　Juniper推出的防火墻則利用對通訊協(xié)議的分析來識別應(yīng)用，把行為管理和安全問題聯(lián)合進(jìn)行處理。

　　目前VoIP還有向統(tǒng)一通信發(fā)展的趨勢，多種通信方式的整合也在一定程度上增加了安全風(fēng)險。廠商應(yīng)當(dāng)為未來可能發(fā)生的風(fēng)險早做準(zhǔn)備，根據(jù)統(tǒng)一通訊整合式通信的特點(diǎn)，針對其不同的應(yīng)用，開發(fā)出有針對性的安全防護(hù)機(jī)制。

平衡安全與性能

　　VoIP的安全問題確實值得重視，但是由于VoIP是一種語音通信方式，對業(yè)務(wù)的實時性要求非常高，企業(yè)在加強(qiáng)VoIP系統(tǒng)安全時要注意平衡安全與性能之間的關(guān)系。

　　通常意義上，為了達(dá)到和PSTN相媲美的語音通話質(zhì)量，VoIP單向流量的時延不得超過150毫秒，否則用戶體驗將會異常糟糕。一般來說語音編碼可能占用30毫秒的時間，橫跨長距離在公共IP網(wǎng)絡(luò)上傳送的語音呼叫可能占用長達(dá)100毫秒、甚至125毫秒的時間。在這種情況下，如果防火墻、加密和入侵防御等安全措施帶來的時延過多的話，必然會大大影響客戶的使用體驗。

　　已經(jīng)有很多企業(yè)對VoIP的通話質(zhì)量進(jìn)行了抱怨，認(rèn)為其和PSTN無法相比，而且還有回音出現(xiàn)，這大大影響企業(yè)部署VoIP系統(tǒng)的積極性。所以很難想象一個影響VoIP使用體驗的安全系統(tǒng)能夠得到客戶的歡迎，這一問題值得致力于VoIP安全的企業(yè)去高度重視，找到有效的解決手段。

　　除了要平衡安全與性能之間的關(guān)系之外，值得注意的是安全是一整套體系。網(wǎng)絡(luò)安全不是一個點(diǎn)的概念，而是一個面的概念，要采用一個整體的安全防范體系。VoIP系統(tǒng)的安全不能和其他網(wǎng)絡(luò)應(yīng)用互相割裂開來，要對他們進(jìn)行綜合考慮，并且注意整體的投資收益問題。