統(tǒng)一通信,也就是我們常說(shuō)的UC平臺(tái)。在部署的時(shí)候我們應(yīng)該注意一些什么呢?尤其以安全為重,在以往的部署案例中,很多企業(yè)都抱怨不能和本身的安全系統(tǒng)相互融合,這個(gè)問題應(yīng)該怎么解決呢?
部署統(tǒng)一通信(UC)目前仍缺乏嚴(yán)密的安全保障,企業(yè)的安全系統(tǒng)無(wú)法識(shí)別內(nèi)部威脅是最大的隱患。
“我認(rèn)為人們普遍沒有意識(shí)到統(tǒng)一通信(UC)和IP語(yǔ)音(VoIP)安全的必要性,”有安全專家曾這樣說(shuō)。“人們主要關(guān)注在節(jié)約成本,直到遇到了問題,才開始重視安全。”
企業(yè)已經(jīng)開始認(rèn)識(shí)到統(tǒng)一通信(UC)某些方面安全的必要,例如即時(shí)通信(IM)。也有一些廠商開始銷售即時(shí)通信(IM)安全設(shè)備,而且賣得很火。然而,在許多組織中,他們的統(tǒng)一通信(UC)系統(tǒng)中的核心部分,像VoIP,仍然十分容易遭受攻擊和入侵。
“在你考慮用VoIP之前,必須從根本上確保你所使用網(wǎng)絡(luò)的安全,”安全專家說(shuō)。“你需要認(rèn)真研究你的VoIP配置。如果有任何安全通信的需要,就應(yīng)該對(duì) VoIP進(jìn)行加密。”
Nemertes Research的首席分析師表示,許多企業(yè)在真正應(yīng)該重視統(tǒng)一通信(UC)內(nèi)部威脅的時(shí)候,他們卻把精力放在阻止外部威脅。
“現(xiàn)在我們的感覺是,當(dāng)我們與企業(yè)談到語(yǔ)音安全的時(shí)候,他們所擔(dān)心的是底層網(wǎng)絡(luò),”Nemertes Research的首席分析師說(shuō)。“他們擔(dān)心拒絕服務(wù)攻擊,擔(dān)心服務(wù)器攻擊等,但是他們不考慮或關(guān)心內(nèi)部威脅。”
Nemertes Research的首席分析師說(shuō),一般而言,大約有70%的網(wǎng)絡(luò)攻擊來(lái)自內(nèi)部,但企業(yè)總是不愿意把重點(diǎn)放在保護(hù)自己免受內(nèi)部威脅。他們?cè)诜阑饓推渌夹g(shù)上花費(fèi)數(shù)百萬(wàn)美元來(lái)阻止周邊外圍的威脅,外部威脅反而變得越來(lái)越難以控制。
Nemertes Research的首席分析師提供了一些基本的確保統(tǒng)一通信(UC)安全的最優(yōu)方法:
◆確保你安裝了現(xiàn)有所有的安全補(bǔ)丁。
◆使用如Sipera Systems和VoIPShield等公司提供的測(cè)試工具來(lái)掃描漏洞。
◆遵守諸如VoIP安全聯(lián)盟之類公共機(jī)構(gòu)制定的安全標(biāo)準(zhǔn)或協(xié)議。
◆把進(jìn)行風(fēng)險(xiǎn)評(píng)估作為部署統(tǒng)一通信(UC)的一部分。
“我們認(rèn)為安全很早就應(yīng)該和統(tǒng)一通信(UC)緊密地聯(lián)系在一起,”Nemertes Research的首席分析師說(shuō)。“不過,我仍然沒有感覺到人們?cè)谶@方面有足夠的認(rèn)識(shí)。上一次,就是我們?cè)?007年中期的一次調(diào)查研究,不到1%的公司告訴我們,他們?cè)馐苓^對(duì)他們語(yǔ)音系統(tǒng)的攻擊。”
但他表示,公司開始更加清楚地知道統(tǒng)一通信(UC)其中的一部分,統(tǒng)一消息安全的必要性。
“公司擔(dān)心語(yǔ)音郵件向組織外部傳播,”Nemertes Research的首席分析師說(shuō)。“所以,如果我開始以一個(gè).wav格式的文件作為附件給你發(fā)一封語(yǔ)音郵件,這是一個(gè)敏感的語(yǔ)音信息可以發(fā)到外部網(wǎng)絡(luò)或重新發(fā)送,使其聽起來(lái)就像我說(shuō)過一句話,實(shí)際上我并沒有說(shuō)。我們看到了一些公司用統(tǒng)一消息的實(shí)例。當(dāng)時(shí)負(fù)責(zé)公司系統(tǒng)安全方面的人回來(lái)說(shuō),‘你應(yīng)該三個(gè)月之前就把這些告訴我們,那時(shí)我們將會(huì)告訴你我們不能做,因?yàn)槲覀儾荒苊半U(xiǎn)把語(yǔ)音郵件泄露到公司外部。’所以他們暫停了統(tǒng)一消息的部署。”
統(tǒng)一通信(UC)的另一個(gè)嚴(yán)重漏洞是內(nèi)部人員可以進(jìn)行VoIP竊聽。
“VoIP竊聽是一個(gè)為人熟知的攻擊,”統(tǒng)一通信(UC)安全廠商Sipera Systems的主管說(shuō)。“這個(gè)攻擊基本上是人為的攻擊,把欺騙性的ARP數(shù)據(jù)包注入到網(wǎng)絡(luò)中。”
通過ARP數(shù)據(jù)包欺騙入侵到局域網(wǎng)(LAN)中,再誘騙受攻擊者的電腦網(wǎng)絡(luò)重定向語(yǔ)音數(shù)據(jù)包,那么攻擊者就可以順利地記錄談話內(nèi)容了。
“人們認(rèn)為他們把信息直接發(fā)送到了對(duì)方,但是電腦上的漏洞在暗中運(yùn)行,默默地截取,交接和轉(zhuǎn)發(fā)信息給不知情的用戶。”統(tǒng)一通信(UC)安全廠商Sipera Systems的主管說(shuō)。
在這樣的情況下,一個(gè)不滿的員工很很容易地?cái)r截CEO和董事長(zhǎng)或財(cái)務(wù)總監(jiān)和人力資源之間的手機(jī)通話。這些易受攻擊的漏洞存在到今天,那么這個(gè)行業(yè)必然將會(huì)遭受一次重大的事故或調(diào)整。
“人們說(shuō)語(yǔ)音竊聽被夸大了,”統(tǒng)一通信(UC)安全廠商Sipera Systems的主管說(shuō)。“我認(rèn)為這是真實(shí)的,并沒有夸張,只是需要教育和宣傳。它能夠真正地發(fā)生,而且大多數(shù)組織沒有用保護(hù)系統(tǒng)進(jìn)行適當(dāng)?shù)貦z測(cè)漏洞程序何時(shí)運(yùn)行,也沒有采取措施避免遭受攻擊。”
考慮到這一點(diǎn),統(tǒng)一通信(UC)安全廠商Sipera Systems的主管開發(fā)了一個(gè)叫UCSniff的測(cè)試工具,它可以顯示出VoIP網(wǎng)絡(luò)中的漏洞。他設(shè)計(jì)的應(yīng)用程序把VoIP竊聽技術(shù)和公司的人名地址薄聯(lián)系到一起,這樣這個(gè)工具就可以定位到組織內(nèi)部中明確的用戶和分機(jī)上面。這個(gè)工具不僅可以評(píng)估、測(cè)試和顯示企業(yè)現(xiàn)有統(tǒng)一通信(UC)系統(tǒng)的漏洞,而且還可以在統(tǒng)一通信(UC)系統(tǒng)設(shè)計(jì)和部署階段進(jìn)行評(píng)估測(cè)試。
所以,在考慮部署統(tǒng)一通信(UC)之前,不僅要想到需要進(jìn)行可行性分析,投資回報(bào)率(ROI)分析,制定統(tǒng)一通信(UC)策略等,還要考慮到系統(tǒng)的安全性,做好全面地安全分析和測(cè)試。