統一通信,也就是我們常說的UC平臺。在部署的時候我們應該注意一些什么呢?尤其以安全為重,在以往的部署案例中,很多企業都抱怨不能和本身的安全系統相互融合,這個問題應該怎么解決呢?
部署統一通信(UC)目前仍缺乏嚴密的安全保障,企業的安全系統無法識別內部威脅是最大的隱患。
“我認為人們普遍沒有意識到統一通信(UC)和IP語音(VoIP)安全的必要性,”有安全專家曾這樣說。“人們主要關注在節約成本,直到遇到了問題,才開始重視安全。”
企業已經開始認識到統一通信(UC)某些方面安全的必要,例如即時通信(IM)。也有一些廠商開始銷售即時通信(IM)安全設備,而且賣得很火。然而,在許多組織中,他們的統一通信(UC)系統中的核心部分,像VoIP,仍然十分容易遭受攻擊和入侵。
“在你考慮用VoIP之前,必須從根本上確保你所使用網絡的安全,”安全專家說。“你需要認真研究你的VoIP配置。如果有任何安全通信的需要,就應該對 VoIP進行加密。”
Nemertes Research的首席分析師表示,許多企業在真正應該重視統一通信(UC)內部威脅的時候,他們卻把精力放在阻止外部威脅。
“現在我們的感覺是,當我們與企業談到語音安全的時候,他們所擔心的是底層網絡,”Nemertes Research的首席分析師說。“他們擔心拒絕服務攻擊,擔心服務器攻擊等,但是他們不考慮或關心內部威脅。”
Nemertes Research的首席分析師說,一般而言,大約有70%的網絡攻擊來自內部,但企業總是不愿意把重點放在保護自己免受內部威脅。他們在防火墻和其他技術上花費數百萬美元來阻止周邊外圍的威脅,外部威脅反而變得越來越難以控制。
[NextPage]Nemertes Research的首席分析師提供了一些基本的確保統一通信(UC)安全的最優方法:
◆確保你安裝了現有所有的安全補丁。
◆使用如Sipera Systems和VoIPShield等公司提供的測試工具來掃描漏洞。
◆遵守諸如VoIP安全聯盟之類公共機構制定的安全標準或協議。
◆把進行風險評估作為部署統一通信(UC)的一部分。
“我們認為安全很早就應該和統一通信(UC)緊密地聯系在一起,”Nemertes Research的首席分析師說。“不過,我仍然沒有感覺到人們在這方面有足夠的認識。上一次,就是我們在2007年中期的一次調查研究,不到1%的公司告訴我們,他們曾遭受過對他們語音系統的攻擊。”
但他表示,公司開始更加清楚地知道統一通信(UC)其中的一部分,統一消息安全的必要性。
“公司擔心語音郵件向組織外部傳播,”Nemertes Research的首席分析師說。“所以,如果我開始以一個.wav格式的文件作為附件給你發一封語音郵件,這是一個敏感的語音信息可以發到外部網絡或重新發送,使其聽起來就像我說過一句話,實際上我并沒有說。我們看到了一些公司用統一消息的實例。當時負責公司系統安全方面的人回來說,‘你應該三個月之前就把這些告訴我們,那時我們將會告訴你我們不能做,因為我們不能冒險把語音郵件泄露到公司外部。’所以他們暫停了統一消息的部署。”
統一通信(UC)的另一個嚴重漏洞是內部人員可以進行VoIP竊聽。
“VoIP竊聽是一個為人熟知的攻擊,”統一通信(UC)安全廠商Sipera Systems的主管說。“這個攻擊基本上是人為的攻擊,把欺騙性的ARP數據包注入到網絡中。”
通過ARP數據包欺騙入侵到局域網(LAN)中,再誘騙受攻擊者的電腦網絡重定向語音數據包,那么攻擊者就可以順利地記錄談話內容了。
“人們認為他們把信息直接發送到了對方,但是電腦上的漏洞在暗中運行,默默地截取,交接和轉發信息給不知情的用戶。”統一通信(UC)安全廠商Sipera Systems的主管說。
在這樣的情況下,一個不滿的員工很很容易地攔截CEO和董事長或財務總監和人力資源之間的手機通話。這些易受攻擊的漏洞存在到今天,那么這個行業必然將會遭受一次重大的事故或調整。
“人們說語音竊聽被夸大了,”統一通信(UC)安全廠商Sipera Systems的主管說。“我認為這是真實的,并沒有夸張,只是需要教育和宣傳。它能夠真正地發生,而且大多數組織沒有用保護系統進行適當地檢測漏洞程序何時運行,也沒有采取措施避免遭受攻擊。”
考慮到這一點,統一通信(UC)安全廠商Sipera Systems的主管開發了一個叫UCSniff的測試工具,它可以顯示出VoIP網絡中的漏洞。他設計的應用程序把VoIP竊聽技術和公司的人名地址薄聯系到一起,這樣這個工具就可以定位到組織內部中明確的用戶和分機上面。這個工具不僅可以評估、測試和顯示企業現有統一通信(UC)系統的漏洞,而且還可以在統一通信(UC)系統設計和部署階段進行評估測試。
所以,在考慮部署統一通信(UC)之前,不僅要想到需要進行可行性分析,投資回報率(ROI)分析,制定統一通信(UC)策略等,還要考慮到系統的安全性,做好全面地安全分析和測試。