谁来为企业VoIP语音安全把把脉？

||2006-08-23

近年来，VoIP技术与应用以部署便捷、成本低廉等突出优势迅速风靡企业与消费领域，成为增长最为迅猛的网络与通讯技术领域之一。 
但与此同时，由于VoIP语音流量是通过公用Internet网络进行传输的，因此与基于封闭电路交换技术的传统PSTN电话网络相比，VoIP存在着诸多显而易见的安全隐患，这无疑会让不少VoIP用户、尤其是看重信息与通讯安全的企业VoIP用户深感不安。而近来频频发生的针对VoIP系统的攻击事件也在不断敲响着VoIP安全的警钟，今年六月初，在美国被逮捕起诉的两名黑客就曾利用Net2Phone公司的网络实现了50余万VoIP呼叫的非法路由，有多达15家Internet电话公司成为其受害者。

　　VoIP系统的安全问题也给企业网络管理人员带来了巨大的压力。尽管VoIP的安全缺陷几乎尽人皆知，但网络管理人员在企业VoIP系统与应用安全性能究竟如何、究竟存在哪些隐患、应当采取怎样的措施加以补救等一系列问题上却大多一片茫然，特别是对于技术力量相对薄弱的中小企业网络管理人员而言，日常网络管理任务已让其疲于应付，根本无暇顾及、也没有足够能力顾及VoIP安全方面的问题。

　　针对这种情况，部分运营商借助在VoIP与相关网络通讯业务领域的技术优势，不失时机地推出了包括可对企业VoIP系统安全状况进行测试与评估、并可提供相应的安全解决方案或建议的VoIP安全相关服务。这类服务的出现，在一定程度上缓解了企业在VoIP安全技术领域的燃眉之急，成为企业网络管理人员应对VoIP呼叫欺诈等相关威胁、保障VoIP与相关网络系统安全的重要途径。因此，这类服务甫一推出，就得到了众多企业网络管理人员的青睐。曾一度对VoIP系统安全问题近乎束手无策的企业网络管理人员纷纷向提供这类服务的运营商寻求帮助，期望能够利用运营商的这类服务对其VoIP系统的安全性进行准确测试与评估，以确定相应的VoIP安全解决方案，彻底解决困扰他们多年的VoIP系统安全问题。

　　旺盛的市场需求推动了VoIP安全服务的迅猛发展，也为提供这类服务的运营商带来了滚滚财源，VoIP安全服务逐渐成为不少运营商收入颇丰的核心业务之一。当前，多数企业的VoIP安全评估费用均在数万美元左右，尽管企业用户多将这类费眉迫隫oIP系统部署成本或网络安全维护费用，很少独立加以核算。但据IDC公司估计，VoIP安全评估开销高望占企业总体VoIP开销的一成左右。

　　目前，包括Verizon通讯公司与AT&T公司在内的美国各大运营商已相继开始提供VoIP安全评估服务，Sprint通讯公司也通过朗讯公司的全球专业服务部门开始向其用户提供这类服务。

　　市场调研机构IDC公司VoIP服务部门调研主管Will Stofega指出，"随着VoIP的安全问题得到了越来越广泛的关注，企业对这类服务的需求也越来越迫切。就在一年或二年前，业界对于VoIP系统安全风险的讨论还仅仅囿于理论层面，而今天，这类风险早已开始从理论层面成为了现实。"他认为，AT&T、Verizon商业服务与朗讯公司的VoIP安全评估服务在增强VoIP语音安全方面起到了积极的作用，对于企业用户提高防范VoIP系统攻击的意识与能力大有裨益。

　　VoIP系统面临的安全风险与数据网络有颇多相似之处，这其中如DoS(Denial-of-Service)拒绝服务攻击、病毒、垃圾信息与数据泄密安全风险等。同时，作为语音通讯系统，VoIP也不可避免地面临着过去曾一度困扰传统语音系统的身份欺诈与侵犯隐私等问题。另外，由于部署VoIP系统需要在企业现有网络中增加新的软、硬件与应用产品，因此在企业网络内部署了VoIP系统后，企业网络的总体安全风险也将会进一步加大。而且，许多企业在全面转向VoIP系统之前，通常会有一段传统电话系统与VoIP系统并行的时期，这种不同技术共存的混乱局面也在一定程度上加大了企业网络的安全风险。

　　亡羊补牢，犹未为晚

　　Verizon公司商业服务部门安全解决方案主管Cindy Bellefeuille指出，当前，针对VoIP系统的攻击大有愈演愈烈、攻击目标越来越大之势。预计随着VoIP应用的不断普及，VoIP系统面临的攻击威胁也将越来越危险、越来越多样化。在这种情况下，准确了解企业网络与VoIP系统存在的安全威胁与风险、并采取合理的措施加以解决已变得十分必要。

　　"VoIP安全与VoIP风险评估是大多数客户的主要需求。" AT&T公司可管理式安全服务部门副总Stan Quintana称。早在两年前，AT&T公司就已开始利用其专业服务部门向客户提供包括架构分析、策略分析、业务连续性评估与缺陷分析等在内的VoIP安全与风险评估服务。与两年前相比，这家服务供应商的这类服务需求出现了四倍增长，其中大多数需求主要来自于金融服务、医药保健等垂直行业。

　　Quintana指出，许多情况下，用户对发生的VoIP安全问题根本一无所知。由于企业的VoIP流量通常不进行加密，因此这类流量很容易被侦听，如若其中包含有事关企业业务运营的敏感信息，其危险性是不言而喻的。AT&T公司方面称，目前他们正在搜集有关VoIP安全的案例，以期能够通过案例警示，提高企业用户在VoIP安全方面的风险防范意识与能力。

　　未雨绸缪，棋高一筹

　　相对于对现有VoIP的安全风险进行评估、并采取适当措施加以补救的"亡羊补牢"式的VoIP风险评估服务，在企业VoIP系统部署之前对其网络环境与VoIP系统部署后可能存在的安全风险进行的评估的"未雨绸缪"式的前瞻性VoIP风险评估服务显然可以收到更明显的效果。另外，朗讯公司全球专业服务部门负责安全与可靠性评估的Vik Muiznieks还指出，在部署VoIP系统时提早考虑到安全问题，将比部署完成再行补救更加节省成本。

　　Bellefeuille认为，"对于网络管理人员来说，首先应当确定VoIP系统安全策略，在真正部署VoIP系统之前就应提前考虑到VoIP的安全问题，同时还应寻求专业VoIP服务对系统安全性进行评估。"

　　为此，今年六月，Verizon公司商业服务部门基于此前MCI并购的安全服务商NetSec公司的技术推出了一项增强性VOIP安全评估服务，这项服务不仅可以对现有VoIP系统的安全风险加以评估，而且可以在VoIP系统部署之前就对潜在的安全性状况进行评估，从而可使企业用户在部署VoIP系统之前就提早了解到部署VoIP系统之后可能存在的安全风险，从而可以及时调整部署策略，避免潜在风险。

　　Verizon商业服务部门推出的VoIP安全服务项目包括对VoIP系统架构进行评价、对网络与网络设备的安全进行测试、以及对企业用户的VoIP策略进行评估等。完成测试后，Verizon商业部门将向用户提供一个包括安全评分卡在内的VoIP系统安全状况评测报告。近期，Verizon商业服务部门的这项服务还增加了对VoIP流量专用防火墙、以及针对不同厂商设备安全缺陷进行测试的服务，并可以针对检测出的问题向用户推荐解决方案或提供相关安全策略，以防黑客利用这类漏洞进行攻击。

　　Bellefeuille认为，对于普通企业用户而言，每年进行一次这样的安全评估十分必要，而对安全性要求更高的金融等行业的企业应每年进行两次、或者每季进行一次这类安全评估。

　　细节，决定安全

　　与Verizon公司商业服务部门和AT&T公司的VoIP安全评估服务相比，Sprint公司通过朗讯公司全球专业服务部门提供的VoIP安全服务涉及的范围似乎更广一些。朗讯公司的VoIP技术安全评估服务除了涉及网络安全问题外，还包括VoIP安全评估与渗透性检测，测试的范围包括250多家供应商的1500多种设备，这其中包括常用的VoIP设备。

　　Muiznieks指出，许多用户、甚至包括网络管理人员通常很少会虑及VoIP系统的管理问题，他们经常使用Telnet功能对系统与设备进行管理，并且很少会使用加密字符串管理数据。实际上这是极其危险的，正确的策略应是使用SSH(Secure Shell) 安全机制。另外，许多用户还通常会忽略CALEA法律执行通讯协助法案与911紧急呼叫支持等细节问题。

　　朗讯的安全评估服务范围包括从防火墙安全到服务器与IP PBX放置场所的安全。另外，系统的总体可靠性也是VoIP安全评估的一个重要方面。

　　Muiznieks还表示，"我们还对业务的连续性与灾难恢复情况进行详尽的考查，因为用户不期望存在哪怕是一个故障点。"

　　目前朗讯公司的VoIP安全服务客户群体已包括了美国国防信息系统局、EarthLink公司等众多组织机构，据朗讯公司方面称，今年其VoIP安全服务销售收入比去年同期增长了25个百分点。

责编：jwwyb95518

转载请注明来源：谁来为企业VoIP语音安全把把脉？

本文链接地址：https://www.ccmw.net/article/11850.html