加強(qiáng)IP世界的語(yǔ)音安全
Avaya公司安全策略與開(kāi)發(fā)副總裁 Joseph Curcio
2006/03/03
2004年發(fā)生的一起黑客入侵事件仍不斷被人們提起�。 一名入侵者侵入一個(gè)主要網(wǎng)絡(luò)并截獲了許多計(jì)算機(jī)的編程指令�����,其中包括那些為美國(guó)軍方�����、NASA 和研究實(shí)驗(yàn)室服務(wù)的計(jì)算機(jī)�����!都~約時(shí)報(bào)》在談到這個(gè)事件時(shí)稱(chēng):"……該案例顯示侵入通過(guò)互聯(lián)網(wǎng)連接的計(jì)算機(jī)--甚至包括復(fù)雜的公司和政府網(wǎng)絡(luò)--是多么的容易���,同時(shí)也顯示追查肇事者的難度有多么大。"
對(duì)于我們這些整天冥思苦想著如何保護(hù)機(jī)構(gòu)免遭安全漏洞攻擊的人來(lái)說(shuō)��,這一案例也讓我們思考���,如何加強(qiáng)防御來(lái)應(yīng)對(duì)破壞性日趨嚴(yán)重的漏洞攻擊(zero day exploit)����。入侵者尋找之前不為人知的漏洞����,藉此突破一個(gè)機(jī)構(gòu)的防御系統(tǒng),實(shí)施嚴(yán)重的破壞����。一次成功的攻擊可以癱瘓一個(gè)企業(yè),造成業(yè)務(wù)中斷��,以及收入損失�����。
語(yǔ)音和數(shù)據(jù)的融合使這一問(wèn)題更加復(fù)雜化。融合帶來(lái)了更為智能的通信環(huán)境--員工��、業(yè)務(wù)程序和客戶可以在正確的時(shí)間連接到正確的人����,但同時(shí)也要求對(duì)新的網(wǎng)絡(luò)威脅進(jìn)行高超的管理。迄今為止�����,大多數(shù)攻擊都是針對(duì)數(shù)據(jù)網(wǎng)絡(luò)實(shí)施的��,但隨著語(yǔ)音應(yīng)用在 IP 網(wǎng)絡(luò)上變得更具戰(zhàn)略意義���,它們同樣也會(huì)成為攻擊的對(duì)象���,包括拒絕服務(wù) (DoS)、應(yīng)用層攻擊����、欺騙����、trust exploitation 等等��。 2005年7 月 14 日的《華爾街日?qǐng)?bào)》報(bào)道說(shuō)��,一家廠商的 IP 語(yǔ)音通信軟件存在重要缺陷���,可以讓黑客們?nèi)〉每刂茩?quán),并進(jìn)而關(guān)閉語(yǔ)音系統(tǒng)�����,重新定向電話呼叫����,竊聽(tīng),或者訪問(wèn)運(yùn)行該廠商電話軟件的其他計(jì)算機(jī)���。
不過(guò)也有好消息--所以不必驚慌��。首先���,市場(chǎng)上的 IP語(yǔ)音通信話平臺(tái)并沒(méi)有采用相同的架構(gòu)。一個(gè)平臺(tái)的弱點(diǎn)可能在另一個(gè)平臺(tái)中就沒(méi)有��。此外,企業(yè)可以采用多道防線進(jìn)行自我保護(hù)�����,F(xiàn)在�,大多數(shù)通信廠商已經(jīng)可以提供穩(wěn)固的安全解決方案,并正在開(kāi)發(fā)更多的解決方案�。但企業(yè)必須首先意識(shí)到,在一個(gè)融合的世界里�,安全不是簡(jiǎn)單的工作,不可能一勞永逸�,也不可能依賴單層防御和和單一廠商的解決方案。行業(yè)本身也必須聯(lián)合起來(lái)��,提醒客戶防范潛在危險(xiǎn)��,并開(kāi)發(fā)新的安全解決方案來(lái)應(yīng)對(duì)新出現(xiàn)的威脅�����。
建立安全防線的第一步是要知道能夠做什么�。下面是關(guān)于融合網(wǎng)絡(luò)安全的一些關(guān)鍵原則,旨在確保語(yǔ)音應(yīng)用的安全和保護(hù)企業(yè)通信的暢通�。
在多廠商網(wǎng)絡(luò)的每一級(jí)保護(hù)通信流。由于計(jì)算機(jī)攻擊變得越來(lái)越復(fù)雜��,如果只是在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層進(jìn)行保護(hù)��,企業(yè)會(huì)發(fā)現(xiàn)��,一旦黑客突破第一層防線��,他們將處于不設(shè)防的狀態(tài)��。
因此��,企業(yè)還必須在應(yīng)用層和統(tǒng)一接入層提供強(qiáng)大的安全性�����。企業(yè)內(nèi)每個(gè)可能受攻擊的脆弱點(diǎn)和應(yīng)用程序都需要能夠保護(hù)自己免受攻擊�。
以拒絕服務(wù)為例。如果入侵者進(jìn)入網(wǎng)絡(luò)�����,僅在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層(例如路由器)提供保護(hù)會(huì)造成嚴(yán)重問(wèn)題--實(shí)際上大多數(shù)攻擊都是發(fā)生在網(wǎng)絡(luò)基礎(chǔ)設(shè)施之內(nèi)���。請(qǐng)記住這句古老的諺語(yǔ):你最脆弱的環(huán)節(jié)決定了你的強(qiáng)壯程度��。也有人這樣說(shuō)�,一個(gè)水桶最短的那塊木板決定了這個(gè)水桶的盛水量。
最好的策略是多層級(jí)的安全保護(hù)��,即從網(wǎng)絡(luò)基礎(chǔ)設(shè)施�、應(yīng)用層、直到終端設(shè)備�����,在每一層都提供保護(hù)����。另外,由于并購(gòu)��、遺留系統(tǒng)等因素�,以及企業(yè)傾向于采用市場(chǎng)最好的產(chǎn)品和技術(shù)進(jìn)行組合,大多數(shù)企業(yè)的網(wǎng)絡(luò)都是多廠商的�����。因此���,企業(yè)要確保在多廠商網(wǎng)絡(luò)中也能做好多層級(jí)的安全保護(hù)���。
簡(jiǎn)而言之���,修復(fù)和加固網(wǎng)絡(luò)基礎(chǔ)設(shè)施是絕對(duì)必要的,但僅僅依靠基礎(chǔ)設(shè)施來(lái)提供保護(hù)無(wú)異于在同命運(yùn)開(kāi)玩笑�。新的威脅和攻擊將層出不窮����。企業(yè)應(yīng)增加障礙的數(shù)量和類(lèi)型,使攻擊的難度大大增加���。
采用開(kāi)放式而不是專(zhuān)有解決方案�����。開(kāi)放標(biāo)準(zhǔn)的主要優(yōu)點(diǎn)在于����,廠商和用戶都能借助業(yè)界已經(jīng)完成的技術(shù)來(lái)解決安全性問(wèn)題��,從而不斷改進(jìn)保護(hù)等級(jí)���。同時(shí)����,開(kāi)放式方案更適合多廠商環(huán)境。只要新的技術(shù)和部件也符合行業(yè)標(biāo)準(zhǔn)�,就可以拿來(lái)增加網(wǎng)絡(luò)的安全。
在專(zhuān)有系統(tǒng)中�����,企業(yè)只能聽(tīng)信單個(gè)廠商對(duì)安全性的承諾����,而廠商所聲明的安全性并沒(méi)有像開(kāi)放系統(tǒng)那樣經(jīng)過(guò)嚴(yán)格的測(cè)試和認(rèn)證,這樣企業(yè)就會(huì)冒風(fēng)險(xiǎn)����。在開(kāi)放環(huán)境中,廠商需要符合專(zhuān)門(mén)的政府認(rèn)證標(biāo)準(zhǔn)��,必須經(jīng)過(guò)測(cè)試以證明它們確實(shí)可以實(shí)現(xiàn)所宣稱(chēng)地安全性����。開(kāi)放標(biāo)準(zhǔn)可以讓客戶選擇最佳、最成本有效的安全解決方案���,從而最能滿足他們的特定需求�。那些囿于單一廠商專(zhuān)有安全系統(tǒng)的企業(yè)可能會(huì)發(fā)現(xiàn),自己陷入了一種危險(xiǎn)的境地����,缺乏互通性,無(wú)法采用市場(chǎng)上最佳的解決方案�。
由于一套完整的安全解決方案需要在接入層、業(yè)務(wù)應(yīng)用層�����、以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施層都要提供保護(hù)���,因此開(kāi)放標(biāo)準(zhǔn)對(duì)保護(hù)企業(yè)通信的安全性至關(guān)重要。機(jī)構(gòu)內(nèi)的每個(gè)脆弱點(diǎn)和應(yīng)用程序都需要能夠保護(hù)自己免受攻擊����,基于開(kāi)放標(biāo)準(zhǔn)的多廠商網(wǎng)絡(luò)策略在此方面表現(xiàn)最好。
信任那些采用整體性安全性策略并與產(chǎn)業(yè)界協(xié)作的廠商����。安全意識(shí)出色的廠商會(huì)采用多角度和多側(cè)面的方法提供安全產(chǎn)品和解決方案。他們不僅著眼于物理系統(tǒng)中的每個(gè)關(guān)鍵點(diǎn)�����,同時(shí)還重視系統(tǒng)生命周期內(nèi)的所有重要階段,并提供相應(yīng)的方案�����。所以�,企業(yè)一定要詢問(wèn)廠商采用的是什么方法,并評(píng)估它們是如何開(kāi)發(fā)和提交安全產(chǎn)品與解決方案的����。
例如,在 Avaya�����,產(chǎn)品安全性是從安全性"最佳實(shí)踐"開(kāi)始的�。在我們的解決方案中,有一個(gè)內(nèi)部安全性標(biāo)準(zhǔn)�,它從產(chǎn)品規(guī)劃開(kāi)始,經(jīng)過(guò)開(kāi)發(fā)階段�,一直持續(xù)到產(chǎn)品發(fā)布。這包括一份多點(diǎn)檢查清單�,涵蓋如系統(tǒng)加固、保密性和完整性等項(xiàng)目����。一個(gè)解決方案中的所有單元都必須接受審驗(yàn)�,甚至包括產(chǎn)品操作系統(tǒng)的選擇����。安全特性在解決方案中無(wú)處不在,而不是僅限于高端單元或僅限于特定功能��。
媒體加密就是一例���。Avaya不僅僅在高端單元和那些需要使用第三方附件的單元提供了媒體加密功能�����,也不僅僅為點(diǎn)到點(diǎn)呼叫才提供這些功能�。試想�,如果一層樓的每個(gè)電話都是系統(tǒng)上易受攻擊的脆弱點(diǎn)����,那么為什么只對(duì)主管的電話進(jìn)行媒體加密呢?另外����,企業(yè)還要清楚地了解廠商如何應(yīng)對(duì)新的安全風(fēng)險(xiǎn),例如是否會(huì)成立快速響應(yīng)小組進(jìn)行評(píng)估���,與客戶進(jìn)行溝通以確定是否存在風(fēng)險(xiǎn)�,并采取必要的措施應(yīng)對(duì)風(fēng)險(xiǎn)。
有些廠商還提供能夠增強(qiáng)融合網(wǎng)絡(luò)安全性的關(guān)鍵服務(wù)��。經(jīng)驗(yàn)豐富的廠商可以對(duì)安全融合網(wǎng)絡(luò)的初始規(guī)劃提供幫助����,對(duì)任務(wù)關(guān)鍵型 IP語(yǔ)音通信應(yīng)用的可用性給予特別關(guān)注。在系統(tǒng)部署時(shí)�����,應(yīng)確保所選擇的廠商不僅擁有系統(tǒng)部署的專(zhuān)業(yè)技術(shù)���,還要有幫助企業(yè)達(dá)到安全目標(biāo)的能力���。一旦網(wǎng)絡(luò)投入運(yùn)營(yíng),必須有專(zhuān)家進(jìn)行安全監(jiān)控�。因此企業(yè)應(yīng)選擇具有相當(dāng)支持水平的廠商,以滿足業(yè)務(wù)需求��。廠商應(yīng)能夠安全地對(duì)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程維護(hù)�,并提供全面的管理服務(wù),包括融合網(wǎng)絡(luò)上安全功能的監(jiān)控��、故障根源分析以及功能恢復(fù)。
無(wú)論一家廠商的方法有多完善���,任何單一廠商都不可能保護(hù)客戶免受所有未來(lái)威脅��。應(yīng)對(duì)這一挑戰(zhàn)需要整個(gè)行業(yè)聯(lián)合起來(lái)并共享信息以幫助教育客戶��,并在新威脅和解決方案出現(xiàn)時(shí)����,提供能夠快速適應(yīng)新挑戰(zhàn)的防御機(jī)制��。既然已經(jīng)有人完成了一件富有成果的工作且做得很好����,為什么還要重新做過(guò)呢?
對(duì)于今天的領(lǐng)先廠商來(lái)說(shuō)���,與 VOIP 安全聯(lián)盟 (VOIPSA) 合作非常重要。這是 VoIP 與安全社區(qū)最重要的一個(gè)聯(lián)盟���,專(zhuān)注于提高廠商與客戶的 IP 通信安全意識(shí)����。另一個(gè)行業(yè)組織,可信賴計(jì)算組織 (TCG)���,開(kāi)發(fā)和推廣了一些開(kāi)放規(guī)范����,這些規(guī)范用在產(chǎn)品中�,用于檢查一個(gè)計(jì)算平臺(tái)的完整性,并保護(hù)其免受基于軟件的威脅�����。TCG 提供了一種架構(gòu)���,可幫助企業(yè)在同意使用者進(jìn)入一個(gè)網(wǎng)絡(luò)之前對(duì)其進(jìn)行驗(yàn)證��,從而將防御水平提升到新的高度�����。
就整個(gè)產(chǎn)業(yè)而言��,我們還無(wú)法做到讓每個(gè)企業(yè)的網(wǎng)絡(luò)及其上的應(yīng)用都能絕對(duì)安全�����,不受惡意攻擊�����。已經(jīng)報(bào)道的網(wǎng)絡(luò)入侵顯示這些威脅仍很現(xiàn)實(shí)����。但可以采用措施加強(qiáng)和保護(hù)企業(yè)通信來(lái)防止惡意攻擊。安全性必須貫徹于企業(yè)的各個(gè)層級(jí)�,覆蓋網(wǎng)絡(luò)基礎(chǔ)設(shè)施、通信應(yīng)用�����、業(yè)務(wù)應(yīng)用��,以及用戶終端�����。開(kāi)放���、基于標(biāo)準(zhǔn)、多廠商解決方案與服務(wù)�����,以及吸納行業(yè)最佳實(shí)踐,可以幫助企業(yè)在復(fù)雜的通信環(huán)境中獲得更為穩(wěn)固的系統(tǒng)�����。如果整個(gè)通信框架中都融合了這些重要原則����,企業(yè)就會(huì)擁有一個(gè)安全的基礎(chǔ),進(jìn)而獲取由新的智能通信時(shí)代所帶來(lái)的巨大優(yōu)勢(shì)����。
AVAYA公司供稿 CTI論壇編輯
相關(guān)鏈接: