首頁>>>技術(shù)>>>VoIP

CIO關(guān)注:統(tǒng)一通信能否沖破安全魔咒

2008/01/22

   日前,國際咨詢機(jī)構(gòu)Gartner公布了2008年CIO最密切關(guān)注的“十大戰(zhàn)略性技術(shù)”,其中一項(xiàng)技術(shù)是統(tǒng)一通信。IT與通信的融合一直是產(chǎn)業(yè)大趨勢,統(tǒng)一通信的出現(xiàn)就是把IT與通信融合。

  統(tǒng)一通信是指利用IT技術(shù)打破當(dāng)前通信手段以設(shè)備和網(wǎng)絡(luò)為中心的限制,實(shí)現(xiàn)無時(shí)間無地點(diǎn)限制的溝通。統(tǒng)一通信進(jìn)一步發(fā)展了IP通信的概念,通過使用SIP協(xié)議和移動(dòng)解決方案,實(shí)現(xiàn)各類通信的統(tǒng)一和簡化。統(tǒng)一通信的五個(gè)核心領(lǐng)域是: 語音郵件、專用電話交換機(jī)(PBX)、電子郵件、即時(shí)通信(IM)以及多媒體會(huì)議。

阻礙大規(guī)模推廣的技術(shù)難點(diǎn)

  但統(tǒng)一通信市場并沒有在2007年進(jìn)入并發(fā)狀態(tài),是什么在阻礙著這個(gè)市場的大規(guī)模啟動(dòng)?統(tǒng)一通信發(fā)展存在什么樣的技術(shù)障礙?我們認(rèn)為阻礙統(tǒng)一通信大規(guī)模應(yīng)用有兩個(gè)技術(shù)難點(diǎn):

  (1)標(biāo)準(zhǔn)問題
  雖然參與統(tǒng)一通信市場的廠商都將IP技術(shù)視為未來技術(shù)的主流,但作為統(tǒng)一通信的基礎(chǔ)設(shè)施,IP標(biāo)準(zhǔn)目前仍處于“分裂”狀態(tài),市場上充斥著大量不可兼容的專有代碼。

  (2)網(wǎng)絡(luò)安全問題
  一個(gè)融合的統(tǒng)一網(wǎng)絡(luò)能讓企業(yè)的語音業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)甚至業(yè)務(wù)系統(tǒng)應(yīng)用起來更加有效率,諸如ERP、CRM、OA系統(tǒng)等。但是,也因此帶來更大的安全隱患,當(dāng)各種應(yīng)用集成在一起,一旦被突破受傷的將是全部系統(tǒng)。在沒有成熟的全面安全防范措施情況下,企業(yè)用戶對基于網(wǎng)絡(luò)融合的統(tǒng)一通信大多持非常慎重的態(tài)度。

統(tǒng)一通信面臨的安全性考驗(yàn)是什么?

  當(dāng)前,統(tǒng)一通信(Unified Communications)技術(shù)正在慢慢地成為主流,其安全性問題也越來越成為關(guān)注的重點(diǎn)。一直以來,安全問題始終是IP技術(shù)應(yīng)用中的一個(gè)瓶頸,諸如訪問控制、防病毒、防入侵、防拒絕服務(wù)攻擊、帶寬管理和智能流量管理,這些都會(huì)影響著網(wǎng)絡(luò)的安全和穩(wěn)定。

  (1)客戶端安全漏洞
  統(tǒng)一通信有些安全性漏洞是和廠商實(shí)現(xiàn)方式相關(guān)的,例如廠商各自推出自己的一套客戶端系統(tǒng),廠商會(huì)在客戶端帶上了許許多多的業(yè)務(wù),以實(shí)現(xiàn)各種通信工具的融合。我們回顧現(xiàn)有的單一的IM客戶端都存在如此多的漏洞,例如郵件病毒, IM(即時(shí)通信)的QQ和MSN病毒等,哪么也就有理由擔(dān)心將語音、IM、電子郵件、手機(jī)短信、多媒體內(nèi)容、傳真以及數(shù)據(jù)等形式的內(nèi)容都集合到一起的客戶端的也會(huì)存在各種各樣的安全性問題,這類安全性問題一般是和廠商的具體實(shí)現(xiàn)方式相關(guān)的。

  (2)SIP協(xié)議安全弱點(diǎn)
  通常情況下,現(xiàn)有的系統(tǒng)和設(shè)備的安全性機(jī)制都是為傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)設(shè)計(jì)的,并不能防御對統(tǒng)一通信技術(shù)標(biāo)準(zhǔn)漏洞的攻擊。最近爆出的統(tǒng)一通信研發(fā)新聞表明,SIP協(xié)議本身就具有比較明顯的安全性弱點(diǎn),黑客可以利用這些SIP協(xié)議漏洞在操作系統(tǒng)上進(jìn)行非法的操作和控制。

  當(dāng)對基于SIP協(xié)議漏洞進(jìn)行非法攻擊時(shí),SIP協(xié)議所潛在的安全性隱患就不能被忽視了。這類安全性漏洞是和協(xié)議相關(guān)的,并存在于所有系統(tǒng)中,也這是說會(huì)可能存在于每個(gè)廠商的系統(tǒng)之中。在一般情況下,對于統(tǒng)一通信系統(tǒng)的攻擊可能會(huì)導(dǎo)致公司軟電話系統(tǒng)的癱瘓。但事實(shí)上,類似的SIP協(xié)議弱點(diǎn)還可以被攻擊者利用建立一個(gè)其與被攻擊電腦的連接,從而可以給攻擊者獲得接入的權(quán)限。更嚴(yán)重和惡劣的情況是,可能被竊取或修改公司的數(shù)據(jù)、音頻和視頻電話。

  (3)不同系統(tǒng)之間的數(shù)據(jù)流交換易受攻擊
  不同的網(wǎng)絡(luò)各有其相應(yīng)的安全弱點(diǎn),對于融合網(wǎng)絡(luò)來說,除了構(gòu)成網(wǎng)絡(luò)的各個(gè)子網(wǎng)的安全弱點(diǎn)之外,不同網(wǎng)絡(luò)的結(jié)合部位也是整個(gè)融合網(wǎng)絡(luò)的安全弱點(diǎn)。因此,在不同廠商之間互聯(lián)互通功能是肯定存在許多盲點(diǎn)的。

  融合多種網(wǎng)絡(luò)終端設(shè)備可滿足用戶長時(shí)間和無地點(diǎn)限制接入網(wǎng)絡(luò)的需要,但融合后的網(wǎng)絡(luò)終端設(shè)備也將各種網(wǎng)絡(luò)的安全缺陷帶進(jìn)融合網(wǎng)絡(luò)中。這不但給融合網(wǎng)絡(luò)的運(yùn)行帶進(jìn)各種原有的安全問題,而且增加了一些新的安全問題。這時(shí)業(yè)務(wù)欺騙,盜用業(yè)務(wù)等許多的非法攻擊就會(huì)出現(xiàn)。而且如此多的業(yè)務(wù)種類,安全問題的“木桶短板效應(yīng)”會(huì)非常明顯,要所有連接的系統(tǒng)都具有高安全性會(huì)有很多技術(shù)和困難要克服。

對統(tǒng)一通信安全風(fēng)險(xiǎn)因素的思考?

  統(tǒng)一通信在應(yīng)用軟件、操作系統(tǒng)、結(jié)構(gòu)以及部署策略方面都可能存在的著諸多的安全風(fēng)險(xiǎn)因素。我們這里分析許多CIO都非常關(guān)注的幾個(gè)方面:

  (1)統(tǒng)一通信與傳統(tǒng)PBX系統(tǒng)的安全性比較?
  無論數(shù)據(jù)網(wǎng)絡(luò)是否支持語音應(yīng)用,安全性都是一個(gè)重要問題。目前,一些業(yè)內(nèi)人士認(rèn)為,混合系統(tǒng)比端到端統(tǒng)一通信解決方案更安全。對于PBX系統(tǒng),企業(yè)必須預(yù)防話費(fèi)欺詐、偽裝和撥號(hào)沖突。對于傳統(tǒng)通信系統(tǒng),企業(yè)必須預(yù)防非法用戶只需一個(gè)撥線鉗就能完成的非法接入或竊聽,而相對于融合多種通信工具的統(tǒng)一通信則復(fù)雜得多了。

  (2)現(xiàn)有技術(shù)能否確保IP承載網(wǎng)絡(luò)的安全?
  以前構(gòu)建IP網(wǎng)絡(luò),更多注重的是傳輸層面的東西,側(cè)重強(qiáng)調(diào)第三層和第四層。如今,在融合網(wǎng)絡(luò)的前提下,就考慮的更廣一些,由最基本的三層、四層擴(kuò)展到第六層,甚至到第七層,最后到應(yīng)用層。

  融合主要體現(xiàn)在幾個(gè)方面:首先在整個(gè)網(wǎng)絡(luò)中,同一個(gè)功能被整合到Smart IP網(wǎng)絡(luò)上來,包括低層的傳輸功能、路由功能、交換功能,深層次的業(yè)務(wù)支撐以及業(yè)務(wù)應(yīng)用的功能。其次,利用通用性協(xié)議,實(shí)現(xiàn)通用業(yè)務(wù)系統(tǒng)跟應(yīng)用業(yè)務(wù)系統(tǒng)的接入和承載。

  因此,在安全保護(hù)方面就需要有很多技術(shù)保證承載網(wǎng)的安全,這些技術(shù)是否已經(jīng)成熟和可靠?比如安全防護(hù)系統(tǒng)技術(shù),主要針對IP網(wǎng)絡(luò)進(jìn)行相關(guān)控制,避免網(wǎng)絡(luò)被異常IP流量所攻擊。再就是長期以來被忽略的終端安全問題,從最基本的IP地址綁定,一直到交換機(jī)地址/時(shí)間、流量的全面綁定等等問題。

  (3)底層協(xié)議和標(biāo)準(zhǔn)是否有堅(jiān)實(shí)的安全保證?
  我們在談到統(tǒng)一通信時(shí)安全問題時(shí),許多人或許都會(huì)關(guān)注其前端各種各樣的終端、網(wǎng)絡(luò)以及由此帶來的各種應(yīng)用的安全問題,而忽略了其背后的底層協(xié)議技術(shù)基礎(chǔ)的安全。

  其實(shí),無論是企業(yè)應(yīng)用軟件提供商、IP電話提供商、即時(shí)消息供應(yīng)商等等其產(chǎn)品要想做到真正完美的無縫融合,遠(yuǎn)非只要把網(wǎng)絡(luò)和應(yīng)用融合在一起這么簡單,其背后涉及到軟件、硬件、移動(dòng)設(shè)備、固定設(shè)備的標(biāo)準(zhǔn)和協(xié)議的融合,而這些統(tǒng)一的底層協(xié)議和標(biāo)準(zhǔn)的安全性更是重中之重。

  (4)安全策略是否被忽略?
  根據(jù)一項(xiàng)調(diào)查,多數(shù)公司經(jīng)常有意或無意地忽略安全策略,許多人甚至還不清楚有這種策略。關(guān)鍵的問題是信息安全策略并沒有被閱讀,即使讀了,也沒有理解,或者即使理解了,人們也可能不遵循。

  在調(diào)查中有一半的回答者說,他們個(gè)人都曾將公司的機(jī)密信息復(fù)制到非安全通信工具上交流和傳輸,甚至有85%的回答者承認(rèn)安全政策禁止他們這樣做。此外,57%的人相信組織中的其他人也經(jīng)常用各種非安全的通信工具傳輸敏感的或機(jī)密的公司數(shù)據(jù)。當(dāng)問到為什么不遵守規(guī)定時(shí),其中的原因之一就是缺乏策略的執(zhí)行。

  不過,有時(shí)內(nèi)部人員對安全的破壞是由于缺乏清楚的公司指導(dǎo)方針。這些問題發(fā)生的原因是因?yàn)闆]有執(zhí)行一致性的安全策略,雖然越來越多的IT人員認(rèn)識(shí)到在公司范圍內(nèi)建立安全策略的必要性,但人們并沒有注意到策略的執(zhí)行。雖然公司多年來一直致力于保障網(wǎng)絡(luò)安全,抵御外部攻擊,卻鮮有什么措施重視偶然的和惡意的由內(nèi)部因素所引起的數(shù)據(jù)泄漏。因此,許多安全管理人員對于更方便的溝通工具是否會(huì)在內(nèi)部引起的更大的安全損害表現(xiàn)出更加擔(dān)憂。

主流廠商安全技術(shù)的發(fā)展趨勢

  目前,無論是Microsoft還是IBM和Cisco都相繼推出了自己的統(tǒng)一通信的概念及產(chǎn)品,統(tǒng)一通信大戰(zhàn)局勢已漸清晰。對此,我們可以看看各主流廠家提出不同的安全性技術(shù)方向。

  (1)第一類是以微軟、IBM為代表的以軟件見長,從桌面或應(yīng)用軟件攻入統(tǒng)一通信市場的廠商。微軟公司稱,“微軟UC技術(shù)采用以軟件為中心的安全策略,將VoIP電話系統(tǒng)、電子郵件、即時(shí)溝通、移動(dòng)溝通以及音頻視頻Web會(huì)議等多種溝通方式融合為單一的平臺(tái),使用者只需單一身份認(rèn)證即可訪問所有溝通模式”。同樣推動(dòng)以軟件為核心統(tǒng)一通信策略的IBM,也是把語音、數(shù)據(jù)和視頻通通整合在一起。IBM把其Lotus Sametime軟件統(tǒng)一通信應(yīng)用打進(jìn)許多產(chǎn)品中。在他們的角度來看,UC產(chǎn)品用戶是有自己的進(jìn)入身份認(rèn)證的,在整體上有安全的考慮,因此安全并不是問題。

  (2)第二類是以思科、3Com為代表的,目前風(fēng)頭正勁的IP設(shè)備廠商。思科在統(tǒng)一通信系統(tǒng)中提供的SIP安全特性是思科自防御網(wǎng)絡(luò)的安全策略的自然擴(kuò)展,該安全策略是集成、協(xié)作、自適應(yīng)的安全方式,使網(wǎng)絡(luò)一旦出現(xiàn)新威脅,即可對其作出響應(yīng)。目前,在Cisco IOS軟件,安全設(shè)備和思科交換機(jī)及路由器上的安全模塊中的安全特性均可為VoIP協(xié)議包括SIP提供保護(hù)。

  (3)還有第三類以阿爾卡特-朗訊、Avaya、北電為代表的傳統(tǒng)電信設(shè)備廠商。他們在整合了傳統(tǒng)語音和IP兩種業(yè)務(wù)之后,可靠的服務(wù)質(zhì)量將成為其統(tǒng)一通信產(chǎn)品的一大賣點(diǎn)。

  綜上所述,各主流廠商提出的安全方案能否為統(tǒng)一通信在安全方面打破疆局,還需要接受市場的考驗(yàn),我們不防拭目以待。

IT專家網(wǎng)



相關(guān)鏈接:
統(tǒng)一通信:巨頭們的新戰(zhàn)爭 2008-01-22
企業(yè)忽略的UC價(jià)值 2008-01-14
統(tǒng)一通信加速企業(yè)協(xié)作與擴(kuò)張 2008-01-09
統(tǒng)一通信:平穩(wěn)著陸卻含隱憂 2008-01-09
統(tǒng)一通信能否獲SMB肯定? 2008-01-07

分類信息:     技術(shù)_統(tǒng)一通信_(tái)文摘