目前國內(nèi)的視頻會議系統(tǒng)主要應(yīng)用在政府、部隊(duì)、公檢法、水利、石油、電信通訊、廣播電視和大型企業(yè)中，如果這些安全漏洞真的被黑客所利用，把視頻會議設(shè)備進(jìn)行監(jiān)視、錄制甚至把受害者的內(nèi)部會議進(jìn)行公開廣播，后果不堪設(shè)想！
　　當(dāng)提及“視頻會議”時(shí)，多數(shù)IT行業(yè)人士都對這種系統(tǒng)有一定的了解，但要在“視頻會議”前面加上“安全”的帽子使之成為一個(gè)單獨(dú)的概念時(shí)，相信絕大多數(shù)行業(yè)人士不以為然。但恰恰就在這個(gè)領(lǐng)域，日前出現(xiàn)了讓人擔(dān)憂的事件。
　　近日，全球視頻會議系統(tǒng)領(lǐng)先者Polycom的著名產(chǎn)品ViewStation中被發(fā)現(xiàn)含有近十個(gè)安全漏洞的消息，通過國外著名安全類網(wǎng)站iss.net和安全聯(lián)盟組織ciac.org以及通訊網(wǎng)絡(luò)主流網(wǎng)站newtelephony.com透露出來。
　　Navastream(一個(gè)提供通信安全服務(wù)的公司)的總經(jīng)理Eric Goldberg說：攻擊者可以很容易的獲得ViewStation的管理員密碼，對設(shè)備進(jìn)行遠(yuǎn)程控制并監(jiān)控或錄制視頻。
　　Avaya公司的高級安全顧問Ken Pfeil說，“有些漏洞的性質(zhì)是十分嚴(yán)重的，一個(gè)黑客可以很容易的獲得管理員的控制權(quán)。他們只需要一個(gè)瀏覽器就可以進(jìn)入系統(tǒng)�！彼�說：“任何一個(gè)潛在的攻擊者在監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)的時(shí)候都可以讀出密碼并獲得對系統(tǒng)的遠(yuǎn)程管理控制權(quán)。如果我獲得了遠(yuǎn)程控制的密碼，我就可以把設(shè)備打開并將每一個(gè)用ViewStation開展的公司內(nèi)部會議在互聯(lián)網(wǎng)上公開廣播。”另外他補(bǔ)充道，一旦系統(tǒng)被進(jìn)入，攻擊者可以生成一個(gè)簡單的編程腳本從而讓任何人都可以遠(yuǎn)程進(jìn)入系統(tǒng)。
　　目前受到影響的產(chǎn)品包括：Polycom ViewStation 128 7.2或更早版本，Polycom ViewStation H.323 7.2或更早版本，Polycom ViewStation 512 7.2或更早版本，Polycom ViewStation MP 7.2或更早版本，Polycom ViewStation DCP 7.2或更早版本，Polycom ViewStation V.35 7.2或更早版本，Polycom ViewStation FX/VS 4000 4.1.5或更早版本。
　　在國外，Polycom公司的銷售和市場合作伙伴已經(jīng)通知用戶并告知他們應(yīng)該對產(chǎn)品進(jìn)行升級。但是在中國大陸市場，眾多Polycom的用戶還沒有收到這樣的通知。
　　在國內(nèi)，很少有用戶知道這些事情，因?yàn)镻olycom公司沒有在網(wǎng)站上公開發(fā)布安全問題的消息或者是對用戶進(jìn)行通知，也沒有告訴用戶系統(tǒng)升級對于系統(tǒng)的安全來說是必需的。
　　知道這個(gè)消息的國內(nèi)廠商中，只有深圳瑞福特公司的專業(yè)人士回答了提問，他說：如果在組建視頻會議系統(tǒng)時(shí)，設(shè)計(jì)使用VPN技術(shù)，讓各節(jié)點(diǎn)間傳輸?shù)臄?shù)據(jù)均通過底層加密，并且通過專用的隧道路由傳輸，可以有效隔絕來自外部網(wǎng)絡(luò)的攻擊，并且可以杜絕信息在傳輸過程中可能的泄漏情況。在VPN網(wǎng)內(nèi)部，應(yīng)該使用必要的防火墻設(shè)備(須支持H.323協(xié)議)來區(qū)分信息等級和有效區(qū)域，這樣可以很好的保證網(wǎng)絡(luò)內(nèi)部的信息安全。
　　同時(shí)他指出，如果要從根本上杜絕此類事情的發(fā)生還是非常困難的，國內(nèi)有許多廠家在研發(fā)視頻會議系統(tǒng)，但除了少數(shù)幾家公司擁有完全自主產(chǎn)權(quán)外，其他廠商的視頻會議系統(tǒng)核心部分--H.323協(xié)議棧幾乎都是國外的，如果這方面沒有自主產(chǎn)權(quán)的話，很多底層的漏洞就要依賴于別人來補(bǔ)救。
　　隨著Internet的普及和電子商務(wù)、政府上網(wǎng)等工程的啟動，使信息技術(shù)已經(jīng)成為整個(gè)社會經(jīng)濟(jì)和企業(yè)生存發(fā)展的重要基礎(chǔ)，這樣政府主管機(jī)構(gòu)、企業(yè)和用戶對信息技術(shù)的安全性、穩(wěn)定性、可維護(hù)性和可發(fā)展性提出了越來越迫切的要求。

新浪科技(tech.sina.com.cn)