統(tǒng)一通信為企業(yè)用戶在IP網(wǎng)絡(luò)上提供了全新的溝通和協(xié)作方式,這些協(xié)作方式包括語音、視頻、即時消息、會議、郵件、桌面共享、業(yè)務(wù)應(yīng)用等。在豐富企業(yè)員工溝通方式、提高工作效率的同時,也能夠大大降低企業(yè)的通信成本,因此越來越多的企業(yè)正在從傳統(tǒng)的TDM網(wǎng)絡(luò)改造為VoIP網(wǎng)絡(luò)并部署企業(yè)統(tǒng)一通信業(yè)務(wù),這個也是必然趨勢。
但是,統(tǒng)一通信往往直接部署在企業(yè)原IP網(wǎng)絡(luò)上,由于IP網(wǎng)絡(luò)的開放性,其本身存在各種各樣的安全威脅。Gartner的分析報告也指出,2012到2015年之間,企業(yè)信息安全的投入其復(fù)合增長率基本上都在15%左右,說明了企業(yè)對信息安全將會越來越重視。
針對企業(yè)部署統(tǒng)一通信后帶來的威脅,如何提供有效的解決方案是我們值得思考的問題,下面我們逐一進(jìn)行分析:
終端接入要保證可信任和安全
目前企業(yè)員工之間一般采用PC、手機(jī)和IP話機(jī)進(jìn)行溝通,那么對于這些部署在IP網(wǎng)絡(luò)上的各種終端,如何保證安全接入到企業(yè)網(wǎng)絡(luò)系統(tǒng)中來呢?
針對新部署的IP話機(jī),華為UC2.0解決方案采用基于端口的接入控制協(xié)議(802.1x技術(shù)),實(shí)現(xiàn)對IP話機(jī)的準(zhǔn)入認(rèn)證,該協(xié)議是在在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前,對連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。另外企業(yè)用戶越來越多需要通過手機(jī)或者便攜機(jī)進(jìn)行移動辦公,利用Internet訪問企業(yè)通信服務(wù)器,如何保證此類終端從Internet安全接入企業(yè)內(nèi)網(wǎng)呢?
華為UC2.0解決方案集成華為自身VPN網(wǎng)關(guān),在手機(jī)上安裝VPN客戶端,和VPN網(wǎng)關(guān)服務(wù)器之間建立安全連接的VPN通道,為了提升效率并結(jié)合UC業(yè)務(wù)特點(diǎn),該通道是基于UDP通道進(jìn)行加密封裝的。
數(shù)據(jù)傳輸過程機(jī)密、完整
統(tǒng)一通信信令控制和媒體流基于SIP和RTP協(xié)議,這些數(shù)據(jù)在IP網(wǎng)絡(luò)上是基于明文傳輸?shù)模诳秃苋菀拙湍芨`取到信令里面攜帶的用戶(包括管理員)賬號、密碼等敏感信息,實(shí)施各種破壞或者盜取企業(yè)相關(guān)數(shù)據(jù),同時對于明文傳輸?shù)拿襟w,其通話內(nèi)容也很容易被黑客監(jiān)聽。
華為eSpace UC2.0解決方案中,通過SIP信令交互的組件都需要實(shí)現(xiàn)SIP TLS,以實(shí)現(xiàn)信令交互的機(jī)密性、完整性、不可否認(rèn)性。同樣,任何通過RTP與其他組件進(jìn)行媒體交互的組件都需要實(shí)現(xiàn)SRTP,通過安全的實(shí)時傳輸協(xié)議,用來對RTP會話進(jìn)行安全性保證。
企業(yè)數(shù)據(jù)分類管理,保證安全
企業(yè)統(tǒng)一通信數(shù)據(jù)一般保存在統(tǒng)一通信服務(wù)器和企業(yè)用戶的個人終端上,華為UC2.0解決方案對這些數(shù)據(jù)都做了安全保護(hù)措施。
首先,支持采用LDAP/SLDAP標(biāo)準(zhǔn)協(xié)議訪問企業(yè)現(xiàn)有的Active Directory,這些數(shù)據(jù)集中存儲維護(hù),能夠減少多份數(shù)據(jù)維護(hù)可能的誤操作帶來的安全隱患外,同時也降低了企業(yè)的維護(hù)成本。
很重要的是,在與某些企業(yè)CIO交流時,他們通常有這樣的需求:企業(yè)高層的數(shù)據(jù)屬于保密信息,不想被基層員工以電話、IM或者郵件等各種方式騷擾。
華為UC2.0解決方案能夠解決企業(yè)高層的這些困擾,系統(tǒng)根據(jù)數(shù)據(jù)敏感級別分為兩類:個人信息和公共信息,根據(jù)員工級別,可逐級設(shè)置相互間的個人信息、公共信息的細(xì)粒度的訪問策略,可有效保護(hù)各級員工(尤其是高級別員工)的通訊錄敏感數(shù)據(jù)泄露。第二點(diǎn),用戶本地的即時消息是加密保存的,另外針對用戶發(fā)送的消息,系統(tǒng)還可以過濾消息里面的敏感詞匯,比如武器、毒品等,并限制消息長度;同時針對傳輸文件,管理員可以定義其文件類型和大小,并能夠支持傳輸過程中的加密,避免被截取泄露。
第三,企業(yè)統(tǒng)一通信系統(tǒng)中,存在很多管理相關(guān)數(shù)據(jù),包括企業(yè)用戶管理、企業(yè)網(wǎng)絡(luò)與設(shè)備管理和用戶自助管理等。眾所周知,控制了管理權(quán)限和數(shù)據(jù)相當(dāng)于控制了整個統(tǒng)一通信系統(tǒng)。華為UC2.0解決方案能全面支持安全管理協(xié)議,將系統(tǒng)劃分為不同網(wǎng)段,使得業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)分開,使得管理數(shù)據(jù)在網(wǎng)絡(luò)上傳輸是加密安全的,并對核心服務(wù)器重點(diǎn)保護(hù)。
華為UC2.0解決方案從終端、網(wǎng)絡(luò)到服務(wù)器以及應(yīng)用等層面,提供端到端的安全防護(hù),并具有成熟的移動安全接入能力。針對每個企業(yè)用戶,進(jìn)行細(xì)顆粒度的行為管控,切實(shí)保護(hù)好企業(yè)敏感數(shù)據(jù)和關(guān)鍵資源。愿企業(yè)在基于安全的基礎(chǔ)保障上,享受統(tǒng)一通信帶來的高效便捷。