VoIP有安全才有作為
國雁萌
2002/09/16
盡管在傳統(tǒng)的TDM系統(tǒng)中����,電話并不是什么新鮮事�,但由于VoIP使用通用的操作系統(tǒng)�����,并與普通的計算機一樣�����,連接到局域網(wǎng)甚至是廣域網(wǎng)上����,IP PBX的安全性自然受到了更多的關(guān)注�����。并且,所有的IP PBX都使用IP堆棧�����,這使系統(tǒng)容易出現(xiàn)服務(wù)拒絕或被黑客侵襲的問題�。很多IP PBX中還包括了在ISS(與 Windows NT Server集成的Web服務(wù)器)和Apache Web服務(wù)器平臺上的基于網(wǎng)絡(luò)的用戶-管理員工具或圖形工具,而這兩種平臺本身就因為安全漏洞和故障問題而經(jīng)常要修修補補�����。凡此種種關(guān)于VoIP安全性的挑戰(zhàn)���,到底能否有令人滿意的答案呢���?
Cicso的高級技術(shù)分析專家Tom McCormick透露,由于沒有及時防范最新病毒�,他們的一個演示系統(tǒng)的Call Manager去年感染了尼姆達病毒。這臺Cisco IP PBX運行在目的驅(qū)動的基于Intel和Windows的服務(wù)器����,當(dāng)時只用于內(nèi)部IT部門的測試。這次事故盡管沒有給公司運營帶來影響�����,但卻給公司敲響了警鐘。從此以后�����,Cisco不但定期對這個系統(tǒng)進行維護���,而且不斷對其進行更新和監(jiān)控�����。這個系統(tǒng)已加入運營�����,至今仍在正常工作�。
從基于服務(wù)器的PBX到完全網(wǎng)絡(luò)化的IP電話��,確實是大勢所趨���。但正因為安全問題,很多企業(yè)不敢一步到位����。他們寧可在最近一兩年中采取折衷手段��,既享受一點現(xiàn)有的成果���,又堅持等待成熟的IP語音技術(shù)。Compass 銀行是美國的一個聯(lián)邦儲備銀行��,它在美國南部和西南部8個州擁有400個支行���。為保證其20個辦事處的通信����,它采用了一個IP和TDM的混合系統(tǒng)����。它為支行配置了Nortel BCM(Business Communication Manager商務(wù)信息管理系統(tǒng)),再通過專用幀中繼線路��,用Nortel Meridian TDM與下屬小辦事處的IP PBX進行通信�。其高級管理人員認(rèn)為,盡管BCM是以NT為基礎(chǔ)的�,但安全問題并不是那么嚴(yán)重,因為IP只是用來代替線路���,電信網(wǎng)絡(luò)的核心仍然是TDM��。雖然網(wǎng)絡(luò)容易受到外界干擾�����,但病毒和外部襲擊對于VoIP系統(tǒng)并不構(gòu)成威脅�。
著名化工企業(yè)H.B.Fuller公司去年安裝了3個互為備份的IP PBX集群,都是基于windows的Call Manager�。這樣,該企業(yè)的VPN(Virtual Private Network虛擬專用網(wǎng)絡(luò))中的20個遠距離站點都可以使用IP電話���。通過在數(shù)據(jù)網(wǎng)上傳輸語音��,這個公司實現(xiàn)了對語音的集中管理����,淘汰了原有網(wǎng)絡(luò)的12個PBX��,大大提高管理效率�����,并節(jié)約了開支�。盡管益處多多�,但網(wǎng)絡(luò)管理人員的擔(dān)子著實重了不少�。為確保安全��,工作人員利用一種中斷監(jiān)測軟件對集群電話的服務(wù)器進行監(jiān)測��。由于Call Manager的操作系統(tǒng)中采用Microsoft IIS作為一種管理工具���,他們必須隨時注意升級操作系統(tǒng)�。為提高安全性��,他們降低了PBX的數(shù)量�,而Cisco對Call Manager的集中化管理也有助于確保安全。現(xiàn)在���,工作人員已經(jīng)積累了一些經(jīng)驗����,大大提高了系統(tǒng)管理的規(guī)范化水平��。
管理IP電話系統(tǒng)跟管理TDM系統(tǒng)有所不同����,盡管面臨困難,但企業(yè)只要對IP PBX加強管理��,像對待個人隱私,信用卡信息一樣作為重要機密��,那么安全應(yīng)該不是個大問題���。盡管NBX系統(tǒng)跟其它的服務(wù)器一樣連接在數(shù)據(jù)網(wǎng)絡(luò)上���,但是該城的網(wǎng)絡(luò)負責(zé)人認(rèn)為,有了網(wǎng)絡(luò)管理員工具��,就可以很容易地配置NBX和電話分機���。他們定期的改變密碼�,也在一定程度上加強了安全性�����。另外����,NBX還有防火墻的保護,減少了非法訪問和盜用的可能�。而它自帶的訪問檢查功能使其自動記錄訪問者、訪問操作及訪問者的IP地址,也大大提高了系統(tǒng)的安全性�。
安全建議
把IP PBX設(shè)備與其它服務(wù)器放置在不同的域。
把語音業(yè)務(wù)單獨放在一個虛擬局域網(wǎng)中�����。
限制IT工作人員的訪問權(quán)限���,只允許極少數(shù)人進行VoIP服務(wù)器的核心操作。
條件允許的情況下�����,限制訪問IP PBX和IP電話網(wǎng)絡(luò)的協(xié)議種類���。
盡可能的對語音業(yè)務(wù)進行加密���,不在未加管理的網(wǎng)絡(luò)或公用網(wǎng)絡(luò)上傳輸IP語音。
賽迪網(wǎng) 中國信息化(industry.ccidnet.com)