毋寧質(zhì)疑����,我們?cè)诖罱ò踩煽康亩藢?duì)端網(wǎng)絡(luò)方面,如何為業(yè)務(wù)提供商和企業(yè)的這些系統(tǒng)提供安全保護(hù)����,是一個(gè)必須面對(duì)的問(wèn)題。
為IP電話和多媒體系統(tǒng)提供安全保護(hù)
為了應(yīng)對(duì)這些攻擊�,我們采用那些在通信服務(wù)器或企業(yè)通信管理器產(chǎn)品系列開(kāi)發(fā)出相應(yīng)的IP電話解決方案,以滿足業(yè)務(wù)提供商在運(yùn)行��、可靠性和性能方面的嚴(yán)格要求����,并服務(wù)于個(gè)人和企業(yè)用戶、小型企業(yè)�����、政府機(jī)構(gòu)和那些為最終用戶提供服務(wù)的企業(yè)。
這些IP電話解決方案還能得到進(jìn)一步增強(qiáng)�����,以便通通信服務(wù)器的支持��,提供融合多媒體解決方案�,包括實(shí)時(shí)視頻�����、安全即時(shí)消息���、應(yīng)用共享����、白板和在線狀態(tài)等����,它們既可以是專用解決方案也可以是托管解決方案。新興的融合多媒體解決方案正成為提高企業(yè)生產(chǎn)力的基本工具���,同時(shí)還能提升個(gè)人和企業(yè)用戶的通信體驗(yàn)���。
在保護(hù)多媒體服務(wù)器�����、應(yīng)用服務(wù)器和網(wǎng)關(guān)設(shè)備方面���,在產(chǎn)品研發(fā)及實(shí)施階段遵循多個(gè)原則,以確保IP電話和多媒體通信系統(tǒng)的完整性以及用戶信息的保密性����。這些原則包括:
多媒體安全解決方案必須符合網(wǎng)絡(luò)操作者的安全策略,不論該操作者是某個(gè)企業(yè)的IT組織還是一個(gè)業(yè)務(wù)提供商����。
必須在數(shù)據(jù)層面為IP網(wǎng)絡(luò)提供安全保護(hù),并且所采用的任何安全機(jī)制必須能夠在如下環(huán)境內(nèi)運(yùn)行:具有嚴(yán)格的VoIP和多媒體實(shí)時(shí)性能要求��,以及極高的時(shí)延/抖動(dòng)(端到端小于150毫秒)和丟包率(接近0%)要求��。
業(yè)務(wù)關(guān)鍵型通信服務(wù)器以及相關(guān)的信令和控制系統(tǒng)必須具備物理安全性����,并得到保護(hù)以防范內(nèi)外攻擊�。
除了將最佳實(shí)踐應(yīng)用于保護(hù)整個(gè)IP網(wǎng)絡(luò)外����,我們的VoIP和多媒體解決方案還在分層體系結(jié)構(gòu)中提供具體的多媒體安全功能,包括設(shè)備級(jí)安全����、邊界保護(hù)、端點(diǎn)的策略符合性和網(wǎng)絡(luò)級(jí)保護(hù)��、以及應(yīng)用級(jí)安全��。
設(shè)備級(jí)安全
在設(shè)備級(jí)��,負(fù)責(zé)提供統(tǒng)一消息��、呼叫中心和CTI業(yè)務(wù)我們的IP電話服務(wù)器���、多媒體服務(wù)器和應(yīng)用服務(wù)器要能將將管理功能與業(yè)務(wù)功能分開(kāi)、嚴(yán)格的訪問(wèn)控制����、以及用戶認(rèn)證、授權(quán)和計(jì)費(fèi)��。
同時(shí)我們的方案最好在不同的語(yǔ)音、多媒體和應(yīng)用服務(wù)器中采用些基本的安全方法�,以確保關(guān)閉所有任何可能被攻擊者利用的后門程序。例如:
關(guān)閉不用的端口(如用于控制臺(tái)或遠(yuǎn)程調(diào)制解調(diào)器訪問(wèn)的端口);
支持針對(duì)操作人員設(shè)置多級(jí)權(quán)限(如監(jiān)視�、配置和控制權(quán)限);
對(duì)密碼格式和管理變更進(jìn)行嚴(yán)格控制;
安全多媒體區(qū)域采用安全多媒體控制器等產(chǎn)品在通信和多媒體服務(wù)器周圍設(shè)置一道“安全防護(hù)欄”,以保護(hù)這些設(shè)備免遭內(nèi)外攻擊�����?���?梢葬槍?duì)業(yè)務(wù)提供商和企業(yè)采取不同的方法,這是因?yàn)闃I(yè)務(wù)提供商通常允許用戶通過(guò)開(kāi)放的互聯(lián)網(wǎng)訪問(wèn)它們的VoIP系統(tǒng)��,而企業(yè)主要關(guān)心如何在在一個(gè)相對(duì)安全的企業(yè)內(nèi)部網(wǎng)上進(jìn)行部署��,并通過(guò)安全隧道的延伸實(shí)現(xiàn)遠(yuǎn)程和移動(dòng)接入����。
端點(diǎn)的策略符合性和保護(hù)
無(wú)論是應(yīng)用于本地或遠(yuǎn)端的有線或無(wú)線IP話機(jī),還是應(yīng)用于PC和PDA中的軟件客戶端����,端點(diǎn)的策略符合性可確保只有通過(guò)認(rèn)證的用戶和符合操作者定義的安全策略的終端設(shè)備才能接入網(wǎng)絡(luò),并且這些設(shè)備只能使用經(jīng)過(guò)授權(quán)的應(yīng)用和網(wǎng)絡(luò)資源���。
目前���,采用符合行業(yè)標(biāo)準(zhǔn)的HTTP Digest認(rèn)證方式對(duì)多媒體用戶進(jìn)行認(rèn)證����,從而防止未知設(shè)備偽裝成一臺(tái)IP話機(jī)�,或防止一臺(tái)IP話機(jī)進(jìn)入一個(gè)未經(jīng)授權(quán)的網(wǎng)絡(luò)端口。我們使用的以太網(wǎng)交換機(jī)��、以太網(wǎng)路由交換機(jī)和WLAN安全交換機(jī)不僅要支持802.1x/EAP認(rèn)證�,而且還支持媒體訪問(wèn)控制(MAC)地址過(guò)濾,作為訪問(wèn)控制的另一種形式��。
對(duì)于IP電話軟件客戶端�,解決方案需支持IPsec VPN認(rèn)證���,并支持通過(guò)一個(gè)SSL(安全套接字層)VPN提交用戶名和認(rèn)證信息���。IPsec是互聯(lián)網(wǎng)工程工作小組(IETF)定義的一套安全協(xié)議,它們通過(guò)加密��、認(rèn)證���、保密�����、數(shù)據(jù)完整性�����、防回放保護(hù)和防業(yè)務(wù)流分析來(lái)保護(hù)IP通信業(yè)務(wù)��。
IPsec SSL VPN連接可利用SNA解決方案查詢本地或遠(yuǎn)程接入設(shè)備���,以確保它們符合企業(yè)的安全策略�,如防火墻和防病毒軟件的最新定義����。在VPN中,SNA解決方案采用隧道防護(hù)(TG)技術(shù)���。一些VPN產(chǎn)品系列幾年前就開(kāi)始采用這一獨(dú)特技術(shù)�,讓企業(yè)能夠靈活采用以下方式確保端點(diǎn)安全:在安裝VPN客戶端時(shí)安裝一個(gè)代理����,或者將代理下載到試圖建立一個(gè)SSL VPN連接的設(shè)備上����。
不僅如此����,SSL還與第三方廠商通過(guò)一個(gè)開(kāi)放的應(yīng)用程序接口(API)相互作用。如果某個(gè)設(shè)備不符合安全策略�����,可以將其放置在一個(gè)用于糾正的VLAN內(nèi)��,直到其符合安全策略為止��。
應(yīng)用級(jí)安全
確保語(yǔ)音通信的保密性是IP電話系統(tǒng)抗衡傳統(tǒng)TDM系統(tǒng)的一個(gè)關(guān)鍵因素�。
當(dāng)今的交換式以太網(wǎng)內(nèi)部體系結(jié)構(gòu)-連同語(yǔ)音VLAN、地址解析協(xié)議(ARP)防欺騙等協(xié)議控制技術(shù)�����、以及安全的配線柜-的確能夠使內(nèi)部IP呼叫與TDM呼叫一樣安全���。
為了確保通往PSTN的外部IP呼叫的安全,一個(gè)媒體網(wǎng)關(guān)首先要將數(shù)據(jù)包轉(zhuǎn)換成一個(gè)TDM呼叫�,從而實(shí)現(xiàn)等同于TDM環(huán)境下的呼叫安全�。
幾乎所有客戶都認(rèn)為任何通過(guò)互聯(lián)網(wǎng)傳輸?shù)臉I(yè)務(wù)-無(wú)論語(yǔ)音和數(shù)據(jù)業(yè)務(wù)或通過(guò)有線和無(wú)線方式接入的業(yè)務(wù)-都是不安全的���,并且容易遭受探測(cè)攻擊���。由于存在這種擔(dān)心,人們通常采用SSL技術(shù)保護(hù)用戶認(rèn)證和金融交易信息等重要的信息����,并采用IPsec VPN技術(shù)確保企業(yè)遠(yuǎn)程辦公站點(diǎn)和分支機(jī)構(gòu)的接入安全。我們采用IPsec和SSL VPN解決方案完全能夠確保企業(yè)內(nèi)部網(wǎng)上遠(yuǎn)程辦公人員���、移動(dòng)工作人員���、分支機(jī)構(gòu)和遠(yuǎn)程辦公室的IP電話呼叫安全。
在低風(fēng)險(xiǎn)的內(nèi)部IP呼叫和高風(fēng)險(xiǎn)的互聯(lián)網(wǎng)/無(wú)線IP呼叫之間是一種極易遭受竊聽(tīng)的業(yè)務(wù):撥入式電話會(huì)議�。
我們采用的系統(tǒng)產(chǎn)品通常要可以通過(guò)一個(gè)主持人可視面板提供一整套易用的撥入式電話會(huì)議安全功能。主持人可以使用該面板查詢參加和退出會(huì)議呼叫的人員�����,甚至可以要求參加者二次輸入密碼進(jìn)行從新認(rèn)證���。所有這些功能都極大增強(qiáng)了傳統(tǒng)和IP電話通信環(huán)境的安全性�。
對(duì)于想要確保VoIP和多媒體系統(tǒng)最高安全的客戶,我們的服務(wù)實(shí)施團(tuán)隊(duì)要可以為客戶提供設(shè)計(jì)和集成服務(wù)�,包括評(píng)估現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)(包括與客戶相關(guān)人員共同召開(kāi)協(xié)作會(huì)議和進(jìn)行項(xiàng)目規(guī)劃),提供一個(gè)詳細(xì)的安全體系結(jié)構(gòu)計(jì)劃��,并針對(duì)VoIP和/或多媒體解決方案以及具體的部署要求提供網(wǎng)絡(luò)結(jié)構(gòu)圖�����。
