統(tǒng)一通信，也就是我們常說(shuō)的UC平臺(tái)。在部署的時(shí)候我們應(yīng)該注意一些什么呢?尤其以安全為重，在以往的部署案例中，很多企業(yè)都抱怨不能和本身的安全系統(tǒng)相互融合，這個(gè)問(wèn)題應(yīng)該怎么解決呢?

部署統(tǒng)一通信(UC)目前仍缺乏嚴(yán)密的安全保障，企業(yè)的安全系統(tǒng)無(wú)法識(shí)別內(nèi)部威脅是最大的隱患。

“我認(rèn)為人們普遍沒(méi)有意識(shí)到統(tǒng)一通信(UC)和IP語(yǔ)音(VoIP)安全的必要性，”有安全專(zhuān)家曾這樣說(shuō)?！叭藗冎饕P(guān)注在節(jié)約成本，直到遇到了問(wèn)題，才開(kāi)始重視安全?！?/P>

企業(yè)已經(jīng)開(kāi)始認(rèn)識(shí)到統(tǒng)一通信(UC)某些方面安全的必要，例如即時(shí)通信(IM)。也有一些廠商開(kāi)始銷(xiāo)售即時(shí)通信(IM)安全設(shè)備，而且賣(mài)得很火。然而，在許多組織中，他們的統(tǒng)一通信(UC)系統(tǒng)中的核心部分，像VoIP，仍然十分容易遭受攻擊和入侵。

“在你考慮用VoIP之前，必須從根本上確保你所使用網(wǎng)絡(luò)的安全，”安全專(zhuān)家說(shuō)。“你需要認(rèn)真研究你的VoIP配置。如果有任何安全通信的需要，就應(yīng)該對(duì) VoIP進(jìn)行加密?！?/P>

Nemertes Research的首席分析師表示，許多企業(yè)在真正應(yīng)該重視統(tǒng)一通信(UC)內(nèi)部威脅的時(shí)候，他們卻把精力放在阻止外部威脅。

“現(xiàn)在我們的感覺(jué)是，當(dāng)我們與企業(yè)談到語(yǔ)音安全的時(shí)候，他們所擔(dān)心的是底層網(wǎng)絡(luò)，”Nemertes Research的首席分析師說(shuō)?！八麄儞?dān)心拒絕服務(wù)攻擊，擔(dān)心服務(wù)器攻擊等，但是他們不考慮或關(guān)心內(nèi)部威脅。”

Nemertes Research的首席分析師說(shuō)，一般而言，大約有70%的網(wǎng)絡(luò)攻擊來(lái)自?xún)?nèi)部，但企業(yè)總是不愿意把重點(diǎn)放在保護(hù)自己免受內(nèi)部威脅。他們?cè)诜阑饓推渌夹g(shù)上花費(fèi)數(shù)百萬(wàn)美元來(lái)阻止周邊外圍的威脅，外部威脅反而變得越來(lái)越難以控制。

[NextPage]Nemertes Research的首席分析師提供了一些基本的確保統(tǒng)一通信(UC)安全的最優(yōu)方法：

◆確保你安裝了現(xiàn)有所有的安全補(bǔ)丁。

◆使用如Sipera Systems和VoIPShield等公司提供的測(cè)試工具來(lái)掃描漏洞。

◆遵守諸如VoIP安全聯(lián)盟之類(lèi)公共機(jī)構(gòu)制定的安全標(biāo)準(zhǔn)或協(xié)議。

◆把進(jìn)行風(fēng)險(xiǎn)評(píng)估作為部署統(tǒng)一通信(UC)的一部分。

“我們認(rèn)為安全很早就應(yīng)該和統(tǒng)一通信(UC)緊密地聯(lián)系在一起，”Nemertes Research的首席分析師說(shuō)。“不過(guò)，我仍然沒(méi)有感覺(jué)到人們?cè)谶@方面有足夠的認(rèn)識(shí)。上一次，就是我們?cè)?007年中期的一次調(diào)查研究，不到1%的公司告訴我們，他們?cè)馐苓^(guò)對(duì)他們語(yǔ)音系統(tǒng)的攻擊。”

但他表示，公司開(kāi)始更加清楚地知道統(tǒng)一通信(UC)其中的一部分，統(tǒng)一消息安全的必要性。

“公司擔(dān)心語(yǔ)音郵件向組織外部傳播，”Nemertes Research的首席分析師說(shuō)?！八?，如果我開(kāi)始以一個(gè).wav格式的文件作為附件給你發(fā)一封語(yǔ)音郵件，這是一個(gè)敏感的語(yǔ)音信息可以發(fā)到外部網(wǎng)絡(luò)或重新發(fā)送，使其聽(tīng)起來(lái)就像我說(shuō)過(guò)一句話，實(shí)際上我并沒(méi)有說(shuō)。我們看到了一些公司用統(tǒng)一消息的實(shí)例。當(dāng)時(shí)負(fù)責(zé)公司系統(tǒng)安全方面的人回來(lái)說(shuō)，‘你應(yīng)該三個(gè)月之前就把這些告訴我們，那時(shí)我們將會(huì)告訴你我們不能做，因?yàn)槲覀儾荒苊半U(xiǎn)把語(yǔ)音郵件泄露到公司外部。’所以他們暫停了統(tǒng)一消息的部署?！?/P>

統(tǒng)一通信(UC)的另一個(gè)嚴(yán)重漏洞是內(nèi)部人員可以進(jìn)行VoIP竊聽(tīng)。

“VoIP竊聽(tīng)是一個(gè)為人熟知的攻擊，”統(tǒng)一通信(UC)安全廠商Sipera Systems的主管說(shuō)?！斑@個(gè)攻擊基本上是人為的攻擊，把欺騙性的ARP數(shù)據(jù)包注入到網(wǎng)絡(luò)中?！?/P>

通過(guò)ARP數(shù)據(jù)包欺騙入侵到局域網(wǎng)(LAN)中，再誘騙受攻擊者的電腦網(wǎng)絡(luò)重定向語(yǔ)音數(shù)據(jù)包，那么攻擊者就可以順利地記錄談話內(nèi)容了。

“人們認(rèn)為他們把信息直接發(fā)送到了對(duì)方，但是電腦上的漏洞在暗中運(yùn)行，默默地截取，交接和轉(zhuǎn)發(fā)信息給不知情的用戶(hù)?！苯y(tǒng)一通信(UC)安全廠商Sipera Systems的主管說(shuō)。

在這樣的情況下，一個(gè)不滿(mǎn)的員工很很容易地?cái)r截CEO和董事長(zhǎng)或財(cái)務(wù)總監(jiān)和人力資源之間的手機(jī)通話。這些易受攻擊的漏洞存在到今天，那么這個(gè)行業(yè)必然將會(huì)遭受一次重大的事故或調(diào)整。

“人們說(shuō)語(yǔ)音竊聽(tīng)被夸大了，”統(tǒng)一通信(UC)安全廠商Sipera Systems的主管說(shuō)?！拔艺J(rèn)為這是真實(shí)的，并沒(méi)有夸張，只是需要教育和宣傳。它能夠真正地發(fā)生，而且大多數(shù)組織沒(méi)有用保護(hù)系統(tǒng)進(jìn)行適當(dāng)?shù)貦z測(cè)漏洞程序何時(shí)運(yùn)行，也沒(méi)有采取措施避免遭受攻擊?！?/P>

考慮到這一點(diǎn)，統(tǒng)一通信(UC)安全廠商Sipera Systems的主管開(kāi)發(fā)了一個(gè)叫UCSniff的測(cè)試工具，它可以顯示出VoIP網(wǎng)絡(luò)中的漏洞。他設(shè)計(jì)的應(yīng)用程序把VoIP竊聽(tīng)技術(shù)和公司的人名地址薄聯(lián)系到一起，這樣這個(gè)工具就可以定位到組織內(nèi)部中明確的用戶(hù)和分機(jī)上面。這個(gè)工具不僅可以評(píng)估、測(cè)試和顯示企業(yè)現(xiàn)有統(tǒng)一通信(UC)系統(tǒng)的漏洞，而且還可以在統(tǒng)一通信(UC)系統(tǒng)設(shè)計(jì)和部署階段進(jìn)行評(píng)估測(cè)試。

所以，在考慮部署統(tǒng)一通信(UC)之前，不僅要想到需要進(jìn)行可行性分析，投資回報(bào)率(ROI)分析，制定統(tǒng)一通信(UC)策略等，還要考慮到系統(tǒng)的安全性，做好全面地安全分析和測(cè)試。