VoIP为其廉价电话费用买单

经过了大量的正面宣传之后，VoIP技术现在正面临着强烈的冲击。因为安全专家们注意到这种技术将可能会给公司网络留下一个不安全的后门。

关于IP电话的安全问题，如今要看你是在和谁讨论这个问题，有人会认为它面临众多重大安全问题，也有人会认为，如今这个领域的安全威胁被业界和媒体过分夸大，有些言过其实。

一直坚持前一种观点的David Lacey，他是皇家邮件（Royal Mail）的信息安全官，并且还是Jericho 论坛（这是一个国际性的IT用户以及供应商组织群体，他们主要着眼于安全问题）的主席。今年三月在伦敦的Docklands举行的一年一度的企业可持续发展展览会(BC Expo)上，他提出"在2006年或者2007年将会引爆电子版的珍珠港事件"，因为"在我们的网络上，新技术如VoIP的风险正在面临安全性方面的考验。"

Lacey的主要担心是各个公司可能因为利用这种廉价的电话服务而没有对所存在的安全问题进行全面的考虑，从而匆忙采用这种存在安全风险的服务。

但是分析团体Gartner却持有截然不同的态度。它认为，人们所广泛关注的网络电话可能遇到恶意的个人窃听威胁被人们无限扩大了，即便有窃听等一系列侵犯通话者隐私的情况出现，也很有可能是来自公司内部，因为窃听者必须与通话者在同一个局域网。分析公司所关心的是，那些组织可能会因为这些被夸大的威胁而放慢采用新技术的速度，他们之所以要这样大作广告，只是为了能够销售更多的安全产品而已。

那么，VoIP现在所面临的真正安全风险到底有多大？在这两种截然不同的观点之间，事实的真相是什么？

对于这个问题，Datamonitor 公司的一个研究主管Ian Williams认为，这两个方面的观点都是正确的，只是他们站在不同的角度来看问题而已。他指出，从一方面来看，作为Jericho论坛的领导人物，他的目标在于既要为自己的用户提供最好的安全实践，又要确保供应商能够满足用户的需求。Lacey的观点确实有一定的份量，而且他也没有必要去夸大其词。

Williams表示，"他不是专门来散布VoIP存在安全威胁的。从根本上来说，他之所以这样说，是想要告诉人们不要匆忙采用VoIP这种服务，在使用这种服务之前，一定要先花费一定的时间来围堵可能存在的安全漏洞，并且要看到潜在的安全隐患。"。

问题是，在语音电话成为一个应用程序时，它就和其他所有存在于数据网络之上的应用程序一样，就会遭受到各种不同的安全威胁。如果它在公司的业务通信中扮演重要角色的话，就必须要对其采取足够的保护措施。

从另一个方面来看，Williams觉得有些从利益目的出发的供应商，夸大其词的宣传既达不到其预定得目标，也有些过分。

他表示，"安全公司所使用的一个市场工具之一就是Fud，这个工具对于转换安全解决方案是非常有用的。但是问题是如果你走得太远的话，将会让用户感到气馁"。与此同时，IDC的欧洲IP电话高级分析师 Rogier Mol认为，有关这项技术所潜在风险主要依赖于用户如何使用这种技术。"到目前为止，VoIP以及IP电话的安全风险并不大。这主要是因为目前这些技术还没有暴露在因特网上，并且大多数公司和组织使用这种技术来实现内部呼叫，这和在公司的内部网络上传输数据没有什么两样。"

但是，到了2007年，这种状况就会开始发生变化，而且IP电话使用SIP的情况将会变得非常普遍，从而导致他们同时还需要包含其他的附属物如名片等，那么这样一来相应的就有可能增加安全风险。

IDC的Mol表示， "在公开访问的因特网上使用VoIP和SIP的安全性自然要比使用PSTN电话线的安全性差的多，因为PSTN采用的是私有设备，并且不会进入到互联网上。这意味着这种开放的通信流更容易被滥用。"

但是他也同意Gartner的观点，那就是认为语音通信流被第三方窃听的观点确实"有点夸大其词了"。"这只是理论上存在的风险，但是在现实中技术是不太可能的，因为要实现这种窃听太困难了，在网络上插上一根网线并且收集到这些语音数据包是一件很容易的事情，但是你还需要将他们合成到一起并进行解码才能听到语音电话中的内容。"