善用现有安全措施

确保VoIP安全不总是十分困难的。实际上，你可以锁定许多必要的工具和技巧。保证语音网络安全的方法就在那里，只是必须要正确地使用这些方法。

思科负责统一通讯业务的高级经理Kevin Flynn在谈到有关VoIP安全的问题时说，VoIP安全不是一个附加产品。它是已经建在网络中的或者建在VoIP产品本身中的。

据Flynn说，VoIP安全的每一个方面应该已经是数据网络的一部分。因此，找到把这些安全措施应用到VoIP中的方法应该是很轻松的。

他说，有许多事情是企业应该做的。他们应该做网络杀毒工作、访问控制和IDS。这是企业已经拥有的东西。

市场研究公司Yankee Group副总裁Zeus Kerravala赞同这个观点。他说，目前影响VoIP的最大的安全问题不是VoIP的具体问题，而是广泛的网络问题。更多的对具体语音问题的担心来自于厂商的夸大宣传，而不是来自实际的问题。

Kerravala说，你可以采取服务质量和减少网络上的恶意通讯量的方法来改进VoIP安全问题。但是，这些事情是你早就应该做的。

Flynn说，许多不熟悉VoIP领域的企业在开始考虑VoIP安全的时候都变成了某些不实之说和错误概念的牺牲品。虽然这些说法有很多是言过其实的，但是，安全和最佳安全做法仍是部署VoIP的一个重要部分。然而，他指出，企业需要“尊重安全，而不是害怕安全”。

Flynn说，人们共同担心的一个问题是，把语音通讯放在数据网络上将导致语音系统出现数据网络上经常出现的安全问题。一个安全的基础设施对于VoIP基础设施也应该是安全的。

他说，他们应该做的事情是保护基础设施本身。你在一个不安全的数据基础设施上不可能拥有一个安全的语音基础设施。如果你把VoIP通讯放在数据网络上，数据问题将影响语音通讯。你必须要分段。你的最大的问题是把数据网络并入语音网络时会出现不好的质量问题。

Flynn表示，另一个关键是分段。把语音和数据通讯分开。他说，分开近乎完美。VoIP安全101是把通讯分段为多个VLAN(虚拟局域网)。一个分开的方法是封锁访问语音VLAN的PC端口。

一个安全的VoIP应用开始在四个层次上提供保护:基础设施、电话管理、端点和应用。这些系统需要这样设置以便能够管理和理解为一个整体。

Flynn说，看一下所有四个层次。看看什么东西已经有了。把这种通讯分开，适当地设置它和保护基础设施。如果你错过了一个层次，坏蛋就会发现你的弱点。

这些坏蛋将在那里。据SANS研究所最近发表的一篇研究报告称，VoIP系统将成为2007年最常见的安全攻击目标之一。一家500强企业的电信技术经理Mary Allan说，她知道VoIP安全是必要的。但是，她补充说，她的机构到目前为止还没有开发出一个滴水不漏的VoIP安全计划。Allan承认，她的公司有一些与VoIP安全有关的担心。但是，该公司到目前为止还没有深入研究这些问题。

然而，她说，她的公司正在采取某些措施保证VoIP的安全。

Allan说，我们主要担心的问题是保持硬件尽可能多地离开互联网。我们通过分配专有的子网和管理设备来做这些事情，也就是在内部做杀毒和安全工作。

她继续说，我们还有许多工作要做，特别是做有关IP端点和扩大的拓扑等工作。我们劝告企业在考虑IP安全的时候要把VoIP安全作为主要的安全技术之一，而不是在事后再做这个事情。更糟糕的是当出现安全突破的时候才采取反应措施。

Allan表示，当一家公司从TDM技术转换到IP技术领域的时候，额外担心的问题是对硬件的分歧。

在传统的世界中，TDM系统从硬件的角度考虑确实是安全的。我们最大的风险就是长途话费诈骗。在IP技术领域，设备需要补丁。这是语音用户以前从来没有遇到过的问题。这使我们在管理硬件方面处于非常不利的地位。我们必须依靠公司中的其它小组帮助我们，或者通过培训或者通过实际的管理。这是有关控制、标准、厂商遵守公司标准和在应用之前测试补丁。可以指出许多这类公司的名字。

虽然Allan的500强企业到目前为止还没有制定任何正式的VoIP安全政策或者最佳做法，但是，这家公司对于现有的网络有严格的安全政策。在IP电话更广泛地应用之前，这家公司仍将依靠这些安全政策。在IP电话广泛应用的时候，这家公司将增加专门针对语音通讯的标准。

不过，Allan建议企业现在就应该研究VoIP的安全问题。她说，许多公司不知道通过IP端点能够进入网络的威胁。他们需要现在就保护网络的安全，否则就太晚了。

她说，基于大多数人不关心他们的电话是否被窃听的事实，需要考虑的事情太多了。这种缺乏了解涉及到不知道IP端点如何成为病毒和蠕虫的另一个入口的。从悲观的方面看，这个假设是黑客已经在努力研究如何利用IP通讯入侵网络。

Allan表示，她会劝告电信和语音团队与安全方面的人士一起制定一个VoIP安全行动计划。VoIP安全与标准的网络安全不同，因此需要一套新的最佳做法。Flynn赞成这个观点。他劝告企业考虑包括语音业务、网络小组、安全团队和在业务方面的人在内的与IT有关的所有的知识和经验。

Allan说，安全团队需要知道我们正在做什么和需要理解VoIP是同一种线路中的不同的东西，从而做出正确的行动决策。我不知道标准的安全最佳做法是百分之百适合VoIP的，这是我本人要解决的一个难题。