部署统一通信，安全问题要警惕

导言：想要保证部署统一通信的安全吗？部署统一通信我们应该注意哪些安全隐患呢？那么答案，我们已经在文中介绍到了，请大家参考文章内容。

无论是网络安全，还是通信安全。方方面面，我们的安全意识一定要做到足够重视。那么我们现在就来谈谈有关于部署统一通信的安全问题吧。那么具体的内容和需要注意的方面，在下文中，我们已经为大家总结好了。

部署统一通信目前仍缺乏严密的安全保障，企业的安全系统无法识别内部威胁是最大的隐患。

“我认为人们普遍没有意识到统一通信和IP语音(VoIP)安全的必要性，”有安全专家曾这样说。“人们主要关注在节约成本，直到遇到了问题，才开始重视安全。”

企业已经开始认识到部署统一通信某些方面安全的必要，例如即时通信(IM)。也有一些厂商开始销售即时通信(IM)安全设备，而且卖得很火。然而，在许多组织中，他们的统一通信(UC)系统中的核心部分，像VoIP，仍然十分容易遭受攻击和入侵。“在你考虑用VoIP之前，必须从根本上确保你所使用网络的安全，”安全专家说。“你需要认真研究你的VoIP配置。如果有任何安全通信的需要，就应该对 VoIP进行加密。”Nemertes Research的首席分析师表示，许多企业在真正应该重视部署统一通信(UC)内部威胁的时候，他们却把精力放在阻止外部威胁。“现在我们的感觉是，当我们与企业谈到语音安全的时候，他们所担心的是底层网络，”Nemertes Research的首席分析师说。“他们担心拒绝服务攻击，担心服务器攻击等，但是他们不考虑或关心内部威胁。”Nemertes Research的首席分析师说，一般而言，大约有70%的网络攻击来自内部，但企业总是不愿意把重点放在保护自己免受内部威胁。他们在防火墙和其他技术上花费数百万美元来阻止周边外围的威胁，外部威胁反而变得越来越难以控制。

Nemertes Research的首席分析师提供了一些基本的确保统一通信(UC)安全的最优方法：

◆确保你安装了现有所有的安全补丁。

◆使用如Sipera Systems和VoIPShield等公司提供的测试工具来扫描漏洞。

◆遵守诸如VoIP安全联盟之类公共机构制定的安全标准或协议。

◆把进行风险评估作为部署统一通信(UC)的一部分。

“我们认为安全很早就应该和部署统一通信(UC)紧密地联系在一起，”Nemertes Research的首席分析师说。“不过，我仍然没有感觉到人们在这方面有足够的认识。上一次，就是我们在2007年中期的一次调查研究，不到1%的公司告诉我们，他们曾遭受过对他们语音系统的攻击。”但他表示，公司开始更加清楚地知道统一通信其中的一部分，统一消息安全的必要性。

“公司担心语音邮件向组织外部传播，”Nemertes Research的首席分析师说。“所以，如果我开始以一个.wav格式的文件作为附件给你发一封语音邮件，这是一个敏感的语音信息可以发到外部网络或重新发送，使其听起来就像我说过一句话，实际上我并没有说。我们看到了一些公司用统一消息的实例。当时负责公司系统安全方面的人回来说，‘你应该三个月之前就把这些告诉我们，那时我们将会告诉你我们不能做，因为我们不能冒险把语音邮件泄露到公司外部。’所以他们暂停了统一消息的部署。”统一通信(UC)的另一个严重漏洞是内部人员可以进行VoIP窃听。

“VoIP窃听是一个为人熟知的攻击，”统一通信安全厂商Sipera Systems的主管说。“这个攻击基本上是人为的攻击，把欺骗性的ARP数据包注入到网络中。”通过ARP数据包欺骗入侵到局域网(LAN)中，再诱骗受攻击者的电脑网络重定向语音数据包，那么攻击者就可以顺利地记录谈话内容了。“人们认为他们把信息直接发送到了对方，但是电脑上的漏洞在暗中运行，默默地截取，交接和转发信息给不知情的用户。”统一通信安全厂商Sipera Systems的主管说。在这样的情况下，一个不满的员工很很容易地拦截CEO和董事长或财务总监和人力资源之间的手机通话。这些易受攻击的漏洞存在到今天，那么这个行业必然将会遭受一次重大的事故或调整。“人们说语音窃听被夸大了，”统一通信安全厂商Sipera Systems的主管说。“我认为这是真实的，并没有夸张，只是需要教育和宣传。它能够真正地发生，而且大多数组织没有用保护系统进行适当地检测漏洞程序何时运行，也没有采取措施避免遭受攻击。”

考虑到这一点，统一通信安全厂商Sipera Systems的主管开发了一个叫UCSniff的测试工具，它可以显示出VoIP网络中的漏洞。他设计的应用程序把VoIP窃听技术和公司的人名地址薄联系到一起，这样这个工具就可以定位到组织内部中明确的用户和分机上面。这个工具不仅可以评估、测试和显示企业现有统一通信(UC)系统的漏洞，而且还可以在统一通信(UC)系统设计和部署阶段进行评估测试。

所以，在考虑部署统一通信(UC)之前，不仅要想到需要进行可行性分析，投资回报率(ROI)分析，制定统一通信(UC)策略等，还要考虑到系统的安全性，做好全面地安全分析和测试。