CTI論壇: VoIP有安全才有作為

VoIP有安全才有作為

國(guó)雁萌 2002/09/16

　　盡管在傳統(tǒng)的TDM系統(tǒng)中，電話并不是什么新鮮事，但由于VoIP使用通用的操作系統(tǒng)，并與普通的計(jì)算機(jī)一樣，連接到局域網(wǎng)甚至是廣域網(wǎng)上，IP PBX的安全性自然受到了更多的關(guān)注。并且，所有的IP PBX都使用IP堆棧，這使系統(tǒng)容易出現(xiàn)服務(wù)拒絕或被黑客侵襲的問題。很多IP PBX中還包括了在ISS（與 Windows NT Server集成的Web服務(wù)器）和Apache Web服務(wù)器平臺(tái)上的基于網(wǎng)絡(luò)的用戶-管理員工具或圖形工具，而這兩種平臺(tái)本身就因?yàn)榘踩┒春凸收蠁栴}而經(jīng)常要修修補(bǔ)補(bǔ)。凡此種種關(guān)于VoIP安全性的挑戰(zhàn)，到底能否有令人滿意的答案呢？

　　Cicso的高級(jí)技術(shù)分析專家Tom McCormick透露，由于沒有及時(shí)防范最新病毒，他們的一個(gè)演示系統(tǒng)的Call Manager去年感染了尼姆達(dá)病毒。這臺(tái)Cisco IP PBX運(yùn)行在目的驅(qū)動(dòng)的基于Intel和Windows的服務(wù)器，當(dāng)時(shí)只用于內(nèi)部IT部門的測(cè)試。這次事故盡管沒有給公司運(yùn)營(yíng)帶來影響，但卻給公司敲響了警鐘。從此以后，Cisco不但定期對(duì)這個(gè)系統(tǒng)進(jìn)行維護(hù)，而且不斷對(duì)其進(jìn)行更新和監(jiān)控。這個(gè)系統(tǒng)已加入運(yùn)營(yíng)，至今仍在正常工作。

　　從基于服務(wù)器的PBX到完全網(wǎng)絡(luò)化的IP電話，確實(shí)是大勢(shì)所趨。但正因?yàn)榘踩珕栴}，很多企業(yè)不敢一步到位。他們寧可在最近一兩年中采取折衷手段，既享受一點(diǎn)現(xiàn)有的成果，又堅(jiān)持等待成熟的IP語(yǔ)音技術(shù)。Compass 銀行是美國(guó)的一個(gè)聯(lián)邦儲(chǔ)備銀行，它在美國(guó)南部和西南部8個(gè)州擁有400個(gè)支行。為保證其20個(gè)辦事處的通信，它采用了一個(gè)IP和TDM的混合系統(tǒng)。它為支行配置了Nortel BCM（Business Communication Manager商務(wù)信息管理系統(tǒng)），再通過專用幀中繼線路，用Nortel Meridian TDM與下屬小辦事處的IP PBX進(jìn)行通信。其高級(jí)管理人員認(rèn)為，盡管BCM是以NT為基礎(chǔ)的，但安全問題并不是那么嚴(yán)重，因?yàn)镮P只是用來代替線路，電信網(wǎng)絡(luò)的核心仍然是TDM。雖然網(wǎng)絡(luò)容易受到外界干擾，但病毒和外部襲擊對(duì)于VoIP系統(tǒng)并不構(gòu)成威脅。

　　著名化工企業(yè)H.B.Fuller公司去年安裝了3個(gè)互為備份的IP PBX集群，都是基于windows的Call Manager。這樣，該企業(yè)的VPN（Virtual Private Network虛擬專用網(wǎng)絡(luò)）中的20個(gè)遠(yuǎn)距離站點(diǎn)都可以使用IP電話。通過在數(shù)據(jù)網(wǎng)上傳輸語(yǔ)音，這個(gè)公司實(shí)現(xiàn)了對(duì)語(yǔ)音的集中管理，淘汰了原有網(wǎng)絡(luò)的12個(gè)PBX，大大提高管理效率，并節(jié)約了開支。盡管益處多多，但網(wǎng)絡(luò)管理人員的擔(dān)子著實(shí)重了不少。為確保安全，工作人員利用一種中斷監(jiān)測(cè)軟件對(duì)集群電話的服務(wù)器進(jìn)行監(jiān)測(cè)。由于Call Manager的操作系統(tǒng)中采用Microsoft IIS作為一種管理工具，他們必須隨時(shí)注意升級(jí)操作系統(tǒng)。為提高安全性，他們降低了PBX的數(shù)量，而Cisco對(duì)Call Manager的集中化管理也有助于確保安全�，F(xiàn)在，工作人員已經(jīng)積累了一些經(jīng)驗(yàn)，大大提高了系統(tǒng)管理的規(guī)范化水平。

　　管理IP電話系統(tǒng)跟管理TDM系統(tǒng)有所不同，盡管面臨困難，但企業(yè)只要對(duì)IP PBX加強(qiáng)管理，像對(duì)待個(gè)人隱私，信用卡信息一樣作為重要機(jī)密，那么安全應(yīng)該不是個(gè)大問題。盡管NBX系統(tǒng)跟其它的服務(wù)器一樣連接在數(shù)據(jù)網(wǎng)絡(luò)上，但是該城的網(wǎng)絡(luò)負(fù)責(zé)人認(rèn)為，有了網(wǎng)絡(luò)管理員工具，就可以很容易地配置NBX和電話分機(jī)。他們定期的改變密碼，也在一定程度上加強(qiáng)了安全性。另外，NBX還有防火墻的保護(hù)，減少了非法訪問和盜用的可能。而它自帶的訪問檢查功能使其自動(dòng)記錄訪問者、訪問操作及訪問者的IP地址，也大大提高了系統(tǒng)的安全性。

　　安全建議

　　把IP PBX設(shè)備與其它服務(wù)器放置在不同的域。

　　把語(yǔ)音業(yè)務(wù)單獨(dú)放在一個(gè)虛擬局域網(wǎng)中。

　　限制IT工作人員的訪問權(quán)限，只允許極少數(shù)人進(jìn)行VoIP服務(wù)器的核心操作。

　　條件允許的情況下，限制訪問IP PBX和IP電話網(wǎng)絡(luò)的協(xié)議種類。

　　盡可能的對(duì)語(yǔ)音業(yè)務(wù)進(jìn)行加密，不在未加管理的網(wǎng)絡(luò)或公用網(wǎng)絡(luò)上傳輸IP語(yǔ)音。

賽迪網(wǎng) 中國(guó)信息化(industry.ccidnet.com)