CIO關(guān)注:統(tǒng)一通信能否沖破安全魔咒
2008/01/22
日前���,國(guó)際咨詢機(jī)構(gòu)Gartner公布了2008年CIO最密切關(guān)注的“十大戰(zhàn)略性技術(shù)”��,其中一項(xiàng)技術(shù)是統(tǒng)一通信���。IT與通信的融合一直是產(chǎn)業(yè)大趨勢(shì),統(tǒng)一通信的出現(xiàn)就是把IT與通信融合����。
統(tǒng)一通信是指利用IT技術(shù)打破當(dāng)前通信手段以設(shè)備和網(wǎng)絡(luò)為中心的限制,實(shí)現(xiàn)無(wú)時(shí)間無(wú)地點(diǎn)限制的溝通���。統(tǒng)一通信進(jìn)一步發(fā)展了IP通信的概念�,通過(guò)使用SIP協(xié)議和移動(dòng)解決方案�,實(shí)現(xiàn)各類通信的統(tǒng)一和簡(jiǎn)化。統(tǒng)一通信的五個(gè)核心領(lǐng)域是:
語(yǔ)音郵件��、專用電話交換機(jī)(PBX)���、電子郵件、即時(shí)通信(IM)以及多媒體會(huì)議����。
阻礙大規(guī)模推廣的技術(shù)難點(diǎn)
但統(tǒng)一通信市場(chǎng)并沒(méi)有在2007年進(jìn)入并發(fā)狀態(tài),是什么在阻礙著這個(gè)市場(chǎng)的大規(guī)模啟動(dòng)?統(tǒng)一通信發(fā)展存在什么樣的技術(shù)障礙?我們認(rèn)為阻礙統(tǒng)一通信大規(guī)模應(yīng)用有兩個(gè)技術(shù)難點(diǎn):
(1)標(biāo)準(zhǔn)問(wèn)題
雖然參與統(tǒng)一通信市場(chǎng)的廠商都將IP技術(shù)視為未來(lái)技術(shù)的主流�,但作為統(tǒng)一通信的基礎(chǔ)設(shè)施,IP標(biāo)準(zhǔn)目前仍處于“分裂”狀態(tài)�����,市場(chǎng)上充斥著大量不可兼容的專有代碼����。
(2)網(wǎng)絡(luò)安全問(wèn)題
一個(gè)融合的統(tǒng)一網(wǎng)絡(luò)能讓企業(yè)的語(yǔ)音業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)甚至業(yè)務(wù)系統(tǒng)應(yīng)用起來(lái)更加有效率,諸如ERP�、CRM、OA系統(tǒng)等�����。但是����,也因此帶來(lái)更大的安全隱患���,當(dāng)各種應(yīng)用集成在一起,一旦被突破受傷的將是全部系統(tǒng)�。在沒(méi)有成熟的全面安全防范措施情況下,企業(yè)用戶對(duì)基于網(wǎng)絡(luò)融合的統(tǒng)一通信大多持非常慎重的態(tài)度�����。
統(tǒng)一通信面臨的安全性考驗(yàn)是什么?
當(dāng)前���,統(tǒng)一通信(Unified Communications)技術(shù)正在慢慢地成為主流�����,其安全性問(wèn)題也越來(lái)越成為關(guān)注的重點(diǎn)���。一直以來(lái),安全問(wèn)題始終是IP技術(shù)應(yīng)用中的一個(gè)瓶頸�����,諸如訪問(wèn)控制、防病毒����、防入侵、防拒絕服務(wù)攻擊�、帶寬管理和智能流量管理,這些都會(huì)影響著網(wǎng)絡(luò)的安全和穩(wěn)定�����。
(1)客戶端安全漏洞
統(tǒng)一通信有些安全性漏洞是和廠商實(shí)現(xiàn)方式相關(guān)的�,例如廠商各自推出自己的一套客戶端系統(tǒng)�,廠商會(huì)在客戶端帶上了許許多多的業(yè)務(wù),以實(shí)現(xiàn)各種通信工具的融合����。我們回顧現(xiàn)有的單一的IM客戶端都存在如此多的漏洞,例如郵件病毒,
IM(即時(shí)通信)的QQ和MSN病毒等,哪么也就有理由擔(dān)心將語(yǔ)音�����、IM���、電子郵件�����、手機(jī)短信����、多媒體內(nèi)容、傳真以及數(shù)據(jù)等形式的內(nèi)容都集合到一起的客戶端的也會(huì)存在各種各樣的安全性問(wèn)題�����,這類安全性問(wèn)題一般是和廠商的具體實(shí)現(xiàn)方式相關(guān)的�。
(2)SIP協(xié)議安全弱點(diǎn)
通常情況下,現(xiàn)有的系統(tǒng)和設(shè)備的安全性機(jī)制都是為傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)設(shè)計(jì)的���,并不能防御對(duì)統(tǒng)一通信技術(shù)標(biāo)準(zhǔn)漏洞的攻擊�����。最近爆出的統(tǒng)一通信研發(fā)新聞表明����,SIP協(xié)議本身就具有比較明顯的安全性弱點(diǎn)����,黑客可以利用這些SIP協(xié)議漏洞在操作系統(tǒng)上進(jìn)行非法的操作和控制。
當(dāng)對(duì)基于SIP協(xié)議漏洞進(jìn)行非法攻擊時(shí),SIP協(xié)議所潛在的安全性隱患就不能被忽視了���。這類安全性漏洞是和協(xié)議相關(guān)的���,并存在于所有系統(tǒng)中,也這是說(shuō)會(huì)可能存在于每個(gè)廠商的系統(tǒng)之中���。在一般情況下���,對(duì)于統(tǒng)一通信系統(tǒng)的攻擊可能會(huì)導(dǎo)致公司軟電話系統(tǒng)的癱瘓。但事實(shí)上�,類似的SIP協(xié)議弱點(diǎn)還可以被攻擊者利用建立一個(gè)其與被攻擊電腦的連接��,從而可以給攻擊者獲得接入的權(quán)限��。更嚴(yán)重和惡劣的情況是����,可能被竊取或修改公司的數(shù)據(jù)、音頻和視頻電話�。
(3)不同系統(tǒng)之間的數(shù)據(jù)流交換易受攻擊
不同的網(wǎng)絡(luò)各有其相應(yīng)的安全弱點(diǎn),對(duì)于融合網(wǎng)絡(luò)來(lái)說(shuō)��,除了構(gòu)成網(wǎng)絡(luò)的各個(gè)子網(wǎng)的安全弱點(diǎn)之外���,不同網(wǎng)絡(luò)的結(jié)合部位也是整個(gè)融合網(wǎng)絡(luò)的安全弱點(diǎn)�����。因此�����,在不同廠商之間互聯(lián)互通功能是肯定存在許多盲點(diǎn)的��。
融合多種網(wǎng)絡(luò)終端設(shè)備可滿足用戶長(zhǎng)時(shí)間和無(wú)地點(diǎn)限制接入網(wǎng)絡(luò)的需要���,但融合后的網(wǎng)絡(luò)終端設(shè)備也將各種網(wǎng)絡(luò)的安全缺陷帶進(jìn)融合網(wǎng)絡(luò)中。這不但給融合網(wǎng)絡(luò)的運(yùn)行帶進(jìn)各種原有的安全問(wèn)題�,而且增加了一些新的安全問(wèn)題。這時(shí)業(yè)務(wù)欺騙���,盜用業(yè)務(wù)等許多的非法攻擊就會(huì)出現(xiàn)��。而且如此多的業(yè)務(wù)種類����,安全問(wèn)題的“木桶短板效應(yīng)”會(huì)非常明顯,要所有連接的系統(tǒng)都具有高安全性會(huì)有很多技術(shù)和困難要克服。
對(duì)統(tǒng)一通信安全風(fēng)險(xiǎn)因素的思考?
統(tǒng)一通信在應(yīng)用軟件���、操作系統(tǒng)����、結(jié)構(gòu)以及部署策略方面都可能存在的著諸多的安全風(fēng)險(xiǎn)因素��。我們這里分析許多CIO都非常關(guān)注的幾個(gè)方面:
(1)統(tǒng)一通信與傳統(tǒng)PBX系統(tǒng)的安全性比較?
無(wú)論數(shù)據(jù)網(wǎng)絡(luò)是否支持語(yǔ)音應(yīng)用�����,安全性都是一個(gè)重要問(wèn)題�����。目前�,一些業(yè)內(nèi)人士認(rèn)為����,混合系統(tǒng)比端到端統(tǒng)一通信解決方案更安全�。對(duì)于PBX系統(tǒng),企業(yè)必須預(yù)防話費(fèi)欺詐��、偽裝和撥號(hào)沖突。對(duì)于傳統(tǒng)通信系統(tǒng)����,企業(yè)必須預(yù)防非法用戶只需一個(gè)撥線鉗就能完成的非法接入或竊聽(tīng),而相對(duì)于融合多種通信工具的統(tǒng)一通信則復(fù)雜得多了��。
(2)現(xiàn)有技術(shù)能否確保IP承載網(wǎng)絡(luò)的安全?
以前構(gòu)建IP網(wǎng)絡(luò)���,更多注重的是傳輸層面的東西��,側(cè)重強(qiáng)調(diào)第三層和第四層���。如今,在融合網(wǎng)絡(luò)的前提下��,就考慮的更廣一些�,由最基本的三層、四層擴(kuò)展到第六層�,甚至到第七層,最后到應(yīng)用層����。
融合主要體現(xiàn)在幾個(gè)方面:首先在整個(gè)網(wǎng)絡(luò)中,同一個(gè)功能被整合到Smart IP網(wǎng)絡(luò)上來(lái)�,包括低層的傳輸功能�����、路由功能���、交換功能,深層次的業(yè)務(wù)支撐以及業(yè)務(wù)應(yīng)用的功能�����。其次�����,利用通用性協(xié)議�����,實(shí)現(xiàn)通用業(yè)務(wù)系統(tǒng)跟應(yīng)用業(yè)務(wù)系統(tǒng)的接入和承載���。
因此��,在安全保護(hù)方面就需要有很多技術(shù)保證承載網(wǎng)的安全�,這些技術(shù)是否已經(jīng)成熟和可靠?比如安全防護(hù)系統(tǒng)技術(shù)��,主要針對(duì)IP網(wǎng)絡(luò)進(jìn)行相關(guān)控制��,避免網(wǎng)絡(luò)被異常IP流量所攻擊���。再就是長(zhǎng)期以來(lái)被忽略的終端安全問(wèn)題�����,從最基本的IP地址綁定�,一直到交換機(jī)地址/時(shí)間、流量的全面綁定等等問(wèn)題��。
(3)底層協(xié)議和標(biāo)準(zhǔn)是否有堅(jiān)實(shí)的安全保證?
我們?cè)谡劦浇y(tǒng)一通信時(shí)安全問(wèn)題時(shí)�,許多人或許都會(huì)關(guān)注其前端各種各樣的終端、網(wǎng)絡(luò)以及由此帶來(lái)的各種應(yīng)用的安全問(wèn)題����,而忽略了其背后的底層協(xié)議技術(shù)基礎(chǔ)的安全。
其實(shí)���,無(wú)論是企業(yè)應(yīng)用軟件提供商�、IP電話提供商��、即時(shí)消息供應(yīng)商等等其產(chǎn)品要想做到真正完美的無(wú)縫融合,遠(yuǎn)非只要把網(wǎng)絡(luò)和應(yīng)用融合在一起這么簡(jiǎn)單�����,其背后涉及到軟件��、硬件����、移動(dòng)設(shè)備、固定設(shè)備的標(biāo)準(zhǔn)和協(xié)議的融合����,而這些統(tǒng)一的底層協(xié)議和標(biāo)準(zhǔn)的安全性更是重中之重。
(4)安全策略是否被忽略?
根據(jù)一項(xiàng)調(diào)查��,多數(shù)公司經(jīng)常有意或無(wú)意地忽略安全策略��,許多人甚至還不清楚有這種策略�����。關(guān)鍵的問(wèn)題是信息安全策略并沒(méi)有被閱讀����,即使讀了�����,也沒(méi)有理解��,或者即使理解了�����,人們也可能不遵循�����。
在調(diào)查中有一半的回答者說(shuō)��,他們個(gè)人都曾將公司的機(jī)密信息復(fù)制到非安全通信工具上交流和傳輸��,甚至有85%的回答者承認(rèn)安全政策禁止他們這樣做����。此外,57%的人相信組織中的其他人也經(jīng)常用各種非安全的通信工具傳輸敏感的或機(jī)密的公司數(shù)據(jù)�����。當(dāng)問(wèn)到為什么不遵守規(guī)定時(shí),其中的原因之一就是缺乏策略的執(zhí)行���。
不過(guò)�,有時(shí)內(nèi)部人員對(duì)安全的破壞是由于缺乏清楚的公司指導(dǎo)方針����。這些問(wèn)題發(fā)生的原因是因?yàn)闆](méi)有執(zhí)行一致性的安全策略,雖然越來(lái)越多的IT人員認(rèn)識(shí)到在公司范圍內(nèi)建立安全策略的必要性�����,但人們并沒(méi)有注意到策略的執(zhí)行�。雖然公司多年來(lái)一直致力于保障網(wǎng)絡(luò)安全,抵御外部攻擊���,卻鮮有什么措施重視偶然的和惡意的由內(nèi)部因素所引起的數(shù)據(jù)泄漏���。因此,許多安全管理人員對(duì)于更方便的溝通工具是否會(huì)在內(nèi)部引起的更大的安全損害表現(xiàn)出更加擔(dān)憂��。
主流廠商安全技術(shù)的發(fā)展趨勢(shì)
目前���,無(wú)論是Microsoft還是IBM和Cisco都相繼推出了自己的統(tǒng)一通信的概念及產(chǎn)品�����,統(tǒng)一通信大戰(zhàn)局勢(shì)已漸清晰�����。對(duì)此,我們可以看看各主流廠家提出不同的安全性技術(shù)方向�。
(1)第一類是以微軟、IBM為代表的以軟件見(jiàn)長(zhǎng)���,從桌面或應(yīng)用軟件攻入統(tǒng)一通信市場(chǎng)的廠商�。微軟公司稱���,“微軟UC技術(shù)采用以軟件為中心的安全策略�����,將VoIP電話系統(tǒng)��、電子郵件���、即時(shí)溝通��、移動(dòng)溝通以及音頻視頻Web會(huì)議等多種溝通方式融合為單一的平臺(tái)�,使用者只需單一身份認(rèn)證即可訪問(wèn)所有溝通模式”�����。同樣推動(dòng)以軟件為核心統(tǒng)一通信策略的IBM��,也是把語(yǔ)音�、數(shù)據(jù)和視頻通通整合在一起。IBM把其Lotus
Sametime軟件統(tǒng)一通信應(yīng)用打進(jìn)許多產(chǎn)品中���。在他們的角度來(lái)看���,UC產(chǎn)品用戶是有自己的進(jìn)入身份認(rèn)證的,在整體上有安全的考慮��,因此安全并不是問(wèn)題��。
(2)第二類是以思科��、3Com為代表的���,目前風(fēng)頭正勁的IP設(shè)備廠商����。思科在統(tǒng)一通信系統(tǒng)中提供的SIP安全特性是思科自防御網(wǎng)絡(luò)的安全策略的自然擴(kuò)展�,該安全策略是集成、協(xié)作�、自適應(yīng)的安全方式,使網(wǎng)絡(luò)一旦出現(xiàn)新威脅�����,即可對(duì)其作出響應(yīng)��。目前�,在Cisco
IOS軟件��,安全設(shè)備和思科交換機(jī)及路由器上的安全模塊中的安全特性均可為VoIP協(xié)議包括SIP提供保護(hù)�。
(3)還有第三類以阿爾卡特-朗訊、Avaya�����、北電為代表的傳統(tǒng)電信設(shè)備廠商���。他們?cè)谡狭藗鹘y(tǒng)語(yǔ)音和IP兩種業(yè)務(wù)之后����,可靠的服務(wù)質(zhì)量將成為其統(tǒng)一通信產(chǎn)品的一大賣(mài)點(diǎn)。
綜上所述,各主流廠商提出的安全方案能否為統(tǒng)一通信在安全方面打破疆局,還需要接受市場(chǎng)的考驗(yàn),我們不防拭目以待���。
IT專家網(wǎng)
相關(guān)鏈接: