華為eSpace UC2.0安全解決方案

　　統(tǒng)一通信為企業(yè)用戶在IP網(wǎng)絡(luò)上提供了全新的溝通和協(xié)作方式，這些協(xié)作方式包括語音、視頻、即時消息、會議、郵件、桌面共享、業(yè)務(wù)應(yīng)用等。在豐富企業(yè)員工溝通方式、提高工作效率的同時，也能夠大大降低企業(yè)的通信成本，因此越來越多的企業(yè)正在從傳統(tǒng)的TDM網(wǎng)絡(luò)改造為VoIP網(wǎng)絡(luò)并部署企業(yè)統(tǒng)一通信業(yè)務(wù)，這個也是必然趨勢。

　　但是，統(tǒng)一通信往往直接部署在企業(yè)原IP網(wǎng)絡(luò)上，由于IP網(wǎng)絡(luò)的開放性，其本身存在各種各樣的安全威脅。Gartner的分析報告也指出，2012到2015年之間，企業(yè)信息安全的投入其復(fù)合增長率基本上都在15%左右，說明了企業(yè)對信息安全將會越來越重視。

　　針對企業(yè)部署統(tǒng)一通信后帶來的威脅，如何提供有效的解決方案是我們值得思考的問題，下面我們逐一進行分析：

終端接入要保證可信任和安全
　　目前企業(yè)員工之間一般采用PC、手機和IP話機進行溝通，那么對于這些部署在IP網(wǎng)絡(luò)上的各種終端，如何保證安全接入到企業(yè)網(wǎng)絡(luò)系統(tǒng)中來呢？

　　針對新部署的IP話機，華為UC2.0解決方案采用基于端口的接入控制協(xié)議（802.1x技術(shù)），實現(xiàn)對IP話機的準(zhǔn)入認(rèn)證，該協(xié)議是在在獲得交換機或LAN提供的各種業(yè)務(wù)之前，對連接到交換機端口上的用戶/設(shè)備進行認(rèn)證。另外企業(yè)用戶越來越多需要通過手機或者便攜機進行移動辦公，利用Internet訪問企業(yè)通信服務(wù)器，如何保證此類終端從Internet安全接入企業(yè)內(nèi)網(wǎng)呢？

　　華為UC2.0解決方案集成華為自身VPN網(wǎng)關(guān)，在手機上安裝VPN客戶端，和VPN網(wǎng)關(guān)服務(wù)器之間建立安全連接的VPN通道，為了提升效率并結(jié)合UC業(yè)務(wù)特點，該通道是基于UDP通道進行加密封裝的。
 
數(shù)據(jù)傳輸過程機密、完整
　　統(tǒng)一通信信令控制和媒體流基于SIP和RTP協(xié)議，這些數(shù)據(jù)在IP網(wǎng)絡(luò)上是基于明文傳輸?shù)模�黑客很容易就能竊取到信令里面攜帶的用戶（包括管理員）賬號、密碼等敏感信息，實施各種破壞或者盜取企業(yè)相關(guān)數(shù)據(jù)，同時對于明文傳輸?shù)拿襟w，其通話內(nèi)容也很容易被黑客監(jiān)聽。

　　華為eSpace UC2.0解決方案中，通過SIP信令交互的組件都需要實現(xiàn)SIP TLS，以實現(xiàn)信令交互的機密性、完整性、不可否認(rèn)性。同樣，任何通過RTP與其他組件進行媒體交互的組件都需要實現(xiàn)SRTP，通過安全的實時傳輸協(xié)議，用來對RTP會話進行安全性保證。

企業(yè)數(shù)據(jù)分類管理，保證安全
　　企業(yè)統(tǒng)一通信數(shù)據(jù)一般保存在統(tǒng)一通信服務(wù)器和企業(yè)用戶的個人終端上，華為UC2.0解決方案對這些數(shù)據(jù)都做了安全保護措施。

　　首先，支持采用LDAP/SLDAP標(biāo)準(zhǔn)協(xié)議訪問企業(yè)現(xiàn)有的Active Directory，這些數(shù)據(jù)集中存儲維護，能夠減少多份數(shù)據(jù)維護可能的誤操作帶來的安全隱患外，同時也降低了企業(yè)的維護成本。

　　很重要的是，在與某些企業(yè)CIO交流時，他們通常有這樣的需求：企業(yè)高層的數(shù)據(jù)屬于保密信息，不想被基層員工以電話、IM或者郵件等各種方式騷擾。

　　華為UC2.0解決方案能夠解決企業(yè)高層的這些困擾，系統(tǒng)根據(jù)數(shù)據(jù)敏感級別分為兩類：個人信息和公共信息，根據(jù)員工級別，可逐級設(shè)置相互間的個人信息、公共信息的細粒度的訪問策略，可有效保護各級員工（尤其是高級別員工）的通訊錄敏感數(shù)據(jù)泄露。第二點，用戶本地的即時消息是加密保存的，另外針對用戶發(fā)送的消息，系統(tǒng)還可以過濾消息里面的敏感詞匯，比如武器、毒品等，并限制消息長度；同時針對傳輸文件，管理員可以定義其文件類型和大小，并能夠支持傳輸過程中的加密，避免被截取泄露。

　　第三，企業(yè)統(tǒng)一通信系統(tǒng)中，存在很多管理相關(guān)數(shù)據(jù)，包括企業(yè)用戶管理、企業(yè)網(wǎng)絡(luò)與設(shè)備管理和用戶自助管理等。眾所周知，控制了管理權(quán)限和數(shù)據(jù)相當(dāng)于控制了整個統(tǒng)一通信系統(tǒng)。華為UC2.0解決方案能全面支持安全管理協(xié)議，將系統(tǒng)劃分為不同網(wǎng)段，使得業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)分開，使得管理數(shù)據(jù)在網(wǎng)絡(luò)上傳輸是加密安全的，并對核心服務(wù)器重點保護。

　　華為UC2.0解決方案從終端、網(wǎng)絡(luò)到服務(wù)器以及應(yīng)用等層面，提供端到端的安全防護，并具有成熟的移動安全接入能力。針對每個企業(yè)用戶，進行細顆粒度的行為管控，切實保護好企業(yè)敏感數(shù)據(jù)和關(guān)鍵資源。愿企業(yè)在基于安全的基礎(chǔ)保障上，享受統(tǒng)一通信帶來的高效便捷。