統(tǒng)一通信能否打破疆局 沖破安全魔咒

    日前，國際咨詢機構(gòu)Gartner公布了2008年CIO最密切關(guān)注的“十大戰(zhàn)略性技術(shù)”，其中一項技術(shù)是統(tǒng)一通信。IT與通信的融合一直是產(chǎn)業(yè)大趨勢，統(tǒng)一通信的出現(xiàn)就是把IT與通信融合。

    統(tǒng)一通信是指利用IT技術(shù)打破當前通信手段以設(shè)備和網(wǎng)絡(luò)為中心的限制，實現(xiàn)無時間無地點限制的溝通。統(tǒng)一通信進一步發(fā)展了IP通信的概念，通過使用SIP協(xié)議和移動解決方案，實現(xiàn)各類通信的統(tǒng)一和簡化。統(tǒng)一通信的五個核心領(lǐng)域是: 語音郵件、專用電話交換機(PBX)、電子郵件、即時通信(IM)以及多媒體會議。

    阻礙大規(guī)模推廣的技術(shù)難點

    但統(tǒng)一通信市場并沒有在2007年進入并發(fā)狀態(tài)，是什么在阻礙著這個市場的大規(guī)模啟動?統(tǒng)一通信發(fā)展存在什么樣的技術(shù)障礙?我們認為阻礙統(tǒng)一通信大規(guī)模應(yīng)用有兩個技術(shù)難點：

    (1)是標準問題。雖然參與統(tǒng)一通信市場的廠商都將IP技術(shù)視為未來技術(shù)的主流，但作為統(tǒng)一通信的基礎(chǔ)設(shè)施，IP標準目前仍處于“分裂”狀態(tài)，市場上充斥著大量不可兼容的專有代碼。

    (2)是網(wǎng)絡(luò)安全問題。一個融合的統(tǒng)一網(wǎng)絡(luò)能讓企業(yè)的語音業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)甚至業(yè)務(wù)系統(tǒng)應(yīng)用起來更加有效率,諸如ERP、CRM、OA系統(tǒng)等。但是，也因此帶來更大的安全隱患，當各種應(yīng)用集成在一起，一旦被突破受傷的將是全部系統(tǒng)。在沒有成熟的全面安全防范措施情況下，企業(yè)用戶對基于網(wǎng)絡(luò)融合的統(tǒng)一通信大多持非常慎重的態(tài)度。

    統(tǒng)一通信面臨的安全性考驗是什么?

    當前，統(tǒng)一通信(Unified Communications)技術(shù)正在慢慢地成為主流，其安全性問題也越來越成為關(guān)注的重點。一直以來，安全問題始終是IP技術(shù)應(yīng)用中的一個瓶頸，諸如訪問控制、防病毒、防入侵、防拒絕服務(wù)攻擊、帶寬管理和智能流量管理，這些都會影響著網(wǎng)絡(luò)的安全和穩(wěn)定。

    (1)客戶端安全漏洞

    統(tǒng)一通信有些安全性漏洞是和廠商實現(xiàn)方式相關(guān)的，例如廠商各自推出自己的一套客戶端系統(tǒng)，廠商會在客戶端帶上了許許多多的業(yè)務(wù)，以實現(xiàn)各種通信工具的融合。我們回顧現(xiàn)有的單一的IM客戶端都存在如此多的漏洞，例如郵件病毒, IM(即時通信)的QQ和MSN病毒等,哪么也就有理由擔心將語音、IM、電子郵件、手機短信、多媒體內(nèi)容、傳真以及數(shù)據(jù)等形式的內(nèi)容都集合到一起的客戶端的也會存在各種各樣的安全性問題，這類安全性問題一般是和廠商的具體實現(xiàn)方式相關(guān)的。

    (2)SIP協(xié)議安全弱點

    通常情況下，現(xiàn)有的系統(tǒng)和設(shè)備的安全性機制都是為傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)設(shè)計的，并不能防御對統(tǒng)一通信技術(shù)標準漏洞的攻擊。最近爆出的統(tǒng)一通信研發(fā)新聞表明，SIP協(xié)議本身就具有比較明顯的安全性弱點，黑客可以利用這些SIP協(xié)議漏洞在操作系統(tǒng)上進行非法的操作和控制。

    當對基于SIP協(xié)議漏洞進行非法攻擊時，SIP協(xié)議所潛在的安全性隱患就不能被忽視了。這類安全性漏洞是和協(xié)議相關(guān)的，并存在于所有系統(tǒng)中，也這是說會可能存在于每個廠商的系統(tǒng)之中。在一般情況下，對于統(tǒng)一通信系統(tǒng)的攻擊可能會導(dǎo)致公司軟電話系統(tǒng)的癱瘓。但事實上，類似的SIP協(xié)議弱點還可以被攻擊者利用建立一個其與被攻擊電腦的連接，從而可以給攻擊者獲得接入的權(quán)限。更嚴重和惡劣的情況是，可能被竊取或修改公司的數(shù)據(jù)、音頻和視頻電話。

    (3)不同系統(tǒng)之間的數(shù)據(jù)流交換易受攻擊

    不同的網(wǎng)絡(luò)各有其相應(yīng)的安全弱點，對于融合網(wǎng)絡(luò)來說，除了構(gòu)成網(wǎng)絡(luò)的各個子網(wǎng)的安全弱點之外，不同網(wǎng)絡(luò)的結(jié)合部位也是整個融合網(wǎng)絡(luò)的安全弱點。因此，在不同廠商之間互聯(lián)互通功能是肯定存在許多盲點的。

    融合多種網(wǎng)絡(luò)終端設(shè)備可滿足用戶長時間和無地點限制接入網(wǎng)絡(luò)的需要，但融合后的網(wǎng)絡(luò)終端設(shè)備也將各種網(wǎng)絡(luò)的安全缺陷帶進融合網(wǎng)絡(luò)中。這不但給融合網(wǎng)絡(luò)的運行帶進各種原有的安全問題，而且增加了一些新的安全問題。這時業(yè)務(wù)欺騙，盜用業(yè)務(wù)等許多的非法攻擊就會出現(xiàn)。而且如此多的業(yè)務(wù)種類，安全問題的“木桶短板效應(yīng)”會非常明顯,要所有連接的系統(tǒng)都具有高安全性會有很多技術(shù)和困難要克服。

    對統(tǒng)一通信安全風(fēng)險因素的思考?

    統(tǒng)一通信在應(yīng)用軟件、操作系統(tǒng)、結(jié)構(gòu)以及部署策略方面都可能存在的著諸多的安全風(fēng)險因素。我們這里分析許多CIO都非常關(guān)注的幾個方面:

    (1)統(tǒng)一通信與傳統(tǒng)PBX系統(tǒng)的安全性比較?

    無論數(shù)據(jù)網(wǎng)絡(luò)是否支持語音應(yīng)用，安全性都是一個重要問題。目前，一些業(yè)內(nèi)人士認為，混合系統(tǒng)比端到端統(tǒng)一通信解決方案更安全。對于PBX系統(tǒng)，企業(yè)必須預(yù)防話費欺詐、偽裝和撥號沖突。對于傳統(tǒng)通信系統(tǒng)，企業(yè)必須預(yù)防非法用戶只需一個撥線鉗就能完成的非法接入或竊聽，而相對于融合多種通信工具的統(tǒng)一通信則復(fù)雜得多了。

    (2)現(xiàn)有技術(shù)能否確保IP承載網(wǎng)絡(luò)的安全?

    以前構(gòu)建IP網(wǎng)絡(luò)，更多注重的是傳輸層面的東西，側(cè)重強調(diào)第三層和第四層。如今，在融合網(wǎng)絡(luò)的前提下，就考慮的更廣一些，由最基本的三層、四層擴展到第六層，甚至到第七層，最后到應(yīng)用層。

    融合主要體現(xiàn)在幾個方面：首先在整個網(wǎng)絡(luò)中，同一個功能被整合到Smart IP網(wǎng)絡(luò)上來，包括低層的傳輸功能、路由功能、交換功能，深層次的業(yè)務(wù)支撐以及業(yè)務(wù)應(yīng)用的功能。其次，利用通用性協(xié)議，實現(xiàn)通用業(yè)務(wù)系統(tǒng)跟應(yīng)用業(yè)務(wù)系統(tǒng)的接入和承載。

    因此，在安全保護方面就需要有很多技術(shù)保證承載網(wǎng)的安全，這些技術(shù)是否已經(jīng)成熟和可靠?比如安全防護系統(tǒng)技術(shù)，主要針對IP網(wǎng)絡(luò)進行相關(guān)控制，避免網(wǎng)絡(luò)被異常IP流量所攻擊。再就是長期以來被忽略的終端安全問題，從最基本的IP地址綁定，一直到交換機地址/時間、流量的全面綁定等等問題。

    (3)底層協(xié)議和標準是否有堅實的安全保證?

    我們在談到統(tǒng)一通信時安全問題時，許多人或許都會關(guān)注其前端各種各樣的終端、網(wǎng)絡(luò)以及由此帶來的各種應(yīng)用的安全問題，而忽略了其背后的底層協(xié)議技術(shù)基礎(chǔ)的安全。

    其實，無論是企業(yè)應(yīng)用軟件提供商、IP電話提供商、即時消息供應(yīng)商等等其產(chǎn)品要想做到真正完美的無縫融合，遠非只要把網(wǎng)絡(luò)和應(yīng)用融合在一起這么簡單，其背后涉及到軟件、硬件、移動設(shè)備、固定設(shè)備的標準和協(xié)議的融合，而這些統(tǒng)一的底層協(xié)議和標準的安全性更是重中之重。

    (4)安全策略是否被忽略?

    根據(jù)一項調(diào)查，多數(shù)公司經(jīng)常有意或無意地忽略安全策略，許多人甚至還不清楚有這種策略。關(guān)鍵的問題是信息安全策略并沒有被閱讀，即使讀了，也沒有理解，或者即使理解了，人們也可能不遵循。

    在調(diào)查中有一半的回答者說，他們個人都曾將公司的機密信息復(fù)制到非安全通信工具上交流和傳輸，甚至有85%的回答者承認安全政策禁止他們這樣做。此外，57%的人相信組織中的其他人也經(jīng)常用各種非安全的通信工具傳輸敏感的或機密的公司數(shù)據(jù)。當問到為什么不遵守規(guī)定時，其中的原因之一就是缺乏策略的執(zhí)行。

    不過，有時內(nèi)部人員對安全的破壞是由于缺乏清楚的公司指導(dǎo)方針。這些問題發(fā)生的原因是因為沒有執(zhí)行一致性的安全策略，雖然越來越多的IT人員認識到在公司范圍內(nèi)建立安全策略的必要性，但人們并沒有注意到策略的執(zhí)行。雖然公司多年來一直致力于保障網(wǎng)絡(luò)安全，抵御外部攻擊，卻鮮有什么措施重視偶然的和惡意的由內(nèi)部因素所引起的數(shù)據(jù)泄漏。因此，許多安全管理人員對于更方便的溝通工具是否會在內(nèi)部引起的更大的安全損害表現(xiàn)出更加擔憂。

    主流廠商安全技術(shù)的發(fā)展趨勢

    目前，無論是Microsoft還是IBM和Cisco都相繼推出了自己的統(tǒng)一通信的概念及產(chǎn)品，統(tǒng)一通信大戰(zhàn)局勢已漸清晰。對此，我們可以看看各主流廠家提出不同的安全性技術(shù)方向。

    (1)第一類是以微軟、IBM為代表的以軟件見長，從桌面或應(yīng)用軟件攻入統(tǒng)一通信市場的廠商。微軟公司稱，“微軟UC技術(shù)采用以軟件為中心的安全策略，將VoIP電話系統(tǒng)、電子郵件、即時溝通、移動溝通以及音頻視頻Web會議等多種溝通方式融合為單一的平臺，使用者只需單一身份認證即可訪問所有溝通模式”。同樣推動以軟件為核心統(tǒng)一通信策略的IBM，也是把語音、數(shù)據(jù)和視頻通通整合在一起。IBM把其Lotus Sametime軟件統(tǒng)一通信應(yīng)用打進許多產(chǎn)品中。在他們的角度來看，UC產(chǎn)品用戶是有自己的進入身份認證的，在整體上有安全的考慮，因此安全并不是問題。

    (2)第二類是以思科、3Com為代表的，目前風(fēng)頭正勁的IP設(shè)備廠商。思科在統(tǒng)一通信系統(tǒng)中提供的SIP安全特性是思科自防御網(wǎng)絡(luò)的安全策略的自然擴展，該安全策略是集成、協(xié)作、自適應(yīng)的安全方式，使網(wǎng)絡(luò)一旦出現(xiàn)新威脅，即可對其作出響應(yīng)。目前，在Cisco IOS軟件，安全設(shè)備和思科交換機及路由器上的安全模塊中的安全特性均可為VoIP協(xié)議包括SIP提供保護。

    (3)還有第三類以阿爾卡特-朗訊、Avaya、北電為代表的傳統(tǒng)電信設(shè)備廠商。他們在整合了傳統(tǒng)語音和IP兩種業(yè)務(wù)之后，可靠的服務(wù)質(zhì)量將成為其統(tǒng)一通信產(chǎn)品的一大賣點。

    綜上所述,各主流廠商提出的安全方案能否為統(tǒng)一通信在安全方面打破疆局,還需要接受市場的考驗,我們不防拭目以待