合理保護(hù)網(wǎng)絡(luò)IP語(yǔ)音通信安全的五大措施

利用Vlan技術(shù)將語(yǔ)音數(shù)據(jù)與普通數(shù)據(jù)分開

    以前人們普遍喜歡利用電話來(lái)進(jìn)行通信。但是，這個(gè)格局正在被慢慢的打破�，F(xiàn)在無(wú)論是個(gè)人，還是企業(yè)，越來(lái)越喜歡采用IP電話，如通過(guò)Skype或者M(jìn)SN進(jìn)行語(yǔ)音通信。但是，有一個(gè)問(wèn)題一直都被人們所忽視，就是網(wǎng)絡(luò)語(yǔ)音通信的安全問(wèn)題。其實(shí)，正如電話一樣，網(wǎng)絡(luò)IP電話也很容易被人竊聽。而且，這也一直是不法分子窺探的目標(biāo)之一。

    所以，企業(yè)若想通過(guò)IP電話來(lái)降低自己的管理成本，那么為了交易的安全起見，在語(yǔ)音通信安全方面，還需要花費(fèi)一點(diǎn)功夫。筆者企業(yè)已經(jīng)有過(guò)半數(shù)的員工，采用Skype或者M(jìn)SN進(jìn)行語(yǔ)音通信。特別是銷售部門，跟外國(guó)的客戶進(jìn)行溝通的時(shí)候，基本上都是采用Skype電話。為此，給企業(yè)節(jié)省了不少的電話費(fèi)。不過(guò)，筆者在安全方面，也付出了不少的心血。

    筆者在IP語(yǔ)音通信的安全方面，主要采取了如下的措施，或許可以給大家參考。

    一、

    若網(wǎng)絡(luò)上的非法之徒，想竊聽網(wǎng)絡(luò)電話的話，除了現(xiàn)場(chǎng)錄音之外，就是通過(guò)一些非法軟件來(lái)實(shí)現(xiàn)的，如直接抓取網(wǎng)路傳輸層的語(yǔ)音數(shù)據(jù)等等。

    所以，為了保障語(yǔ)音數(shù)據(jù)的安全，最好的方式之一就是把語(yǔ)音數(shù)據(jù)跟普通數(shù)據(jù)獨(dú)立開來(lái)。為此，我們可以采用虛擬局域網(wǎng)技術(shù)，把語(yǔ)音流量與數(shù)據(jù)流量從邏輯上進(jìn)行了區(qū)分。由于通過(guò)虛擬局域網(wǎng)技術(shù)，實(shí)現(xiàn)了這兩種數(shù)據(jù)流量的分離，則非法攻擊企業(yè)網(wǎng)絡(luò)的黑客就無(wú)法看到語(yǔ)音流量。

    筆者現(xiàn)在企業(yè)中就采用了這種技術(shù)。由于語(yǔ)音通信往往采用了特殊的協(xié)議或者端口，就可以根據(jù)協(xié)議或者端口實(shí)現(xiàn)虛擬局域網(wǎng)的劃分。如此的話，語(yǔ)音流量與數(shù)據(jù)流量就在不同的局域網(wǎng)中傳輸，雙方之間不能夠相互干擾。黑客更加不能通過(guò)數(shù)據(jù)流量的局域網(wǎng)（如利用一些黑客工具）來(lái)抓取語(yǔ)音流量的局域網(wǎng)中的數(shù)據(jù)。所以，利用虛擬局域網(wǎng)（Vlan）技術(shù)可以比較完美的保護(hù)語(yǔ)音電話的安全性。

    二、提高應(yīng)用軟件本身的安全

    網(wǎng)絡(luò)語(yǔ)音通信很多都是依靠一定的軟件實(shí)現(xiàn)的。所以，若要提高語(yǔ)音通信的安全性，那么增強(qiáng)這些軟件本身的安全也是其中一項(xiàng)重要的工作。從而降低這些軟件本身受到攻擊的概率。一般來(lái)說(shuō)，我們可以從如下幾個(gè)方面，提高語(yǔ)音通信軟件的安全性。

    一是給操作系統(tǒng)打上最新的補(bǔ)丁。一般來(lái)說(shuō)，黑客若想攻擊語(yǔ)音通信軟件，往往需要先利用操作系統(tǒng)的漏洞，才能夠?qū)崿F(xiàn)。若操作系統(tǒng)安全了，那么也可以在一定程度上保障語(yǔ)音軟件的安全。所以，作為企業(yè)信息安全管理人員，要養(yǎng)成及時(shí)給操作系統(tǒng)打補(bǔ)丁的習(xí)慣。這不僅是語(yǔ)音通信安全所需要的，也是防止其他方面的攻擊所必需的。

    二是對(duì)信令協(xié)議進(jìn)行加密處理。這跟文件傳輸?shù)脑�理類似。若黑客通過(guò)網(wǎng)絡(luò)竊窺企業(yè)數(shù)據(jù)的話，則只需要對(duì)傳輸中的文件進(jìn)行加密即可。如此的話，就可以有效的防止數(shù)據(jù)的泄漏。因?yàn)榧词顾麄儷@取了這些數(shù)據(jù)，但是由于采用了加密處理，則他們看到的也是一堆亂碼。所以，對(duì)于語(yǔ)音通信來(lái)說(shuō)，我們也可以通過(guò)對(duì)信令協(xié)議進(jìn)行加密，以保障這些信息的安全性。

    三、注意共享語(yǔ)音的安全

    在很多場(chǎng)合，企業(yè)需要對(duì)一些語(yǔ)音進(jìn)行共享。如在視頻會(huì)議上，就需要對(duì)語(yǔ)音進(jìn)行共享，以方便參與會(huì)與的所有員工都可以即時(shí)的聽到談話的內(nèi)容。但是，這畢竟跟現(xiàn)場(chǎng)開會(huì)不一樣。非法之徒會(huì)采用各種方法，來(lái)偽造一個(gè)合法的身份來(lái)參與會(huì)議，從而竊聽相關(guān)的會(huì)議內(nèi)容。

    如有些人會(huì)事先取得某個(gè)員工的帳號(hào)與密碼。等到開會(huì)的時(shí)候，采用一些極端的手段，讓其斷網(wǎng)或者連接不上網(wǎng)絡(luò)視頻會(huì)議服務(wù)器。然后，他就可以憑這個(gè)用戶的帳號(hào)與密碼連接到網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)，以一個(gè)“合法用戶”的身份參與到視頻會(huì)議中來(lái)。 在網(wǎng)絡(luò)視頻會(huì)議中，由于都是憑著帳戶來(lái)識(shí)別用戶的身份，所以，遇到這種情況的話，他人也沒(méi)有辦法識(shí)別用戶的身份是否合法。故在多人語(yǔ)音通信的時(shí)候，就需要提高帳戶本身的安全性。

    一方面，作為用戶來(lái)說(shuō)，平時(shí)需要提高安全意識(shí)。對(duì)于不同的應(yīng)用，如視頻會(huì)議與操作系統(tǒng)，不要采用同一個(gè)帳戶或者密碼。這可以有效的防止因?yàn)槟硞�(gè)帳戶或者密碼泄露，而造成一系列的連鎖反應(yīng)。

    二是在技術(shù)上，也可以采用一定的措施。如可以結(jié)合帳號(hào)與IP地址一起認(rèn)證的策略。如此的話，至少只有企業(yè)自身的IP地址可以連接到視頻會(huì)議。而非法用戶若采用其他的IP地址就無(wú)法連接到視頻會(huì)議系統(tǒng)。如此的話，非法用戶除非有這個(gè)能力把企業(yè)的整個(gè)網(wǎng)絡(luò)都弄崩潰了，否則的話，他即使取得了帳戶，也連接不上視頻會(huì)議系統(tǒng)。筆者企業(yè)有時(shí)候各個(gè)分公司的高層領(lǐng)導(dǎo)需要開視頻網(wǎng)絡(luò)會(huì)議。由于一般他們都是在自己辦公室中開，故筆者在視頻會(huì)議系統(tǒng)中，除了需要認(rèn)證他們的用戶名與密碼之外，還需要對(duì)他們的IP地址進(jìn)行認(rèn)證。若用戶所采用的IP地址不是允許的IP地址的話，則這個(gè)連接會(huì)被拒絕。

通過(guò)VPN提高視頻會(huì)議系統(tǒng)的安全性

    視頻會(huì)議系統(tǒng)是網(wǎng)絡(luò)語(yǔ)音電話的主要應(yīng)用之一。由于其語(yǔ)音通信往往涉及到多方，而且往往都分散在各地。所以，要保護(hù)其語(yǔ)音通信的安全，則更加困難。

    對(duì)于這些分散在各地的用戶，如何保障其語(yǔ)音通信的安全呢？筆者所采用的做法就是通過(guò)VPN技術(shù)來(lái)提高其安全性。因?yàn)閂PN技術(shù)提供另一個(gè)專有的隧道供其進(jìn)行通信，而且，還可以對(duì)語(yǔ)音數(shù)據(jù)進(jìn)行加密，所以，可以從很大程度上保障其通信的安全。筆者企業(yè)由于每個(gè)月都要進(jìn)行一到兩次大規(guī)模的視頻會(huì)議，所以，公司自己部屬了一個(gè)視頻會(huì)議系統(tǒng)。各地的辦事處與分公司，都是通過(guò)VPN連接到公司的視頻會(huì)議系統(tǒng)。如此的話，可以最大限度的保障視頻會(huì)議的安全性。而且，其穩(wěn)定性也有一個(gè)質(zhì)的改善。

    所以，對(duì)于不同地點(diǎn)之間，特別似乎各個(gè)辦事處之間進(jìn)行網(wǎng)絡(luò)視頻會(huì)議的時(shí)候，筆者還是建議企業(yè)部屬VPN服務(wù)器。如此的話，可以為各地辦事處之間提供一個(gè)可靠的、安全的網(wǎng)絡(luò)連接。這不但可以給語(yǔ)音傳輸提供一個(gè)安全的環(huán)境，而且還可以給其他的網(wǎng)絡(luò)應(yīng)用，如文件服務(wù)器訪問(wèn)等等提供方便、迅速的渠道。

    五、做好拒絕服務(wù)攻擊的防護(hù)

    一般非法之徒要攻擊企業(yè)的語(yǔ)音通信之前（攻擊其他服務(wù)也一樣），往往需要進(jìn)行一個(gè)必要的步驟，就是拒絕服務(wù)攻擊。通過(guò)拒絕服務(wù)攻擊，讓某些合法的用戶下線。然后，他們才有進(jìn)攻的機(jī)會(huì)。憑借這一短短的時(shí)間，黑客就可以達(dá)到他們非法的目的。如取得一個(gè)具有一定權(quán)限的用戶、種木馬等等具有潛在破壞性的動(dòng)作。

    所以，在保障語(yǔ)音通信的安全的同時(shí)，需要做好拒絕服務(wù)攻擊。筆者現(xiàn)在企業(yè)是通過(guò)一個(gè)路由器模塊，來(lái)防止拒絕服務(wù)攻擊的。 通過(guò)以上的安全措施，雖然不能夠百分之百的杜絕語(yǔ)音通信的安全事故。但是，卻可以把語(yǔ)音通信提高到一定的水平。