優(yōu)化企業(yè)高清視頻會(huì)議系統(tǒng)安全機(jī)制

    伴隨著高清視頻會(huì)議系統(tǒng)建設(shè)高潮的來(lái)臨，其安全問(wèn)題也更加困擾業(yè)界。其實(shí)，中國(guó)在建設(shè)第一個(gè)會(huì)議電視網(wǎng)的時(shí)候，就已經(jīng)提出了高清視頻會(huì)議系統(tǒng)的安全保障的問(wèn)題。從去年開(kāi)始，個(gè)別廠商的高清視頻會(huì)議系統(tǒng)安全性問(wèn)題不斷暴光，也令各種客戶更加重視系統(tǒng)的安全問(wèn)題。

    這個(gè)問(wèn)題為什么這么重要呢？試想，如果高清視頻會(huì)議系統(tǒng)在安全方面出現(xiàn)問(wèn)題，有黑客或者是非授權(quán)的用戶非法加入到會(huì)議中，則意味著惡意攻擊者可以輕易取得管理者的權(quán)限，竊取管理者的口令，控制會(huì)議，監(jiān)聽(tīng)會(huì)議內(nèi)容，甚至把會(huì)議的內(nèi)容錄下來(lái)，在網(wǎng)上公開(kāi)散播，后果不堪設(shè)想！所以安全問(wèn)題是會(huì)議電視一個(gè)非常重要方面。

    要確保高清視頻會(huì)議系統(tǒng)的安全，需要保護(hù)哪些信息呢？首先，要能保證會(huì)議的保密性，會(huì)議除了合法的與會(huì)者外，其他人是應(yīng)該無(wú)法看到和了解的。第二，要保證會(huì)議的真實(shí)性，保證會(huì)議的內(nèi)容不被篡改。第三，要確保非法的用戶不能加入到會(huì)議里面。第四，與會(huì)者或者會(huì)議中間發(fā)生的行為，是一個(gè)確認(rèn)的行為，是不能否認(rèn)的。

    應(yīng)用層安全解決方案                                             

    基于IP網(wǎng)絡(luò)的高清視頻會(huì)議系統(tǒng)采用H.323標(biāo)準(zhǔn)�？偟膩�(lái)講，H.323的安全性是一個(gè)復(fù)雜的問(wèn)題，它不僅包括對(duì)音頻、視頻或數(shù)據(jù)流本身的保護(hù)，還必須包括對(duì)Q.931（用于呼叫建立）、H.245（用于呼叫管理）及網(wǎng)閘RAS（Registration/Admission/Status）的保護(hù)，以防止呼叫控制協(xié)議受到破壞。

    身份認(rèn)證用于確定終端用戶的身份，是H.323高清視頻會(huì)議系統(tǒng)安全體制中最為重要的環(huán)節(jié)，如果沒(méi)有它，任何一個(gè)用戶都可以冒充合法用戶進(jìn)入網(wǎng)絡(luò)。只有在被確認(rèn)身份之后，才能夠提供進(jìn)一步的安全保證。

    數(shù)據(jù)完整性用于證實(shí)一個(gè)數(shù)據(jù)包有效數(shù)據(jù)的完整性，從而保證在兩個(gè)端點(diǎn)之間進(jìn)行呼叫過(guò)程中的有效數(shù)據(jù)不被修改或損壞。數(shù)據(jù)完整性利用加密機(jī)制來(lái)保證數(shù)據(jù)包的完整，在這種方法中，只需要將校驗(yàn)數(shù)據(jù)加密，而有效數(shù)據(jù)不必加密，從而減少了每個(gè)數(shù)據(jù)包對(duì)加密處理的要求。

    用戶費(fèi)用證實(shí)機(jī)制用于防止某些用戶否認(rèn)他們?cè)鴧⑴c某一個(gè)呼叫。但是，就一般情況來(lái)說(shuō)，該機(jī)制更多地應(yīng)用于電信運(yùn)營(yíng)商，因?yàn)樗麄冃枰�一種途徑來(lái)準(zhǔn)確估算服務(wù)所需的費(fèi)用，并證實(shí)這些費(fèi)用的確用于用戶的呼叫。對(duì)企業(yè)用戶而言，可以不必實(shí)施用戶費(fèi)用證實(shí)機(jī)制。

    網(wǎng)絡(luò)層安全機(jī)制

    目前，企業(yè)用戶組建的高清視頻會(huì)議系統(tǒng)多是基于IP網(wǎng)絡(luò)的，針對(duì)這種情況，還充分利用網(wǎng)絡(luò)層現(xiàn)有的IPSec協(xié)議，提出了網(wǎng)絡(luò)層的安全解決機(jī)制。

    當(dāng)然，即使不增加iSec智能安全模塊，VTEL產(chǎn)品的開(kāi)放性，也能使VTEL為用戶輕松提供IP層安全防護(hù)措施。例如，可以在VTEL公司的產(chǎn)品中安裝英特爾的PRO/100 S網(wǎng)卡，該網(wǎng)卡能直接提供IPSec（互聯(lián)網(wǎng)協(xié)議安全）加密能力，從而實(shí)現(xiàn)用戶的身份驗(yàn)證，防止未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)；防止惡意的攻擊和篡改，保持傳輸過(guò)程的數(shù)據(jù)完整性；數(shù)據(jù)包加密，確保數(shù)據(jù)的機(jī)密性�？梢哉f(shuō)，直接利用網(wǎng)卡實(shí)現(xiàn)IP層安全的措施，是VTEL公司開(kāi)放平臺(tái)終端設(shè)備所特有的一種安全措施。

    用戶實(shí)際應(yīng)用安全措施

    除了上述兩種安全機(jī)制以外，還可以針對(duì)企業(yè)用戶的不同應(yīng)用需求和網(wǎng)絡(luò)現(xiàn)狀，為企業(yè)用戶的高清視頻會(huì)議系統(tǒng)提供如下幾種安全防護(hù)措施或安全問(wèn)題解決方案。

    內(nèi)置轉(zhuǎn)換模塊VTEL公司的視頻會(huì)議終端設(shè)備中內(nèi)置的“NAT Traversal”模塊，使H.323(IP)呼叫順利穿越防火墻。對(duì)于已經(jīng)具有企業(yè)防火墻的用戶來(lái)說(shuō)，就可以直接利用已有的安全系統(tǒng)。

    使用應(yīng)用層網(wǎng)關(guān)考慮到防火墻是一種有效的網(wǎng)絡(luò)安全機(jī)制，它能在企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范，它不但可以實(shí)現(xiàn)基于網(wǎng)絡(luò)訪問(wèn)的安全控制，還可對(duì)網(wǎng)絡(luò)上流動(dòng)的信息內(nèi)容本身進(jìn)行安全處理，對(duì)通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析、處理、限制，從而有效地保護(hù)網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)。VTEL公司針對(duì)還沒(méi)有采用防火墻的用戶，可以為其推薦一種被叫做ALG Firewall防火墻的應(yīng)用層網(wǎng)關(guān)。目前主要的防火墻廠商，如Cisco、Checkpoint、Gauntlet都對(duì)他們的防火墻產(chǎn)品提供H.323 ALG升級(jí)功能。

    使用VPN技術(shù)VPN技術(shù)作為當(dāng)前在IP網(wǎng)絡(luò)上提供安全通訊的方法之一，企業(yè)用戶組建高清視頻會(huì)議系統(tǒng)時(shí)，還可以設(shè)計(jì)使用VPN技術(shù)，讓各節(jié)點(diǎn)間傳輸?shù)臄?shù)據(jù)均通過(guò)底層加密，并且通過(guò)專用的隧道路由傳輸，這樣就能有效地隔絕來(lái)自外部網(wǎng)絡(luò)的攻擊，并且可以避免信息在傳輸過(guò)程中可能的泄漏情況發(fā)生。

    安裝防毒軟件由于VTEL產(chǎn)品基于開(kāi)放平臺(tái)的產(chǎn)品特性，允許用戶自己在需要的時(shí)候，隨時(shí)安裝、更新防病毒軟件、安裝反掃描軟件。所以，能抵御目前計(jì)算機(jī)病毒的危害和Internet上的端口攻擊，使用戶始終能及時(shí)預(yù)防Internet上的各種病毒攻擊，監(jiān)視攻擊者的惡意掃描，從而有效地保證系統(tǒng)不被病毒惡意的攻擊。