部署统一通信系统中的网络安全考虑

今天,统一通信是个热点话题,这是因为,IP语音通信和融合多媒体解决方案可通过为最终用户提供灵活的业务套餐和更多移动业务,适应企业组织变革,降低运营成本并提高效率。但是,随着网络入侵事件的日益增多,企业和业务提供商始终都担心它们是否能够满足这些新的IP电话和多媒体系统对安全性和可靠性要求。是的,开放性和普遍性固然使IP网络成为强大的业务工具,但也同时为它带来了巨大的安全隐患。在将合法用户接入网络的端口和门户时,网络黑客和那些为了个人利益或出于恶意而企图侵占网络资源的攻击者也同时乘虚而入。攻击者可以通过使用IP地址欺骗、拒绝服务(DoS)攻击、后门入口等工具和技术入侵网络,达到破坏服务、盗用服务和窃取机密信息等目的。

毋宁质疑,我们在搭建安全可靠的端对端网络方面,如何为业务提供商和企业的这些系统提供安全保护,是一个必须面对的问题。

为IP电话和多媒体系统提供安全保护

为了应对这些攻击,我们采用那些在通信服务器或企业通信管理器产品系列开发出相应的IP电话解决方案,以满足业务提供商在运行、可靠性和性能方面的严格要求,并服务于个人和企业用户、小型企业、政府机构和那些为最终用户提供服务的企业。

这些IP电话解决方案还能得到进一步增强,以便通通信服务器的支持,提供融合多媒体解决方案,包括实时视频、安全即时消息、应用共享、白板和在线状态等,它们既可以是专用解决方案也可以是托管解决方案。新兴的融合多媒体解决方案正成为提高企业生产力的基本工具,同时还能提升个人和企业用户的通信体验。

在保护多媒体服务器、应用服务器和网关设备方面,在产品研发及实施阶段遵循多个原则,以确保IP电话和多媒体通信系统的完整性以及用户信息的保密性。这些原则包括:

• 多媒体安全解决方案必须符合网络操作者的安全策略,不论该操作者是某个企业的IT组织还是一个业务提供商。

• 必须在数据层面为IP网络提供安全保护,并且所采用的任何安全机制必须能够在如下环境内运行:具有严格的VoIP和多媒体实时性能要求,以及极高的时延/抖动(端到端小于150毫秒)和丢包率(接近0%)要求。

• 业务关键型通信服务器以及相关的信令和控制系统必须具备物理安全性,并得到保护以防范内外攻击。

• 力求在不同设备上以及有线和无线接入模式下实现的易用性和一致的用户体验也必须得到实现,并且必须对各种认证方式和加密技术透明。

• 所有多媒体产品对各种标准的支持将确保能够满足业务提供商和企业在功能和互通性方面的要求。

• 必须在整个多媒体环境中采用一种整体的安全方法,以便实现业务提供商之间、企业之间、公网和专网之间的互通。

企业所采取的IP电话和多媒体系统保护战略,要采用一种例如分层安全防护方法,它是网络安全体系结构遵循的一个重要原则。确保多媒体系统和网络安全的分层防护方法能够避免网络上的任何单点故障。通过在网络的多个区域采用多种强制安全策略的方法可以实现分层防护,而且还可利用符合标准的解决方案对其提供支持。这种方法与传统的IT方法不同,后者主要通过防火墙为网络边界提供保护。

除了将最佳实践应用于保护整个IP网络外,我们的VoIP和多媒体解决方案还在分层体系结构中提供具体的多媒体安全功能,包括设备级安全、边界保护、端点的策略符合性和网络级保护、以及应用级安全。

设备级安全

在设备级,负责提供统一消息、呼叫中心和CTI业务我们的IP电话服务器、多媒体服务器和应用服务器要能将将管理功能与业务功能分开、严格的访问控制、以及用户认证、授权和计费。

同时我们的方案最好在不同的语音、多媒体和应用服务器中采用些基本的安全方法,以确保关闭所有任何可能被攻击者利用的后门程序。例如:

• 关闭不用的端口(如用于控制台或远程调制解调器访问的端口);

• 只允许使用经过授权的应用软件;

• 支持针对操作人员设置多级权限(如监视、配置和控制权限);

• 安全地保存用户密码;

• 对密码格式和管理变更进行严格控制;

• 可使用VPN路由器对管理业务(如计费信息)进行加密,即使这些信息只在内部传输。