安全在线7月18日报道 日前,国际咨询机构Gartner公布了2008年CIO最密切关注的"十大战略性技术",其中一项技术是统一通信。IT与通信的融合一直是产业大趋势,统一通信的出现就是把IT与通信融合。
统一通信是指利用IT技术打破当前通信手段以设备和网络为中心的限制,实现无时间无地点限制的沟通。统一通信进一步发展了IP通信的概念,通过使用SIP协议和移动解决方案,实现各类通信的统一和简化。统一通信的五个核心领域是: 语音邮件、专用电话交换机(PBX)、电子邮件、即时通信(IM)以及多媒体会议。
阻碍大规模推广的技术难点
但统一通信市场并没有在2007年进入并发状态,是什么在阻碍着这个市场的大规模启动?统一通信发展存在什么样的技术障碍?我们认为阻碍统一通信大规模应用有两个技术难点:
(1)是标准问题。虽然参与统一通信市场的厂商都将IP技术视为未来技术的主流,但作为统一通信的基础设施,IP标准目前仍处于"分裂"状态,市场上充斥着大量不可兼容的专有代码。
(2)是网络安全问题。一个融合的统一网络能让企业的语音业务、数据业务甚至业务系统应用起来更加有效率,诸如ERP、CRM、OA系统等。但是,也因此带来更大的安全隐患,当各种应用集成在一起,一旦被突破受伤的将是全部系统。在没有成熟的全面安全防范措施情况下,企业用户对基于网络融合的统一通信大多持非常慎重的态度。
统一通信面临的安全性考验是什么?
当前,统一通信(Unified Communications)技术正在慢慢地成为主流,其安全性问题也越来越成为关注的重点。一直以来,安全问题始终是IP技术应用中的一个瓶颈,诸如访问控制、防病毒、防入侵、防拒绝服务攻击、带宽管理和智能流量管理,这些都会影响着网络的安全和稳定。
(1)客户端安全漏洞
统一通信有些安全性漏洞是和厂商实现方式相关的,例如厂商各自推出自己的一套客户端系统,厂商会在客户端带上了许许多多的业务,以实现各种通信工具的融合。我们回顾现有的单一的IM客户端都存在如此多的漏洞,例如邮件病毒, IM(即时通信)的QQ和MSN病毒等,哪么也就有理由担心将语音、IM、电子邮件、手机短信、多媒体内容、传真以及数据等形式的内容都集合到一起的客户端的也会存在各种各样的安全性问题,这类安全性问题一般是和厂商的具体实现方式相关的。
(2)SIP协议安全弱点
通常情况下,现有的系统和设备的安全性机制都是为传统数据网络设计的,并不能防御对统一通信技术标准漏洞的攻击。最近爆出的统一通信研发新闻表明,SIP协议本身就具有比较明显的安全性弱点,黑客可以利用这些SIP协议漏洞在操作系统上进行非法的操作和控制。
当对基于SIP协议漏洞进行非法攻击时,SIP协议所潜在的安全性隐患就不能被忽视了。这类安全性漏洞是和协议相关的,并存在于所有系统中,也这是说会可能存在于每个厂商的系统之中。在一般情况下,对于统一通信系统的攻击可能会导致公司软电话系统的瘫痪。但事实上,类似的SIP协议弱点还可以被攻击者利用建立一个其与被攻击电脑的连接,从而可以给攻击者获得接入的权限。更严重和恶劣的情况是,可能被窃取或修改公司的数据、音频和视频电话。
(3)不同系统之间的数据流交换易受攻击
不同的网络各有其相应的安全弱点,对于融合网络来说,除了构成网络的各个子网的安全弱点之外,不同网络的结合部位也是整个融合网络的安全弱点。因此,在不同厂商之间互联互通功能是肯定存在许多盲点的。
融合多种网络终端设备可满足用户长时间和无地点限制接入网络的需要,但融合后的网络终端设备也将各种网络的安全缺陷带进融合网络中。这不但给融合网络的运行带进各种原有的安全问题,而且增加了一些新的安全问题。这时业务欺骗,盗用业务等许多的非法攻击就会出现。而且如此多的业务种类,安全问题的"木桶短板效应"会非常明显,要所有连接的系统都具有高安全性会有很多技术和困难要克服。
对统一通信安全风险因素的思考?
统一通信在应用软件、操作系统、结构以及部署策略方面都可能存在的着诸多的安全风险因素。我们这里分析许多CIO都非常关注的几个方面:
(1)统一通信与传统PBX系统的安全性比较?
无论数据网络是否支持语音应用,安全性都是一个重要问题。目前,一些业内人士认为,混合系统比端到端统一通信解决方案更安全。对于PBX系统,企业必须预防话费欺诈、伪装和拨号冲突。对于传统通信系统,企业必须预防非法用户只需一个拨线钳就能完成的非法接入或窃听,而相对于融合多种通信工具的统一通信则复杂得多了。
(2)现有技术能否确保IP承载网络的安全?
以前构建IP网络,更多注重的是传输层面的东西,侧重强调第三层和第四层。如今,在融合网络的前提下,就考虑的更广一些,由最基本的三层、四层扩展到第六层,甚至到第七层,最后到应用层。
融合主要体现在几个方面:首先在整个网络中,同一个功能被整合到Smart IP网络上来,包括低层的传输功能、路由功能、交换功能,深层次的业务支撑以及业务应用的功能。其次,利用通用性协议,实现通用业务系统跟应用业务系统的接入和承载。
因此,在安全保护方面就需要有很多技术保证承载网的安全,这些技术是否已经成熟和可靠?比如安全防护系统技术,主要针对IP网络进行相关控制,避免网络被异常IP流量所攻击。再就是长期以来被忽略的终端安全问题,从最基本的IP地址绑定,一直到交换机地址/时间、流量的全面绑定等等问题。
(3)底层协议和标准是否有坚实的安全保证?
我们在谈到统一通信时安全问题时,许多人或许都会关注其前端各种各样的终端、网络以及由此带来的各种应用的安全问题,而忽略了其背后的底层协议技术基础的安全。
其实,无论是企业应用软件提供商、IP电话提供商、即时消息供应商等等其产品要想做到真正完美的无缝融合,远非只要把网络和应用融合在一起这么简单,其背后涉及到软件、硬件、移动设备、固定设备的标准和协议的融合,而这些统一的底层协议和标准的安全性更是重中之重。
(4)安全策略是否被忽略?
根据一项调查,多数公司经常有意或无意地忽略安全策略,许多人甚至还不清楚有这种策略。关键的问题是信息安全策略并没有被阅读,即使读了,也没有理解,或者即使理解了,人们也可能不遵循。
在调查中有一半的回答者说,他们个人都曾将公司的机密信息复制到非安全通信工具上交流和传输,甚至有85%的回答者承认安全政策禁止他们这样做。此外,57%的人相信组织中的其他人也经常用各种非安全的通信工具传输敏感的或机密的公司数据。当问到为什么不遵守规定时,其中的原因之一就是缺乏策略的执行。
不过,有时内部人员对安全的破坏是由于缺乏清楚的公司指导方针。这些问题发生的原因是因为没有执行一致性的安全策略,虽然越来越多的IT人员认识到在公司范围内建立安全策略的必要性,但人们并没有注意到策略的执行。虽然公司多年来一直致力于保障网络安全,抵御外部攻击,却鲜有什么措施重视偶然的和恶意的由内部因素所引起的数据泄漏。因此,许多安全管理人员对于更方便的沟通工具是否会在内部引起的更大的安全损害表现出更加担忧。
主流厂商安全技术的发展趋势
目前,无论是Microsoft还是IBM和Cisco都相继推出了自己的统一通信的概念及产品,统一通信大战局势已渐清晰。对此,我们可以看看各主流厂家提出不同的安全性技术方向。
(1)第一类是以微软、IBM为代表的以软件见长,从桌面或应用软件攻入统一通信市场的厂商。微软公司称,"微软UC技术采用以软件为中心的安全策略,将VoIP电话系统、电子邮件、即时沟通、移动沟通以及音频视频Web会议等多种沟通方式融合为单一的平台,使用者只需单一身份认证即可访问所有沟通模式"。同样推动以软件为核心统一通信策略的IBM,也是把语音、数据和视频通通整合在一起。IBM把其Lotus Sametime软件统一通信应用打进许多产品中。在他们的角度来看,UC产品用户是有自己的进入身份认证的,在整体上有安全的考虑,因此安全并不是问题。
(2)第二类是以思科、3Com为代表的,目前风头正劲的IP设备厂商。思科在统一通信系统中提供的SIP安全特性是思科自防御网络的安全策略的自然扩展,该安全策略是集成、协作、自适应的安全方式,使网络一旦出现新威胁,即可对其作出响应。目前,在Cisco IOS软件,安全设备和思科交换机及路由器上的安全模块中的安全特性均可为VoIP协议包括SIP提供保护。
(3)还有第三类以阿尔卡特-朗讯、Avaya、北电为代表的传统电信设备厂商。他们在整合了传统语音和IP两种业务之后,可靠的服务质量将成为其统一通信产品的一大卖点。
综上所述,各主流厂商提出的安全方案能否为统一通信在安全方面打破疆局,还需要接受市场的考验,我们不防拭目以待