近年來，VoIP技術(shù)與應(yīng)用以部署便捷、成本低廉等突出優(yōu)勢迅速風(fēng)靡企業(yè)與消費領(lǐng)域，成為增長最為迅猛的網(wǎng)絡(luò)與通訊技術(shù)領(lǐng)域之一。但與此同時，由于VoIP語音流量是通過公用Internet網(wǎng)絡(luò)進行傳輸?shù)?，因此與基于封閉電路交換技術(shù)的傳統(tǒng)PSTN電話網(wǎng)絡(luò)相比，VoIP存在著諸多顯而易見的安全隱患，這無疑會讓不少VoIP用戶、尤其是看重信息與通訊安全的企業(yè)VoIP用戶深感不安。而近來頻頻發(fā)生的針對VoIP系統(tǒng)的攻擊事件也在不斷敲響著VoIP安全的警鐘，今年六月初，在美國被逮捕起訴的兩名黑客就曾利用Net2Phone公司的網(wǎng)絡(luò)實現(xiàn)了50余萬VoIP呼叫的非法路由，有多達15家Internet電話公司成為其受害者。
　　VoIP系統(tǒng)的安全問題也給企業(yè)網(wǎng)絡(luò)管理人員帶來了巨大的壓力。盡管VoIP的安全缺陷幾乎盡人皆知，但網(wǎng)絡(luò)管理人員在企業(yè)VoIP系統(tǒng)與應(yīng)用安全性能究竟如何、究竟存在哪些隱患、應(yīng)當(dāng)采取怎樣的措施加以補救等一系列問題上卻大多一片茫然，特別是對于技術(shù)力量相對薄弱的中小企業(yè)網(wǎng)絡(luò)管理人員而言，日常網(wǎng)絡(luò)管理任務(wù)已讓其疲于應(yīng)付，根本無暇顧及、也沒有足夠能力顧及VoIP安全方面的問題。
　　針對這種情況，部分運營商借助在VoIP與相關(guān)網(wǎng)絡(luò)通訊業(yè)務(wù)領(lǐng)域的技術(shù)優(yōu)勢，不失時機地推出了包括可對企業(yè)VoIP系統(tǒng)安全狀況進行測試與評估、并可提供相應(yīng)的安全解決方案或建議的VoIP安全相關(guān)服務(wù)。這類服務(wù)的出現(xiàn)，在一定程度上緩解了企業(yè)在VoIP安全技術(shù)領(lǐng)域的燃眉之急，成為企業(yè)網(wǎng)絡(luò)管理人員應(yīng)對VoIP呼叫欺詐等相關(guān)威脅、保障VoIP與相關(guān)網(wǎng)絡(luò)系統(tǒng)安全的重要途徑。因此，這類服務(wù)甫一推出，就得到了眾多企業(yè)網(wǎng)絡(luò)管理人員的青睞。曾一度對VoIP系統(tǒng)安全問題近乎束手無策的企業(yè)網(wǎng)絡(luò)管理人員紛紛向提供這類服務(wù)的運營商尋求幫助，期望能夠利用運營商的這類服務(wù)對其VoIP系統(tǒng)的安全性進行準確測試與評估，以確定相應(yīng)的VoIP安全解決方案，徹底解決困擾他們多年的VoIP系統(tǒng)安全問題。
　　旺盛的市場需求推動了VoIP安全服務(wù)的迅猛發(fā)展，也為提供這類服務(wù)的運營商帶來了滾滾財源，VoIP安全服務(wù)逐漸成為不少運營商收入頗豐的核心業(yè)務(wù)之一。當(dāng)前，多數(shù)企業(yè)的VoIP安全評估費用均在數(shù)萬美元左右，盡管企業(yè)用戶多將這類費用計入VoIP系統(tǒng)部署成本或網(wǎng)絡(luò)安全維護費用，很少獨立加以核算。但據(jù)IDC公司估計，VoIP安全評估開銷高望占企業(yè)總體VoIP開銷的一成左右。
　　目前，包括Verizon通訊公司與AT&T公司在內(nèi)的美國各大運營商已相繼開始提供VoIP安全評估服務(wù)，Sprint通訊公司也通過朗訊公司的全球?qū)I(yè)服務(wù)部門開始向其用戶提供這類服務(wù)。
　　市場調(diào)研機構(gòu)IDC公司VoIP服務(wù)部門調(diào)研主管Will Stofega指出，"隨著VoIP的安全問題得到了越來越廣泛的關(guān)注，企業(yè)對這類服務(wù)的需求也越來越迫切。就在一年或二年前，業(yè)界對于VoIP系統(tǒng)安全風(fēng)險的討論還僅僅囿于理論層面，而今天，這類風(fēng)險早已開始從理論層面成為了現(xiàn)實。"他認為，AT&T、Verizon商業(yè)服務(wù)與朗訊公司的VoIP安全評估服務(wù)在增強VoIP語音安全方面起到了積極的作用，對于企業(yè)用戶提高防范VoIP系統(tǒng)攻擊的意識與能力大有裨益。
　　VoIP系統(tǒng)面臨的安全風(fēng)險與數(shù)據(jù)網(wǎng)絡(luò)有頗多相似之處，這其中如DoS(Denial-of-Service)拒絕服務(wù)攻擊、病毒、垃圾信息與數(shù)據(jù)泄密安全風(fēng)險等。同時，作為語音通訊系統(tǒng)，VoIP也不可避免地面臨著過去曾一度困擾傳統(tǒng)語音系統(tǒng)的身份欺詐與侵犯隱私等問題。另外，由于部署VoIP系統(tǒng)需要在企業(yè)現(xiàn)有網(wǎng)絡(luò)中增加新的軟、硬件與應(yīng)用產(chǎn)品，因此在企業(yè)網(wǎng)絡(luò)內(nèi)部署了VoIP系統(tǒng)后，企業(yè)網(wǎng)絡(luò)的總體安全風(fēng)險也將會進一步加大。而且，許多企業(yè)在全面轉(zhuǎn)向VoIP系統(tǒng)之前，通常會有一段傳統(tǒng)電話系統(tǒng)與VoIP系統(tǒng)并行的時期，這種不同技術(shù)共存的混亂局面也在一定程度上加大了企業(yè)網(wǎng)絡(luò)的安全風(fēng)險。
　　亡羊補牢，猶未為晚
　　Verizon公司商業(yè)服務(wù)部門安全解決方案主管Cindy Bellefeuille指出，當(dāng)前，針對VoIP系統(tǒng)的攻擊大有愈演愈烈、攻擊目標(biāo)越來越大之勢。預(yù)計隨著VoIP應(yīng)用的不斷普及，VoIP系統(tǒng)面臨的攻擊威脅也將越來越危險、越來越多樣化。在這種情況下，準確了解企業(yè)網(wǎng)絡(luò)與VoIP系統(tǒng)存在的安全威脅與風(fēng)險、并采取合理的措施加以解決已變得十分必要。
　　"VoIP安全與VoIP風(fēng)險評估是大多數(shù)客戶的主要需求。"  AT&T公司可管理式安全服務(wù)部門副總Stan Quintana稱。早在兩年前，AT&T公司就已開始利用其專業(yè)服務(wù)部門向客戶提供包括架構(gòu)分析、策略分析、業(yè)務(wù)連續(xù)性評估與缺陷分析等在內(nèi)的VoIP安全與風(fēng)險評估服務(wù)。與兩年前相比，這家服務(wù)供應(yīng)商的這類服務(wù)需求出現(xiàn)了四倍增長，其中大多數(shù)需求主要來自于金融服務(wù)、醫(yī)藥保健等垂直行業(yè)。
　　Quintana指出，許多情況下，用戶對發(fā)生的VoIP安全問題根本一無所知。由于企業(yè)的VoIP流量通常不進行加密，因此這類流量很容易被偵聽，如若其中包含有事關(guān)企業(yè)業(yè)務(wù)運營的敏感信息，其危險性是不言而喻的。AT&T公司方面稱，目前他們正在搜集有關(guān)VoIP安全的案例，以期能夠通過案例警示，提高企業(yè)用戶在VoIP安全方面的風(fēng)險防范意識與能力。
未雨綢繆，棋高一籌
　　相對于對現(xiàn)有VoIP的安全風(fēng)險進行評估、并采取適當(dāng)措施加以補救的"亡羊補牢"式的VoIP風(fēng)險評估服務(wù)，在企業(yè)VoIP系統(tǒng)部署之前對其網(wǎng)絡(luò)環(huán)境與VoIP系統(tǒng)部署后可能存在的安全風(fēng)險進行的評估的"未雨綢繆"式的前瞻性VoIP風(fēng)險評估服務(wù)顯然可以收到更明顯的效果。另外，朗訊公司全球?qū)I(yè)服務(wù)部門負責(zé)安全與可靠性評估的Vik Muiznieks還指出，在部署VoIP系統(tǒng)時提早考慮到安全問題，將比部署完成再行補救更加節(jié)省成本。
　　Bellefeuille認為，"對于網(wǎng)絡(luò)管理人員來說，首先應(yīng)當(dāng)確定VoIP系統(tǒng)安全策略，在真正部署VoIP系統(tǒng)之前就應(yīng)提前考慮到VoIP的安全問題，同時還應(yīng)尋求專業(yè)VoIP服務(wù)對系統(tǒng)安全性進行評估。"
　　為此，今年六月，Verizon公司商業(yè)服務(wù)部門基于此前MCI并購的安全服務(wù)商NetSec公司的技術(shù)推出了一項增強性VOIP安全評估服務(wù)，這項服務(wù)不僅可以對現(xiàn)有VoIP系統(tǒng)的安全風(fēng)險加以評估，而且可以在VoIP系統(tǒng)部署之前就對潛在的安全性狀況進行評估，從而可使企業(yè)用戶在部署VoIP系統(tǒng)之前就提早了解到部署VoIP系統(tǒng)之后可能存在的安全風(fēng)險，從而可以及時調(diào)整部署策略，避免潛在風(fēng)險。
　　Verizon商業(yè)服務(wù)部門推出的VoIP安全服務(wù)項目包括對VoIP系統(tǒng)架構(gòu)進行評價、對網(wǎng)絡(luò)與網(wǎng)絡(luò)設(shè)備的安全進行測試、以及對企業(yè)用戶的VoIP策略進行評估等。完成測試后，Verizon商業(yè)部門將向用戶提供一個包括安全評分卡在內(nèi)的VoIP系統(tǒng)安全狀況評測報告。近期，Verizon商業(yè)服務(wù)部門的這項服務(wù)還增加了對VoIP流量專用防火墻、以及針對不同廠商設(shè)備安全缺陷進行測試的服務(wù)，并可以針對檢測出的問題向用戶推薦解決方案或提供相關(guān)安全策略，以防黑客利用這類漏洞進行攻擊。
　　Bellefeuille認為，對于普通企業(yè)用戶而言，每年進行一次這樣的安全評估十分必要，而對安全性要求更高的金融等行業(yè)的企業(yè)應(yīng)每年進行兩次、或者每季進行一次這類安全評估。
　　細節(jié)，決定安全
　　與Verizon公司商業(yè)服務(wù)部門和AT&T公司的VoIP安全評估服務(wù)相比，Sprint公司通過朗訊公司全球?qū)I(yè)服務(wù)部門提供的VoIP安全服務(wù)涉及的范圍似乎更廣一些。朗訊公司的VoIP技術(shù)安全評估服務(wù)除了涉及網(wǎng)絡(luò)安全問題外，還包括VoIP安全評估與滲透性檢測，測試的范圍包括250多家供應(yīng)商的1500多種設(shè)備，這其中包括常用的VoIP設(shè)備。
　　Muiznieks指出，許多用戶、甚至包括網(wǎng)絡(luò)管理人員通常很少會慮及VoIP系統(tǒng)的管理問題，他們經(jīng)常使用Telnet功能對系統(tǒng)與設(shè)備進行管理，并且很少會使用加密字符串管理數(shù)據(jù)。實際上這是極其危險的，正確的策略應(yīng)是使用SSH(Secure Shell) 安全機制。另外，許多用戶還通常會忽略CALEA法律執(zhí)行通訊協(xié)助法案與911緊急呼叫支持等細節(jié)問題。
　　朗訊的安全評估服務(wù)范圍包括從防火墻安全到服務(wù)器與IP PBX放置場所的安全。另外，系統(tǒng)的總體可靠性也是VoIP安全評估的一個重要方面。
　　Muiznieks還表示，"我們還對業(yè)務(wù)的連續(xù)性與災(zāi)難恢復(fù)情況進行詳盡的考查，因為用戶不期望存在哪怕是一個故障點。"
　　目前朗訊公司的VoIP安全服務(wù)客戶群體已包括了美國國防信息系統(tǒng)局、EarthLink公司等眾多組織機構(gòu)，據(jù)朗訊公司方面稱，今年其VoIP安全服務(wù)銷售收入比去年同期增長了25個百分點。

VoIP中國