Forrester公司在最近的研究中，推薦下述六個步驟來幫助IT組織避免VoIP安全風(fēng)險并最終確保他們的UC系統(tǒng)安全。

在許多公司中，數(shù)據(jù)網(wǎng)絡(luò)和電信世界融合，且語音和視頻流量同企業(yè)的其它數(shù)據(jù)一起跑在同一個網(wǎng)絡(luò)上。眾所周知的行業(yè)術(shù)語如IP語音（Voice over IP ，VoIP），IP電話（IPT）和統(tǒng)一通信（unified communications 、UC），也漸漸成為黑客們攻擊的新途徑。更令人擔(dān)憂的是，大多數(shù)的企業(yè)沒有考慮保護他們的UC部署設(shè)施，因為他們沒有意識到通信、視頻會議以及其它UC技術(shù)的固有風(fēng)險。這樣一來，反而使得這些設(shè)施的部署大大地增大了他們網(wǎng)絡(luò)的攻擊面。

明白VoIP網(wǎng)絡(luò)大多數(shù)的威脅不是針對UC設(shè)備（例如呼叫管理服務(wù)器、語音信箱服務(wù)器或交互語音應(yīng)答系統(tǒng)（IVR）十分關(guān)鍵。相反，攻擊者們使用VoIP網(wǎng)絡(luò)作為進入數(shù)據(jù)網(wǎng)絡(luò)的入口，以便他們獲得對真正能賺錢的數(shù)據(jù)（例如帳戶編號、信用卡信息和其它私人數(shù)據(jù)）的特權(quán)訪問。UC攻擊者們從經(jīng)驗中了解到這些網(wǎng)絡(luò)沒有傳統(tǒng)的邊界入口如公共因特網(wǎng)那么安全，后者擁有狀態(tài)防火墻和入侵防御系統(tǒng)（IPS）等控制措施保護。

對于安全來說，部署統(tǒng)一通信設(shè)施（UC）需要新的思路和方法。通過在前期就考慮UC安全，安全專家們能幫助他們的公司更為順利、經(jīng)濟的過渡到統(tǒng)一通信技術(shù)。Forrester公司在最近的研究中，推薦下述六個步驟來幫助IT組織避免VoIP安全風(fēng)險并最終確保他們的UC系統(tǒng)安全。

步驟1：制定UC安全實施指導(dǎo)

該指導(dǎo)應(yīng)包括的具體行動，就如何安全地部署系統(tǒng)中的組件，以及用于配置當(dāng)前網(wǎng)絡(luò)和其現(xiàn)有安全控制的準(zhǔn)則。它應(yīng)該闡明：

你應(yīng)該如何將網(wǎng)絡(luò)數(shù)據(jù)和VoIP流量隔離

你應(yīng)該如何使用防火墻和IPS來提升安全

保護UC網(wǎng)絡(luò)免于竊聽攻擊的計劃

在安全和基礎(chǔ)設(shè)施團隊之間IT規(guī)劃如何劃分各種職責(zé)

步驟2：制定UC安全策略

公司必須從安全的角度對UC系統(tǒng)的操作和維護制定可行性策略。一般來說，你可以將你的呃UC安全實施指導(dǎo)演化為策略。UC安全正處于起步階段，還需數(shù)年來形成一般的、可用于第三方的最佳實踐或策略文檔。

步驟3：創(chuàng)建UC安全架構(gòu)

當(dāng)今大部分網(wǎng)絡(luò)設(shè)計沒有充分定義UC系統(tǒng)相關(guān)的安全控制。因此，和你的IT基礎(chǔ)設(shè)施同行們一起，由內(nèi)而外地擴展和設(shè)計網(wǎng)絡(luò)架構(gòu)十分重要。創(chuàng)建一個新的架構(gòu)，定義針對已知攻擊的預(yù)防措施。例如，在關(guān)鍵的UC子系統(tǒng)如呼叫管理系統(tǒng)、IVR和語音郵件服務(wù)器的前面放置一個IPS設(shè)備，這些都有可能阻止最常見的UC攻擊?；蚴峭ㄟ^正確地配置用于防護UC的服務(wù)器來預(yù)防基礎(chǔ)設(shè)施攻擊，確保你的服務(wù)器被配置為不給未知的MAC地址分配地址，并且分析來自非權(quán)威性服務(wù)器的信息。此外，通過開啟SRTP協(xié)議的媒體傳輸加密，以及給像SIP這樣的信道協(xié)議添加傳輸層的安全（TLS），可以更好地減輕竊聽攻擊。記住，如果內(nèi)部網(wǎng)絡(luò)上的流量沒有加密的話，在聚合網(wǎng)絡(luò)上的所有聲音和視頻流量很容易被攔截和竊聽。

步驟4：利用現(xiàn)有的安全控制

許多公司有現(xiàn)成的安全控制可以用來提升UC網(wǎng)絡(luò)的安全。然而由于UC安全對于許多組織來說還是新的準(zhǔn)則，很少有人意識到他們已經(jīng)存在的控制可以用于保護極其重要的UC組件。

步驟5：在VoIP實施后進行滲透測試

考慮聘請專業(yè)的服務(wù)公司來對實施完成的UC系統(tǒng)進行滲透測試。這會有助于判斷在實施過程中的安全和策略決策是否有效。這些類型的測試從攻擊者的角度觀察UC網(wǎng)絡(luò)，使用最新的工具來嘗試繞過控制以及獲得對網(wǎng)絡(luò)的特權(quán)訪問。

步驟6：增加對滲透測試發(fā)現(xiàn)的風(fēng)險的控制措施

一旦完成UC系統(tǒng)的滲透測試，你會有客觀的、可操作的數(shù)據(jù)來判斷你部署的UC解決方案是否足夠的安全。如果結(jié)果得出，現(xiàn)有部署設(shè)施存在不可接受的風(fēng)險，你能選擇基于當(dāng)前風(fēng)險的偏好來增加額外的控制。

【編輯推薦】

1. IPSec VPN和SSL VPN：對比兩種VPN的安全風(fēng)險
2. 商業(yè)非商業(yè)滲透測試工具匯總報告
3. atsec SSL密碼模塊獲得FIPS 140-2證書
4. WIPS為何必須檢測非Wi-Fi無線LAN安全威脅？
5. 使用Metasploit對思科IOS進行滲透測試