但是,统一通信往往直接部署在企业原IP网络上,由于IP网络的开放性,其本身存在各种各样的安全威胁。Gartner的分析报告也指出,2012到2015年之间,企业信息安全的投入其复合增长率基本上都在15%左右,说明了企业对信息安全将会越来越重视。
针对企业部署统一通信后带来的威胁,如何提供有效的解决方案是我们值得思考的问题,下面我们逐一进行分析:
终端接入要保证可信任和安全
目前企业员工之间一般采用PC、手机和IP话机进行沟通,那么对于这些部署在IP网络上的各种终端,如何保证安全接入到企业网络系统中来呢?
针对新部署的IP话机,华为UC2.0解决方案采用基于端口的接入控制协议(802.1x技术),实现对IP话机的准入认证,该协议是在在获得交换机或LAN提供的各种业务之前,对连接到交换机端口上的用户/设备进行认证。另外企业用户越来越多需要通过手机或者便携机进行移动办公,利用Internet访问企业通信服务器,如何保证此类终端从Internet安全接入企业内网呢?
华为UC2.0解决方案集成华为自身VPN网关,在手机上安装VPN客户端,和VPN网关服务器之间建立安全连接的VPN通道,为了提升效率并结合UC业务特点,该通道是基于UDP通道进行加密封装的。
数据传输过程机密、完整
统一通信信令控制和媒体流基于SIP和RTP协议,这些数据在IP网络上是基于明文传输的,黑客很容易就能窃取到信令里面携带的用户(包括管理员)账号、密码等敏感信息,实施各种破坏或者盗取企业相关数据,同时对于明文传输的媒体,其通话内容也很容易被黑客监听。
华为eSpace UC2.0解决方案中,通过SIP信令交互的组件都需要实现SIP TLS,以实现信令交互的机密性、完整性、不可否认性。同样,任何通过RTP与其他组件进行媒体交互的组件都需要实现SRTP,通过安全的实时传输协议,用来对RTP会话进行安全性保证。
企业数据分类管理,保证安全
企业统一通信数据一般保存在统一通信服务器和企业用户的个人终端上,华为UC2.0解决方案对这些数据都做了安全保护措施。
首先,支持采用LDAP/SLDAP标准协议访问企业现有的Active Directory,这些数据集中存储维护,能够减少多份数据维护可能的误操作带来的安全隐患外,同时也降低了企业的维护成本。
很重要的是,在与某些企业CIO交流时,他们通常有这样的需求:企业高层的数据属于保密信息,不想被基层员工以电话、IM或者邮件等各种方式骚扰。
华为UC2.0解决方案能够解决企业高层的这些困扰,系统根据数据敏感级别分为两类:个人信息和公共信息,根据员工级别,可逐级设置相互间的个人信息、公共信息的细粒度的访问策略,可有效保护各级员工(尤其是高级别员工)的通讯录敏感数据泄露。第二点,用户本地的即时消息是加密保存的,另外针对用户发送的消息,系统还可以过滤消息里面的敏感词汇,比如武器、毒品等,并限制消息长度;同时针对传输文件,管理员可以定义其文件类型和大小,并能够支持传输过程中的加密,避免被截取泄露。
第三,企业统一通信系统中,存在很多管理相关数据,包括企业用户管理、企业网络与设备管理和用户自助管理等。众所周知,控制了管理权限和数据相当于控制了整个统一通信系统。华为UC2.0解决方案能全面支持安全管理协议,将系统划分为不同网段,使得业务数据和管理数据分开,使得管理数据在网络上传输是加密安全的,并对核心服务器重点保护。
华为UC2.0解决方案从终端、网络到服务器以及应用等层面,提供端到端的安全防护,并具有成熟的移动安全接入能力。针对每个企业用户,进行细颗粒度的行为管控,切实保护好企业敏感数据和关键资源。愿企业在基于安全的基础保障上,享受统一通信带来的高效便捷。
