CTI论坛: 网络世界：谁在虚构VOIP安全威胁

	首页　新闻　文摘　行业　产品　技术　厂商　标准　 BBS　导航　搜索
呼叫中心 \| CRM \| 统一通信 \| 企业通信 \| VoIP \| 视像通讯 \| 语音应用 \| 热点专题

首页>>>技术>>>VoIP

网络世界：谁在虚构VOIP安全威胁

2005/08/17

　　IT经理不应当认为由于他们的数据网络得到了保护，所以向他们的系统添加语音也是安全的。

　　想象一下这样的情景：入侵者神不知鬼不觉地进入你的VoIP网络，开始监视他所选择的任何谈话，提取敏感信息、公司秘密、甚至包括可用于敲诈CEO的详细资料。

　　上个月，ISS(Internet Security Systems)公司发出警告，提醒用户注意Cisco的VoIP产品存在一个有可能发生上述情景的安全漏洞。据该公司说，Cisco的负责处理呼叫信令和路由的Call Manager中存在的这个漏洞可能造成缓冲区溢出，使入侵者可以接入系统监听通过系统传送的所有呼叫。

　　成长的痛苦

　　ISS的X-Force研发部团队负责人Neel Mehta说：“VoIP在安全性问题上将遭遇成长的痛苦。这仍是一种新出现的威胁，而且是我们需要认真对待的威胁。”

　　这类厂商(包括BorderWare、Secure Logix和NFR)敦促使用专用防火墙这样的安全设备。这类防火墙专门设计用于过滤VoIP传输流，查找可疑的模式并切断这些连接。

　　但是，找到一家受到VoIP滥用者(无论他们是利用多余的消息阻塞语音邮件信箱的垃圾邮件制造者，监听电话谈话的入侵者还是隐藏自己真实身份的诈骗者)伤害的公司还有些困难。到目前为止，威胁还主要是假设的威胁。

　　Burton Group高级分析师Irwin Lazar说：“我认为现在还没有真正的威胁。VoIP仍是相当封闭的系统，几乎没有一家公司将自己的VoIP系统向Internet开放。”不过，他说，一旦这种情况发生变化，公司开始在名片和网站上公布他们在VoIP通信中使用的SIP地址，VoIP安全将变得至关重要。

　　去年，VoIP管理厂商Qovia宣布说，它申请了一项涉及捕获VoIP垃圾邮件技术的专利。VoIP垃圾邮件被认为是VoIP网络面临的较直接的威胁之一。Qovia营销副总裁Pierce Reid说，公司曾计划去年推出这种垃圾邮件捕捉模块，但由于市场缺少兴趣而一直没有做这件事。

　　热门话题

　　不过，Reid说对这类产品的兴趣开始升温，安全问题现在是有关VoIP活动上的热门话题。Reid说：“我们去年想做的部分工作是帮助人们及时提高安全意识，在受到VoIP威胁袭击前保护自己。”该公司计划今年年底推出反垃圾邮件产品。

　　北卡罗莱纳州Jacksonville市高级IT专家Bobby Parrish说，市政当局大约3年前安装Cisco的VoIP设备时，将注意力放在了减少费用上，安全性不是主要担心的问题。但是，他的部门采取了一些措施保护语音网络，例如将语音网络与数据网络隔离，为电话提供物理安全措施。

　　尽管Jacksonville市的VoIP网络没有遇到任何安全违规事件，但Parrish认为他的部门也许运气不错，并且相信这种运气不会永远存在下去。他说：“我还没有看到恐怖的一面，不过我还没有天真到认为这种事情不会发生的程度。”当Qovia的反VoIP垃圾邮件产品发布时，Jacksonville将评估这种产品。

　　我们有一些充分的理由不能忽视VoIP面临的潜在威胁，甚至在它们还没有成为广泛存在的事实前。首先，鉴于病毒、垃圾邮件和网页欺诈等滥用在另一些基于IP的通信系统(特别是电子邮件)泛滥成灾的事实，不难想象类似的威胁也会进入VoIP。第二，如果这些理论上的威胁进入企业，它们会造成严重的破坏。

　　小心慢走

　　加州Santa Rosa市Exchange Bank信息安全官Bob Gligorea说：“我认为人们不应当部署VoIP，除非他们采取了必需的安全措施。”这家社区银行目前正在安装新的网络硬件，包括ISS安全设备，这样他可以在明年迁移到VoIP上。他说：“我没有听说过发生了这类滥用，但是我会想到为获得竞争优势而偷听，这种事会非常糟。”

　　那么，企业应当对这些威胁做些什么呢？今年年初，美国政府提出了一些建议。1月份，商务部下属国家标准与技术局发表了一份评估VoIP安全的报告，指出IT经理不应当认为由于他们的数据网络得到了保护，所以向他们的系统添加语音也是安全的。这份报告说，“管理人员可能错误地认为由于数字化语音通过数据包传送，因此他们可以简单地将VoIP组件插入到他们已经得到保护的网络中，然后就高枕无忧。但是，这个过程没有那么简单。”

　　报告建议采用目前流行的隔离语音与数据传输流的措施，使用可以检测VoIP协议的防火墙这样的安全产品，以及避免通过使用PC和耳机来实现VoIP的“软电话”，从而使网络免于受到病毒和其他恶意软件的攻击。

　　SurfControl公司全球威胁分析与研究副总裁Susan Larson说，除了安装可以清除可疑VoIP传输流的特殊产品外，公司还应当考虑自己的VoIP网络如何在总体安全努力中发挥作用。随着Skype(一种使PC用户可在Internet上打电话的免费对等程序—因而建立与外部世界的没有保护的连接)这类应用程序的日益流行，公司必须考虑自己的雇员可能下载什么。Larson说，SurfControl的产品可以阻止从这类站点进行下载，并在带有指向这些网站的嵌入URL的电子邮件进入企业前捕获它们。

网络世界(cnw.ccw.com.cn)

【发表评论】

　　·2009中国呼叫中心及企业通信大会　[2009年4月14-15日北京] 个人参会费用（注：免费/收费）
　　·《2008中国呼叫中心产业发展研究报告》　　　免费下载简本　
　　·招聘： FDS Voxeo中国亿迅（中国）拓敏信息易谷网络盈联信息

　　·最新资料:《企业呼叫中心建设指南》《企业通信案例及方案大全》
　　·免费索取:《多媒体交换机资料》　　技术前沿资料：《IP、无线和视频方案》

　　·以OKI CTstage为平台的外包型呼叫中心系统建设
　　·新太科技企业呼叫中心解决方案
　　·三友亚星实施上海市质监督局12365热线

　　

企业会员

	震有科技	中科讯博	华瑞中鹏
	井星科技	Voxeo	FDS
加入办法 ->

CTI论坛推荐

	·鼎晟DS-iTouch联络中心
	·新太科技企业呼叫中心解决方案
	·上海维卡推出VN系列电话语音卡
	·CTstage 5i客户联络中心-适用大规模分散网点
	·三友亚星:上海红孩子电话营销和客服系统
	·什么是IP分布式呼叫中心
	·语音合成：InterPhonic 5.5在线演示系统
	·东进技术:Seegoe Enterprise/Office呼叫中心

\|业界新闻\|论坛文摘\|行业应用\|产品展示\|技术天地\|厂商汇总\|免责声明\|咨询服务\|公司简介\|联系方法\|广告服务\|企业会员\|
	编辑投稿信箱　　　　　　如何查找厂商联系方法
	电话：010-82012787,82079677 　传真：010-62041062
	呼叫中心建设及运营管理咨询服务：优胜资讯（010）87768798 87768726