簡述統(tǒng)一通信系統(tǒng)安全

統(tǒng)一通信是個熱門話題，很多網(wǎng)民對此有所不理解，其實說白了統(tǒng)一通信是把計算機技術(shù)與傳統(tǒng)通信技術(shù)融合一體的新通信模式，既融合計算機網(wǎng)絡(luò)與傳統(tǒng)通信網(wǎng)絡(luò)在一個網(wǎng)絡(luò)平臺上，實現(xiàn)電話、傳真、數(shù)據(jù)傳輸、音視頻會議、呼叫中心、即時通信等眾多應(yīng)用服務(wù)。而在融合通信中，網(wǎng)絡(luò)電話（VoIP）是其中的重點。因此也叫“三網(wǎng)融合”。

開放性和普遍性固然使IP網(wǎng)絡(luò)成為強大的業(yè)務(wù)工具，但也同時為它帶來了巨大的安全隱患。在將合法用戶接入網(wǎng)絡(luò)的端口和門戶時，網(wǎng)絡(luò)黑客和那些為了個人利益或出于惡意而企圖侵占網(wǎng)絡(luò)資源的攻擊者也同時乘虛而入。攻擊者可以通過使用IP地址欺騙、拒絕服務(wù)（DoS）攻擊、后門入口等工具和技術(shù)入侵網(wǎng)絡(luò)，達(dá)到破壞服務(wù)、盜用服務(wù)和竊取機密信息等目的。

OpenScape是第一款真正的統(tǒng)一通信門戶，也是微軟“覬覦”通信市場的第一個信號——在2003年OpenScape首次推出時，微軟是西門子的主要合作伙伴。毫無疑問，西門子是通信業(yè)界第一家強勢進入基于軟件的通信系統(tǒng)的廠商。接下來的數(shù)年里，西門子不斷拓展OpenScape的產(chǎn)品線，極大地豐富了它的統(tǒng)一通信產(chǎn)品范圍。

毋寧質(zhì)疑，我們在搭建安全可靠的端對端網(wǎng)絡(luò)方面，如何為業(yè)務(wù)提供商和企業(yè)的這些系統(tǒng)提供安全保護，是一個必須面對的問題。

一、為IP電話和多媒體系統(tǒng)提供安全保護

為了應(yīng)對這些攻擊，我們采用那些在通信服務(wù)器或企業(yè)通信管理器產(chǎn)品系列開發(fā)出相應(yīng)的IP電話解決方案，以滿足業(yè)務(wù)提供商在運行、可靠性和性能方面的嚴(yán)格要求，并服務(wù)于個人和企業(yè)用戶、小型企業(yè)、政府機構(gòu)和那些為最終用戶提供服務(wù)的企業(yè)。

這些IP電話解決方案還能得到進一步增強，以便通通信服務(wù)器的支持，提供融合多媒體解決方案，包括實時視頻、安全即時消息、應(yīng)用共享、白板和在線狀態(tài)等，它們既可以是專用解決方案也可以是托管解決方案。新興的融合多媒體解決方案正成為提高企業(yè)生產(chǎn)力的基本工具，同時還能提升個人和企業(yè)用戶的通信體驗。

在保護多媒體服務(wù)器、應(yīng)用服務(wù)器和網(wǎng)關(guān)設(shè)備方面，在產(chǎn)品研發(fā)及實施階段遵循多個原則，以確保IP電話和多媒體通信系統(tǒng)的完整性以及用戶信息的保密性。這些原則包括：

◆多媒體安全解決方案必須符合網(wǎng)絡(luò)操作者的安全策略，不論該操作者是某個企業(yè)的IT組織還是一個業(yè)務(wù)提供商。

◆必須在數(shù)據(jù)層面為IP網(wǎng)絡(luò)提供安全保護，并且所采用的任何安全機制必須能夠在如下環(huán)境內(nèi)運行：具有嚴(yán)格的VoIP和多媒體實時性能要求，以及極高的時延/抖動（端到端小于150毫秒）和丟包率（接近0%）要求。

◆業(yè)務(wù)關(guān)鍵型通信服務(wù)器以及相關(guān)的信令和控制系統(tǒng)必須具備物理安全性，并得到保護以防范內(nèi)外攻擊。

◆力求在不同設(shè)備上以及有線和無線接入模式下實現(xiàn)的易用性和一致的用戶體驗也必須得到實現(xiàn)，并且必須對各種認(rèn)證方式和加密技術(shù)透明。

◆所有多媒體產(chǎn)品對各種標(biāo)準(zhǔn)的支持將確保能夠滿足業(yè)務(wù)提供商和企業(yè)在功能和互通性方面的要求。

◆必須在整個多媒體環(huán)境中采用一種整體的安全方法，以便實現(xiàn)業(yè)務(wù)提供商之間、企業(yè)之間、公網(wǎng)和專網(wǎng)之間的互通。

企業(yè)所采取的IP電話和多媒體系統(tǒng)保護戰(zhàn)略，要采用一種例如分層安全防護方法，它是網(wǎng)絡(luò)安全體系結(jié)構(gòu)遵循的一個重要原則。確保多媒體系統(tǒng)和網(wǎng)絡(luò)安全的分層防護方法能夠避免網(wǎng)絡(luò)上的任何單點故障。通過在網(wǎng)絡(luò)的多個區(qū)域采用多種強制安全策略的方法可以實現(xiàn)分層防護，而且還可利用符合標(biāo)準(zhǔn)的解決方案對其提供支持。這種方法與傳統(tǒng)的IT方法不同，后者主要通過防火墻為網(wǎng)絡(luò)邊界提供保護。

除了將最佳實踐應(yīng)用于保護整個IP網(wǎng)絡(luò)外，我們的VoIP和多媒體解決方案還在分層體系結(jié)構(gòu)中提供具體的多媒體安全功能，包括設(shè)備級安全、邊界保護、端點的策略符合性和網(wǎng)絡(luò)級保護、以及應(yīng)用級安全。

二、設(shè)備級安全

在設(shè)備級，負(fù)責(zé)提供統(tǒng)一消息、呼叫中心和CTI業(yè)務(wù)我們的IP電話服務(wù)器、多媒體服務(wù)器和應(yīng)用服務(wù)器要能將將管理功能與業(yè)務(wù)功能分開、嚴(yán)格的訪問控制、以及用戶認(rèn)證、授權(quán)和計費。

同時我們的方案最好在不同的語音、多媒體和應(yīng)用服務(wù)器中采用些基本的安全方法，以確保關(guān)閉所有任何可能被攻擊者利用的后門程序。例如：

◆關(guān)閉不用的端口（如用于控制臺或遠(yuǎn)程調(diào)制解調(diào)器訪問的端口）；

◆只允許使用經(jīng)過授權(quán)的應(yīng)用軟件；

◆支持針對操作人員設(shè)置多級權(quán)限（如監(jiān)視、配置和控制權(quán)限）；

◆安全地保存用戶密碼；

◆對密碼格式和管理變更進行嚴(yán)格控制；

◆可使用VPN路由器對管理業(yè)務(wù)（如計費信息）進行加密，即使這些信息只在內(nèi)部傳輸。