统一通信（UC）的安全兼容要注意

统一通信，也就是我们常说的UC平台。在部署的时候我们应该注意一些什么呢?尤其以安全为重，在以往的部署案例中，很多企业都抱怨不能和本身的安全系统相互融合，这个问题应该怎么解决呢?

　　部署统一通信(UC)目前仍缺乏严密的安全保障，企业的安全系统无法识别内部威胁是最大的隐患。

　　“我认为人们普遍没有意识到统一通信(UC)和IP语音(VoIP)安全的必要性，”有安全专家曾这样说。“人们主要关注在节约成本，直到遇到了问题，才开始重视安全。”

　　企业已经开始认识到统一通信(UC)某些方面安全的必要，例如即时通信(IM)。也有一些厂商开始销售即时通信(IM)安全设备，而且卖得很火。然而，在许多组织中，他们的统一通信(UC)系统中的核心部分，像VoIP，仍然十分容易遭受攻击和入侵。

　　“在你考虑用VoIP之前，必须从根本上确保你所使用网络的安全，”安全专家说。“你需要认真研究你的VoIP配置。如果有任何安全通信的需要，就应该对 VoIP进行加密。”

　　Nemertes Research的首席分析师表示，许多企业在真正应该重视统一通信(UC)内部威胁的时候，他们却把精力放在阻止外部威胁。

　　“现在我们的感觉是，当我们与企业谈到语音安全的时候，他们所担心的是底层网络，”Nemertes Research的首席分析师说。“他们担心拒绝服务攻击，担心服务器攻击等，但是他们不考虑或关心内部威胁。”

　　Nemertes Research的首席分析师说，一般而言，大约有70%的网络攻击来自内部，但企业总是不愿意把重点放在保护自己免受内部威胁。他们在防火墙和其他技术上花费数百万美元来阻止周边外围的威胁，外部威胁反而变得越来越难以控制。

　　Nemertes Research的首席分析师提供了一些基本的确保统一通信(UC)安全的最优方法：

　　◆确保你安装了现有所有的安全补丁。

　　◆使用如Sipera Systems和VoIPShield等公司提供的测试工具来扫描漏洞。

　　◆遵守诸如VoIP安全联盟之类公共机构制定的安全标准或协议。

　　◆把进行风险评估作为部署统一通信(UC)的一部分。

　　“我们认为安全很早就应该和统一通信(UC)紧密地联系在一起，”Nemertes Research的首席分析师说。“不过，我仍然没有感觉到人们在这方面有足够的认识。上一次，就是我们在2007年中期的一次调查研究，不到1%的公司告诉我们，他们曾遭受过对他们语音系统的攻击。”

　　但他表示，公司开始更加清楚地知道统一通信(UC)其中的一部分，统一消息安全的必要性。

　　“公司担心语音邮件向组织外部传播，”Nemertes Research的首席分析师说。“所以，如果我开始以一个.wav格式的文件作为附件给你发一封语音邮件，这是一个敏感的语音信息可以发到外部网络或重新发送，使其听起来就像我说过一句话，实际上我并没有说。我们看到了一些公司用统一消息的实例。当时负责公司系统安全方面的人回来说，‘你应该三个月之前就把这些告诉我们，那时我们将会告诉你我们不能做，因为我们不能冒险把语音邮件泄露到公司外部。’所以他们暂停了统一消息的部署。”

　　统一通信(UC)的另一个严重漏洞是内部人员可以进行VoIP窃听。

　　“VoIP窃听是一个为人熟知的攻击，”统一通信(UC)安全厂商Sipera Systems的主管说。“这个攻击基本上是人为的攻击，把欺骗性的ARP数据包注入到网络中。”

　　通过ARP数据包欺骗入侵到局域网(LAN)中，再诱骗受攻击者的电脑网络重定向语音数据包，那么攻击者就可以顺利地记录谈话内容了。

　　“人们认为他们把信息直接发送到了对方，但是电脑上的漏洞在暗中运行，默默地截取，交接和转发信息给不知情的用户。”统一通信(UC)安全厂商Sipera Systems的主管说。

　　在这样的情况下，一个不满的员工很很容易地拦截CEO和董事长或财务总监和人力资源之间的手机通话。这些易受攻击的漏洞存在到今天，那么这个行业必然将会遭受一次重大的事故或调整。

　　“人们说语音窃听被夸大了，”统一通信(UC)安全厂商Sipera Systems的主管说。“我认为这是真实的，并没有夸张，只是需要教育和宣传。它能够真正地发生，而且大多数组织没有用保护系统进行适当地检测漏洞程序何时运行，也没有采取措施避免遭受攻击。”

　　考虑到这一点，统一通信(UC)安全厂商Sipera Systems的主管开发了一个叫UCSniff的测试工具，它可以显示出VoIP网络中的漏洞。他设计的应用程序把VoIP窃听技术和公司的人名地址薄联系到一起，这样这个工具就可以定位到组织内部中明确的用户和分机上面。这个工具不仅可以评估、测试和显示企业现有统一通信(UC)系统的漏洞，而且还可以在统一通信(UC)系统设计和部署阶段进行评估测试。

　　所以，在考虑部署统一通信(UC)之前，不仅要想到需要进行可行性分析，投资回报率(ROI)分析，制定统一通信(UC)策略等，还要考虑到系统的安全性，做好全面地安全分析和测试。