以前人们普遍喜欢利用电话来进行通信。但是,这个格局正在被慢慢的打破。现在无论是个人,还是企业,越来越喜欢采用IP电话,如通过Skype或者MSN进行语音通信。但是,有一个问题一直都被人们所忽视,就是网络语音通信的安全问题。其实,正如电话一样,网络IP电话也很容易被人窃听。而且,这也一直是不法分子窥探的目标之一。
所以,企业若想通过IP电话来降低自己的管理成本,那么为了交易的安全起见,在语音通信安全方面,还需要花费一点功夫。笔者企业已经有过半数的员工,采用Skype或者MSN进行语音通信。特别是销售部门,跟外国的客户进行沟通的时候,基本上都是采用Skype电话。为此,给企业节省了不少的电话费。不过,笔者在安全方面,也付出了不少的心血。
笔者在IP语音通信的安全方面,主要采取了如下的措施,或许可以给大家参考。
一、
若网络上的非法之徒,想窃听网络电话的话,除了现场录音之外,就是通过一些非法软件来实现的,如直接抓取网路传输层的语音数据等等。
所以,为了保障语音数据的安全,最好的方式之一就是把语音数据跟普通数据独立开来。为此,我们可以采用虚拟局域网技术,把语音流量与数据流量从逻辑上进行了区分。由于通过虚拟局域网技术,实现了这两种数据流量的分离,则非法攻击企业网络的黑客就无法看到语音流量。
笔者现在企业中就采用了这种技术。由于语音通信往往采用了特殊的协议或者端口,就可以根据协议或者端口实现虚拟局域网的划分。如此的话,语音流量与数据流量就在不同的局域网中传输,双方之间不能够相互干扰。黑客更加不能通过数据流量的局域网(如利用一些黑客工具)来抓取语音流量的局域网中的数据。所以,利用虚拟局域网(Vlan)技术可以比较完美的保护语音电话的安全性。
二、提高应用软件本身的安全
网络语音通信很多都是依靠一定的软件实现的。所以,若要提高语音通信的安全性,那么增强这些软件本身的安全也是其中一项重要的工作。从而降低这些软件本身受到攻击的概率。一般来说,我们可以从如下几个方面,提高语音通信软件的安全性。
一是给操作系统打上最新的补丁。一般来说,黑客若想攻击语音通信软件,往往需要先利用操作系统的漏洞,才能够实现。若操作系统安全了,那么也可以在一定程度上保障语音软件的安全。所以,作为企业信息安全管理人员,要养成及时给操作系统打补丁的习惯。这不仅是语音通信安全所需要的,也是防止其他方面的攻击所必需的。
二是对信令协议进行加密处理。这跟文件传输的原理类似。若黑客通过网络窃窥企业数据的话,则只需要对传输中的文件进行加密即可。如此的话,就可以有效的防止数据的泄漏。因为即使他们获取了这些数据,但是由于采用了加密处理,则他们看到的也是一堆乱码。所以,对于语音通信来说,我们也可以通过对信令协议进行加密,以保障这些信息的安全性。
三、注意共享语音的安全
在很多场合,企业需要对一些语音进行共享。如在视频会议上,就需要对语音进行共享,以方便参与会与的所有员工都可以即时的听到谈话的内容。但是,这毕竟跟现场开会不一样。非法之徒会采用各种方法,来伪造一个合法的身份来参与会议,从而窃听相关的会议内容。
如有些人会事先取得某个员工的帐号与密码。等到开会的时候,采用一些极端的手段,让其断网或者连接不上网络视频会议服务器。然后,他就可以凭这个用户的帐号与密码连接到网络视频会议系统,以一个“合法用户”的身份参与到视频会议中来。 在网络视频会议中,由于都是凭着帐户来识别用户的身份,所以,遇到这种情况的话,他人也没有办法识别用户的身份是否合法。故在多人语音通信的时候,就需要提高帐户本身的安全性。
一方面,作为用户来说,平时需要提高安全意识。对于不同的应用,如视频会议与操作系统,不要采用同一个帐户或者密码。这可以有效的防止因为某个帐户或者密码泄露,而造成一系列的连锁反应。
二是在技术上,也可以采用一定的措施。如可以结合帐号与IP地址一起认证的策略。如此的话,至少只有企业自身的IP地址可以连接到视频会议。而非法用户若采用其他的IP地址就无法连接到视频会议系统。如此的话,非法用户除非有这个能力把企业的整个网络都弄崩溃了,否则的话,他即使取得了帐户,也连接不上视频会议系统。笔者企业有时候各个分公司的高层领导需要开视频网络会议。由于一般他们都是在自己办公室中开,故笔者在视频会议系统中,除了需要认证他们的用户名与密码之外,还需要对他们的IP地址进行认证。若用户所采用的IP地址不是允许的IP地址的话,则这个连接会被拒绝。
视频会议系统是网络语音电话的主要应用之一。由于其语音通信往往涉及到多方,而且往往都分散在各地。所以,要保护其语音通信的安全,则更加困难。
对于这些分散在各地的用户,如何保障其语音通信的安全呢?笔者所采用的做法就是通过VPN技术来提高其安全性。因为VPN技术提供另一个专有的隧道供其进行通信,而且,还可以对语音数据进行加密,所以,可以从很大程度上保障其通信的安全。笔者企业由于每个月都要进行一到两次大规模的视频会议,所以,公司自己部属了一个视频会议系统。各地的办事处与分公司,都是通过VPN连接到公司的视频会议系统。如此的话,可以最大限度的保障视频会议的安全性。而且,其稳定性也有一个质的改善。
所以,对于不同地点之间,特别似乎各个办事处之间进行网络视频会议的时候,笔者还是建议企业部属VPN服务器。如此的话,可以为各地办事处之间提供一个可靠的、安全的网络连接。这不但可以给语音传输提供一个安全的环境,而且还可以给其他的网络应用,如文件服务器访问等等提供方便、迅速的渠道。
五、做好拒绝服务攻击的防护
一般非法之徒要攻击企业的语音通信之前(攻击其他服务也一样),往往需要进行一个必要的步骤,就是拒绝服务攻击。通过拒绝服务攻击,让某些合法的用户下线。然后,他们才有进攻的机会。凭借这一短短的时间,黑客就可以达到他们非法的目的。如取得一个具有一定权限的用户、种木马等等具有潜在破坏性的动作。
所以,在保障语音通信的安全的同时,需要做好拒绝服务攻击。笔者现在企业是通过一个路由器模块,来防止拒绝服务攻击的。 通过以上的安全措施,虽然不能够百分之百的杜绝语音通信的安全事故。但是,却可以把语音通信提高到一定的水平。