近年来,VoIP技术与应用以部署便捷、成本低廉等突出优势迅速风靡个人通信和企业通信市场,成为增长最迅猛的网络与通讯技术之一。但与此同时,由于VoIP语音流量是通过公用Internet进行传输的,因此与基于封闭电路交换技术的传统PSTN电话网络相比,VoIP存在着诸多显而易见的安全隐患,这无疑会让不少VoIP用户、尤其是看重信息与通讯安全的企 业VoIP用户感到不安。而近来频频发生的针对VoIP系统的攻击事件也在不断敲响着VoIP安全的警钟。
谁在制造危机
从理论上讲,VoIP系统至少像其他数据应用一样易于受到攻击的威胁。罗列潜在威胁的清单长得惊人———包括DoS攻击、病毒、蠕虫、特洛伊木马、数据包嗅探、垃圾邮件和网络钓鱼。
但是,很多业内专家仍认为VoIP与传统语音通信系统一样安全。的确,如果单从技术角度讲,VoIP就是将语音通过数据包的方式来传输,它并不会比现有的数据网络更不安全。然而这一市场巨大的含金量,却注定让它像藏在身上的巨款一样,无论怎么包裹,总会让人感到忐忑不安。
VoIP潜在的弱点是容易受制于黑客攻击,就像电子邮件一样,VoIP通话靠确认通话双方所用设备的IP地址连线,但许多VoIP企业在扩大服务之余,却未妥善落实一些基本的安全措施,例如把通话信息加密处理,造成个人和企业VoIP用户隐私的泄漏,特别是对于企业VoIP用户,这样的安全威胁几乎是致命的。
企业应用扩大安全隐患
尽管VoIP在中国最早的应用还是在运营商中做电路交换的补充,但现在已经有很多企业用户已经开始关注起VoIP这一应用。对于新兴的小型办公企业,利用新建的数据网络的充裕带宽来承载语音,要比再建一套独立的话音系统方便许多,功能上也具备了诸如移动办公等传统话音交换机所不具备的功能。对于行业用户,因为有连接各个分支节点的数据网络,利用IP中继进行总部和分支节点间的互联可以省去租用长途电路中继的高昂费用。因此,VoIP技术在企业级用户群体中将会有广阔的应用。
但是,在实施项目或者在使用过程中,用户和设备供应厂家更多的会将精力放在如何改善话音质量和同现有数据网络的融合上面,很少考虑到VoIP所存在的安全隐患。因此在规模应用过程中很容易发生窃听、账号盗用,导致公司机密泄漏。
寻找解决之道
鉴于所有这些潜在的威胁和安全漏洞,VoIP用户会不会很快发现自己面临服务中断和窃听的困扰?到目前为止,还没有出现针对企业VoIP系统的破坏性极大的大规模攻击。
Juniper高级系统工程师王卫认为,之所以目前VoIP还没有任何关于大规模网络攻击或安全系统遭破坏的报道,究其原因,很大程度上是因为VoIP本身尚未成熟,比如大量的非标准化和互操作性问题,这些问题一方面给VoIP的部署应用带来了巨大的麻烦,但另一方面,也给黑客的攻击造成了很大的障碍。但这并不意味着这种安全感状况会一直延续。
目前,包括Verizon、AT&T公司在内的美国各大运营商已相继开始提供VoIP安全评估服务,Sprint通讯公司也通过朗讯公司的全球专业服务部门开始向其用户提供这类服务。多数较新的企业VoIP解决方案也采用了封闭系统,在这种系统中,分组语音只在LAN上传送,并且大多数外部传输流经过网关在PSTN上传送。
王卫表示:通常VoIP系统的安全评估需要花数10万美元,约占VoIP系统部署成本的10%。如果“亡羊补牢”,成本会更高,因此网络管理人员应该在规划VoIP网络时提前考虑安全问题,做好安全评估,制定出高效的安全策略。