黑客不再沉默:IP世界的语音安全
2008-02-23 06:42:34来源:互联网 阅读 ()
对于我们这些整天冥思苦想着如何保护机构免遭安全漏洞攻击的人来说,这一案例也让我们思考,如何加强防御来应对破坏性日趋严重的漏洞攻击(zero day exploit)。入侵者寻找之前不为人知的漏洞,藉此突破一个机构的防御系统,实施严重的破坏。一次成功的攻击可以瘫痪一个企业,造成业务中断,以及收入损失。
语音和数据的融合使这一问题更加复杂化。融合带来了更为智能的通信环境——员工、业务程序和客户可以在正确的时间连接到正确的人,但同时也要求对新的网络威胁进行高超的管理。迄今为止,大多数攻击都是针对数据网络实施的,但随着语音应用在 IP 网络上变得更具战略意义,它们同样也会成为攻击的对象,包括拒绝服务 (DoS)、应用层攻击、欺骗、trust exploitation 等等。 2005年7 月 14 日的《华尔街日报》报道说,一家厂商的 IP 语音通信软件存在重要缺陷,可以让黑客们取得控制权,并进而关闭语音系统,重新定向电话呼叫,窃听,或者访问运行该厂商电话软件的其他计算机。
不过也有好消息——所以不必惊慌。首先,市场上的 IP语音通信话平台并没有采用相同的架构。一个平台的弱点可能在另一个平台中就没有。此外,企业可以采用多道防线进行自我保护。现在,大多数通信厂商已经可以提供稳固的安全解决方案,并正在开发更多的解决方案。但企业必须首先意识到,在一个融合的世界里,安全不是简单的工作,不可能一劳永逸,也不可能依赖单层防御和和单一厂商的解决方案。行业本身也必须联合起来,提醒客户防范潜在危险,并开发新的安全解决方案来应对新出现的威胁。
建立安全防线的第一步是要知道能够做什么。下面是关于融合网络安全的一些关键原则,旨在确保语音应用的安全和保护企业通信的畅通。
在多厂商网络的每一级保护通信流。由于计算机攻击变得越来越复杂,如果只是在网络基础设施层进行保护,企业会发现,一旦黑客突破第一层防线,他们将处于不设防的状态。因此,企业还必须在应用层和统一接入层提供强大的安全性。企业内每个可能受攻击的脆弱点和应用程序都需要能够保护自己免受攻击。
以拒绝服务为例。如果入侵者进入网络,仅在网络基础设施层(例如路由器)提供保护会造成严重问题——实际上大多数攻击都是发生在网络基础设施之内。请记住这句古老的谚语:你最脆弱的环节决定了你的强壮程度。也有人这样说,一个水桶最短的那块木板决定了这个水桶的盛水量。
最好的策略是多层级的安全保护,即从网络基础设施、应用层、直到终端设备,在每一层都提供保护。另外,由于并购、遗留系统等因素,以及企业倾向于采用市场最好的产品和技术进行组合,大多数企业的网络都是多厂商的。因此,企业要确保在多厂商网络中也能做好多层级的安全保护。
简而言之,修复和加固网络基础设施是绝对必要的,但仅仅依靠基础设施来提供保护无异于在同命运开玩笑。新的威胁和攻击将层出不穷。企业应增加障碍的数量和类型,使攻击的难度大大增加。
采用开放式而不是专有解决方案。开放标准的主要优点在于,厂商和用户都能借助业界已经完成的技术来解决安全性问题,从而不断改进保护等级。同时,开放式方案更适合多厂商环境。只要新的技术和部件也符合行业标准,就可以拿来增加网络的安全。
在专有系统中,企业只能听信单个厂商对安全性的承诺,而厂商所声明的安全性并没有像开放系统那样经过严格的测试和认证,这样企业就会冒风险。在开放环境中,厂商需要符合专门的政府认证标准,必须经过测试以证明它们确实可以实现所宣称地安全性。开放标准可以让客户选择最佳、最成本有效的安全解决方案,从而最能满足他们的特定需求。那些囿于单一厂商专有安全系统的企业可能会发现,自己陷入了一种危险的境地,缺乏互通性,无法采用市场上最佳的解决方案。
由于一套完整的安全解决方案需要在接入层、业务应用层、以及网络基础设施层都要提供保护,因此开放标准对保护企业通信的安全性至关重要。机构内的每个脆弱点和应用程序都需要能够保护自己免受攻击,基于开放标准的多厂商网络策略在此方面表现最好。
信任那些采用整体性安全性策略并与产业界协作的厂商。安全意识出色的厂商会采用多角度和多侧面的方法提供安全产品和解决方案。他们不仅着眼于物理系统中的每个关键点,同时还重视系统生命周期内的所有重要阶段,并提供相应的方案。所以,企业一定要询问厂商采用的是什么方法,并评估它们是如何开发和提交安全产品与解决方案的。
例如,在 Avaya,产品安全性是从安全性“最佳实践”开始的。在我们的解决方案中,有一个内部安全性标准,它从产品规划开始,经过开发阶段,一直持续到产品发布。这包括一份多点检查清单,涵盖如系统加固、保密性和完整性等项目。一个解决方案中的所有单元都必须接受审验,甚至包括产品操作系统的选择。安全特性在解决方案中无处不在,而不是仅限于高端单元或仅限于特定功能。
媒体加密就是一例。Avaya不仅仅在高端单元和那些需要使用第三方附件的单元提供了媒体加密功能,也不仅仅为点到点呼叫才提供这些功能。试想,如果一层楼的每个电话都是系统上易受攻击的脆弱点,那么为什么只对主管的电话进行媒体加密呢?另外,企业还要清楚地了解厂商如何应对新的安全风险,例如是否会成立快速响应小组进行评估,与客户进行沟通以确定是否存在风险,并采取必要的措施应对风险。
有些厂商还提供能够增强融合网络安全性的关键服务。经验丰富的厂商可以对安全融合网络的初始规划提供帮助,对任务关键型 IP语音通信应用的可用性给予特别关注。在系统部署时,应确保所选择的厂商不仅拥有系统部署的专业技术,还要有帮助企业达到安全目标的能力。一旦网络投入运营,必须有专家进行安全监控。因此企业应选择具有相当支持水平的厂商,以满足业务需求。厂商应能够安全地对网络进行远程维护,并提供全面的管理服务,包括融合网络上安全功能的监控、故障根源分析以及功能恢复。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:没有摄象头 照样能骗MM视频聊天
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash