統(tǒng)一通信，也就是我們常說的UC平臺(tái)。在部署的時(shí)候我們應(yīng)該注意一些什么呢?尤其以安全為重，在以往的部署案例中，很多企業(yè)都抱怨不能和本身的安全系統(tǒng)相互融合，這個(gè)問題應(yīng)該怎么解決呢?

　　部署統(tǒng)一通信(UC)目前仍缺乏嚴(yán)密的安全保障，企業(yè)的安全系統(tǒng)無法識(shí)別內(nèi)部威脅是最大的隱患。

　　“我認(rèn)為人們普遍沒有意識(shí)到統(tǒng)一通信(UC)和IP語音(VoIP)安全的必要性，”有安全專家曾這樣說。“人們主要關(guān)注在節(jié)約成本，直到遇到了問題，才開始重視安全。”

　　企業(yè)已經(jīng)開始認(rèn)識(shí)到統(tǒng)一通信(UC)某些方面安全的必要，例如即時(shí)通信(IM)。也有一些廠商開始銷售即時(shí)通信(IM)安全設(shè)備，而且賣得很火。然而，在許多組織中，他們的統(tǒng)一通信(UC)系統(tǒng)中的核心部分，像VoIP，仍然十分容易遭受攻擊和入侵。

　　“在你考慮用VoIP之前，必須從根本上確保你所使用網(wǎng)絡(luò)的安全，”安全專家說。“你需要認(rèn)真研究你的VoIP配置。如果有任何安全通信的需要，就應(yīng)該對(duì) VoIP進(jìn)行加密。”

　　Nemertes Research的首席分析師表示，許多企業(yè)在真正應(yīng)該重視統(tǒng)一通信(UC)內(nèi)部威脅的時(shí)候，他們卻把精力放在阻止外部威脅。

　　“現(xiàn)在我們的感覺是，當(dāng)我們與企業(yè)談到語音安全的時(shí)候，他們所擔(dān)心的是底層網(wǎng)絡(luò)，”Nemertes Research的首席分析師說。“他們擔(dān)心拒絕服務(wù)攻擊，擔(dān)心服務(wù)器攻擊等，但是他們不考慮或關(guān)心內(nèi)部威脅。”

　　Nemertes Research的首席分析師說，一般而言，大約有70%的網(wǎng)絡(luò)攻擊來自內(nèi)部，但企業(yè)總是不愿意把重點(diǎn)放在保護(hù)自己免受內(nèi)部威脅。他們?cè)诜阑饓推渌夹g(shù)上花費(fèi)數(shù)百萬美元來阻止周邊外圍的威脅，外部威脅反而變得越來越難以控制。

　　Nemertes Research的首席分析師提供了一些基本的確保統(tǒng)一通信(UC)安全的最優(yōu)方法：

　　◆確保你安裝了現(xiàn)有所有的安全補(bǔ)丁。

　　◆使用如Sipera Systems和VoIPShield等公司提供的測(cè)試工具來掃描漏洞。

　　◆遵守諸如VoIP安全聯(lián)盟之類公共機(jī)構(gòu)制定的安全標(biāo)準(zhǔn)或協(xié)議。

　　◆把進(jìn)行風(fēng)險(xiǎn)評(píng)估作為部署統(tǒng)一通信(UC)的一部分。

　　“我們認(rèn)為安全很早就應(yīng)該和統(tǒng)一通信(UC)緊密地聯(lián)系在一起，”Nemertes Research的首席分析師說。“不過，我仍然沒有感覺到人們?cè)谶@方面有足夠的認(rèn)識(shí)。上一次，就是我們?cè)?007年中期的一次調(diào)查研究，不到1%的公司告訴我們，他們?cè)馐苓^對(duì)他們語音系統(tǒng)的攻擊。”

　　但他表示，公司開始更加清楚地知道統(tǒng)一通信(UC)其中的一部分，統(tǒng)一消息安全的必要性。

　　“公司擔(dān)心語音郵件向組織外部傳播，”Nemertes Research的首席分析師說。“所以，如果我開始以一個(gè).wav格式的文件作為附件給你發(fā)一封語音郵件，這是一個(gè)敏感的語音信息可以發(fā)到外部網(wǎng)絡(luò)或重新發(fā)送，使其聽起來就像我說過一句話，實(shí)際上我并沒有說。我們看到了一些公司用統(tǒng)一消息的實(shí)例。當(dāng)時(shí)負(fù)責(zé)公司系統(tǒng)安全方面的人回來說，‘你應(yīng)該三個(gè)月之前就把這些告訴我們，那時(shí)我們將會(huì)告訴你我們不能做，因?yàn)槲覀儾荒苊半U(xiǎn)把語音郵件泄露到公司外部。’所以他們暫停了統(tǒng)一消息的部署。”

　　統(tǒng)一通信(UC)的另一個(gè)嚴(yán)重漏洞是內(nèi)部人員可以進(jìn)行VoIP竊聽。

　　“VoIP竊聽是一個(gè)為人熟知的攻擊，”統(tǒng)一通信(UC)安全廠商Sipera Systems的主管說。“這個(gè)攻擊基本上是人為的攻擊，把欺騙性的ARP數(shù)據(jù)包注入到網(wǎng)絡(luò)中。”

　　通過ARP數(shù)據(jù)包欺騙入侵到局域網(wǎng)(LAN)中，再誘騙受攻擊者的電腦網(wǎng)絡(luò)重定向語音數(shù)據(jù)包，那么攻擊者就可以順利地記錄談話內(nèi)容了。

　　“人們認(rèn)為他們把信息直接發(fā)送到了對(duì)方，但是電腦上的漏洞在暗中運(yùn)行，默默地截取，交接和轉(zhuǎn)發(fā)信息給不知情的用戶。”統(tǒng)一通信(UC)安全廠商Sipera Systems的主管說。

　　在這樣的情況下，一個(gè)不滿的員工很很容易地?cái)r截CEO和董事長或財(cái)務(wù)總監(jiān)和人力資源之間的手機(jī)通話。這些易受攻擊的漏洞存在到今天，那么這個(gè)行業(yè)必然將會(huì)遭受一次重大的事故或調(diào)整。

　　“人們說語音竊聽被夸大了，”統(tǒng)一通信(UC)安全廠商Sipera Systems的主管說。“我認(rèn)為這是真實(shí)的，并沒有夸張，只是需要教育和宣傳。它能夠真正地發(fā)生，而且大多數(shù)組織沒有用保護(hù)系統(tǒng)進(jìn)行適當(dāng)?shù)貦z測(cè)漏洞程序何時(shí)運(yùn)行，也沒有采取措施避免遭受攻擊。”

　　考慮到這一點(diǎn)，統(tǒng)一通信(UC)安全廠商Sipera Systems的主管開發(fā)了一個(gè)叫UCSniff的測(cè)試工具，它可以顯示出VoIP網(wǎng)絡(luò)中的漏洞。他設(shè)計(jì)的應(yīng)用程序把VoIP竊聽技術(shù)和公司的人名地址薄聯(lián)系到一起，這樣這個(gè)工具就可以定位到組織內(nèi)部中明確的用戶和分機(jī)上面。這個(gè)工具不僅可以評(píng)估、測(cè)試和顯示企業(yè)現(xiàn)有統(tǒng)一通信(UC)系統(tǒng)的漏洞，而且還可以在統(tǒng)一通信(UC)系統(tǒng)設(shè)計(jì)和部署階段進(jìn)行評(píng)估測(cè)試。

　　所以，在考慮部署統(tǒng)一通信(UC)之前，不僅要想到需要進(jìn)行可行性分析，投資回報(bào)率(ROI)分析，制定統(tǒng)一通信(UC)策略等，還要考慮到系統(tǒng)的安全性，做好全面地安全分析和測(cè)試。