以前人们普遍喜欢利用电话来进行通信。但是,这个格局正在被慢慢的打破。现在无论是个人,还是企业,越来越喜欢采用IP电话,如通过Skype或者MSN进行语音通信。但是,有一个问题一直都被人们所忽视,就是网络语音通信的安全问题。其实,正如电话一样,网络IP电话也很容易被人窃听。而且,这也一直是不法分子窥探的目标之一。
所以,企业若想通过IP电话来降低自己的管理成本,那么为了交易的安全起见,在语音通信安全方面,还需要花费一点功夫。笔者企业已经有过半数的员工,采用Skype或者MSN进行语音通信。特别是销售部门,跟外国的客户进行沟通的时候,基本上都是采用Skype电话。为此,给企业节省了不少的电话费。不过,笔者在安全方面,也付出了不少的心血。
笔者在IP语音通信的安全方面,主要采取了如下的措施。大家若觉得不错,或许可以参考参考。
一、利用Vlan技术将语音数据与普通数据分开
若网络上的非法之徒,想窃听网络电话的话,除了现场录音之外,就是通过一些非法软件来实现的,如直接抓取网路传输层的语音数据等等。
所以,为了保障语音数据的安全,最好的方式之一就是把语音数据跟普通数据独立开来。为此,我们可以采用虚拟局域网技术,把语音流量与数据流量从逻辑上进行了区分。由于通过虚拟局域网技术,实现了这两种数据流量的分离,则非法攻击企业网络的黑客就无法看到语音流量。
笔者现在企业中就采用了这种技术。由于语音通信往往采用了特殊的协议或者端口,就可以根据协议或者端口实现虚拟局域网的划分。如此的话,语音流量与数据流量就在不同的局域网中传输,双方之间不能够相互干扰。黑客更加不能通过数据流量的局域网(如利用一些黑客工具)来抓取语音流量的局域网中的数据。所以,利用虚拟局域网(Vlan)技术可以比较完美的保护语音电话的安全性。
二、提高应用软件本身的安全
网络语音通信很多都是依靠一定的软件实现的。如通过Skype 或者MSN即时聊天工具等等。所以,若要提高语音通信的安全性,那么增强这些软件本身的安全也是其中一项重要的工作。从而降低这些软件本身受到攻击的概率。一般来说,我们可以从如下几个方面,提高语音通信软件的安全性。
一是给操作系统打上最新的补丁。一般来说,黑客若想攻击语音通信软件,往往需要先利用操作系统的漏洞,才能够实现。若操作系统安全了,那么也可以在一定程度上保障语音软件的安全。所以,作为企业信息安全管理人员,要养成及时给操作系统打补丁的习惯。这不仅是语音通信安全所需要的,也是防止其他方面的攻击所必需的。笔者企业现在采用的是Windows的操作系统,现在是通过一台补丁管理服务器,都在第一时间强迫各个客户端装上系统补丁。以加强其应用软件的安全性。
二是对信令协议进行加密处理。这跟文件传输的原理类似。若黑客通过网络窃窥企业数据的话,则只需要对传输中的文件进行加密即可。如此的话,就可以有效的防止数据的泄漏。因为即使他们获取了这些数据,但是由于采用了加密处理,则他们看到的也是一堆乱码。所以,对于语音通信来说,我们也可以通过对信令协议进行加密,以保障这些信息的安全性。
三、注意共享语音的安全
在很多场合,企业需要对一些语音进行共享。如在视频会议上,就需要对语音进行共享,以方便参与会与的所有员工都可以即时的听到谈话的内容。但是,这毕竟跟现场开会不一样。非法之徒会采用各种方法,来伪造一个合法的身份来参与会议,从而窃听相关的会议内容。
如有些人会事先取得某个员工的帐号与密码。等到开会的时候,采用一些极端的手段,让其断网或者连接不上网络视频会议服务器。然后,他就可以凭这个用户的帐号与密码连接到网络视频会议系统,以一个“合法用户”的身份参与到视频会议中来。 在网络视频会议中,由于都是凭着帐户来识别用户的身份,所以,遇到这种情况的话,他人也没有办法识别用户的身份是否合法。
故在多人语音通信的时候,就需要提高帐户本身的安全性。
一方面,作为用户来说,平时需要提高安全意识。对于不同的应用,如视频会议与操作系统,不要采用同一个帐户或者密码。这可以有效的防止因为某个帐户或者密码泄露,而造成一系列的连锁反应。
二是在技术上,也可以采用一定的措施。如可以结合帐号与IP地址一起认证的策略。如此的话,至少只有企业自身的IP地址可以连接到视频会议。而非法用户若采用其他的IP地址就无法连接到视频会议系统。如此的话,非法用户除非有这个能力把企业的整个网络都弄崩溃了,否则的话,他即使取得了帐户,也连接不上视频会议系统。笔者企业有时候各个分公司的高层领导需要开视频网络会议。由于一般他们都是在自己办公室中开,故笔者在视频会议系统中,除了需要认证他们的用户名与密码之外,还需要对他们的IP地址进行认证。若用户所采用的IP地址不是允许的IP地址的话,则这个连接会被拒绝。
四、通过VPN提高视频会议系统的安全性视频会议系统是网络语音电话的主要应用之一。由于其语音通信往往涉及到多方,而且往往都分散在各地。所以,要保护其语音通信的安全,则更加困难。
对于这些分散在各地的用户,如何保障其语音通信的安全呢?笔者所采用的做法就是通过VPN技术来提高其安全性。因为VPN技术提供另一个专有的隧道供其进行通信,而且,还可以对语音数据进行加密,所以,可以从很大程度上保障其通信的安全。笔者企业由于每个月都要进行一到两次大规模的视频会议,所以,公司自己部属了一个视频会议系统。各地的办事处与分公司,都是通过VPN连接到公司的视频会议系统。如此的话,可以最大限度的保障视频会议的安全性。而且,其稳定性也有一个质的改善。
所以,对于不同地点之间,特别似乎各个办事处之间进行网络视频会议的时候,笔者还是建议企业部属VPN服务器。如此的话,可以为各地办事处之间提供一个可靠的、安全的网络连接。这不但可以给语音传输提供一个安全的环境,而且还可以给其他的网络应用,如文件服务器访问等等提供方便、迅速的渠道。
五、做好拒绝服务攻击的防护
一般非法之徒要攻击企业的语音通信之前(攻击其他服务也一样),往往需要进行一个必要的步骤,就是拒绝服务攻击。通过拒绝服务攻击,让某些合法的用户下线。然后,他们才有进攻的机会。凭借这一短短的时间,黑客就可以达到他们非法的目的。如取得一个具有一定权限的用户、种木马等等具有潜在破坏性的动作。
所以,在保障语音通信的安全的同时,需要做好拒绝服务攻击。笔者现在企业是通过一个路由器模块,来防止拒绝服务攻击的。 通过以上的安全措施,虽然不能够百分之百的杜绝语音通信的安全事故。但是,却可以把语音通信提高到一定的水平。有需要的朋友,不妨可以采用一下看看效果如何。
