黑客不再沉默：IP世界的语音安全

2004年发生的一起黑客入侵事件仍不断被人们提起。 一名入侵者侵入一个主要网络并截获了许多计算机的编程指令，其中包括那些为美国军方、NASA 和研究实验室服务的计算机。《纽约时报》在谈到这个事件时称：“……该案例显示侵入通过互联网连接的计算机——甚至包括复杂的公司和政府网络——是多么的容易，同时也显示追查肇事者的难度有多么大。”

　　对于我们这些整天冥思苦想着如何保护机构免遭安全漏洞攻击的人来说，这一案例也让我们思考，如何加强防御来应对破坏性日趋严重的漏洞攻击(zero day exploit)。入侵者寻找之前不为人知的漏洞，藉此突破一个机构的防御系统，实施严重的破坏。一次成功的攻击可以瘫痪一个企业，造成业务中断，以及收入损失。

　　语音和数据的融合使这一问题更加复杂化。融合带来了更为智能的通信环境——员工、业务程序和客户可以在正确的时间连接到正确的人，但同时也要求对新的网络威胁进行高超的管理。迄今为止，大多数攻击都是针对数据网络实施的，但随着语音应用在 IP 网络上变得更具战略意义，它们同样也会成为攻击的对象，包括拒绝服务 (DoS)、应用层攻击、欺骗、trust exploitation 等等。 2005年7 月 14 日的《华尔街日报》报道说，一家厂商的 IP 语音通信软件存在重要缺陷，可以让黑客们取得控制权，并进而关闭语音系统，重新定向电话呼叫，窃听，或者访问运行该厂商电话软件的其他计算机。

　　不过也有好消息——所以不必惊慌。首先，市场上的 IP语音通信话平台并没有采用相同的架构。一个平台的弱点可能在另一个平台中就没有。此外，企业可以采用多道防线进行自我保护。现在，大多数通信厂商已经可以提供稳固的安全解决方案，并正在开发更多的解决方案。但企业必须首先意识到，在一个融合的世界里，安全不是简单的工作，不可能一劳永逸，也不可能依赖单层防御和和单一厂商的解决方案。行业本身也必须联合起来，提醒客户防范潜在危险，并开发新的安全解决方案来应对新出现的威胁。

　　建立安全防线的第一步是要知道能够做什么。下面是关于融合网络安全的一些关键原则，旨在确保语音应用的安全和保护企业通信的畅通。

　　在多厂商网络的每一级保护通信流。由于计算机攻击变得越来越复杂，如果只是在网络基础设施层进行保护，企业会发现，一旦黑客突破第一层防线，他们将处于不设防的状态。因此，企业还必须在应用层和统一接入层提供强大的安全性。企业内每个可能受攻击的脆弱点和应用程序都需要能够保护自己免受攻击。

　　以拒绝服务为例。如果入侵者进入网络，仅在网络基础设施层（例如路由器）提供保护会造成严重问题——实际上大多数攻击都是发生在网络基础设施之内。请记住这句古老的谚语：你最脆弱的环节决定了你的强壮程度。也有人这样说，一个水桶最短的那块木板决定了这个水桶的盛水量。

　　最好的策略是多层级的安全保护，即从网络基础设施、应用层、直到终端设备，在每一层都提供保护。另外，由于并购、遗留系统等因素，以及企业倾向于采用市场最好的产品和技术进行组合，大多数企业的网络都是多厂商的。因此，企业要确保在多厂商网络中也能做好多层级的安全保护。

　　简而言之，修复和加固网络基础设施是绝对必要的，但仅仅依靠基础设施来提供保护无异于在同命运开玩笑。新的威胁和攻击将层出不穷。企业应增加障碍的数量和类型，使攻击的难度大大增加。