尽管在传统的TDM系统中,电话并不是什么新鲜事,但由于VoIP使用通用的操作系统,并与普通的计算机一样,连接到局域网甚至是广域网上,IP PBX的安全性自然受到了更多的关注。并且,所有的IP PBX都使用IP堆栈,这使系统轻易出现服务拒绝或被黑客侵袭的问题。很多IP PBX中还包括了在ISS(与 Windows NT Server集成的Web服务器)和Apache Web服务器平台上的基于网络的用户-治理员工具或图形工具,而这两种平台本身就因为安全漏洞和故障问题而经常要修修补补。凡此种种关于VoIP安全性的挑战,到底能否有令人满足的答案呢?
Cicso的高级技术分析专家Tom McCormick透露,由于没有及时防范最新病毒,他们的一个演示系统的Call Manager去年感染了尼姆达病毒。这台Cisco IP PBX运行在目的驱动的基于Intel和Windows的服务器,当时只用于内部IT部门的测试。这次事故尽管没有给公司运营带来影响,但却给公司敲响了警钟。从此以后,Cisco不但定期对这个系统进行维护,而且不断对其进行更新和监控。这个系统已加入运营,至今仍在正常工作。
从基于服务器的PBX到完全网络化的IP电话,确实是大势所趋。但正因为安全问题,很多企业不敢一步到位。他们宁可在最近一两年中采取折衷手段,既享受一点现有的成果,又坚持等待成熟的IP语音技术。Compass 银行是美国的一个联邦储备银行,它在美国南部和西南部8个州拥有400个支行。为保证其20个办事处的通信,它采用了一个IP和TDM的混合系统。它为支行配置了Nortel BCM(Business Communication Manager商务信息治理系统),再通过专用帧中继线路,用Nortel Meridian TDM与下属小办事处的IP PBX进行通信。其高级治理人员认为,尽管BCM是以NT为基础的,但安全问题并不是那么严重,因为IP只是用来代替线路,电信网络的核心仍然是TDM。虽然网络轻易受到外界干扰,但病毒和外部袭击对于VoIP系统并不构成威胁。
闻名化工企业H.B.Fuller公司去年安装了3个互为备份的IP PBX集群,都是基于windows的Call Manager。这样,该企业的VPN(Virtual Private Network虚拟专用网络)中的20个远距离站点都可以使用IP电话。通过在数据网上传输语音,这个公司实现了对语音的集中治理,淘汰了原有网络的12个PBX,大大提高治理效率,并节约了开支。尽管益处多多,但网络治理人员的担子着实重了不少。为确保安全,工作人员利用一种中断监测软件对集群电话的服务器进行监测。由于Call Manager的操作系统中采用Microsoft IIS作为一种治理工具,他们必须随时注重升级操作系统。为提高安全性,他们降低了PBX的数量,而Cisco对Call Manager的集中化治理也有助于确保安全。现在,工作人员已经积累了一些经验,大大提高了系统治理的规范化水平。
治理IP电话系统跟治理TDM系统有所不同,尽管面临困难,但企业只要对IP PBX加强治理,像对待个人隐私,信用卡信息一样作为重要机密,那么安全应该不是个大问题。尽管NBX系统跟其它的服务器一样连接在数据网络上,但是该城的网络负责人认为,有了网络治理员工具,就可以很轻易地配置NBX和电话分机。他们定期的改变密码,也在一定程度上加强了安全性。另外,NBX还有防火墙的保护,减少了非法访问和盗用的可能。而它自带的访问检查功能使其自动记录访问者、访问操作及访问者的IP地址,也大大提高了系统的安全性。
安全建议
把IP PBX设备与其它服务器放置在不同的域。
把语音业务单独放在一个虚拟局域网中。
限制IT工作人员的访问权限,只答应极少数人进行VoIP服务器的核心操作。
条件答应的情况下,限制访问IP PBX和IP电话网络的协议种类。
尽可能的对语音业务进行加密,不在未加治理的网络或公用网络上传输IP语音。
