但是,統(tǒng)一通信往往直接部署在企業(yè)原IP網(wǎng)絡(luò)上,由于IP網(wǎng)絡(luò)的開(kāi)放性,其本身存在各種各樣的安全威脅。Gartner的分析報(bào)告也指出,2012到2015年之間,企業(yè)信息安全的投入其復(fù)合增長(zhǎng)率基本上都在15%左右,說(shuō)明了企業(yè)對(duì)信息安全將會(huì)越來(lái)越重視。
針對(duì)企業(yè)部署統(tǒng)一通信后帶來(lái)的威脅,如何提供有效的解決方案是我們值得思考的問(wèn)題,下面我們逐一進(jìn)行分析:
終端接入要保證可信任和安全
目前企業(yè)員工之間一般采用PC、手機(jī)和IP話機(jī)進(jìn)行溝通,那么對(duì)于這些部署在IP網(wǎng)絡(luò)上的各種終端,如何保證安全接入到企業(yè)網(wǎng)絡(luò)系統(tǒng)中來(lái)呢?
針對(duì)新部署的IP話機(jī),華為UC2.0解決方案采用基于端口的接入控制協(xié)議(802.1x技術(shù)),實(shí)現(xiàn)對(duì)IP話機(jī)的準(zhǔn)入認(rèn)證,該協(xié)議是在在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前,對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。另外企業(yè)用戶越來(lái)越多需要通過(guò)手機(jī)或者便攜機(jī)進(jìn)行移動(dòng)辦公,利用Internet訪問(wèn)企業(yè)通信服務(wù)器,如何保證此類終端從Internet安全接入企業(yè)內(nèi)網(wǎng)呢?
華為UC2.0解決方案集成華為自身VPN網(wǎng)關(guān),在手機(jī)上安裝VPN客戶端,和VPN網(wǎng)關(guān)服務(wù)器之間建立安全連接的VPN通道,為了提升效率并結(jié)合UC業(yè)務(wù)特點(diǎn),該通道是基于UDP通道進(jìn)行加密封裝的。
數(shù)據(jù)傳輸過(guò)程機(jī)密、完整
統(tǒng)一通信信令控制和媒體流基于SIP和RTP協(xié)議,這些數(shù)據(jù)在IP網(wǎng)絡(luò)上是基于明文傳輸?shù)模诳秃苋菀拙湍芨`取到信令里面攜帶的用戶(包括管理員)賬號(hào)、密碼等敏感信息,實(shí)施各種破壞或者盜取企業(yè)相關(guān)數(shù)據(jù),同時(shí)對(duì)于明文傳輸?shù)拿襟w,其通話內(nèi)容也很容易被黑客監(jiān)聽(tīng)。
華為eSpace UC2.0解決方案中,通過(guò)SIP信令交互的組件都需要實(shí)現(xiàn)SIP TLS,以實(shí)現(xiàn)信令交互的機(jī)密性、完整性、不可否認(rèn)性。同樣,任何通過(guò)RTP與其他組件進(jìn)行媒體交互的組件都需要實(shí)現(xiàn)SRTP,通過(guò)安全的實(shí)時(shí)傳輸協(xié)議,用來(lái)對(duì)RTP會(huì)話進(jìn)行安全性保證。
企業(yè)數(shù)據(jù)分類管理,保證安全
企業(yè)統(tǒng)一通信數(shù)據(jù)一般保存在統(tǒng)一通信服務(wù)器和企業(yè)用戶的個(gè)人終端上,華為UC2.0解決方案對(duì)這些數(shù)據(jù)都做了安全保護(hù)措施。
首先,支持采用LDAP/SLDAP標(biāo)準(zhǔn)協(xié)議訪問(wèn)企業(yè)現(xiàn)有的Active Directory,這些數(shù)據(jù)集中存儲(chǔ)維護(hù),能夠減少多份數(shù)據(jù)維護(hù)可能的誤操作帶來(lái)的安全隱患外,同時(shí)也降低了企業(yè)的維護(hù)成本。
很重要的是,在與某些企業(yè)CIO交流時(shí),他們通常有這樣的需求:企業(yè)高層的數(shù)據(jù)屬于保密信息,不想被基層員工以電話、IM或者郵件等各種方式騷擾。
華為UC2.0解決方案能夠解決企業(yè)高層的這些困擾,系統(tǒng)根據(jù)數(shù)據(jù)敏感級(jí)別分為兩類:個(gè)人信息和公共信息,根據(jù)員工級(jí)別,可逐級(jí)設(shè)置相互間的個(gè)人信息、公共信息的細(xì)粒度的訪問(wèn)策略,可有效保護(hù)各級(jí)員工(尤其是高級(jí)別員工)的通訊錄敏感數(shù)據(jù)泄露。第二點(diǎn),用戶本地的即時(shí)消息是加密保存的,另外針對(duì)用戶發(fā)送的消息,系統(tǒng)還可以過(guò)濾消息里面的敏感詞匯,比如武器、毒品等,并限制消息長(zhǎng)度;同時(shí)針對(duì)傳輸文件,管理員可以定義其文件類型和大小,并能夠支持傳輸過(guò)程中的加密,避免被截取泄露。
第三,企業(yè)統(tǒng)一通信系統(tǒng)中,存在很多管理相關(guān)數(shù)據(jù),包括企業(yè)用戶管理、企業(yè)網(wǎng)絡(luò)與設(shè)備管理和用戶自助管理等。眾所周知,控制了管理權(quán)限和數(shù)據(jù)相當(dāng)于控制了整個(gè)統(tǒng)一通信系統(tǒng)。華為UC2.0解決方案能全面支持安全管理協(xié)議,將系統(tǒng)劃分為不同網(wǎng)段,使得業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)分開(kāi),使得管理數(shù)據(jù)在網(wǎng)絡(luò)上傳輸是加密安全的,并對(duì)核心服務(wù)器重點(diǎn)保護(hù)。
華為UC2.0解決方案從終端、網(wǎng)絡(luò)到服務(wù)器以及應(yīng)用等層面,提供端到端的安全防護(hù),并具有成熟的移動(dòng)安全接入能力。針對(duì)每個(gè)企業(yè)用戶,進(jìn)行細(xì)顆粒度的行為管控,切實(shí)保護(hù)好企業(yè)敏感數(shù)據(jù)和關(guān)鍵資源。愿企業(yè)在基于安全的基礎(chǔ)保障上,享受統(tǒng)一通信帶來(lái)的高效便捷。
