一家行业组织正在起草VoIP最佳惯例文件,该文件将对如何利用具体型号的设备构建安全的VoIP网络做出规定,为那些希望迅速部署VoIP的企业客户提供成熟的案例指导。
负责撰写这份最佳惯例文件的组织是VoIP安全联盟(VOIPSA),VOIPSA是一个开放性组织,旨在提高公众对VoIP安全性和保密性问题的意识并推广这方面的最佳实践。该组织一直进行的工作是定义和开发一种网络电话分类方法以及了解并确定VoIP网络的安全性和隐私性要求。VOIPSA是今年2月成立的,据悉,自VOIPSA成立后,已有100多家厂商,包括3Com、阿尔卡特、Level 3 Communications、诺基亚、安捷伦、Accenture、赛门铁克、北电和Juniper等加入了VOIPSA。该联盟在今年10月发表了其VoIP领域的安全威胁列表——VoIP安全威胁分类法。下一步将发表一套最佳实践,帮助企业VoIP用户和其他VoIP用户判断是否采用了适当的安全措施。该组织还将开发测试软件包,允许厂商测试他们的产品是否和最佳实践配合。
该组织一位主管Graydon说,文件可能要等到明年才能公布,到那时,这份文件将成为用户构建安全VoIP网络的实用指导。
这份文件将提供经过VOIPSA测试的能够实现其规定的可互操作和安全部署的案例。不过有关官员表示,这份文件现在还没有完成,它必须等另一份VOIPSA报告发表之后才能准备就绪,而这份前提的报告发表时间是今年年底。这个项目在该组织正在处理的任务表上排在第三位,VOIPSA正在请求一个委员会的成员来撰写这份文件。
安全的VoIP
安全漏洞是部署VoIP的头等大事,企业用户和那些希望保证可靠的电话服务来维持经济发展的政府部门都把安全看做是阻碍IP语音实施的心头大患。近日,一家德国政府机构公布了自己的VoIP威胁名单。这份报告发现IP语音服务中断的风险是如此之大,以致该机构建议将语音和数据网络分开,这显然与正在强调“融合”的网络架构背道而驰。
今年年初,美国国家标准与技术协会(NIST)发表的有关VoIP安全问题的报告中包含了避免安全漏洞的建议。与VOIPSA的工作不同(该组织的工作主要是由关注部署网络具体细节的厂商完成的),NIST的文件是由制定部署语音网络指导原则的政府研究人员编写的。VOIPSA公布了36页的潜在VoIP安全漏洞的分类目录,并计划在年底前发表一份独立的文件,在不提及厂商的情况下,说明技术如何能保护网络。
Graydon说,这份名为“VoIP安全与隐私威胁分类”的潜在安全漏洞清单定义了潜在的威胁。此外,分类目录还可以让那些热衷于VoIP的企业了解现有的已知威胁,使企业可以应付它们。项目负责人Jonathan Zar说:“目录说明了用户必须留意的风险以及可能需要关心的具体问题。”
