VoIP的前景固然是美好的，但是想真正實現(xiàn)其目標所無法回避的一個問題就是安全。在VoIP應用規(guī)模相對較小的時期，安全方面的問題還沒有明顯暴露。但是當業(yè)務量達到與傳統(tǒng)電話相差無幾的時候，由于IP到末端，在以前被回避了的一些IP網(wǎng)絡的問題又涌現(xiàn)出來，如QoS、安全、用戶業(yè)務管理等。特別是安全問題，可以說是VoIP技術(shù)的致命傷。針對這種情況，AVAYA、賽門鐵克、西門子等業(yè)界重量級的業(yè)界廠商于近日專門成立了VoIP安全聯(lián)盟，以期為VoIP創(chuàng)造一個更加堅實的發(fā)展基礎。
　　那么，VoIP安全問題是如何產(chǎn)生的并且該如何解決呢？
　　由于VoIP基于可同時承載語音、數(shù)據(jù)和其它流量的統(tǒng)一網(wǎng)絡架構(gòu)，顯著減少了用戶語音與數(shù)據(jù)通信服務開銷，提供傳統(tǒng)PBX系統(tǒng)無法比擬的諸多新型服務。但是，VoIP在融合了傳統(tǒng)PBX系統(tǒng)與數(shù)據(jù)網(wǎng)絡二者優(yōu)勢的同時，也把二者的安全風險集于一身，除了會遭遇存在于傳統(tǒng)PBX系統(tǒng)中的非法搭線偵聽等安全風險外，還面臨著病毒、DoS（Denial－of－Service）拒絕服務攻擊等數(shù)據(jù)網(wǎng)絡常見的安全威脅。
　　就總體來看，可以將VoIP系統(tǒng)安全問題劃分為兩大類，一類是語音網(wǎng)絡架構(gòu)的安全，包括網(wǎng)絡內(nèi)用作IPPBX系統(tǒng)的服務器的安全。另一類是VoIP語音會話內(nèi)容的安全。前者主要涉及VoIP運營商，而后者更多地針對VoIP用戶。
　　對于運營商來說除了傳統(tǒng)的安全威脅外，VoIP運營商面臨的安全威脅還包括眾多數(shù)據(jù)網(wǎng)絡遺傳下來的風險因素。比如除呼叫管理系統(tǒng)、IP電話交換機、路由器和語音網(wǎng)關(guān)等方面的傳統(tǒng)易受攻擊對象外，計算機網(wǎng)絡類軟件與設備還面臨著非法接入、特權(quán)升級和系統(tǒng)濫用、病毒和DoS攻擊等。而提供在線支付與服務規(guī)劃管理的運營商，則還會面臨賬戶與數(shù)據(jù)庫系統(tǒng)的安全問題。具體說來，VoIP的實現(xiàn)依賴于TCP/IP協(xié)議棧的運行，所以TCP/IP協(xié)議面臨的所有安全問題我們都無法回避。包括蠕蟲病毒、木馬程序、DoS攻擊，這些讓人頭痛的問題也注定要對VoIP應用環(huán)境造成困擾。這些方面的問題除了依賴廠商不斷對設備進行安全強化之外，還需要管理員將VoIP設施與其它計算機設施等同視之，注意跟蹤相關(guān)的安全漏洞信息發(fā)布，及時為VoIP設備打好補丁，并為VoIP環(huán)境提供防火墻等安全防御設施的保護。對于VoIP設備，應該比普通的計算機設備更加注重常見信息安全原則的實現(xiàn)，例如只提供必要的服務，關(guān)閉和屏蔽無用的端口等等。忽視這些原則將造成非常嚴重的安全危害。
　　而對于用戶來說，受到的安全威脅包括通過話費欺詐、盜取身份認證信息等手段獲取經(jīng)濟利益，或者通過干擾或中斷用戶正常的VoIP語音通信服務進行惡作劇，另外由于IP電話實際上就是在計算機上運行VoIP應用，所以它還牽涉到諸如操作系統(tǒng)、協(xié)議等問題，會受到系統(tǒng)失誤、病毒攻擊等潛在的威脅。為了解決這些問題，一個最基本的方法就是對數(shù)據(jù)傳輸進行加密。一旦數(shù)據(jù)、話音等實施了加密之后，即使攻擊者突破層層限制獲取了這些數(shù)據(jù)，但他們也無法從中破解得到有用的東西。另外，也有人提出這樣的解決方案，那就是進行地址認證，我們應該對訪問VoIP服務的客戶端地址及登錄VoIP設備進行管理配置的遠程終端地址進行綁定，阻止來自不合法的IP地址訪問。這種方法也值得我們認真考慮。
　　許多涉及SIP呼叫信令、RTP語音信息傳遞和RTCP控制協(xié)議的安全漏洞既可以危及運營商，也可以危及VoIP用戶。與IP電話一樣，VoIP呼叫服務器也同樣能夠被非授權(quán)呼叫控制包實施Flood攻擊。攻擊者可以對VoIP運營商的基礎架構(gòu)與Internet協(xié)議發(fā)起全面攻擊，諸如語音郵件等VoIP應用被攻擊后，可能會導致合法用戶無法發(fā)送語音郵件信息。面對種種棘手的問題，各方專家也提出許多解決之道，例如慎重選擇VoIP協(xié)議、停用不必要的協(xié)議、周密考慮VoIP組件遭遇攻擊的可能性、將VoIP與其它IP架構(gòu)分而治之、對遠程操作進行認證等等。

中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)