視頻會議系統(tǒng)的安全性問題不容忽視

    視頻會議系統(tǒng)在安全方面如果出現(xiàn)問題，則意味網(wǎng)絡(luò)中最危險的事情發(fā)生了，因為惡意的黑客不僅可以察看內(nèi)部數(shù)據(jù)——他們還可以看到受害者！

    目前國內(nèi)的視頻會議系統(tǒng)主要應(yīng)用在政府、部隊、公檢法、水利、石油、電信通訊、廣播電視和大型企業(yè)中，如果這些安全漏洞真的被黑客所利用，把視頻會議設(shè)備進行監(jiān)視、錄制甚至把受害者的內(nèi)部會議進行公開廣播，后果不堪設(shè)想！

    當(dāng)提及“視頻會議”時，多數(shù)IT行業(yè)人士都對這種系統(tǒng)有一定的了解，但要在“視頻會議”前面加上“安全”的帽子使之成為一個單獨的概念時，相信絕大多數(shù)行業(yè)人士不以為然。但恰恰就在這個領(lǐng)域，日前出現(xiàn)了讓人擔(dān)憂的事件。

    近日，全球視頻會議系統(tǒng)領(lǐng)先者Polycom的著名產(chǎn)品ViewStation中被發(fā)現(xiàn)含有近十個安全漏洞的消息，通過國外著名安全類網(wǎng)站iss.net和安全聯(lián)盟組織ciac.org以及通訊網(wǎng)絡(luò)主流網(wǎng)站newtelephony.com透露出來。

    Navastream(一個提供通信安全服務(wù)的公司)的總經(jīng)理Eric Goldberg說：攻擊者可以很容易的獲得ViewStation的管理員密碼，對設(shè)備進行遠程控制并監(jiān)控或錄制視頻。

    Avaya公司的高級安全顧問Ken Pfeil說，“有些漏洞的性質(zhì)是十分嚴重的，一個黑客可以很容易的獲得管理員的控制權(quán)。他們只需要一個瀏覽器就可以進入系統(tǒng)�！彼�說：“任何一個潛在的攻擊者在監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)的時候都可以讀出密碼并獲得對系統(tǒng)的遠程管理控制權(quán)。如果我獲得了遠程控制的密碼，我就可以把設(shè)備打開并將每一個用ViewStation開展的公司內(nèi)部會議在互聯(lián)網(wǎng)上公開廣播�！绷硗馑�補充道，一旦系統(tǒng)被進入，攻擊者可以生成一個簡單的編程腳本從而讓任何人都可以遠程進入系統(tǒng)。

    目前受到影響的產(chǎn)品包括：Polycom ViewStation 128 7.2或更早版本，Polycom ViewStation H.323 7.2或更早版本，Polycom ViewStation 512 7.2或更早版本，Polycom ViewStation MP 7.2或更早版本，Polycom ViewStation DCP 7.2或更早版本，Polycom ViewStation V.35 7.2或更早版本，Polycom ViewStation FX/VS 4000 4.1.5或更早版本。

    在國外，Polycom公司的銷售和市場合作伙伴已經(jīng)通知用戶并告知他們應(yīng)該對產(chǎn)品進行升級。但是在中國大陸市場，眾多Polycom的用戶還沒有收到這樣的通知。

    在國內(nèi)，很少有用戶知道這些事情，因為Polycom公司沒有在網(wǎng)站上公開發(fā)布安全問題的消息或者是對用戶進行通知，也沒有告訴用戶系統(tǒng)升級對于系統(tǒng)的安全來說是必需的。

    知道這個消息的國內(nèi)廠商中，只有深圳瑞福特公司的專業(yè)人士回答了提問，他說：如果在組建視頻會議系統(tǒng)時，設(shè)計使用VPN技術(shù)，讓各節(jié)點間傳輸?shù)臄?shù)據(jù)均通過底層加密，并且通過專用的隧道路由傳輸，可以有效隔絕來自外部網(wǎng)絡(luò)的攻擊，并且可以杜絕信息在傳輸過程中可能的泄漏情況。在VPN網(wǎng)內(nèi)部，應(yīng)該使用必要的防火墻設(shè)備(須支持H.323協(xié)議)來區(qū)分信息等級和有效區(qū)域，這樣可以很好的保證網(wǎng)絡(luò)內(nèi)部的信息安全。

    同時他指出，如果要從根本上杜絕此類事情的發(fā)生還是非常困難的，國內(nèi)有許多廠家在研發(fā)視頻會議系統(tǒng)，但除了少數(shù)幾家公司擁有完全自主產(chǎn)權(quán)外，其他廠商的視頻會議系統(tǒng)核心部分--H.323協(xié)議棧幾乎都是國外的，如果這方面沒有自主產(chǎn)權(quán)的話，很多底層的漏洞就要依賴于別人來補救。

    隨著Internet的普及和電子商務(wù)、政府上網(wǎng)等工程的啟動，使信息技術(shù)已經(jīng)成為整個社會經(jīng)濟和企業(yè)生存發(fā)展的重要基礎(chǔ)，這樣政府主管機構(gòu)、企業(yè)和用戶對信息技術(shù)的安全性、穩(wěn)定性、可維護性和可發(fā)展性提出了越來越迫切的要求。