网络通信 频道

优化企业高清视频会议系统安全机制

  伴随着高清视频会议系统建设高潮的来临,其安全问题也更加困扰业界。其实,中国在建设第一个会议电视网的时候,就已经提出了高清视频会议系统的安全保障的问题。从去年开始,个别厂商的高清视频会议系统安全性问题不断暴光,也令各种客户更加重视系统的安全问题。

  这个问题为什么这么重要呢?试想,如果高清视频会议系统在安全方面出现问题,有黑客或者是非授权的用户非法加入到会议中,则意味着恶意攻击者可以轻易取得管理者的权限,窃取管理者的口令,控制会议,监听会议内容,甚至把会议的内容录下来,在网上公开散播,后果不堪设想!所以安全问题是会议电视一个非常重要方面。

  要确保高清视频会议系统的安全,需要保护哪些信息呢?首先,要能保证会议的保密性,会议除了合法的与会者外,其他人是应该无法看到和了解的。第二,要保证会议的真实性,保证会议的内容不被篡改。第三,要确保非法的用户不能加入到会议里面。第四,与会者或者会议中间发生的行为,是一个确认的行为,是不能否认的。

  应用层安全解决方案

  基于IP网络的高清视频会议系统采用H.323标准。总的来讲,H.323的安全性是一个复杂的问题,它不仅包括对音频、视频或数据流本身的保护,还必须包括对Q.931(用于呼叫建立)、H.245(用于呼叫管理)及网闸RAS(Registration/Admission/Status)的保护,以防止呼叫控制协议受到破坏。

  身份认证用于确定终端用户的身份,是H.323高清视频会议系统安全体制中最为重要的环节,如果没有它,任何一个用户都可以冒充合法用户进入网络。只有在被确认身份之后,才能够提供进一步的安全保证。

  数据完整性用于证实一个数据包有效数据的完整性,从而保证在两个端点之间进行呼叫过程中的有效数据不被修改或损坏。数据完整性利用加密机制来保证数据包的完整,在这种方法中,只需要将校验数据加密,而有效数据不必加密,从而减少了每个数据包对加密处理的要求。

  用户费用证实机制用于防止某些用户否认他们曾参与某一个呼叫。但是,就一般情况来说,该机制更多地应用于电信运营商,因为他们需要一种途径来准确估算服务所需的费用,并证实这些费用的确用于用户的呼叫。对企业用户而言,可以不必实施用户费用证实机制。

  网络层安全机制

  目前,企业用户组建的高清视频会议系统多是基于IP网络的,针对这种情况,还充分利用网络层现有的IPSec协议,提出了网络层的安全解决机制。

  当然,即使不增加iSec智能安全模块,VTEL产品的开放性,也能使VTEL为用户轻松提供IP层安全防护措施。例如,可以在VTEL公司的产品中安装英特尔的PRO/100 S网卡,该网卡能直接提供IPSec(互联网协议安全)加密能力,从而实现用户的身份验证,防止未经授权的数据访问;防止恶意的攻击和篡改,保持传输过程的数据完整性;数据包加密,确保数据的机密性。可以说,直接利用网卡实现IP层安全的措施,是VTEL公司开放平台终端设备所特有的一种安全措施。

  用户实际应用安全措施

  除了上述两种安全机制以外,还可以针对企业用户的不同应用需求和网络现状,为企业用户的高清视频会议系统提供如下几种安全防护措施或安全问题解决方案。

  内置转换模块VTEL公司的视频会议终端设备中内置的“NAT Traversal”模块,使H.323(IP)呼叫顺利穿越防火墙。对于已经具有企业防火墙的用户来说,就可以直接利用已有的安全系统。

  使用应用层网关考虑到防火墙是一种有效的网络安全机制,它能在企业内部网与外部网之间实施安全防范,它不但可以实现基于网络访问的安全控制,还可对网络上流动的信息内容本身进行安全处理,对通过网络的数据进行分析、处理、限制,从而有效地保护网络内部的数据。VTEL公司针对还没有采用防火墙的用户,可以为其推荐一种被叫做ALG Firewall防火墙的应用层网关。目前主要的防火墙厂商,如Cisco、Checkpoint、Gauntlet都对他们的防火墙产品提供H.323 ALG升级功能。

  使用VPN技术VPN技术作为当前在IP网络上提供安全通讯的方法之一,企业用户组建高清视频会议系统时,还可以设计使用VPN技术,让各节点间传输的数据均通过底层加密,并且通过专用的隧道路由传输,这样就能有效地隔绝来自外部网络的攻击,并且可以避免信息在传输过程中可能的泄漏情况发生。

  安装防毒软件由于VTEL产品基于开放平台的产品特性,允许用户自己在需要的时候,随时安装、更新防病毒软件、安装反扫描软件。所以,能抵御目前计算机病毒的危害和Internet上的端口攻击,使用户始终能及时预防Internet上的各种病毒攻击,监视攻击者的恶意扫描,从而有效地保证系统不被病毒恶意的攻击。

0
相关文章