切勿忽略规则要求

　　规则是个涉及各行各业的大问题，比如金融，保健和支付卡行业都具有一些会影响到VoIP的规则。无论是语音信箱、即时信息泄露数据还是视频会议透露细节，统一通信都必须保障数据的完整和机密。

　　统一通信也会引发新的涉及数据存储的法律政策。比如，发送至电子邮件的语音邮件信息，将可以被视为取证的参考数据。如果这样的语音信息被存储在某个微型驱动器上有长达三年的时间，该电子方式存储的数据在法律上仍然有效。当然，语音信箱还会面临更多法律法规方面的问题。

　　使用统一通信获得成功的企业，一般都在准备阶段初期有安全团队的不懈努力。不幸的是，还有很多企业并不是从一开始就对安全给予足够重视。

　　我们建议，在引入统一通信和VoIP初期，就应该设立保障安全和制定规则的团队协作，这样有助于责任明确，划分电话专家和基础架构专家的任务执行，如果有必要的话，甚至还可以加入诉讼团队完善协调机制。

　　VoIP将会带来一些新技术的兴起。据国外媒体报道，有意以服务为导向的基础架构方面投入的IT主管中，有近46%的受访者表示他们将打算使统一通信和CRM、ERP等SOA应用结合起来。但是，这样会变得更加复杂，因为它把统一通信和VoIP延伸到了应用领域。

　　另外，企业行政主管可能会以为安全就是对任何事情都说不，即使意味着要断绝商业活动也要避免网络和数据的泄露。我们并不清楚他们是否把安全同业务预防等同起来，在组织面临的风险方面，安全团队在计划早期所做的工作也并不是十分充足。

　　当然，VoIP面临的最大威胁恐怕还是来自用户对安全认识的不够全面。很多配置VoIP的情形中，都没有采取适当的安全措施，比如强制加密，身份认证和访问控制等。此外，一些企业并未意识到他们所使用的协议可能随时被篡改。最易犯的错误就是，为分配VLAN而使用的一些不安全协议。

　　我们建议，他们应该使用链路层来监听协议和802.1x身份验证，以确保VLAN分配和访问的安全可靠。未经安全认证的话，电脑可以伪装成一部电话，进而访问VoIP虚拟局域网并开始恶意肆虐。

　　另一个问题，不是关于技术方面而是涉及到团队之间沟通的考虑。比如，很多客户会发送购买后并未开启的RFPs，它们拥有加密功能但是却很少会被开启。虽然你可以号召安全机构处理这个事情，但是更多的还是需要团队间保持沟通，并确保开启了加密功能。

　　企业还需要提防内部员工。一些公司在依赖VoIP方面拥有一些错误思想：由于VoIP用户处在内部网络，公司对这些用户给与足够的信任，并确信没有VoIP安全问题。其实这种思想相当危险，因为攻击者可以轻易访问网络并大肆攻击。只要用户访问网络并接入连接IP电话上的HUB，就可以获得IP电话上的802.1x认证。电话只会验证连接孔(switch port)，之后就不会对数据包进行验证了。如果攻击者使用HUB上的验证，而这HUB正好又是电话连接网络的节点，那么攻击者就可以大举进入VoIP网络，并在网络中实现中间人攻击(man-in-the-middle attack)，从而实现窃听或者改变电话内容的目的。

　　就VoIP来说，大部分企业关注的仍然是以保护基本数据网络免受诸如拒绝服务攻击为重点。整体上来看，围绕VoIP的方方面面，安全问题也并没有获得应有的重视。

　　为了更好的使用VoIP，我们需要给与更多关注的同时，还特别需要采取一些加密等安全措施。