三方嚴格控制 提升高清視頻會議安全性

隨著視頻技術的不斷發展，在當前視頻通信市場中，高清已成為信息通訊的一大亮點，特別是在視頻會議中表現突出。伴隨著高清視頻會議系統建設高潮的來臨，其安全問題也更加困擾業界。其實，中國在建設第一個會議電視網的時候，就已經提出了高清視頻會議系統的安全保障的問題。從去年開始，個別廠商的高清視頻會議系統安全性問題不斷暴光，也令各種客戶更加重視系統的安全問題。

安全性已成為視頻會議中的一大致命性因素，如果高清視頻會議系統在安全方面出現問題，有黑客或者是非授權的用戶非法加入到會議中，則意味著惡意攻擊者可以輕易取得管理者的權限，竊取管理者的口令，控制會議，監聽會議內容，甚至把會議的內容錄下來，在網上公開散播，后果不堪設想！所以安全問題是會議電視一個非常重要方面。

要確保高清視頻會議系統的安全，需要保護哪些信息呢？首先，要能保證會議的保密性，會議除了合法的與會者外，其他人是應該無法看到和了解的。第二，要保證會議的真實性，保證會議的內容不被篡改。第三，要確保非法的用戶不能加入到會議里面。第四，與會者或者會議中間發生的行為，是一個確認的行為，是不能否認的。

建立應用層安全解決方案

基于IP網絡的高清視頻會議系統采用H.323標準。總的來講，H.323的安全性是一個復雜的問題，它不僅包括對音頻、視頻或數據流本身的保護，還必須包括對Q.931（用于呼叫建立）、H.245（用于呼叫管理）及網閘RAS（Registration/Admission/Status）的保護，以防止呼叫控制協議受到破壞。

身份認證用于確定終端用戶的身份，是H.323高清視頻會議系統安全體制中最為重要的環節，如果沒有它，任何一個用戶都可以冒充合法用戶進入網絡。只有在被確認身份之后，才能夠提供進一步的安全保證。

數據完整性用于證實一個數據包有效數據的完整性，從而保證在兩個端點之間進行呼叫過程中的有效數據不被修改或損壞。數據完整性利用加密機制來保證數據包的完整，在這種方法中，只需要將校驗數據加密，而有效數據不必加密，從而減少了每個數據包對加密處理的要求。

用戶費用證實機制用于防止某些用戶否認他們曾參與某一個呼叫。但是，就一般情況來說，該機制更多地應用于電信運營商，因為他們需要一種途徑來準確估算服務所需的費用，并證實這些費用的確用于用戶的呼叫。對企業用戶而言，可以不必實施用戶費用證實機制。

構建網絡層安全機制

目前，企業用戶組建的高清視頻會議系統多是基于IP網絡的，針對這種情況，還充分利用網絡層現有的IPSec協議，提出了網絡層的安全解決機制。

當然，即使不增加iSec智能安全模塊，VTEL產品的開放性，也能使VTEL為用戶輕松提供IP層安全防護措施。例如，可以在VTEL公司的產品中安裝英特爾的PRO/100 S網卡，該網卡能直接提供IPSec（互聯網協議安全）加密能力，從而實現用戶的身份驗證，防止未經授權的數據訪問；防止惡意的攻擊和篡改，保持傳輸過程的數據完整性；數據包加密，確保數據的機密性。可以說，直接利用網卡實現IP層安全的措施，是VTEL公司開放平臺終端設備所特有的一種安全措施。

保障用戶實際應用安全措施

除了上述兩種安全機制以外，還可以針對企業用戶的不同應用需求和網絡現狀，為企業用戶的高清視頻會議系統提供如下幾種安全防護措施或安全問題解決方案。內置轉換模塊VTEL公司的視頻會議終端設備中內置的“NAT Traversal”模塊，使H.323(IP)呼叫順利穿越防火墻。對于已經具有企業防火墻的用戶來說，就可以直接利用已有的安全系統。

使用應用層網關考慮到防火墻是一種有效的網絡安全機制，它能在企業內部網與外部網之間實施安全防范，它不但可以實現基于網絡訪問的安全控制，還可對網絡上流動的信息內容本身進行安全處理，對通過網絡的數據進行分析、處理、限制，從而有效地保護網絡內部的數據。VTEL公司針對還沒有采用防火墻的用戶，可以為其推薦一種被叫做ALG Firewall防火墻的應用層網關。目前主要的防火墻廠商，如Cisco、Checkpoint、Gauntlet都對他們的防火墻產品提供H.323 ALG升級功能。

使用VPN技術VPN技術作為當前在IP網絡上提供安全通訊的方法之一，企業用戶組建高清視頻會議系統時，還可以設計使用VPN技術，讓各節點間傳輸的數據均通過底層加密，并且通過專用的隧道路由傳輸，這樣就能有效地隔絕來自外部網絡的攻擊，并且可以避免信息在傳輸過程中可能的泄漏情況發生。

安裝防毒軟件由于VTEL產品基于開放平臺的產品特性，允許用戶自己在需要的時候，隨時安裝、更新防病毒軟件、安裝反掃描軟件。所以，能抵御目前計算機病毒的危害和Internet上的端口攻擊，使用戶始終能及時預防Internet上的各種病毒攻擊，監視攻擊者的惡意掃描，從而有效地保證系統不被病毒惡意的攻擊。

（編輯：Karl）