针对VoIP 的攻击日益增多,企业必须懂得如何保护自己,同时还要遵守监管机构的要求,证明系统安全符合不断变化的法规。
有哪些威胁?
行业专家表示,许多企业仍然缺乏针对 VoIP 拒绝服务、窃听攻击和话费欺诈等问题的基本加密保护。这是一个需要紧急解决的问题,因为这可能会导致它们不符合日益发展的监管框架,包括 HIPPA(健康保险流通与责任法案)、PCI(支付卡标准)和萨班斯-奥克斯利法案,这些法案经常修订,因此是一个不断变化的目标。
近年来,由于涉及产品安全召回、金融欺诈以及令人悲哀的环境健康和安全灾难的事件,这一问题已成为焦点。美国监管机构和其他司法管辖区的机构通过加强立法控制加大了打击力度。一般来说,这些法规旨在保护可能导致身份盗窃、越南whatsapp号码数据5万 银行账户被盗、公司电话诈骗或信用卡欺诈的个人信息。
虽然这些修订后的法规很少直接涉及 VoIP,但在许多情况下,这些规则仍然适用于这项技术。例如,PCI 标准规定了使用 SSL/TLS / IPSEC 等安全和加密技术的要求,以便在通过公共开放网络传输持卡人数据时保护持卡人数据。
这意味着通过开放互联网进行并包含信用卡详细信息的 VoIP 通话必须加密。尽管这不适用于在内部网络上进行的 VoIP 通话,但专家担心企业可能必须验证这些通话是否已加密。根据法规中使用的语言,这可能被解释为指 VoIP。
例如,HIPAA 表示企业需要采取措施确保电子管理的健康信息安全。这可能不会立即与 VoIP 通话相关,但可能会影响录音通话或数字语音邮件存储,这两者都是大多数 VoIP 系统的一部分。同样,如果使用交互式语音系统导航到受保护的信息,则必须对其使用进行监控和记录。
相反,美国联邦存款保险公司 (FDIC) 现在发布了针对 VoIP 的具体指导方针,旨在根据 Graham Leach Billey 法规保护在 IP 语音网络中传输的任何客户数据。必须根据此建议评估与使用 VoIP 相关的风险以及其他定期业务风险评估。一旦发现任何弱点,必须立即纠正,并列出了另外九项建议供组织遵守。
一位 VoIP 业内人士描述了一个真正的安全威胁的例子。一位怀疑有人窃听的客户决定在 VoIP 通话中植入伪造的信息,以观察他怀疑正在监听的各方是否会在之后提及这些信息。后来发现,VoIP 通话已被有权访问公司网络的第三方窃听。还有一个经常被引用的例子是,CEO 的视频通信被非法访问。
- Board index
- All times are UTC
- Delete cookies
- Contact us