作者: Fred Wang (FW知識瑣記) 日期: 2012/2/16
Skype在企業使用上可節省大量的通話費用,但是相對於其他VoIP具有較高的資安風險。Skype的風險如下:
1.缺乏版本與更新控管,產生安全性風險 : 使用者自行下載Skype Client,企業內將存在許多不同版本的client, 許多未更新的版本將造成安全性風險
2.通話加密,產生資安的風險 : a. 傳統網路安全機制無法分析進入的流量以防制惡意軟體 b.無法分析並紀錄傳出的流量,造成敏感性資訊洩漏的危險。
3.Skype採用P2P分享機制,影響網路頻寬
4.特有的傳訊標準,無法以標準的防火牆進行管制 : 會自行尋找未鎖住的port進行傳輸,且不具固定的伺服器,容易產生後門,增加木馬與病毒程式攻擊的風險(TROJ_SPAYKE.C為專門監聽並側錄 Skype 所撥打的電話的木馬程式。)
5.Skype未獲得外部安全認證,可能隱藏未知的安全性弱點 : 一般IP電話供應商會取得FIPS 140-2認證與CC認證
Gartner建議企業根據風險的容忍度,採用不同的Skype安全控管策略
中度安全性 : 使用Skype企業版本進行集中設定與Skype client版本的控管
a.禁止自行下載使用Skype的消費者版本,一律採用統一更新的企業版本
b.申請使用Skype,一律需透過企業正式的簽核程序,簽核過後由IT安裝並進行控管,並將檔案傳遞功能關閉。
c.使用者電腦安裝端點安全軟體
高度安全性 : 使用中度安全性建議並透過proxy管控Skype流量
a.Skype流量透過HTTP/HTTPS代理伺服器集中控管,發生安全性威脅時可立即關閉該點的存取服務。
b.透過SSL/SOCKS5代理伺服器對將存取Skype服務的使用者進行身分認證,關閉P2P分享。
低度安全性 : 允許使用Skype消費者版本,但建議使用者進行安全性強化的設定
近年來有許多Skype管理的軟硬體技術,可以提供多種控管的解決方案。Skype的六種管理技術請參考iTHome,"如何管理員工的Skype使用行為"一文
Gartner提供Skype資安控管策略,越高的安全性控管策略所需花費的成本越高。因此企業在採用Skype策略與管理解決方案前應進行TCO分析。
沒有留言:
張貼留言
歡迎提供意見, 謝謝 (註 : 留言經過版主審核通過才會發布)