融合通信系统具备全方位安全防护体系,支持安全接入及私有化部署,为用户提供端到端的安全保障机制。
1 终端接入认证
Windows端扫码登录
Windows端支持无密码方式登录,使用手机端扫一扫二维码,可实现快速登录,有效保障账号泄漏盗用。
手机验证登录
当手机为必填时,首次登录或更换移动终端,必须通过手机短信验证后,方能登录,有效保障账号泄漏盗用。
IP终端安全验证
IP 话机通过 802.1x 实现准入认证,系统具备设备识别与设备类型绑定能力,可设置接入设备白名单,禁止非法设备注册
客户端白名单
软件客户端遵循当前部署网络内外网接入安全策略,同时提供白名单功能,可禁止白名单以外 IP 地址的客户端登录。保证了接入机制的安全性和灵活性。
2 通信业务安全
出于移动化及各种条件组网的需要,语音、视频、消息、文件等通信业务数据需要在一个相对开放的网络上传输,融合通信系统提供多种安全技术及管理机制,保障通信业务安全。
账号密码传输加密
消息账号采用 XMPP 协议 SASL 登录验证,账号密码采用MD5算法加密,最大长度128位,不可逆,双重安全性保障。采用 TLS 安全传输协议有效防止用户账号密码在传输过程中被拦截泄露。
信令、媒体及数据加密
采用 AES、DES及其改进型算法对 SIP 信令、RTP数据、即时消息数据进行加密,提供端到端的安全加密保障。对系统内重要配置数据及用户信息使用加密方式保存,结合系统及数据防护功能,确保信息数据的存储安全。
数字证书
基于浏览器访问服务器的接口均采用数字证书认证,企业可使用默认证书或更换为自有证书。
敏感词过滤
依托过滤词典,精准过滤有害信息,反垃圾信息,过滤词典内容可自定义添加,将 IM 消息中的敏感词进行屏蔽,同时以*方式显示。
消息录音审计
系统应支持对发送的消息、通话录音文件进行审计,查看和下载,以便追溯。
3 管理平面安全
管理分离
独立管理平台,与业务系统的“数据存储”和“传输端口”完全分离。
访问认证
基于Web,采用 HTTPS 认证访问。
访问限制
支持设置管理平台访问白名单,禁止非法 IP 登录。
口令加强
支持强口令配置,可强制要求系统账号用户使用8-16位包含字母、符号、数字组合的强密码。
日志告警
具备系统操作及运行日志查看、下载功能,系统异常将实时向系统管理员发送告警信息。
4 防盗打安全性
融合通信系统使用多重技术手段、防范措施、告警通知等安全机制,有效防止账号盗取、自动总机盗打、跨网关盗打等企业通信领域电话盗打等严重安全性问题。
安全存储保障
用户密码使用 Blowfish 算法进行加密存储,保障用户密码安全。
暴力破解防范
智能判断非法注册行为,在设置时间段内注册失败超出预设值,将对该账号进行限时锁定,同时记录告警日志、发送告警信息。
账号遍历防范
限制设置时间段内单一 IP 源账号登录数,超出将对该 IP 源进行锁定,同时记录告警日志、发送告警信息。
密码口令加强
可强制要求系统账号用户使用8-16位包含字母、符号、数字组合的强密码。
业务权限控制
支持用户呼叫权限设置,可根据用户业务范围限制呼叫权限,有效避免电话盗打。
账号设备限制
支持设置管理系统及客户端访问白名单,防止非法 IP 登录;支持设置终端型号注册白名单,防止非法设备注册。
呼叫次数限制
限制单一 IP 源在设置时间段内发起的呼叫次数,超出将对该 IP 源进行锁定,同时记录告警日志、发送告警信息。
呼叫并发限制
限制单一账号的同时呼叫并发数,包括内、外部呼叫,默认限制2路并发。
通话时长提醒
超出每日通话时长设置值时,发送提醒信息。
路由时长锁定
支持路由通话时长配置,在通话时间达到配置值后,该路由会被锁定,在锁定时间内用户不能再使用该路由,直到路由被自动或手动解锁为止。
国际长途国家码白名单
全局配置,配置允许外呼的国家码白名单,名单之外均无法呼叫。有效避免电话盗打。
5 系统网络安全
系统安全管理
系统服务器基于商用linux操作系统,通过取消Root直接访问权限、网络IP地址锁定、异常攻击记录与网络流量限制等手段,在操作系统和网络层面上提高系统防护能力。
防DOS攻击
DoS攻击是一种基于网络的、阻止用户正常访问网络服务的攻击。DoS攻击采用发起大量网络连接,使服务器或运行在服务器上的程序崩溃、耗尽服务器资源或以其它方式阻止客户访问网络服务,从而使网络服务无法正常运作甚至关闭。而融合通信系统能智能判断出来DOS攻击的数据,并进行丢弃屏蔽,尽可能保证正常业务的进行。
端口防护
系统iptables防火墙设置IP和端口过滤,隐藏关键端口,防止恶意攻击。
