VoIP内容安全威胁和协议、应用安全威胁都是真实的，能够被演示。SIPtap上描述的通话窃听事件就是一个例子。其他可演示的威胁包括大量的泛洪攻击、通话终止攻击和通话劫持攻击以及一些VoIP特有的拒绝服务攻击。但是，这些威胁是已知的这个事实，就像我没有声明我是第一个发现这些威胁的人一样，并不是每个人都认识到了。

　　保护系统免受已知的VoIP攻击的威胁是可能的。标准的安全技术、运用防火墙技术、实现好的设计和操作策略都是好的开始和必要的一步，但是这并不能解决所有的问题。标准安全技术能够应付“标准的”威胁，但是专家级防范措施才能够解决许多VoIP特有的威胁。这就像email和web应用需要专家级的安全产品如垃圾邮件过滤器(spam filter)和网页内容和访问策略控制系统一样。相对于这两种应用VoIP更复杂，因此更需要一个专家级的威胁防范系统。

　　正如需要专家级安全技术来保护VoIP网络一样，用于识别安全漏洞的专家测试和分析技术同样是不可或缺的。标准的渗透和测试工具在发现网络层漏洞方面表现很好，但是它们缺乏发现大多VoIP应用、协议和内容相关威胁的能力。

　　那么，VoIP通话的窃听攻击还是假想的吗?其他所有的能够被演示的VoIP安全威胁也是猜想的吗?我想，答案显然是否定的。这些威胁是真实存在的。事实上，确实存在着安全控制措施能够保护免受这些威胁，但是在VoIP网络管理员意识到这些威胁存在以及意识到威胁的危险程度前，技术并不能起太大作用。

　　最后我来说说那个认为SIPtap只有在加密和其他安全控制措施被关闭的情况下才能起作用的评论吧。2007年11月在北京召开的最近一期SIPit论坛上，有报告说只有25%的被测试系统支持SRTP。SRTP是加密VoIP通话的标准协议。当然，可以认为是被测系统的样本太小，但是这个统计数据表明问题不在于是否能通过关闭加密来演示一个理论上的安全威胁，关键在于通过演示使大家认识到这个问题的存在，进而更多的VoIP系统生产商将加密功能集成到他们的产品中。