企業(yè)級IM邁過安全門檻

2004/09/10

公眾IM難入企業(yè)法眼

　　從美國企業(yè)界目前的經驗來看，即時通信（IM）系統的確能給企業(yè)帶來極大的方便，而以前人們普遍認同的“IM會降低公司員工的效率”的觀點正在被越來越多的CEO和CIO們所摒棄。

　　即時性是IM軟件的最大特點，企業(yè)員工可以通過即時通信系統方便快捷地進行信息交互，現在最新的IM軟件所具有的文件、語音及視頻傳輸功能也對提高員工的工作效率有很大的幫助。但是除了工作效率的問題，影響IM軟件進入企業(yè)的重要因素還有安全的問題。

　　由于面向對象的可視化編程語言的發(fā)展，現在即使是初出茅廬的程序員也能很容易地編寫出簡單的即時通信系統，但由于P2P技術繞過了服務器，信息的安全性確實難以保證。IM的安全之憂主要表現在以下這幾個方面：

1. 蠕蟲病毒的傳播

　　很多被病毒感染的文件可能利用即時通信系統進行傳播。大眾普遍使用的即時通信系統就有很多已知的漏洞，黑客可以用緩沖區(qū)溢出、拒絕服務等攻擊方式，通過IM軟件對整個網絡系統進行攻擊或傳播病毒。

2. 用戶賬號和密碼被盜

　　對于黑客來說，盜用那些存放在個人電腦中的IM軟件的賬號和密碼是非常容易的事情，因為攻擊客戶機要比攻擊服務器容易得多。

3. 開放端口的隱患

　　大多數即時通信系統都是通過公開的端口進行信息傳送的。如：MSN通過1863端口進行信息傳輸，而Yahoo用的是5050端口。即時通信系統很可能因為這些開放的端口受到黑客攻擊。

4. 消息傳送權限的不確定性

　　在即時通信系統中，信息的發(fā)送及接收都應該有相應的權限設置，如果這些設置處理不當，必然會存在很多不安全的因素，比如QQ上經常出現的QQ炸彈往往就是“陌生人”扔出來的。

5. 垃圾信息的泛濫

　　據統計，即時通信系統中傳輸的信息有5％～7％是垃圾信息，這個比例正隨著越來越多的人開始使用公眾IM而不斷升高。

管理企業(yè)中的個人消息

　　正因為大眾化的即時通信系統具有安全性等各方面的問題，企業(yè)需要更加安全地能滿足企業(yè)個性化要求的即時通信系統，各大供應商也看準了這個時機努力改進自己的產品，騰訊很早就推出了企業(yè)版的QQ，微軟最近也在這方面有新的舉措。下面介紹的幾種即時通信系統都是已經在很多企業(yè)用戶中得到成功應用的，比如：Akonix公司的L7 Enterprise、FaceTime Communications公司的IM Auditor、IM-Age軟件公司的IM Policy Manager和IMlogic公司的IM Manager。通過對這些即時通信系統的配置，系統管理員可以對即時通信系統中傳送的信息進行監(jiān)控，并加強了IM安全性。

　　這4種即時通信系統都有很好的表現，能夠滿足不同企業(yè)的需求。它們都具有將傳送的信息寫入日志文件以備將來查閱、配置通信策略、轉發(fā)信息等功能。這些功能中，將傳送的信息寫入日志文件是非常重要的，幾乎每個即時通信系統都有此功能而且在這方面做得非常好。

　　雖然這4種即時通信系統都能進行信息傳送，但各有各的特點。Akonix公司的 L7 Enterprise在通信策略的管理、自動產生個性化的用戶使用報告方面要優(yōu)于其他產品。它在不同的用戶組中使用不同的通信策略，系統管理員能夠新建詳細的規(guī)則和策略，這一點在文件傳輸過程中很重要，系統管理員通過設置可以按文件的類型、大小和日期對文件進行管理，而其他3種產品將新建策略的功能放在可有可無的地位上。而且，只有L7 Enterprise能夠通過配置達到如下要求：允許市場部的人員只能在早八點到晚五點之間傳送PDF類型和JPEG類型的文件。

　　Akonix還允許使用基于IP地址和用戶賬號的規(guī)則。這些規(guī)則對于使用筆記本電腦的用戶非常有用，他們可能在不同的地方使用即時通信系統發(fā)送信息，但他們的賬號和密碼是不會變的。

　　其他的3種產品也提供了固定的策略管理模式。IMLogic有一個默認的規(guī)則集，系統管理員可以創(chuàng)建各種用戶組，每個用戶組使用不同的規(guī)則集。雖然文件傳輸策略是可有可無的，但它可以設置組到組之間的文件傳輸策略。在IMLogic中，管理員可以設置一個詞匯表來拒收某個組發(fā)送過來的文件，也可以為每個組設置個性化的拒絕接收的文本。這些過濾規(guī)則可以應用到特定的組、全部用戶或者某一個特定用戶。如果接收到列在拒收表中的文件時，即時通信系統可以發(fā)出警告，給管理員發(fā)送電子郵件或者將此事件寫入Windows的系統日志。

　　FaceTime公司的IM Auditor也采用類似的方法進行策略管理。它本身具有一組默認的全局策略，如果系統管理員創(chuàng)建新的組，則可以為新組設置個性化的通信策略。同樣，文件傳輸策略也是可有可無的，它也可為不同的組設置不同的文件傳輸策略，但它有以下兩個新功能：

（1）用戶可以使用內置的音頻和視頻功能，還可以玩內置的游戲；

（2）FaceTime將包過濾功能從系統管理功能中分離出來，可以通過詞匯索引來瀏覽傳輸的內容。

　　IM-Age讓系統管理員為不同的用戶組創(chuàng)建個性化的規(guī)則集。這些規(guī)則集中包含了IM-Age客戶應該如何使用系統的一些說明。按詞匯表拒收的功能得到了加強，它將詞匯進行了分類（如程序代碼、銷售記錄等），然后將不同的類用于不同的分組。

IMLogic設計了非常友好的界面，它可以在同一窗口進行即時通信監(jiān)控、漏洞管理和策略的設置。IMLogic也提供單獨的檢測器來檢測那些蓄意修改配置的入侵者。

　　IM-Age適用于系統管理員能夠在每個客戶端安裝運行程序的公司中。無論用戶在局域網上還是在其他的地方，系統管理員都能夠通過命令來管理所有的傳輸的即時通信。IM-Age的客戶端也能在隱藏模式下運行，其另一個特征是它將所有傳輸的信息進行加密。高達448位的Rolling Salt Blowfish加密引擎整合在客戶端，當用戶傳輸重要信息時IM-Age能夠對信息進行很好的保護。

　　這4種不同的軟件都針對系統目錄、用戶管理系統、防火墻及其他的網絡通信管理工具設計了不同的接口。Aknoix和Facetime與Windows活動目錄和Sun ONE目錄等多個系統目錄進行了整合。Aknoix與Novell公司的eDirectory進行了同步，Facetime與IMB的Lotus Domino進行了同步。

　　IMLogic也做了目錄的輸入和同步，但都是一些最基本的操作，而且受到LDAP（Lightweight Directory Access Protocol）的限制。它的這些功能相對于其他產品來說非常簡單。也正因為如此，系統管理員必須了解本地目錄的情況才能解決面臨的很多問題，如端口和對象類。

　　這4種產品在后臺運行時都必須保持隱藏的狀態(tài)，不管你是不是正在使用即時通信系統，都不影響它們的功能。如果檢測到入侵時，即時通信系統都能將報告發(fā)送給用戶。此外，所有這些產品都能夠定制不同的信息發(fā)送給入侵者，系統管理員也可以決定如何來警告入侵者。