企業(yè)級IM邁過(guò)安全門(mén)檻

2004/09/10

公眾IM難入企業(yè)法眼

　　從美國企業(yè)界目前的經(jīng)驗來(lái)看，即時(shí)通信（IM）系統的確能給企業(yè)帶來(lái)極大的方便，而以前人們普遍認同的“IM會(huì )降低公司員工的效率”的觀(guān)點(diǎn)正在被越來(lái)越多的CEO和CIO們所摒棄。

　　即時(shí)性是IM軟件的最大特點(diǎn)，企業(yè)員工可以通過(guò)即時(shí)通信系統方便快捷地進(jìn)行信息交互，現在最新的IM軟件所具有的文件、語(yǔ)音及視頻傳輸功能也對提高員工的工作效率有很大的幫助。但是除了工作效率的問(wèn)題，影響IM軟件進(jìn)入企業(yè)的重要因素還有安全的問(wèn)題。

　　由于面向對象的可視化編程語(yǔ)言的發(fā)展，現在即使是初出茅廬的程序員也能很容易地編寫(xiě)出簡(jiǎn)單的即時(shí)通信系統，但由于P2P技術(shù)繞過(guò)了服務(wù)器，信息的安全性確實(shí)難以保證。IM的安全之憂(yōu)主要表現在以下這幾個(gè)方面：

1. 蠕蟲(chóng)病毒的傳播

　　很多被病毒感染的文件可能利用即時(shí)通信系統進(jìn)行傳播。大眾普遍使用的即時(shí)通信系統就有很多已知的漏洞，黑客可以用緩沖區溢出、拒絕服務(wù)等攻擊方式，通過(guò)IM軟件對整個(gè)網(wǎng)絡(luò )系統進(jìn)行攻擊或傳播病毒。

2. 用戶(hù)賬號和密碼被盜

　　對于黑客來(lái)說(shuō)，盜用那些存放在個(gè)人電腦中的IM軟件的賬號和密碼是非常容易的事情，因為攻擊客戶(hù)機要比攻擊服務(wù)器容易得多。

3. 開(kāi)放端口的隱患

　　大多數即時(shí)通信系統都是通過(guò)公開(kāi)的端口進(jìn)行信息傳送的。如：MSN通過(guò)1863端口進(jìn)行信息傳輸，而Yahoo用的是5050端口。即時(shí)通信系統很可能因為這些開(kāi)放的端口受到黑客攻擊。

4. 消息傳送權限的不確定性

　　在即時(shí)通信系統中，信息的發(fā)送及接收都應該有相應的權限設置，如果這些設置處理不當，必然會(huì )存在很多不安全的因素，比如QQ上經(jīng)常出現的QQ炸彈往往就是“陌生人”扔出來(lái)的。

5. 垃圾信息的泛濫

　　據統計，即時(shí)通信系統中傳輸的信息有5％～7％是垃圾信息，這個(gè)比例正隨著(zhù)越來(lái)越多的人開(kāi)始使用公眾IM而不斷升高。

管理企業(yè)中的個(gè)人消息

　　正因為大眾化的即時(shí)通信系統具有安全性等各方面的問(wèn)題，企業(yè)需要更加安全地能滿(mǎn)足企業(yè)個(gè)性化要求的即時(shí)通信系統，各大供應商也看準了這個(gè)時(shí)機努力改進(jìn)自己的產(chǎn)品，騰訊很早就推出了企業(yè)版的QQ，微軟最近也在這方面有新的舉措。下面介紹的幾種即時(shí)通信系統都是已經(jīng)在很多企業(yè)用戶(hù)中得到成功應用的，比如：Akonix公司的L7 Enterprise、FaceTime Communications公司的IM Auditor、IM-Age軟件公司的IM Policy Manager和IMlogic公司的IM Manager。通過(guò)對這些即時(shí)通信系統的配置，系統管理員可以對即時(shí)通信系統中傳送的信息進(jìn)行監控，并加強了IM安全性。

　　這4種即時(shí)通信系統都有很好的表現，能夠滿(mǎn)足不同企業(yè)的需求。它們都具有將傳送的信息寫(xiě)入日志文件以備將來(lái)查閱、配置通信策略、轉發(fā)信息等功能。這些功能中，將傳送的信息寫(xiě)入日志文件是非常重要的，幾乎每個(gè)即時(shí)通信系統都有此功能而且在這方面做得非常好。

　　雖然這4種即時(shí)通信系統都能進(jìn)行信息傳送，但各有各的特點(diǎn)。Akonix公司的 L7 Enterprise在通信策略的管理、自動(dòng)產(chǎn)生個(gè)性化的用戶(hù)使用報告方面要優(yōu)于其他產(chǎn)品。它在不同的用戶(hù)組中使用不同的通信策略，系統管理員能夠新建詳細的規則和策略，這一點(diǎn)在文件傳輸過(guò)程中很重要，系統管理員通過(guò)設置可以按文件的類(lèi)型、大小和日期對文件進(jìn)行管理，而其他3種產(chǎn)品將新建策略的功能放在可有可無(wú)的地位上。而且，只有L7 Enterprise能夠通過(guò)配置達到如下要求：允許市場(chǎng)部的人員只能在早八點(diǎn)到晚五點(diǎn)之間傳送PDF類(lèi)型和JPEG類(lèi)型的文件。

　　Akonix還允許使用基于IP地址和用戶(hù)賬號的規則。這些規則對于使用筆記本電腦的用戶(hù)非常有用，他們可能在不同的地方使用即時(shí)通信系統發(fā)送信息，但他們的賬號和密碼是不會(huì )變的。

　　其他的3種產(chǎn)品也提供了固定的策略管理模式。IMLogic有一個(gè)默認的規則集，系統管理員可以創(chuàng )建各種用戶(hù)組，每個(gè)用戶(hù)組使用不同的規則集。雖然文件傳輸策略是可有可無(wú)的，但它可以設置組到組之間的文件傳輸策略。在IMLogic中，管理員可以設置一個(gè)詞匯表來(lái)拒收某個(gè)組發(fā)送過(guò)來(lái)的文件，也可以為每個(gè)組設置個(gè)性化的拒絕接收的文本。這些過(guò)濾規則可以應用到特定的組、全部用戶(hù)或者某一個(gè)特定用戶(hù)。如果接收到列在拒收表中的文件時(shí)，即時(shí)通信系統可以發(fā)出警告，給管理員發(fā)送電子郵件或者將此事件寫(xiě)入Windows的系統日志。

　　FaceTime公司的IM Auditor也采用類(lèi)似的方法進(jìn)行策略管理。它本身具有一組默認的全局策略，如果系統管理員創(chuàng )建新的組，則可以為新組設置個(gè)性化的通信策略。同樣，文件傳輸策略也是可有可無(wú)的，它也可為不同的組設置不同的文件傳輸策略，但它有以下兩個(gè)新功能：

（1）用戶(hù)可以使用內置的音頻和視頻功能，還可以玩內置的游戲；

（2）FaceTime將包過(guò)濾功能從系統管理功能中分離出來(lái)，可以通過(guò)詞匯索引來(lái)瀏覽傳輸的內容。

　　IM-Age讓系統管理員為不同的用戶(hù)組創(chuàng )建個(gè)性化的規則集。這些規則集中包含了IM-Age客戶(hù)應該如何使用系統的一些說(shuō)明。按詞匯表拒收的功能得到了加強，它將詞匯進(jìn)行了分類(lèi)（如程序代碼、銷(xiāo)售記錄等），然后將不同的類(lèi)用于不同的分組。

IMLogic設計了非常友好的界面，它可以在同一窗口進(jìn)行即時(shí)通信監控、漏洞管理和策略的設置。IMLogic也提供單獨的檢測器來(lái)檢測那些蓄意修改配置的入侵者。

　　IM-Age適用于系統管理員能夠在每個(gè)客戶(hù)端安裝運行程序的公司中。無(wú)論用戶(hù)在局域網(wǎng)上還是在其他的地方，系統管理員都能夠通過(guò)命令來(lái)管理所有的傳輸的即時(shí)通信。IM-Age的客戶(hù)端也能在隱藏模式下運行，其另一個(gè)特征是它將所有傳輸的信息進(jìn)行加密。高達448位的Rolling Salt Blowfish加密引擎整合在客戶(hù)端，當用戶(hù)傳輸重要信息時(shí)IM-Age能夠對信息進(jìn)行很好的保護。

　　這4種不同的軟件都針對系統目錄、用戶(hù)管理系統、防火墻及其他的網(wǎng)絡(luò )通信管理工具設計了不同的接口。Aknoix和Facetime與Windows活動(dòng)目錄和Sun ONE目錄等多個(gè)系統目錄進(jìn)行了整合。Aknoix與Novell公司的eDirectory進(jìn)行了同步，Facetime與IMB的Lotus Domino進(jìn)行了同步。

　　IMLogic也做了目錄的輸入和同步，但都是一些最基本的操作，而且受到LDAP（Lightweight Directory Access Protocol）的限制。它的這些功能相對于其他產(chǎn)品來(lái)說(shuō)非常簡(jiǎn)單。也正因為如此，系統管理員必須了解本地目錄的情況才能解決面臨的很多問(wèn)題，如端口和對象類(lèi)。

　　這4種產(chǎn)品在后臺運行時(shí)都必須保持隱藏的狀態(tài)，不管你是不是正在使用即時(shí)通信系統，都不影響它們的功能。如果檢測到入侵時(shí)，即時(shí)通信系統都能將報告發(fā)送給用戶(hù)。此外，所有這些產(chǎn)品都能夠定制不同的信息發(fā)送給入侵者，系統管理員也可以決定如何來(lái)警告入侵者。