IM软件安全保卫战已经开始(1)

　　“我们上班时不可以使用任何即时通讯（IM）软件的，可以使用工作电子邮箱，但发的邮件是被监控的，主要是公司为了防止员工将程序源代码泄露出去。”这是一位在国内著名IT企业上班的朋友对我描述他们的工作环境。当然，虽然都是每天面对电脑、面对网络，但是工作性质不同，不同的公司在对IM软件使用上的限制自然也有所区别。

　　事实上，大家一谈到IM软件应用，往往首先想到的就是聊天。现在，诸如MSN、ICQ、Yahoo、QQ、UC等IM软件越来越多地进驻办公室，仍然主要是作为聊天工具，或者就是个传传文件，发发消息的小玩意，只不过现在大家聊的话题涉及公事更多而已。对企业的管理者而言，多半并不喜欢员工进行工作以外的事情，因此企业需要在便利及安全之间作选择。

　　虽然说目前大部分企业还是把IM软件定义为聊天而非沟通工具。因此国内有些大企业还是以限制与监控网络通讯过程，作为员工考核与奖惩的依据。不少企业为了避免员工在上班时没事就跟人聊天闲扯，便主张禁止IM软件的使用；然而，把IM软件列为禁忌，可能有点因噎废食，毕竟，使用IM软件好比双刃剑，利弊参半。一项针对IM软件使用情况所做的调查报告指出，有39%的使用者认为IM可以提升工作效率；若以即时沟通的观点出发，有82%的使用者认为网络即时通讯可以快速解决工作上沟通的问题；另有70%认为可以快速知道对方是否在线。由这些数据可以看出，IM软件对企业具有正面的效益。对于这样一个双刃剑，如何才能扬长避短，就需要考验企业的管理功力了。

　　最近，Gartner分析也指出，目前全球有30%以上的企业使用IM来从事商业沟通，但是只有少于1%的企业对IM做过管控。然而，面对近年来不断出现的通过IM软件传播的网络病毒，（IM）软件的有效管理就要提到企业的管理日程上来

　　脆弱的IM

　　大多数IM系统在设计的时候都考虑了可扩展性，但却没有充分地考虑安全问题。一个普遍的现象是，几乎所有免费的在线即时信息系统都缺乏加密功能，其中大多数都具备绕过传统的企业防火墙的功能，为网络管理带来了很大的困难。此外，这些系统中的密码管理不够安全，使账户容易受到攻击，还可能受到拒绝服务等方式的攻击。Gartner研究部副总裁Carl Claunch在谈起（IM）软件的安全问题时曾经忧心忡忡地说，安全顾虑、缺乏事后可追查的文件记录、服务品质有限、整合问题和欠缺对非文字媒体的支持，令企业对投资即时通信技术裹足不前。“IM的安全性不足，因为基本的IM架构不是专为信息保全而设计，”Claunch说：“你不会想电子转账10亿美元到瑞士的某家银行，然后用IM来确认这笔交易。”