IM软件安全保卫战已经开始

“我们上班时不可以使用任何即时通讯（IM）软件的，可以使用工作电子邮箱，但发的邮件是被监控的，主要是公司为了防止员工将程序源代码泄露出去。”这是一位在国内著名IT企业上班的朋友对我描述他们的工作环境。当然，虽然都是每天面对电脑、面对网络，但是工作性质不同，不同的公司在对IM软件使用上的限制自然也有所区别。

事实上，大家一谈到IM软件应用，往往首先想到的就是聊天。现在，诸如MSN、ICQ、Yahoo、QQ、UC等IM软件越来越多地进驻办公室，仍然主要是作为聊天工具，或者就是个传传文件，发发消息的小玩意，只不过现在大家聊的话题涉及公事更多而已。对企业的管理者而言，多半并不喜欢员工进行工作以外的事情，因此企业需要在便利及安全之间作选择。

虽然说目前大部分企业还是把IM软件定义为聊天而非沟通工具。因此国内有些大企业还是以限制与监控网络通讯过程，作为员工考核与奖惩的依据。不少企业为了避免员工在上班时没事就跟人聊天闲扯，便主张禁止IM软件的使用；然而，把IM软件列为禁忌，可能有点因噎废食，毕竟，使用IM软件好比双刃剑，利弊参半。一项针对IM软件使用情况所做的调查报告指出，有39%的使用者认为IM可以提升工作效率；若以即时沟通的观点出发，有82%的使用者认为网络即时通讯可以快速解决工作上沟通的问题；另有70%认为可以快速知道对方是否在线。由这些数据可以看出，IM软件对企业具有正面的效益。对于这样一个双刃剑，如何才能扬长避短，就需要考验企业的管理功力了。

最近，Gartner分析也指出，目前全球有30%以上的企业使用IM来从事商业沟通，但是只有少于1%的企业对IM做过管控。然而，面对近年来不断出现的通过IM软件传播的网络病毒，（IM）软件的有效管理就要提到企业的管理日程上来

脆弱的IM

大多数IM系统在设计的时候都考虑了可扩展性，但却没有充分地考虑安全问题。一个普遍的现象是，几乎所有免费的在线即时信息系统都缺乏加密功能，其中大多数都具备绕过传统的企业防火墙的功能，为网络管理带来了很大的困难。此外，这些系统中的密码管理不够安全，使账户容易受到攻击，还可能受到拒绝服务等方式的攻击。Gartner研究部副总裁Carl Claunch在谈起（IM）软件的安全问题时曾经忧心忡忡地说，安全顾虑、缺乏事后可追查的文件记录、服务品质有限、整合问题和欠缺对非文字媒体的支持，令企业对投资即时通信技术裹足不前。“IM的安全性不足，因为基本的IM架构不是专为信息保全而设计，”Claunch说：“你不会想电子转账10亿美元到瑞士的某家银行，然后用IM来确认这笔交易。”

事实上，IM一些自身的特点使很多IM系统成为迅速传播计算机蠕虫和混合病毒的理想平台。例如，IM普及迅速、应用广泛，为病毒传播提供了环境；IM集成可用来查找新目标目录，适合病毒的集群传播；在很多情况下，IM可以被简单易编的脚本控制，并容易被怀有恶意的人利用。

据了解，现在大多数IM系统采用了C/S结构。在大多数情况下，IM的传播是借助于服务器的，用户之间发送的信息未经加密（也没有办法加密），信息对于攻击者是清楚可见的，很容易导致信息被窃取。另外，即时信息系统还允许用户用非加密形式传输、交换文件，这样会导致蠕虫、特洛伊木马以及混合病毒的大量传播。而且，到目前为止，还没有安全软件提供商提供相应的网关扫描解决方案。

如果我们剖析一下IM软件的系统内部就会发现，很多IM系统都提供脚本编写功能，可以帮助用户编写VB、javascript等标准Windows程序，以便控制不同方式的信息代理。但它在为用户提供方便的同时，也为一些蠕虫和混合病毒的传播提供了途径。因此，专家提醒用户：非常有必要在个人计算机或终端计算机上实施防病毒保护，预防这类基于IM的恶意编码。

寻找某个软件的漏洞可以说是网络黑客的“主营业务”，而对这些基于Internet的应用软件，寻找程序漏洞对他们来说更是乐趣之一。黑客可以借助缓冲器溢出和畸形数据包等方式，攻击者可以访问任一台安装带有易攻击点的即时信息的客户端。有时候，系统供应上位用户提供的很多IM软件附加功能提高了即时信息系统客户端软件向Internet的开放程度，增加了系统遭受攻击的可能，也成了漏洞产生的“温床”，增加了系统遭受攻击的可能。此外，很多即时信息系统很容易受到账户窃取和哄骗程序的攻击，这些易攻击点允许攻击者窃取其他用户的即时信息账户，并扮演该用户与他人通信。此外，最要命的就是大多数人为了方便记忆，经常使用同一个密码，这样攻击者在打开没有安全措施的加密即时信息交换文件以后，还可通过同一密码进入其它的企业信息系统。

安全保卫战

虽然说IM软件发展的时间较短、协议专有，造成了现有信息安全工具在安全防护方面的不配套。但由于它已具有了广泛的用户群，并且发展十分迅速，所以，用户对相应的安全防护工具的要求十分迫切。现在已经有很多IT公司开发出了专门针对IM软件的安全保障系统。对企业来讲，有两种行之有效的方法可以对IM软件进行管理

“封闭式”管理

所谓“封闭式”管理就是建置企业内部的“实时信息系统”。企业必需设置自己内部的信息服务器，每台个人计算机必需安装特定的实时信息程序，该实时信息系统完全运作在企业的Intranet环境并不与外界有任何联系。“封闭式”实时信息系统的优点是可以提供企业更为安全文件及信息传输服务，同时信息管理人员又可对企业内部实时信息的使用加以管理，目前提供这方面解决方案的厂商有IBM、Jabber、Bantu等。

设置网关器

设置实时信息网关器(Messaging Gateway)：使用公开的“实时信息”程序(如AOL、ICQ、MSN)，但在公司内部设置实时信息网关器(Messaging Gateway)。与其让使用者“非法”(不在企业的Security Policy之内)使用这些具有安全考量的实时信息，企业可以考虑将这些“非法使用”的情形“合法化”并加以管理，主要的精神就在于“凡走过必留下痕迹”，任何进出的信息都必须留下记录，必要时信息管理人员才能根据这些记录追查来龙去脉。而目前提供这方面解决方案的厂商有Akonix Systems、FaceTime等。

而对于流行的即时通讯语音服务，窃听和携带恶意代码的数码照片的传播是主要的不安全因素之一。世界著名的咨询机构Gartner提醒各大企业要尤其注意即时通讯的安全性问题。Gartner建议企业用户采用三个方法进行预防：应用企业级的IM工具，对公共IM服务提供具体的管理工具和配套服务，或是这两种方法同时使用。

当我们无法抗拒Windows桌面右下角种着的ICQ绿色小花，或是伫立着MSN Messenger的蓝色小人带来的“魅力”，但又害怕这朵带刺的玫瑰时，回避问题不是办法，勇敢面对并解决问题才是首选！