科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道企业级IM迈过安全门槛

企业级IM迈过安全门槛

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本期这篇编译自美国《网络世界》的文章向读者介绍了IM进入企业级应用时遇到的安全性问题。

来源:51cto 2008年1月5日

关键字: 即时消息 互联网

  • 评论
  • 分享微博
  • 分享邮件

随着信息爆炸及企业内部分工的逐步细化,企业员工之间通过互联网进行的信息交流正越来越频繁,基于传统C-S-C(客户机-服务器-客户机)模式的电子邮件系统在信息传递速度上已经不能满足企业的要求,而曾在公众互联网上取得巨大成功的即时通信系统由于采用了P2P的即时传递模式,正令越来越多的企业关注。本期这篇编译自美国《网络世界》的文章向读者介绍了IM进入企业级应用时遇到的安全性问题。

公众IM难入企业法眼

从美国企业界目前的经验来看,即时通信(IM)系统的确能给企业带来极大的方便,而以前人们普遍认同的“IM会降低公司员工的效率”的观点正在被越来越多的CEO和CIO们所摒弃。

即时性是IM软件的最大特点,企业员工可以通过即时通信系统方便快捷地进行信息交互,现在最新的IM软件所具有的文件、语音及视频传输功能也对提高员工的工作效率有很大的帮助。但是除了工作效率的问题,影响IM软件进入企业的重要因素还有安全的问题。

由于面向对象的可视化编程语言的发展,现在即使是初出茅庐的程序员也能很容易地编写出简单的即时通信系统,但由于P2P技术绕过了服务器,信息的安全性确实难以保证。IM的安全之忧主要表现在以下这几个方面:

1. 蠕虫病毒的传播

很多被病毒感染的文件可能利用即时通信系统进行传播。大众普遍使用的即时通信系统就有很多已知的漏洞,黑客可以用缓冲区溢出、拒绝服务等攻击方式,通过IM软件对整个网络系统进行攻击或传播病毒。

2. 用户账号和密码被盗

对于黑客来说,盗用那些存放在个人电脑中的IM软件的账号和密码是非常容易的事情,因为攻击客户机要比攻击服务器容易得多。

3. 开放端口的隐患

大多数即时通信系统都是通过公开的端口进行信息传送的。如:MSN通过1863端口进行信息传输,而Yahoo用的是5050端口。即时通信系统很可能因为这些开放的端口受到黑客攻击。

4. 消息传送权限的不确定性

在即时通信系统中,信息的发送及接收都应该有相应的权限设置,如果这些设置处理不当,必然会存在很多不安全的因素,比如QQ上经常出现的QQ炸弹往往就是“陌生人”扔出来的。

5. 垃圾信息的泛滥

据统计,即时通信系统中传输的信息有5%~7%是垃圾信息,这个比例正随着越来越多的人开始使用公众IM而不断升高。

管理企业中的个人消息

正因为大众化的即时通信系统具有安全性等各方面的问题,企业需要更加安全地能满足企业个性化要求的即时通信系统,各大供应商也看准了这个时机努力改进自己的产品,腾讯很早就推出了企业版的QQ,微软最近也在这方面有新的举措。下面介绍的几种即时通信系统都是已经在很多企业用户中得到成功应用的,比如:Akonix公司的L7 Enterprise、FaceTime Communications公司的IM Auditor、IM-Age软件公司的IM Policy Manager和IMlogic公司的IM Manager。通过对这些即时通信系统的配置,系统管理员可以对即时通信系统中传送的信息进行监控,并加强了IM安全性。

这4种即时通信系统都有很好的表现,能够满足不同企业的需求。它们都具有将传送的信息写入日志文件以备将来查阅、配置通信策略、转发信息等功能。这些功能中,将传送的信息写入日志文件是非常重要的,几乎每个即时通信系统都有此功能而且在这方面做得非常好。

虽然这4种即时通信系统都能进行信息传送,但各有各的特点。Akonix公司的 L7 Enterprise在通信策略的管理、自动产生个性化的用户使用报告方面要优于其他产品。它在不同的用户组中使用不同的通信策略,系统管理员能够新建详细的规则和策略,这一点在文件传输过程中很重要,系统管理员通过设置可以按文件的类型、大小和日期对文件进行管理,而其他3种产品将新建策略的功能放在可有可无的地位上。而且,只有L7 Enterprise能够通过配置达到如下要求:允许市场部的人员只能在早八点到晚五点之间传送PDF类型和JPEG类型的文件。

Akonix还允许使用基于IP地址和用户账号的规则。这些规则对于使用笔记本电脑的用户非常有用,他们可能在不同的地方使用即时通信系统发送信息,但他们的账号和密码是不会变的。

其他的3种产品也提供了固定的策略管理模式。IMLogic有一个默认的规则集,系统管理员可以创建各种用户组,每个用户组使用不同的规则集。虽然文件传输策略是可有可无的,但它可以设置组到组之间的文件传输策略。在IMLogic中,管理员可以设置一个词汇表来拒收某个组发送过来的文件,也可以为每个组设置个性化的拒绝接收的文本。这些过滤规则可以应用到特定的组、全部用户或者某一个特定用户。如果接收到列在拒收表中的文件时,即时通信系统可以发出警告,给管理员发送电子邮件或者将此事件写入Windows的系统日志。

FaceTime公司的IM Auditor也采用类似的方法进行策略管理。它本身具有一组默认的全局策略,如果系统管理员创建新的组,则可以为新组设置个性化的通信策略。同样,文件传输策略也是可有可无的,它也可为不同的组设置不同的文件传输策略,但它有以下两个新功能:

(1)用户可以使用内置的音频和视频功能,还可以玩内置的游戏;

(2)FaceTime将包过滤功能从系统管理功能中分离出来,可以通过词汇索引来浏览传输的内容。

IM-Age让系统管理员为不同的用户组创建个性化的规则集。这些规则集中包含了IM-Age客户应该如何使用系统的一些说明。按词汇表拒收的功能得到了加强,它将词汇进行了分类(如程序代码、销售记录等),然后将不同的类用于不同的分组。

IMLogic设计了非常友好的界面,它可以在同一窗口进行即时通信监控、漏洞管理和策略的设置。IMLogic也提供单独的检测器来检测那些蓄意修改配置的入侵者。

IM-Age适用于系统管理员能够在每个客户端安装运行程序的公司中。无论用户在局域网上还是在其他的地方,系统管理员都能够通过命令来管理所有的传输的即时通信。IM-Age的客户端也能在隐藏模式下运行,其另一个特征是它将所有传输的信息进行加密。高达448位的Rolling Salt Blowfish加密引擎整合在客户端,当用户传输重要信息时IM-Age能够对信息进行很好的保护。

这4种不同的软件都针对系统目录、用户管理系统、防火墙及其他的网络通信管理工具设计了不同的接口。Aknoix和Facetime与Windows活动目录和Sun ONE目录等多个系统目录进行了整合。Aknoix与Novell公司的eDirectory进行了同步,Facetime与IMB的Lotus Domino进行了同步。

IMLogic也做了目录的输入和同步,但都是一些最基本的操作,而且受到LDAP(Lightweight Directory Access Protocol)的限制。它的这些功能相对于其他产品来说非常简单。也正因为如此,系统管理员必须了解本地目录的情况才能解决面临的很多问题,如端口和对象类。

这4种产品在后台运行时都必须保持隐藏的状态,不管你是不是正在使用即时通信系统,都不影响它们的功能。如果检测到入侵时,即时通信系统都能将报告发送给用户。此外,所有这些产品都能够定制不同的信息发送给入侵者,系统管理员也可以决定如何来警告入侵者。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章