首頁>>>技術(shù)>>>即時(shí)通信

企業(yè)級IM邁過安全門檻

2004/09/10

  隨著信息爆炸及企業(yè)內(nèi)部分工的逐步細(xì)化,企業(yè)員工之間通過互聯(lián)網(wǎng)進(jìn)行的信息交流正越來越頻繁,基于傳統(tǒng)C-S-C(客戶機(jī)-服務(wù)器-客戶機(jī))模式的電子郵件系統(tǒng)在信息傳遞速度上已經(jīng)不能滿足企業(yè)的要求,而曾在公眾互聯(lián)網(wǎng)上取得巨大成功的即時(shí)通信系統(tǒng)由于采用了P2P的即時(shí)傳遞模式,正令越來越多的企業(yè)關(guān)注。本期這篇編譯自美國《網(wǎng)絡(luò)世界》的文章向讀者介紹了IM進(jìn)入企業(yè)級應(yīng)用時(shí)遇到的安全性問題。

公眾IM難入企業(yè)法眼

  從美國企業(yè)界目前的經(jīng)驗(yàn)來看,即時(shí)通信(IM)系統(tǒng)的確能給企業(yè)帶來極大的方便,而以前人們普遍認(rèn)同的“IM會降低公司員工的效率”的觀點(diǎn)正在被越來越多的CEO和CIO們所摒棄。

  即時(shí)性是IM軟件的最大特點(diǎn),企業(yè)員工可以通過即時(shí)通信系統(tǒng)方便快捷地進(jìn)行信息交互,現(xiàn)在最新的IM軟件所具有的文件、語音及視頻傳輸功能也對提高員工的工作效率有很大的幫助。但是除了工作效率的問題,影響IM軟件進(jìn)入企業(yè)的重要因素還有安全的問題。

  由于面向?qū)ο蟮目梢暬幊陶Z言的發(fā)展,現(xiàn)在即使是初出茅廬的程序員也能很容易地編寫出簡單的即時(shí)通信系統(tǒng),但由于P2P技術(shù)繞過了服務(wù)器,信息的安全性確實(shí)難以保證。IM的安全之憂主要表現(xiàn)在以下這幾個(gè)方面:

1. 蠕蟲病毒的傳播

  很多被病毒感染的文件可能利用即時(shí)通信系統(tǒng)進(jìn)行傳播。大眾普遍使用的即時(shí)通信系統(tǒng)就有很多已知的漏洞,黑客可以用緩沖區(qū)溢出、拒絕服務(wù)等攻擊方式,通過IM軟件對整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊或傳播病毒。

2. 用戶賬號和密碼被盜

  對于黑客來說,盜用那些存放在個(gè)人電腦中的IM軟件的賬號和密碼是非常容易的事情,因?yàn)楣艨蛻魴C(jī)要比攻擊服務(wù)器容易得多。

3. 開放端口的隱患

  大多數(shù)即時(shí)通信系統(tǒng)都是通過公開的端口進(jìn)行信息傳送的。如:MSN通過1863端口進(jìn)行信息傳輸,而Yahoo用的是5050端口。即時(shí)通信系統(tǒng)很可能因?yàn)檫@些開放的端口受到黑客攻擊。

4. 消息傳送權(quán)限的不確定性

  在即時(shí)通信系統(tǒng)中,信息的發(fā)送及接收都應(yīng)該有相應(yīng)的權(quán)限設(shè)置,如果這些設(shè)置處理不當(dāng),必然會存在很多不安全的因素,比如QQ上經(jīng)常出現(xiàn)的QQ炸彈往往就是“陌生人”扔出來的。

5. 垃圾信息的泛濫

  據(jù)統(tǒng)計(jì),即時(shí)通信系統(tǒng)中傳輸?shù)男畔⒂?%~7%是垃圾信息,這個(gè)比例正隨著越來越多的人開始使用公眾IM而不斷升高。

管理企業(yè)中的個(gè)人消息

  正因?yàn)榇蟊娀募磿r(shí)通信系統(tǒng)具有安全性等各方面的問題,企業(yè)需要更加安全地能滿足企業(yè)個(gè)性化要求的即時(shí)通信系統(tǒng),各大供應(yīng)商也看準(zhǔn)了這個(gè)時(shí)機(jī)努力改進(jìn)自己的產(chǎn)品,騰訊很早就推出了企業(yè)版的QQ,微軟最近也在這方面有新的舉措。下面介紹的幾種即時(shí)通信系統(tǒng)都是已經(jīng)在很多企業(yè)用戶中得到成功應(yīng)用的,比如:Akonix公司的L7 Enterprise、FaceTime Communications公司的IM Auditor、IM-Age軟件公司的IM Policy Manager和IMlogic公司的IM Manager。通過對這些即時(shí)通信系統(tǒng)的配置,系統(tǒng)管理員可以對即時(shí)通信系統(tǒng)中傳送的信息進(jìn)行監(jiān)控,并加強(qiáng)了IM安全性。

  這4種即時(shí)通信系統(tǒng)都有很好的表現(xiàn),能夠滿足不同企業(yè)的需求。它們都具有將傳送的信息寫入日志文件以備將來查閱、配置通信策略、轉(zhuǎn)發(fā)信息等功能。這些功能中,將傳送的信息寫入日志文件是非常重要的,幾乎每個(gè)即時(shí)通信系統(tǒng)都有此功能而且在這方面做得非常好。

  雖然這4種即時(shí)通信系統(tǒng)都能進(jìn)行信息傳送,但各有各的特點(diǎn)。Akonix公司的 L7 Enterprise在通信策略的管理、自動產(chǎn)生個(gè)性化的用戶使用報(bào)告方面要優(yōu)于其他產(chǎn)品。它在不同的用戶組中使用不同的通信策略,系統(tǒng)管理員能夠新建詳細(xì)的規(guī)則和策略,這一點(diǎn)在文件傳輸過程中很重要,系統(tǒng)管理員通過設(shè)置可以按文件的類型、大小和日期對文件進(jìn)行管理,而其他3種產(chǎn)品將新建策略的功能放在可有可無的地位上。而且,只有L7 Enterprise能夠通過配置達(dá)到如下要求:允許市場部的人員只能在早八點(diǎn)到晚五點(diǎn)之間傳送PDF類型和JPEG類型的文件。

  Akonix還允許使用基于IP地址和用戶賬號的規(guī)則。這些規(guī)則對于使用筆記本電腦的用戶非常有用,他們可能在不同的地方使用即時(shí)通信系統(tǒng)發(fā)送信息,但他們的賬號和密碼是不會變的。

  其他的3種產(chǎn)品也提供了固定的策略管理模式。IMLogic有一個(gè)默認(rèn)的規(guī)則集,系統(tǒng)管理員可以創(chuàng)建各種用戶組,每個(gè)用戶組使用不同的規(guī)則集。雖然文件傳輸策略是可有可無的,但它可以設(shè)置組到組之間的文件傳輸策略。在IMLogic中,管理員可以設(shè)置一個(gè)詞匯表來拒收某個(gè)組發(fā)送過來的文件,也可以為每個(gè)組設(shè)置個(gè)性化的拒絕接收的文本。這些過濾規(guī)則可以應(yīng)用到特定的組、全部用戶或者某一個(gè)特定用戶。如果接收到列在拒收表中的文件時(shí),即時(shí)通信系統(tǒng)可以發(fā)出警告,給管理員發(fā)送電子郵件或者將此事件寫入Windows的系統(tǒng)日志。

  FaceTime公司的IM Auditor也采用類似的方法進(jìn)行策略管理。它本身具有一組默認(rèn)的全局策略,如果系統(tǒng)管理員創(chuàng)建新的組,則可以為新組設(shè)置個(gè)性化的通信策略。同樣,文件傳輸策略也是可有可無的,它也可為不同的組設(shè)置不同的文件傳輸策略,但它有以下兩個(gè)新功能:

(1)用戶可以使用內(nèi)置的音頻和視頻功能,還可以玩內(nèi)置的游戲;

(2)FaceTime將包過濾功能從系統(tǒng)管理功能中分離出來,可以通過詞匯索引來瀏覽傳輸?shù)膬?nèi)容。

  IM-Age讓系統(tǒng)管理員為不同的用戶組創(chuàng)建個(gè)性化的規(guī)則集。這些規(guī)則集中包含了IM-Age客戶應(yīng)該如何使用系統(tǒng)的一些說明。按詞匯表拒收的功能得到了加強(qiáng),它將詞匯進(jìn)行了分類(如程序代碼、銷售記錄等),然后將不同的類用于不同的分組。

IMLogic設(shè)計(jì)了非常友好的界面,它可以在同一窗口進(jìn)行即時(shí)通信監(jiān)控、漏洞管理和策略的設(shè)置。IMLogic也提供單獨(dú)的檢測器來檢測那些蓄意修改配置的入侵者。

  IM-Age適用于系統(tǒng)管理員能夠在每個(gè)客戶端安裝運(yùn)行程序的公司中。無論用戶在局域網(wǎng)上還是在其他的地方,系統(tǒng)管理員都能夠通過命令來管理所有的傳輸?shù)募磿r(shí)通信。IM-Age的客戶端也能在隱藏模式下運(yùn)行,其另一個(gè)特征是它將所有傳輸?shù)男畔⑦M(jìn)行加密。高達(dá)448位的Rolling Salt Blowfish加密引擎整合在客戶端,當(dāng)用戶傳輸重要信息時(shí)IM-Age能夠?qū)π畔⑦M(jìn)行很好的保護(hù)。

  這4種不同的軟件都針對系統(tǒng)目錄、用戶管理系統(tǒng)、防火墻及其他的網(wǎng)絡(luò)通信管理工具設(shè)計(jì)了不同的接口。Aknoix和Facetime與Windows活動目錄和Sun ONE目錄等多個(gè)系統(tǒng)目錄進(jìn)行了整合。Aknoix與Novell公司的eDirectory進(jìn)行了同步,F(xiàn)acetime與IMB的Lotus Domino進(jìn)行了同步。

  IMLogic也做了目錄的輸入和同步,但都是一些最基本的操作,而且受到LDAP(Lightweight Directory Access Protocol)的限制。它的這些功能相對于其他產(chǎn)品來說非常簡單。也正因?yàn)槿绱,系統(tǒng)管理員必須了解本地目錄的情況才能解決面臨的很多問題,如端口和對象類。

  這4種產(chǎn)品在后臺運(yùn)行時(shí)都必須保持隱藏的狀態(tài),不管你是不是正在使用即時(shí)通信系統(tǒng),都不影響它們的功能。如果檢測到入侵時(shí),即時(shí)通信系統(tǒng)都能將報(bào)告發(fā)送給用戶。此外,所有這些產(chǎn)品都能夠定制不同的信息發(fā)送給入侵者,系統(tǒng)管理員也可以決定如何來警告入侵者。

計(jì)算機(jī)世界網(wǎng)


相關(guān)鏈接:
移動即時(shí)消息——3G業(yè)務(wù)的新亮點(diǎn) 2004-08-03
誰需要企業(yè)即時(shí)通信 2004-07-30
IM軟件的企業(yè)化之路 2004-06-28
即時(shí)通訊市場眾生相 2004-06-24
當(dāng)馬車跑上高速路:即時(shí)通訊的機(jī)遇與挑戰(zhàn) 2004-04-23

分類信息:  企業(yè)_與_即時(shí)通信  企業(yè)_與_即時(shí)通信     文摘   行業(yè)_企業(yè)_新聞   技術(shù)_即時(shí)通信_新聞   技術(shù)_即時(shí)通信_文摘