即時(shí)通訊并不安全 改善需要一到兩年
2004/04/02
即時(shí)通訊已經(jīng)成為最新的生產(chǎn)工具���。客戶服務(wù)代表能夠利用它快速而方便地回答客戶的質(zhì)詢���,銷售人員可以向工作繁忙的副總裁通報(bào)有關(guān)新客戶的情況��。事實(shí)上�����,市場調(diào)研廠商Gartner集團(tuán)估計(jì)�,目 前有70%的企業(yè)員工在工作中離不開使用即時(shí)通訊了。
但是����,盡管具有易用和即時(shí)溝通等顯著的優(yōu)點(diǎn),但即時(shí)通訊也帶來了巨大的危險(xiǎn)��。安全咨詢廠商Spire公司的調(diào)研主管彼特說�����,安全檢查總是最后才會(huì)加到新技術(shù)中���,即時(shí)通訊就是這樣的。
有幾個(gè)原因使得企業(yè)在保證即時(shí)通訊的安全方面存在困難��,首先是員工安裝這種軟件非常方便��、簡單�。包括AOL、微軟��、雅虎在內(nèi)的即時(shí)通訊服務(wù)提供商開始即時(shí)通訊軟件的最初目的是為了拓展它們面向消費(fèi)者的服務(wù)����,這一服務(wù)在青少年中迅速地普及開來�。隨著企業(yè)的官員開始意識(shí)到即時(shí)通訊的好處�,他們也就開始下載免費(fèi)的即時(shí)通訊軟件。Ferris資訊公司的總裁戴維說����,由于IT部門無法控制每位員工使用的臺(tái)式機(jī),因此它通常會(huì)大大低估使用即時(shí)通訊服務(wù)的員工數(shù)量���,有時(shí)低估的幅度可能達(dá)到100%��,甚至更高�。
當(dāng)即時(shí)通訊在企業(yè)中的普及程度被完全披露出來時(shí)��,恐慌是最典型的反應(yīng)�。一旦真正明白有多少員工在使用即時(shí)通訊后,IT部門試圖在企業(yè)范圍內(nèi)對(duì)即時(shí)通訊采取斬草除根式的清剿����。這不僅僅在技術(shù)上是個(gè)挑戰(zhàn),而且經(jīng)常會(huì)欲速則不達(dá)���。這種清剿行為完全剝奪了即時(shí)通訊用戶的既得利益�����,而且能夠在業(yè)務(wù)和IT部門之間引發(fā)摩擦����。
IT部門應(yīng)當(dāng)努力解決由即時(shí)通訊帶來的技術(shù)難題,這些難題是由即時(shí)通訊的設(shè)計(jì)和簡單性造成的����。事實(shí)上,由于即時(shí)通訊客戶端軟件通常較小和易用����,IT部門應(yīng)當(dāng)認(rèn)為它們不會(huì)造成巨大的破壞作用。但是�����,它們可能攜帶惡意代碼�����,由于用戶是安全鏈條中的薄弱環(huán)節(jié)���,病毒激活是非常簡單的。通過無意識(shí)地點(diǎn)擊熟人發(fā)送過來的鏈接�����,用戶在不知不覺間就在自己的計(jì)算機(jī)上安裝了惡意代碼。
例如����,今年2月份在互聯(lián)網(wǎng)上流傳著一則有關(guān)“Osama Found”(發(fā)現(xiàn)奧薩瑪)的即時(shí)通訊消息。由于這一消息好象是來自自己的好友列表中的朋友�,用戶通常會(huì)點(diǎn)擊消息中的鏈接尋求更詳細(xì)的信息。但這一消息并非來自用戶的好友�����,它會(huì)將用戶帶到一個(gè)計(jì)算機(jī)游戲的廣告網(wǎng)頁上����。盡管不是惡意代碼(不造成任何破壞),但“Osama Found”消息表明����,即時(shí)通訊可以被用來下載病毒代碼。
盡管一些安全人士簡單地將即時(shí)通訊看作是電子郵件的擴(kuò)展����,但它們卻是設(shè)計(jì)截然相反的二種不同產(chǎn)品。電子郵件系統(tǒng)基于一種統(tǒng)一的標(biāo)準(zhǔn),使IT經(jīng)理能夠選擇網(wǎng)絡(luò)上適當(dāng)?shù)牡胤剑ㄍǔJ欠阑饓Γ����,?duì)收到的電子郵件進(jìn)行鑒別,對(duì)惡意或不恰當(dāng)?shù)碾娮余]件進(jìn)行過濾��。當(dāng)發(fā)送電子郵件時(shí)���,它們也可以對(duì)信息進(jìn)行檢查��,創(chuàng)建日志����。
即時(shí)通訊系統(tǒng)使用了Web服務(wù)(或點(diǎn)對(duì)點(diǎn))設(shè)計(jì)��,對(duì)話是動(dòng)態(tài)地建立的�����,因此沒有一個(gè)集中的點(diǎn)能夠阻擊所有的流量�,并確保所有的消息沒有攜帶惡意的代碼�����。
加密可能是即時(shí)通訊服務(wù)的另一個(gè)薄弱環(huán)節(jié)。當(dāng)任何連接建立起來以后���,有二樣?xùn)|西是需要加密的:口令系統(tǒng)等認(rèn)證證書和傳輸?shù)臄?shù)據(jù)�。由于即時(shí)通訊是專有的���,沒有適合它的統(tǒng)一標(biāo)準(zhǔn)�����。因此當(dāng)二種不同的系統(tǒng)建立連接后����,它們?nèi)狈ψ畹退降墓餐卣鳌?br>
盡管沒有能夠簡便地解決所有這些問題的仙丹����,但企業(yè)可以采取一些措施來減少它們的即時(shí)通訊系統(tǒng)引發(fā)安全問題的可能性。戴維表示���,修正即時(shí)通訊系統(tǒng)中安全漏洞的第一個(gè)好辦法就是進(jìn)行內(nèi)部審計(jì)���,搞清楚有多少員工在使用即時(shí)通訊服務(wù)。然后��,IT部門應(yīng)當(dāng)與其它部門聯(lián)合制訂出概述即時(shí)通訊服務(wù)優(yōu)點(diǎn)和潛在危險(xiǎn)的規(guī)章制度,目的是對(duì)員工進(jìn)行與這一技術(shù)有關(guān)的培訓(xùn)�。只要員工能夠接觸到機(jī)密資料,即時(shí)通訊系統(tǒng)的使用就只能局限于企業(yè)內(nèi)部員工或使用相同即時(shí)通訊系統(tǒng)的第三方合作伙伴�,以便進(jìn)行加密處理。
新創(chuàng)辦的企業(yè)也能夠提供一些幫助�。象Akonix、Cordant�����、Facetime和WiredRed等公司都開發(fā)出專用的即時(shí)通訊安全工具�����,它們的產(chǎn)品能夠幫助企業(yè)追溯即時(shí)通訊活動(dòng)和記錄日志�,使企業(yè)能夠更好地了解通過即時(shí)通訊連接傳遞的消息。
盡管這樣的工具相當(dāng)有用����,但仍然不能令企業(yè)完全滿意。彼特說����,目前���,對(duì)于IT部門而言�,保證即時(shí)通訊安全仍然是一個(gè)重大挑戰(zhàn)。許多企業(yè)才剛剛開始意識(shí)到這個(gè)問題的深度和廠商發(fā)布更好的安全工具的壓力�。盡管目前的產(chǎn)品可以說是一個(gè)良好的開端,但完整�、功能強(qiáng)大的解決方案至少還需要12-24個(gè)月才能夠問世。
計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)