即時通訊并不安全 改善需要一到兩年
2004/04/02
即時通訊已經(jīng)成為最新的生產(chǎn)工具���。客戶服務(wù)代表能夠利用它快速而方便地回答客戶的質(zhì)詢��,銷售人員可以向工作繁忙的副總裁通報有關(guān)新客戶的情況�。事實上,市場調(diào)研廠商Gartner集團估計�,目 前有70%的企業(yè)員工在工作中離不開使用即時通訊了。
但是���,盡管具有易用和即時溝通等顯著的優(yōu)點,但即時通訊也帶來了巨大的危險��。安全咨詢廠商Spire公司的調(diào)研主管彼特說�����,安全檢查總是最后才會加到新技術(shù)中��,即時通訊就是這樣的�。
有幾個原因使得企業(yè)在保證即時通訊的安全方面存在困難,首先是員工安裝這種軟件非常方便�����、簡單。包括AOL�、微軟、雅虎在內(nèi)的即時通訊服務(wù)提供商開始即時通訊軟件的最初目的是為了拓展它們面向消費者的服務(wù)�����,這一服務(wù)在青少年中迅速地普及開來����。隨著企業(yè)的官員開始意識到即時通訊的好處,他們也就開始下載免費的即時通訊軟件��。Ferris資訊公司的總裁戴維說���,由于IT部門無法控制每位員工使用的臺式機�,因此它通常會大大低估使用即時通訊服務(wù)的員工數(shù)量�,有時低估的幅度可能達(dá)到100%,甚至更高���。
當(dāng)即時通訊在企業(yè)中的普及程度被完全披露出來時�����,恐慌是最典型的反應(yīng)��。一旦真正明白有多少員工在使用即時通訊后�����,IT部門試圖在企業(yè)范圍內(nèi)對即時通訊采取斬草除根式的清剿�。這不僅僅在技術(shù)上是個挑戰(zhàn),而且經(jīng)常會欲速則不達(dá)���。這種清剿行為完全剝奪了即時通訊用戶的既得利益�,而且能夠在業(yè)務(wù)和IT部門之間引發(fā)摩擦�。
IT部門應(yīng)當(dāng)努力解決由即時通訊帶來的技術(shù)難題,這些難題是由即時通訊的設(shè)計和簡單性造成的���。事實上,由于即時通訊客戶端軟件通常較小和易用����,IT部門應(yīng)當(dāng)認(rèn)為它們不會造成巨大的破壞作用。但是���,它們可能攜帶惡意代碼�����,由于用戶是安全鏈條中的薄弱環(huán)節(jié)�,病毒激活是非常簡單的。通過無意識地點擊熟人發(fā)送過來的鏈接���,用戶在不知不覺間就在自己的計算機上安裝了惡意代碼�。
例如��,今年2月份在互聯(lián)網(wǎng)上流傳著一則有關(guān)“Osama Found”(發(fā)現(xiàn)奧薩瑪)的即時通訊消息��。由于這一消息好象是來自自己的好友列表中的朋友����,用戶通常會點擊消息中的鏈接尋求更詳細(xì)的信息。但這一消息并非來自用戶的好友�,它會將用戶帶到一個計算機游戲的廣告網(wǎng)頁上。盡管不是惡意代碼(不造成任何破壞)�����,但“Osama Found”消息表明�����,即時通訊可以被用來下載病毒代碼。
盡管一些安全人士簡單地將即時通訊看作是電子郵件的擴展�����,但它們卻是設(shè)計截然相反的二種不同產(chǎn)品���。電子郵件系統(tǒng)基于一種統(tǒng)一的標(biāo)準(zhǔn)����,使IT經(jīng)理能夠選擇網(wǎng)絡(luò)上適當(dāng)?shù)牡胤剑ㄍǔJ欠阑饓Γ�,對收到的電子郵件進行鑒別,對惡意或不恰當(dāng)?shù)碾娮余]件進行過濾��。當(dāng)發(fā)送電子郵件時�,它們也可以對信息進行檢查,創(chuàng)建日志���。
即時通訊系統(tǒng)使用了Web服務(wù)(或點對點)設(shè)計�,對話是動態(tài)地建立的��,因此沒有一個集中的點能夠阻擊所有的流量���,并確保所有的消息沒有攜帶惡意的代碼��。
加密可能是即時通訊服務(wù)的另一個薄弱環(huán)節(jié)�。當(dāng)任何連接建立起來以后�,有二樣?xùn)|西是需要加密的:口令系統(tǒng)等認(rèn)證證書和傳輸?shù)臄?shù)據(jù)。由于即時通訊是專有的��,沒有適合它的統(tǒng)一標(biāo)準(zhǔn)��。因此當(dāng)二種不同的系統(tǒng)建立連接后�����,它們?nèi)狈ψ畹退降墓餐卣鳌?br>
盡管沒有能夠簡便地解決所有這些問題的仙丹��,但企業(yè)可以采取一些措施來減少它們的即時通訊系統(tǒng)引發(fā)安全問題的可能性�����。戴維表示�,修正即時通訊系統(tǒng)中安全漏洞的第一個好辦法就是進行內(nèi)部審計,搞清楚有多少員工在使用即時通訊服務(wù)�����。然后,IT部門應(yīng)當(dāng)與其它部門聯(lián)合制訂出概述即時通訊服務(wù)優(yōu)點和潛在危險的規(guī)章制度��,目的是對員工進行與這一技術(shù)有關(guān)的培訓(xùn)�。只要員工能夠接觸到機密資料,即時通訊系統(tǒng)的使用就只能局限于企業(yè)內(nèi)部員工或使用相同即時通訊系統(tǒng)的第三方合作伙伴��,以便進行加密處理�����。
新創(chuàng)辦的企業(yè)也能夠提供一些幫助����。象Akonix、Cordant��、Facetime和WiredRed等公司都開發(fā)出專用的即時通訊安全工具�,它們的產(chǎn)品能夠幫助企業(yè)追溯即時通訊活動和記錄日志,使企業(yè)能夠更好地了解通過即時通訊連接傳遞的消息�����。
盡管這樣的工具相當(dāng)有用��,但仍然不能令企業(yè)完全滿意��。彼特說,目前�����,對于IT部門而言�,保證即時通訊安全仍然是一個重大挑戰(zhàn)�。許多企業(yè)才剛剛開始意識到這個問題的深度和廠商發(fā)布更好的安全工具的壓力。盡管目前的產(chǎn)品可以說是一個良好的開端�,但完整、功能強大的解決方案至少還需要12-24個月才能夠問世��。
計算機世界網(wǎng)(www.ccw.com.cn)