七步解決即時通信安全問題
曉黎 編譯 2006/06/09
只要對一些步驟進行依葫蘆畫瓢,僅依靠個人力量就有可能把即時通信工具病毒拒之門外。
目前在美國�,IM(即時通信工具)的普及程度與路邊旅店客房中臭蟲的密度有得一拼。曾幾何時�����,它隨某些職員的愛好而潛入公司內(nèi)部����,出現(xiàn)在其中的電腦桌面上,此后便一發(fā)不可收拾��。到現(xiàn)如今���,它早已成為員工手中用于傳遞商業(yè)往來信息的流行利器���,當然,也不能排除使用者用它交換晚上消遣安排的可能。
然而��,IM在辦公室的普及觸及的更大問題是:它對一個公司的安全構(gòu)成了威脅�����。為此又引發(fā)了網(wǎng)上那些伺機尋找新攻擊目標的“吸血鬼”們的一陣騷動�。IM中的蠕蟲病毒傳播速度之快,讓傳統(tǒng)的電子郵件攻擊為之黯然失色�。IMlogic總裁兼CEO Francis deSouza分析道:“身手最快的電子郵件攻擊要花上大約10小時才能波及50萬個站點,而在IM方面��,實現(xiàn)類似的攻擊效果只需要5~7分鐘�。”根據(jù)反病毒公司Sophos的說法���,此前排名第二的病毒就是通過iChat聊天工具蔓延傳播開的���。但不要過于擔心,信息安全管理人員認為�,即便只依靠個人力量也能把IM病毒拒之于公司門外。而下文所述內(nèi)容則是在IM流行的大背景中��,如何依葫蘆畫瓢般遵循幾條步驟實現(xiàn)IM網(wǎng)絡的安全化�。
安全現(xiàn)狀令人擔憂
來自市場研究機構(gòu)Radicati的報告顯示�����,IM目前已經(jīng)在85%的企業(yè)中得到普及應用��,而每天通過IM發(fā)送的消息也會從2004年的114億條激增至2008年的458億條����,F(xiàn)在��,IM不再是十幾歲小毛孩談戀愛的工具����,或是電視劇情節(jié)中的玩具���。
在這種情況下��,若能對IM加以正確應用��,對企業(yè)生產(chǎn)力的提高確實能起到促進作用��。紐約證券交易所的首席技術(shù)執(zhí)行官Steve Rubinow分析道:“從綜合開放的角度來看�����,更少的員工人數(shù)����、更低的運行開支以及更高的產(chǎn)出效率都是我們一直努力試圖實現(xiàn)的目標,為此��,只要是對工作有利�,我們便會為人們提供盡可能多的使用工具,這其中就有IM�!”Amerex能源經(jīng)紀公司的首席信息執(zhí)行官Brian Trudeau是一個堅定的IM支持者,原因是其公司里的一些經(jīng)紀人都依賴IM進行工作����。他說:“把IM看作是伴隨整個產(chǎn)業(yè)成長的一個有機組成部分也不為過,你現(xiàn)在若是沒有一款I(lǐng)M工具的操作知識�����,興許就會被上司責備�����,它不像是電子郵件那樣需要有個等待的過程����,能即時地傳輸信息是它帶來的最美妙體驗����!
如今瞬息變幻的商業(yè)環(huán)境將IM打造成一個贏家���,但與電子郵件相比,IM所使用的傳輸途徑更容易遭到惡意軟件的攻擊����,這是亟需讓信息安全管理者和IT界領(lǐng)袖們所認識的威脅。但正像某些人所說的�,其中的某些癥結(jié)在于:一旦提到工作場所中的IM安全問題,很多人總是抱有亡羊補牢的消極心態(tài)�����。不過���,在被問及自己公司的IM安全狀況時,IM安全公司Facetime的總裁兼首席執(zhí)行官Kailash Ambwani表示:“幾乎沒有什么問題��,員工們都清楚在這件事上自己所應該做的����,而換到一年或半年前�,根本不存在這樣的認識������!
安全隱患真實地存在于我們生活當中,目前在各公司中處于支配地位的IM網(wǎng)絡不外就是AOL����、Yahoo和MSN、QQ等幾個��,它們基于不安全的公共網(wǎng)絡系統(tǒng)����,員工們盡可以不受限制地免費下載它們的客戶端。
這導致惡意軟件迅速傳播����。IMlogic的危機預警中心稱,2005年已報告的新出威脅事件相比過去有1693%的增長����,其中包括2403起獨立性質(zhì)的IM和點對點傳輸威脅事件,而在與IM相關(guān)的攻擊事件中���,有90%涉及蠕蟲病毒傳播����,而且人們又注意到混合式攻擊的數(shù)量也出現(xiàn)了戲劇性增長態(tài)勢。除此以外�����,IM還為員工有意或無意間向公司外部傳輸涉及知識產(chǎn)權(quán)的文件創(chuàng)造了極端簡便的條件����。
按步驟解決
盡管現(xiàn)狀令人堪憂,但未必沒有出路�����。按以下列舉的步驟行事���,至少會讓你在晚上睡得更安穩(wěn)些��。但是要看清楚的是,假如你不能做到最基本的第一條和第二條��,那最終效果將大打折扣���。
1.找出公司中有多少IM正在運行
在解決IM安全問題前���,最好先搞清楚一些具體的情況�����。比如��,有誰在用IM�?用的是何種類別的公共網(wǎng)絡���?傳輸量是多少��?他們在網(wǎng)上做什么����,是玩游戲還是傳輸文件����,或是在爭論一些問題?清楚了這些�,你就可以使用網(wǎng)絡工具設(shè)定許多的條條框框來進行限制,或是選擇一款針對IM安全的工具���,借此對公司內(nèi)部的IM使用行為進行直接干預����。
2.在IM問題上確立自己的態(tài)度
首先要問問自己,我們應允許IM的存在還是禁止它�����?當然對于這一令人頭痛的問題�,最簡單的處理辦法就是一紙禁令。IM安全公司Akonix負責市場和客服的副總裁Don Montgomery在此先行一步�,他說,從技術(shù)角度看�,試圖封堵住IM并不可行�!耙坏┠切┟赓M的IM公共客戶端程序安裝過后,它也就具備了端口搜尋的功能�,即便你能確認某個網(wǎng)絡協(xié)議繼而在防火墻中關(guān)閉IM所占用的端口,但要知道����,這些客戶端可利用的端口數(shù)量眾多,它們會在此后搜尋下一個開放的端口��。”一份來自IMlogic公司的《領(lǐng)會IM安全威脅》報告中提示到��,出于IM安全考慮的任何努力�,“用的完全是網(wǎng)絡層面的工具和技術(shù)��,諸如結(jié)合了端口�����、IP和URL地址的封堵技術(shù)�����,這至多也只能起到部分效果”���。
由于能對網(wǎng)絡流量進行更深入的監(jiān)視����,防火墻提供商也許掌握有更好的解決方案���。當然����,首先你也能嘗試通過各種手段阻止終端用戶安裝IM的客戶端,盡管在排除了技術(shù)方面的因素考量后�,由此努力的結(jié)果依然會很渺茫。一紙禁令帶來的必定是眾多使用者的反抗��。Montgomery解釋說:“此做法被證明是在做無用功�����,因為大公司有大公司的特點��,它存在一個出于商業(yè)目的而使用IM的用戶基礎(chǔ)����,若你試圖將IM一關(guān)了之,結(jié)果必定慘不忍睹��������!
所以在采取過激或有徒勞無功可能的步驟前��,要提前告知使用者�����,并且找尋繼續(xù)保留IM的前提條件——那就是存在商業(yè)用途的需要����。
3.判斷何種IM最適合你的公司
目前存在有多種可供選擇的IM,其中在公共級網(wǎng)絡上的AOL或雅虎等工具是最常見的����,而在企業(yè)級的網(wǎng)絡上��,IBM�、Jabber和微軟提供的解決方案是購買其客戶端/服務器端產(chǎn)品,以此構(gòu)建作用范圍僅限于企業(yè)內(nèi)部的即時通信環(huán)境(DeSouza公司在此聲稱旗下產(chǎn)品目前已開始提供接入公共網(wǎng)絡的功能)�。特定行業(yè)的網(wǎng)絡講求要能滿足行業(yè)特別需求,例如��,布隆博格集團和路透社就提供了適用于金融服務業(yè)的網(wǎng)絡����,當然,此外還有適應特定地理環(huán)境的網(wǎng)絡�����。
在具體選擇的過程中����,要為此評估自己的商業(yè)需求和所冒風險程度�����。若是員工可利用IM接觸到敏感數(shù)據(jù)����,Spire安全中心的研究室主任Pete Lindstrom推薦此時用更易于自我防護的企業(yè)網(wǎng)絡來取代公共網(wǎng)絡�。
4.建立一套IM使用政策
絕大多數(shù)公司都有一套保護電子通信的政策,這便是“員工所用電腦為公司所有�,因此在這些電腦上傳輸?shù)娜魏涡畔⒍伎梢员还颈O(jiān)控”。IM自然也屬于政策中的一部分����。Rubinow說,在Archipelago公司中���,起初只有一套電子郵件使用政策�����,之后才加入了網(wǎng)頁和IM的相關(guān)內(nèi)容����。“其中適用于IM軟件的條款非常多樣���,就看員工是否能領(lǐng)會其中的涵義��,我們可監(jiān)控IM軟件的舉動�,上面沒什么信息可在未經(jīng)記錄的情況下隨意進出公司�。而作為一個不錯的商業(yè)慣例與管理要求,這樣的政策將會日益為我們所重視�����!
此做法在Amerex公司也得到了類似的貫徹執(zhí)行,Trudeau說:“員工手冊上的保密條款顯示����,屬于公司的電腦內(nèi)不存在任何秘密。也就是說�,任何電子數(shù)據(jù)都能被監(jiān)控。這會讓某些員工的不當行為得以收斂����!”不過Trudeau提到一個有趣的現(xiàn)象:即便人們知道后臺有程序監(jiān)控他們在IM上的言論,“他們要么會暫時忘記其存在��,要么認為此時沒人會注意����,而結(jié)果則是這些麻痹或心存僥幸的人時不時會撞在槍口上�!”
5.開發(fā)新規(guī)則
實踐結(jié)果表明���,關(guān)閉文件傳輸功能是上佳之選�。在執(zhí)行中����,你可以從完全信任員工的角度出發(fā),用規(guī)章制度進行約束�����,或是使用技術(shù)手段徹底杜絕�����,后者正是Amerex公司采取的手段����,Trudeau為此說明:“我們關(guān)閉了所有即時信息工具上的文件傳輸功能,還嘗試對文件名�����、文件擴展名進行攔截,并關(guān)閉了支持文件傳輸?shù)南嚓P(guān)端口������!
Montgomery則進一步解釋說,其實文件傳輸只是IM攻擊的兩種主要模式之一(另外一種是惡意地址鏈接)����。當用戶下載了某個來自好友的文件后,根本不會想到這其中攜帶有可以肆意傳播的惡意代碼�。
DeSouza還建議禁止游戲��,他說:“從商業(yè)角度看��,沒有什么正當?shù)睦碛煽梢灾С謫T工玩游戲�����!
公司的首席戰(zhàn)略官們興許會想創(chuàng)建一套適用不同等級使用者的規(guī)則策略��,在此Montgomery的意見是:可將IM的文件傳輸功能僅對主管���、財務等級別的人員開放����。DeSouza又補充道:主管和客戶支持人員能利用IM參與視頻會議或網(wǎng)絡語音電話�����,而其他人除外���。
6.對使用者進行培訓
當被問及公司中所遭遇到的最普遍IM攻擊事件時����,曾與人合著過一本有關(guān)IM安全方面書籍����,并在SecureInfo公司擔任主管貿(mào)易專業(yè)服務的高級副總裁John Rittinghouse指出,問題在于使用者缺乏基本常識和相關(guān)培訓�������!拔覀兯姷降那趾κ录鄶(shù)都發(fā)生在人們所犯的低級錯誤中間��!辈簧偃肆晳T點擊垃圾郵件上的鏈接就是這樣的表現(xiàn)�����!爱斈抉R或病毒潛入你的電腦后��,接下去的事情便是通過網(wǎng)絡或是你的聯(lián)系人蔓延開來��,并導致拒絕服務現(xiàn)象的出現(xiàn)����!”
Rittinghouse接著說����,安全措施的實行需要讓使用者能夠敏銳察覺到IM軟件會帶來的風險,并對其中的安全缺陷進行及時彌補��。而員工也需意識到IM的通信記錄會被存檔��,要知道�����,某些IM通信非常容易讓人尷尬����,危害性也很大,比如兩性之間的事情就容易在同事間被添油加醋般地傳播��,這顯然是無知之舉�。
在當前這個高速變化的環(huán)境中,員工們更應當保持清醒頭腦�,例如,在電子郵件和IM上可能會有眾多來自美國證券交易委員會或Sarbanes-Oxle法案的材料文件�,它們可能由此而難以被加以區(qū)分開來,而不少公司只有在陷入麻煩的時候才會意識到這個問題的存在����。
他還表示,其實領(lǐng)悟和練習正確使用IM工具不需要花費多少錢�����,但努力是必不可少的��,有些公司卻不愿意為此投入������!八麄兌荚诳桃獾鼗乇��!”Rittinghouse認為安全負責人必須成為一個虔誠的IM安全傳教士�,若是其未能指導使用者如何進行操作���,就必須為此導致的后果負責�。
7.考慮使用一款I(lǐng)M安全產(chǎn)品
像Akonix��、Blue Coat����、Check Point Software、Facetime�、IMlogic和ZoneLabs等公司均提供有用于控制和保護IM使用過程的軟件。而Postini這樣一個之前從事電子郵件過濾業(yè)務的公司也開始提供IM保護服務�。Amerex的Trudeau認為自己的公司已經(jīng)從安全中獲益——主要原因還得歸于安裝了充當“中間人”角色的程序(IMlogic),它被用于記錄IM的對話內(nèi)容����。對Archipelago公司的Rubinow來說,類似的事情也在重復��,“從管理的角度來看�����,我們要么必須有合適的軟件到位�,要么干脆就只能禁用IM”。
Banco Santander銀行的信息安全管理員Thomas Pottanat表示���,就當前而言�����,這家銀行并不贊同使用IM���,但現(xiàn)狀也正悄悄地發(fā)生改變。他說:“IM是不少人正在使用的溝通手段之一���,要知道�,這些人在從紐約到拉美國家之間做著生意����。而我也考慮并試圖尋找一種解決方案以對IM進行最有效的控制!”Thomas Pottanat明白����,一旦銀行對IM松綁���,就會要求他對期間往來的數(shù)據(jù)進行監(jiān)控��!澳悴荒苡捎诖嬖诎踩[患而要大家放棄使用電子郵件或其他通信方式���,因為它們已經(jīng)融入到現(xiàn)在的商業(yè)習慣中����。這個世界已經(jīng)發(fā)生了改變�,任何事都要隨之而動!”
你不能由于存在安全隱患而要求大家放棄使用電子郵件或IM等通信方式�����,因為它們已經(jīng)融入到現(xiàn)在的商業(yè)習慣中����。這個世界已經(jīng)發(fā)生了改變,任何事都要隨之而動�����!
計算機世界網(wǎng)(www.ccw.com.cn)