文章节录自 e 趋势季刊,作者为趋势科技全球信息安全协理纪孟宏
只有键盘声的跨国会议:70%的企业使用IM作为内部沟通工具
相信大多数人对实时信息(IM, Instant Message)并不会感到陌生,ICQ、AOL Instant Messenger、MSN Messenger、Yahoo Messenger等都是极为著名的实时信息软件。实时信息的好处是让使用者可以透过网际网络和远程朋友以文字交谈、传送文件,有些实时信息程序甚至提供线上会议、影音等功能,而使用者也可以透过实时信息程序的界面看到在通讯簿上朋友的联机状态,例如「在线上」、「离线」、「忙碌中」、「离开」等。然而随着实时信息软件的普及,使用者群逐渐从个人延伸至企业,根据Gartner Group 最近的一份研究报告指出,至2002年底全美大约有70%的企业使用这类型公开的(Public)实时信息软件作为重要但非正式的企业内部沟通工具,例如:跨国企业部门间的讨论;而国际知名的产业分析公司IDC 更预测至2005年,全球实时信息的用户将高达二亿三千万人。
对企业带来的契机:无声胜有声的沟通工具
1. 降低沟通成本:效率胜于 eMail ,费用低于电话
对于跨国企业而言,主要的沟通方式不是电话、网络专线就是E-mail。使用电话和网络专线的缺点是费用偏高,而E-mail 的缺点则是低互动性,一来一往的E-mail可能就耗掉一整天,而实时信息则兼具互动性及实时性的优点,若对方正处于联机状态,使用者则可以透过实时信息程序和对方连系以得到所需信息。
2. 改善企业流程:多方线上讨论,棘手问题马上解决
实时信息的快速信息分享特性,往往有助于改善企业运作流程。例如,客户服务部的人员,在与客户通话时,可以藉由实时信息和其它客服人员一起解决客户的问题,以提升客户满意程度及问题解决率。
潜在的安全危机
1. 点对点传输架构,规避网关防毒软件检查
如同E-mail,使用者也可以利用实时信息软件传送文件,但是实时信息软件是属于点对点(Peer-to-Peer)的设计架构,当两台计算机进行文件对传时,中间并不会透过任何服务器而是直接抵达个人计算机端,因此企业在Internet Gateway 或 Email Server 上所安装的防毒软件并无法扫瞄透过实时信息软件所传送的文件,唯有激活个人计算机端防毒软件的实时扫瞄功能才能防止病毒入侵,然而若个人计算机端没有安装防毒软件或定期更新防毒组件仍旧无法有效防止病毒。
2.黑客入侵企业的另一跳板,攻击事件层出不穷
黑客直接或间接结合计算机病毒的攻击手法愈来愈普遍,破坏规模及影响力也直线上升。在2002年间就发生数起计算机黑客利用 AOL, ICQ, Yahoo Messenger 程序buffer-overflow的安全漏洞入侵企业的案例。
3. 传输过程不加密,黑客拦截机密不费力
当使用者在透过实时信息和远程朋友聊天时,信息是透过 Internet 传送,而且许多实时信息程序在资料传送的过程中并不会将内容进行加密处理,以致于有心人士可以从 Internet 拦截使用者的交谈内容,所以使用者千万不可使用实时信息来传送帐号、密码及信用卡资料等重要资料。
IM 管理方案
从以上的比较表中我们可以一窥「电子邮件」和「实时信息」的差异,对于前者网管人员可以有效的控管,而「实时信息」基本上是连接到企业以外的服务提供者(Service Provider),企业对于任何进出的信息并无法有效管理及追踪。对于企业应该如何来强化「实时信息」的管理,在此我们介绍两种方案:
1. 建置企业内部的「实时信息系统」。即所谓的「封闭式」实时信息系统,企业必需设置自己内部的信息服务器,每台个人计算机必需安装特定的实时信息程序,该实时信息系统完全运作在企业的 Intranet 环境并不与外界有任何联系。「封闭式」实时信息系统的优点是可以提供企业更为安全文件及信息传输服务,同时信息管理人员又可对企业内部实时信息的使用加以管理,目前提供这方面解决方案的厂商有 IBM、Jabber、Bantu等。
2. 设置实时信息网关器 (Messaging Gateway):使用公开的「实时信息」程序 (如 AOL、ICQ、MSN),但在公司内部设置实时信息网关器 (Messaging Gateway)。与其让使用者「非法」(不在企业的Security Policy之内) 使用这些具有安全考量的实时信息,企业可以考虑将这些「非法使用」的情形「合法化」并加以管理,其主要的精神就在于「凡走过必留下痕迹」,任何进出的信息都必须留下记录(Log),必要时信息管理人员才能根据这些记录追查来龙去脉。而目前提供这方面解决方案的厂商有 Akonix Systems、FaceTime等。
建立 IM 管理规章,让爱谈是非的 ICQ 小花夭折吧!
近来愈来愈多的企业把「实时信息」当作正式或非正式的沟通工具,甚至应用成为Email的主要备用管道。然而随着使用者的增加,实时信息被「误用」及「滥用」的机会也会随之增加。例如,赶着下班前交报告给上司的员工可能会被不断进来的信息打扰而影响进度;某些员工可能平均一天要花三十分钟在和线上的朋友聊天。所以企业若考虑建立或合法化内部的「实时信息」系统,除了必须解决安全性的问题以外,建立一套 Instant Message Policy来规范实时信息的使用方式也是另一个重要的考量。
网友评论