即時通訊(IM)是一種互聯網在線用戶實時交換消息的技術,被很多人稱為電子郵件發明以來最酷的在線通訊方式。時至今日,即時通訊(IM)已經成為互聯網中最廣泛的應用之一,大部分人只要上網就會開著自己的MSN或QQ。據計世資訊的跟蹤數據統計,2006年初,中國即時通訊用戶數已經達到9700萬。除了個人用戶以外,越來越多的企業也開始將IM作為加強內外部溝通的重要工具。它能夠使分布在不同地方的員工和合作伙伴在工作時間方便地進行通訊。調查顯示,美國約有8000萬人經常使用即時通訊服務,58%的員工利用它與同事溝通,49%的員工利用它解決問題、做出商業決策,一些員工還利用它與客戶打交道,或避免“面對面交談的尷尬”。13%的企業員工甚至將他們在即時通訊服務中的昵稱印在了名片上。
與此同時,即時通訊和其它點對點通訊軟件也帶來了嚴重的安全風險,IM軟件的安全已經成為IT管理人員日漸擔心的重要問題。在給企業用戶帶來了極大的方便性同時,IM同樣給用戶帶來了其他意想不到的問題:
高先生是一家大型外貿公司的部門經理,隨著公司業務規模的擴大,分公司和辦事處已經遍布了全國的大多數省份和直轄市。高先生所在部門需要經常和其他分支機構和部門進行溝通,為了加快溝通效率并降低成本,高先生鼓勵部門的員工采用MSN進行工作交流。一天高先生在網上瀏覽,竟發現一篇公司內部的培訓PPT竟然出現在一個外貿論壇上,而且關于這篇文章的討論還非常火熱。這篇文章是公司多年經驗的總結,里面融合了關于外貿操作的方法和技巧,大都屬于原創的內容。高先生繼續在論壇中搜索,結果更加讓他吃驚,論壇中竟然有6篇文章是他們公司的機密文檔。這些東西究竟是如何傳出來的呢?經過調查,高先生發現許多員工用MSN和公司外部的同學、朋友聊天,更要命的是,這些員工的同學和朋友們很多都在競爭對手的公司里任職,在不知不覺中,不知有多少公司內部機密通過IM一傳十,十傳百,成為了業內人人盡知的秘密。眼看著部門業績連續幾個月停滯不前,高先生真是有苦難言。
那么IM到底給企業帶來了哪些隱患呢?
首先,這些軟件都是員工往往自行安裝使用聊天軟件,在工作時間使用聊天工具在同家人、朋友甚至是陌生人聊天搭訕并非個別現象。然而,管理層無法明確判斷員工利用IM到底是談業務還是聊私人話題。IT管理人員同樣缺乏有效管理的手段,使得IM的應用幾乎處于失控狀態。從企業管理層面來看,這帶來了嚴重的生產力流失。
其次,企業的商業機密可能通過IM被員工在有意或無意中泄露。國外曾經有員工通過即時通訊軟件泄漏企業機密,導致企業損失,但因為證據不充分而逃避了法律制裁。另外,如果不采取合適的防護措施,即時通訊服務用戶可能成為黑客竊取企業資料的理想靶子。
另外,通過即時通信軟件傳播的病毒數量也正在迅速增加,統計顯示,中國內地針對網絡游戲、聊天軟件的木馬數量比去年增加了五倍,達到90421個,占到總病毒數量的75.7%。值得留意的是與IM有關的“網絡釣魚”攻擊目前正呈上升勢頭。這些有害的信息不僅會降低系統效率、侵占網絡帶寬,而且使企業的網絡門戶洞開,受到病毒、特洛伊木馬以及其它各種威脅,使企業網絡處于高風險狀態。
這使得即時通訊軟件IM(InstantMessage)成為了讓企業又愛又恨的工具,業界對于IM的政策與態度,也常是一百八十度的極端:完全開放,或是完全地棄絕不用。
然而,對IM的封堵本身就是個難題,防火墻、簡單的web過濾器及URL阻止機制不能夠控制IM數據流。目前,網管員普遍采用將聊天軟件使用的服務器加入黑名單來杜絕IM的使用。但聊天工具層出不窮,QQ、MSN、Skype、Yahoo!Messenger、ICQ,封服務器地址最大的特色就是治標不治本,有的網管員通過關閉路由器或防火墻的相應端口來禁止IM的流量,但由于IM 協議的設計讓使用者幾乎能在任何網絡情況下都能進行交流,在端口被禁的情況下,很多IM能夠通過智能檢測端口,自動轉到其它防火墻上必須打開的供用戶上網的端口上進行通訊,例如80、443。所以,這些手段往往無法取得預期效果,而且會浪費大量的時間。
對于大多數企業來說,完全禁止即時通訊服務并不實際。如果管理層既不想放棄IM提供的實時性和方便性,又希望避免其帶來的種種弊端,就必須將即時通訊置于有效管理控制之中。業內一些具有前瞻性的安全廠商提出了針對IM的安全解決方案。比如Symantec提出的IM Manager解決方案可以捕獲IM的聊天內容,并提供殺毒支持。但對國內用戶而言,國外廠商的解決方案對一些普及率更高的國產IM軟件如QQ、網易泡泡(POPO)、新浪UC等顯得力不從心,尤其是一些內容經過加密的IM軟件(如QQ),大多數內容監控技術都在此敗下陣來。
在該領域,國內一些創新的內容安全廠商創造性地提出自己的解決方案,很好地滿足了這塊日益膨脹的市場需求。例如深信服提出的行為診斷(Behaviors Diagnosis, BD)技術能夠跟蹤IM軟件所使用的端口和相關協議,通過對行為的分析智能判斷哪些端口使用的是標準HTTP/HTTPS協議,哪些端口在運行IM軟件,進而非常有效的封掉IM。對標準的HTTP方式登錄的聊天軟件,通過其特有的深度內容檢測功能(Thorough Content Detection, TCD),分析聊天工具發送和接受的數據包特征,通過過濾IM的關鍵字段,可以實現徹底封鎖。
另一方面,在開放IM使用,又需對其進行監控的情況下,可以采用聊天內容同步偵聽(Real-time Monitor for Messages , RMM)來實現對聊天內容的監督和記錄。RMM技術是目前業界最有效的監控技術之一,通過與網絡準入規則(Network Admission Rules, NAR)的配合,RMM可以實現對騰訊QQ、MSN Messenger、網易泡泡(POPO)、新浪UC、ICQ、Skype、Google Talk、Yahoo!Messenger等一系列主流IM的聊天內容監控。
此外, 在應對IM的安全性隱患方面,專業的上網行為管理設備可以提供了更全面的防護。比如,將URL控制同IM進行聯動,即使你的員工點擊了好友消息中的可疑鏈接,網頁瀏覽控制也不會允許用戶訪問到危險地址。其次,通過在TCD(深度內容檢測)中選取特定的規則,你可以對借助QQ、MSN等進行的文件傳輸進行有效管理。例如,你可以允許你的內網用戶通過IM軟件向外界發送文件,但其無法通過IM接受外網發送來的文件。另外,你也可以啟用設備的網關殺毒功能進而更大程度上盡量避免蠕蟲和病毒的入侵。
