即时通讯已经成为最新的生产工具。客户服务代表能够利用它快速而方便地回答客户的质询,销售人员可以向工作繁忙的副总裁通报有关新客户的情况。事实上,市场调研厂商Gartner集团估计,目前有70%的企业员工在工作中离不开使用即时通讯了。
但是,尽管具有易用和即时沟通等显著的优点,但即时通讯也带来了巨大的危险。安全咨询厂商Spire公司的调研主管彼特说,安全检查总是最后才会加到新技术中,即时通讯就是这样的。
有几个原因使得企业在保证即时通讯的安全方面存在困难,首先是员工安装这种软件非常方便、简单。包括AOL、微软、雅虎在内的即时通讯服务提供商开始即时通讯软件的最初目的是为了拓展它们面向消费者的服务,这一服务在青少年中迅速地普及开来。随着企业的官员开始意识到即时通讯的好处,他们也就开始下载免费的即时通讯软件。Ferris资讯公司的总裁戴维说,由于IT部门无法控制每位员工使用的台式机,因此它通常会大大低估使用即时通讯服务的员工数量,有时低估的幅度可能达到100%,甚至更高。
当即时通讯在企业中的普及程度被完全披露出来时,恐慌是最典型的反应。一旦真正明白有多少员工在使用即时通讯后,IT部门试图在企业范围内对即时通讯采取斩草除根式的清剿。这不仅仅在技术上是个挑战,而且经常会欲速则不达。这种清剿行为完全剥夺了即时通讯用户的既得利益,而且能够在业务和IT部门之间引发摩擦。
IT部门应当努力解决由即时通讯带来的技术难题,这些难题是由即时通讯的设计和简单性造成的。事实上,由于即时通讯客户端软件通常较小和易用,IT部门应当认为它们不会造成巨大的破坏作用。但是,它们可能携带恶意代码,由于用户是安全链条中的薄弱环节,病毒激活是非常简单的。通过无意识地点击熟人发送过来的链接,用户在不知不觉间就在自己的计算机上安装了恶意代码。
例如,今年2月份在互联网上流传着一则有关“OsamaFound”(发现奥萨玛)的即时通讯消息。由于这一消息好象是来自自己的好友列表中的朋友,用户通常会点击消息中的链接寻求更详细的信息。但这一消息并非来自用户的好友,它会将用户带到一个计算机游戏的广告网页上。尽管不是恶意代码(不造成任何破坏),但“OsamaFound”消息表明,即时通讯可以被用来下载病毒代码。
尽管一些安全人士简单地将即时通讯看作是电子邮件的扩展,但它们却是设计截然相反的二种不同产品。电子邮件系统基于一种统一的标准,使IT经理能够选择网络上适当的地方(通常是防火墙),对收到的电子邮件进行鉴别,对恶意或不恰当的电子邮件进行过滤。当发送电子邮件时,它们也可以对信息进行检查,创建日志。
即时通讯系统使用了Web服务(或点对点)设计,对话是动态地建立的,因此没有一个集中的点能够阻击所有的流量,并确保所有的消息没有携带恶意的代码。
加密可能是即时通讯服务的另一个薄弱环节。当任何连接建立起来以后,有二样东西是需要加密的:口令系统等认证证书和传输的数据。由于即时通讯是专有的,没有适合它的统一标准。因此当二种不同的系统建立连接后,它们缺乏最低水平的共同特征。
尽管没有能够简便地解决所有这些问题的仙丹,但企业可以采取一些措施来减少它们的即时通讯系统引发安全问题的可能性。戴维表示,修正即时通讯系统中安全漏洞的第一个好办法就是进行内部审计,搞清楚有多少员工在使用即时通讯服务。然后,IT部门应当与其它部门联合制订出概述即时通讯服务优点和潜在危险的规章制度,目的是对员工进行与这一技术有关的培训。只要员工能够接触到机密资料,即时通讯系统的使用就只能局限于企业内部员工或使用相同即时通讯系统的第三方合作伙伴,以便进行加密处理。
新创办的企业也能够提供一些帮助。象Akonix、Cordant、Facetime和WiredRed等公司都开发出专用的即时通讯安全工具,它们的产品能够帮助企业追溯即时通讯活动和记录日志,使企业能够更好地了解通过即时通讯连接传递的消息。
尽管这样的工具相当有用,但仍然不能令企业完全满意。彼特说,目前,对于IT部门而言,保证即时通讯安全仍然是一个重大挑战。许多企业才刚刚开始意识到这个问题的深度和厂商发布更好的安全工具的压力。尽管目前的产品可以说是一个良好的开端,但完整、功能强大的解决方案至少还需要12-24个月才能够问世。 |