即時(shí)信息的安全要害
王金元
2003/06/12
在現(xiàn)今商務(wù)時(shí)代����,即時(shí)信息似乎順理成章地成為人們實(shí)時(shí)交流的理想工具。然而�����,許多企業(yè)因?yàn)橐粋簡單的原因而徘徊在外,這就是即時(shí)信息與其它類似的應(yīng)用程序可能會造成嚴(yán)重的安全問題�。當(dāng)上個星期雅虎弄出個補(bǔ)丁,補(bǔ)上它的即時(shí)信息與聊天程序上的一個緩沖區(qū)溢位的安全漏洞時(shí)�����,更加讓人嘗到了即時(shí)信息的安全要害��。
盡管安全問題是如此的嚴(yán)重�,會影響企業(yè)即時(shí)信息的應(yīng)用,但許多開發(fā)商正在努力找出其安全漏洞���,尋求新的技術(shù)措施來解決這一攔路虎����,力爭奪取這一新生市場��。面對這一美好前程����,企業(yè)將如何拉下這個攔路虎?他們會成功擴(kuò)張這塊企業(yè)版圖嗎��?
即時(shí)信息崛起 先天脆弱多多
即時(shí)信息的迅速崛起,安全問題變得令人擔(dān)憂�。經(jīng)權(quán)威人士研究發(fā)現(xiàn),今天使用的諸多即時(shí)信息系統(tǒng)大多數(shù)在設(shè)計(jì)的時(shí)候都考慮了可擴(kuò)展性�,而沒有考慮到安全問題。首先����,一個普遍的現(xiàn)象是幾乎所有免費(fèi)在線即時(shí)信息系統(tǒng)都缺乏加密功能,允許用戶以非加密形式傳輸����、交換文件���。這樣的文件交換會導(dǎo)致傳統(tǒng)病毒�����、蠕蟲�����、特洛伊木馬以及混合威脅的大量傳播����。此外,盡管從技術(shù)上講��,提供能在即時(shí)信息文件交換穿越企業(yè)防火墻時(shí)對其進(jìn)行掃描的安全產(chǎn)品是可以實(shí)現(xiàn)的���,但是目前還沒有安全軟件提供商提供這樣的網(wǎng)關(guān)掃描解決方案�����,其中部分原因在于即時(shí)信息協(xié)議的專有性�。
此外����,因?yàn)樽盍餍械囊恍┘磿r(shí)信息平臺提供腳本編寫功能,幫助用戶編寫Visual Basic�、JavaScript和專利腳本編碼或標(biāo)準(zhǔn)的Windows程序以控制信息代理不同的特色。這樣的腳本可以執(zhí)行自動指導(dǎo)即時(shí)信息代理自動與其他用戶聯(lián)系��、發(fā)文件�����、改變程序設(shè)置�、執(zhí)行其他潛在的惡意程序等操作。這一功能不但提供方便��,而且還幫助計(jì)算機(jī)蠕蟲和混合威脅的傳播。已知的基于腳本的即時(shí)信息蠕蟲已經(jīng)多達(dá)十幾種���,使得這一問題變得非�����,F(xiàn)實(shí)����,如最近發(fā)現(xiàn)的廣為傳播的Fizzer蠕蟲���,攻入了美國在線的即時(shí)信息網(wǎng)絡(luò)和百年老店IRC(Internet Relay Chat)網(wǎng)絡(luò)���。 還有4月出現(xiàn)的AIM-Canbot蠕蟲�����、2月出現(xiàn)在MSN上的Menger/Coolnow蠕蟲���。
再者�,很多商務(wù)即時(shí)信息服務(wù)都在使用80端口����,而這個端口還可以用來運(yùn)載HTTP信息��。當(dāng)即時(shí)信息上千次甚至上萬次地打開80端口時(shí)����,就會把公司經(jīng)常暴露在危險(xiǎn)之中��。這意味著黑客可以利用這些安全弱點(diǎn)�����,竊取用戶身份��、發(fā)送有病毒的附件和其它有毒軟件����,或者借助緩沖器溢出和畸形數(shù)據(jù)包進(jìn)行攻擊,特別是那些非法下載和使用即時(shí)信息軟件的企業(yè)��,使企業(yè)的網(wǎng)絡(luò)安全受到的威脅更多��。由于用戶在很多系統(tǒng)上經(jīng)常使用同一個密碼����,這樣攻擊者在打開安全措施不夠的加密即時(shí)信息交換文件以后����,還可通過同一密碼神不知����、鬼不覺地進(jìn)入其它企業(yè)系統(tǒng)。
確保用戶安全 對癥下藥有方
基于即時(shí)信息本身的這些缺陷����,為了確保即時(shí)信息的安全,人們都在想方設(shè)法�,對癥下藥。首先����,采用加密即時(shí)信息軟件。比如���,上周美國在線公開測試了新貝它版加密即時(shí)信息軟件AIM(AOL Instant Messenger)5.2.3255�����,新產(chǎn)品還有無線功能的AIM 5.2.3074,年初公司還推出了AIM 5.2.3139貝它版�。這些加密軟件�����,即方便了企業(yè)B2B用戶在PC和移動工具上安全交流信息�,也為企業(yè)安全提心吊膽的管理員松了一口氣��。此外�����,網(wǎng)絡(luò)安全專家賽門鐵克建議企業(yè)在所有臺式機(jī)上實(shí)施臺式機(jī)防火墻解決方案(或集成的防病毒/防火墻解決方案)���。這樣的防火墻可以幫助阻塞未經(jīng)批準(zhǔn)使用的即時(shí)信息程序�����,從而防止來自或針對即時(shí)信息系統(tǒng)的攻擊�����。再者����,要預(yù)防通過即時(shí)信息文件交換造成病毒的傳播與基于腳本的即時(shí)信息蠕蟲,最好的方法就是在所有客戶端臺式機(jī)上部署最新的防病毒軟件����。最后,規(guī)范使用程序也很重要����。“公司不得不制定辦法來指導(dǎo)員工如何在他們網(wǎng)絡(luò)上正確地使用這些程序�,接著還得進(jìn)一步督促他們�!本W(wǎng)絡(luò)安全公司 Guardent首席技術(shù)官Jerry Brady說。
另一有代表性的解決方案是信息資源提供商去年共同推出了一種新的在企業(yè)內(nèi)保護(hù)即時(shí)信息安全的管理服務(wù)EIM(Enterprise Instant Messaging)����。EIM使用的是一個專門為即時(shí)信息設(shè)計(jì)的獨(dú)立端口,不是80端口���,所以對于出入企業(yè)的即時(shí)信息監(jiān)督工作就簡單多了�,對企業(yè)網(wǎng)絡(luò)的威脅少多了��。EIM服務(wù)避免了可能發(fā)生的身份竊取�,因?yàn)樗鸭磿r(shí)信息帳戶和現(xiàn)存的電子郵件帳戶相連接。此外��,EIM還使用Lightweight Directory Access Protocol (LDAP)與公司的地址連接���。 而且�����,這項(xiàng)服務(wù)還對公司網(wǎng)站和聯(lián)合信息中心的交流進(jìn)行加密�,加密功能保障了即時(shí)信息有一個更高的秘密水平��。
安全問題不難 前景依然看好
“安全是一個大問題�,但應(yīng)用趨勢仍會推動即時(shí)信息應(yīng)用的發(fā)展����! Gartner分析家Lou Latham說。自9.11恐怖事件發(fā)生以來����,美國人不敢外出辦事,大大加快了即時(shí)信息的發(fā)展�,而SARS的肆虐,為遠(yuǎn)距離實(shí)時(shí)交流提供了契機(jī)��。 “開發(fā)商的沖刺將使即時(shí)信息產(chǎn)品支撐起互聯(lián)網(wǎng)的安全標(biāo)準(zhǔn)�,這正好是社會需求的反映。” 根據(jù) IDC 的業(yè)界分析結(jié)果��,企業(yè)在線即時(shí)信息用戶正處于增長趨勢�����,到2005年將達(dá)到三億人��。
盡管IBM的 Lotus在其實(shí)時(shí)通信產(chǎn)品上已經(jīng)占領(lǐng)了企業(yè)即時(shí)信息市場的很大份額�,但其它公司如微軟、美國在線�����、雅虎�、惠普、Sun和國內(nèi)老大騰訊等奮勇直追��,殺奔企業(yè)即時(shí)信息市場�,一場軍閥混戰(zhàn)在所難免。據(jù)業(yè)界分析�,在這一較量中,國際霸主微軟很難獨(dú)霸一方��。因?yàn)槲④浢鎸Φ膶κ痔�����,其中有些還是個人即時(shí)信息方面的專干。不過����,一場角逐使即時(shí)信息產(chǎn)品長進(jìn)不小���。比如微軟3月推出的升級貝它版實(shí)時(shí)交流平臺����,能大大地?cái)U(kuò)大協(xié)同交流的領(lǐng)域�。負(fù)責(zé)即時(shí)信息的微軟副總裁Anoop Gupta說:“微軟的實(shí)時(shí)交流新版產(chǎn)品好于即時(shí)信息產(chǎn)品。我們認(rèn)為如果企業(yè)用上了它�����,就會改變他們的交流方式����。” Gupta指出�,電子郵件在企業(yè)中使用還不到15年,現(xiàn)在幾乎滿天都是��������!拔蚁肽銜吹郊磿r(shí)信息的類似潮流����!蔽④浽O(shè)想讓員工通過實(shí)時(shí)交流來共享文檔和圖片��,通過網(wǎng)絡(luò)將桌面PC上的文件實(shí)時(shí)傳送到移動裝置上��,如Tablet PC平臺�����。
企業(yè)即時(shí)信息產(chǎn)品的提供是開辟這一市場的關(guān)鍵��。因?yàn)閭人版不僅缺乏安全性����,還背上了“不務(wù)正業(yè)”的壞名聲。但是Gupta卻不這樣認(rèn)為�,他覺得個人即時(shí)信息的使用更加說明了人們對這一技術(shù)的喜愛。他說:“人人都會確信�,對于他們來說���,這是一個有用的工具�����!比绻髽I(yè)即時(shí)信息能象個人即時(shí)信息模式那樣遍地開花的話�,無界交流就成為了現(xiàn)實(shí)����。
eNet硅谷動力(cio.enet.com.cn)
相關(guān)鏈接: