即時信息的安全要害
王金元
2003/06/12
在現(xiàn)今商務時代,即時信息似乎順理成章地成為人們實時交流的理想工具。然而�,許多企業(yè)因為一個簡單的原因而徘徊在外��,這就是即時信息與其它類似的應用程序可能會造成嚴重的安全問題�。當上個星期雅虎弄出個補丁����,補上它的即時信息與聊天程序上的一個緩沖區(qū)溢位的安全漏洞時,更加讓人嘗到了即時信息的安全要害�����。
盡管安全問題是如此的嚴重���,會影響企業(yè)即時信息的應用����,但許多開發(fā)商正在努力找出其安全漏洞,尋求新的技術措施來解決這一攔路虎���,力爭奪取這一新生市場��。面對這一美好前程���,企業(yè)將如何拉下這個攔路虎�����?他們會成功擴張這塊企業(yè)版圖嗎��?
即時信息崛起 先天脆弱多多
即時信息的迅速崛起�,安全問題變得令人擔憂。經權威人士研究發(fā)現(xiàn)�,今天使用的諸多即時信息系統(tǒng)大多數(shù)在設計的時候都考慮了可擴展性,而沒有考慮到安全問題�����。首先��,一個普遍的現(xiàn)象是幾乎所有免費在線即時信息系統(tǒng)都缺乏加密功能�,允許用戶以非加密形式傳輸�、交換文件�。這樣的文件交換會導致傳統(tǒng)病毒、蠕蟲��、特洛伊木馬以及混合威脅的大量傳播�。此外,盡管從技術上講��,提供能在即時信息文件交換穿越企業(yè)防火墻時對其進行掃描的安全產品是可以實現(xiàn)的���,但是目前還沒有安全軟件提供商提供這樣的網關掃描解決方案���,其中部分原因在于即時信息協(xié)議的專有性。
此外���,因為最流行的一些即時信息平臺提供腳本編寫功能��,幫助用戶編寫Visual Basic��、JavaScript和專利腳本編碼或標準的Windows程序以控制信息代理不同的特色��。這樣的腳本可以執(zhí)行自動指導即時信息代理自動與其他用戶聯(lián)系��、發(fā)文件�、改變程序設置、執(zhí)行其他潛在的惡意程序等操作��。這一功能不但提供方便���,而且還幫助計算機蠕蟲和混合威脅的傳播�����。已知的基于腳本的即時信息蠕蟲已經多達十幾種����,使得這一問題變得非�����,F(xiàn)實��,如最近發(fā)現(xiàn)的廣為傳播的Fizzer蠕蟲�,攻入了美國在線的即時信息網絡和百年老店IRC(Internet Relay Chat)網絡�。 還有4月出現(xiàn)的AIM-Canbot蠕蟲、2月出現(xiàn)在MSN上的Menger/Coolnow蠕蟲���。
再者��,很多商務即時信息服務都在使用80端口�����,而這個端口還可以用來運載HTTP信息���。當即時信息上千次甚至上萬次地打開80端口時���,就會把公司經常暴露在危險之中。這意味著黑客可以利用這些安全弱點�,竊取用戶身份、發(fā)送有病毒的附件和其它有毒軟件����,或者借助緩沖器溢出和畸形數(shù)據(jù)包進行攻擊,特別是那些非法下載和使用即時信息軟件的企業(yè)��,使企業(yè)的網絡安全受到的威脅更多���。由于用戶在很多系統(tǒng)上經常使用同一個密碼�����,這樣攻擊者在打開安全措施不夠的加密即時信息交換文件以后�����,還可通過同一密碼神不知���、鬼不覺地進入其它企業(yè)系統(tǒng)�。
確保用戶安全 對癥下藥有方
基于即時信息本身的這些缺陷����,為了確保即時信息的安全,人們都在想方設法�����,對癥下藥����。首先���,采用加密即時信息軟件����。比如,上周美國在線公開測試了新貝它版加密即時信息軟件AIM(AOL Instant Messenger)5.2.3255�,新產品還有無線功能的AIM 5.2.3074,年初公司還推出了AIM 5.2.3139貝它版����。這些加密軟件,即方便了企業(yè)B2B用戶在PC和移動工具上安全交流信息��,也為企業(yè)安全提心吊膽的管理員松了一口氣�����。此外�����,網絡安全專家賽門鐵克建議企業(yè)在所有臺式機上實施臺式機防火墻解決方案(或集成的防病毒/防火墻解決方案)�����。這樣的防火墻可以幫助阻塞未經批準使用的即時信息程序�,從而防止來自或針對即時信息系統(tǒng)的攻擊。再者��,要預防通過即時信息文件交換造成病毒的傳播與基于腳本的即時信息蠕蟲�,最好的方法就是在所有客戶端臺式機上部署最新的防病毒軟件����。最后��,規(guī)范使用程序也很重要�������!肮静坏貌恢贫ㄞk法來指導員工如何在他們網絡上正確地使用這些程序����,接著還得進一步督促他們����!本W絡安全公司 Guardent首席技術官Jerry Brady說。
另一有代表性的解決方案是信息資源提供商去年共同推出了一種新的在企業(yè)內保護即時信息安全的管理服務EIM(Enterprise Instant Messaging)���。EIM使用的是一個專門為即時信息設計的獨立端口��,不是80端口,所以對于出入企業(yè)的即時信息監(jiān)督工作就簡單多了����,對企業(yè)網絡的威脅少多了�����。EIM服務避免了可能發(fā)生的身份竊取�����,因為它把即時信息帳戶和現(xiàn)存的電子郵件帳戶相連接�。此外��,EIM還使用Lightweight Directory Access Protocol (LDAP)與公司的地址連接����。 而且,這項服務還對公司網站和聯(lián)合信息中心的交流進行加密���,加密功能保障了即時信息有一個更高的秘密水平�����。
安全問題不難 前景依然看好
“安全是一個大問題��,但應用趨勢仍會推動即時信息應用的發(fā)展�������! Gartner分析家Lou Latham說��。自9.11恐怖事件發(fā)生以來�,美國人不敢外出辦事,大大加快了即時信息的發(fā)展���,而SARS的肆虐��,為遠距離實時交流提供了契機�����。 “開發(fā)商的沖刺將使即時信息產品支撐起互聯(lián)網的安全標準����,這正好是社會需求的反映�����。” 根據(jù) IDC 的業(yè)界分析結果��,企業(yè)在線即時信息用戶正處于增長趨勢�����,到2005年將達到三億人����。
盡管IBM的 Lotus在其實時通信產品上已經占領了企業(yè)即時信息市場的很大份額�,但其它公司如微軟、美國在線��、雅虎����、惠普、Sun和國內老大騰訊等奮勇直追�,殺奔企業(yè)即時信息市場,一場軍閥混戰(zhàn)在所難免���。據(jù)業(yè)界分析����,在這一較量中�,國際霸主微軟很難獨霸一方�����。因為微軟面對的對手太多���,其中有些還是個人即時信息方面的專干。不過�����,一場角逐使即時信息產品長進不小���。比如微軟3月推出的升級貝它版實時交流平臺�����,能大大地擴大協(xié)同交流的領域����。負責即時信息的微軟副總裁Anoop Gupta說:“微軟的實時交流新版產品好于即時信息產品��。我們認為如果企業(yè)用上了它�,就會改變他們的交流方式。” Gupta指出���,電子郵件在企業(yè)中使用還不到15年����,現(xiàn)在幾乎滿天都是��!拔蚁肽銜吹郊磿r信息的類似潮流���!蔽④浽O想讓員工通過實時交流來共享文檔和圖片�,通過網絡將桌面PC上的文件實時傳送到移動裝置上�����,如Tablet PC平臺�����。
企業(yè)即時信息產品的提供是開辟這一市場的關鍵�����。因為個人版不僅缺乏安全性,還背上了“不務正業(yè)”的壞名聲��。但是Gupta卻不這樣認為��,他覺得個人即時信息的使用更加說明了人們對這一技術的喜愛�。他說:“人人都會確信,對于他們來說����,這是一個有用的工具�!比绻髽I(yè)即時信息能象個人即時信息模式那樣遍地開花的話,無界交流就成為了現(xiàn)實���。
eNet硅谷動力(cio.enet.com.cn)
相關鏈接: