網(wǎng)絡安全企業(yè)即時通信說不出的痛
李軍/譯文
2003/09/09
根據(jù)目前的情況��,即時通訊被認為是跨國公司的自然選擇�����,它能夠使分布在不同地方的員工和合作伙伴在工作時間方便地進行通訊�����。但許多企業(yè)都以一個非常簡單的理由對即時通訊說"不":即時通訊和其它點對點通訊軟件能夠帶來嚴重的安全風險�����。近日雅虎公司發(fā)布補丁軟件修正其即時通訊服務軟件中的一處緩沖區(qū)溢出缺陷就說明了這一點�����。
這一安全問題足以推遲企業(yè)級即時通訊服務"破殼"的時間�,但各家開發(fā)商都在開發(fā)新的技術(shù)來解決這一問題,它們能夠使即時通訊成為企業(yè)必不可少的一種應用程序嗎��?
��。牵幔颍簦睿澹蚣瘓F的分析師拉薩姆表示���,安全是一個大問題�,但即時通訊的普及程度仍不斷提高���。他指出����,"9·11"恐怖襲擊事件后企業(yè)盡量減少出差機會有助于即時通訊在企業(yè)的普及,廠商們不斷推出符合網(wǎng)絡安全標準的即時通訊服務軟件就表明了需求的增長��。
盡管IBM公司的RealTime協(xié)作軟件已經(jīng)在企業(yè)即時通訊服務市場上站穩(wěn)了腳跟��,其它廠商也采取了各種措施希望打進這一市場�。例如����,微軟公司在3月份推出了其實時通訊平臺的β版,并表示���,其服務器平臺將極大地擴展協(xié)作通信的范圍���。該公司負責即時通訊業(yè)務的副總裁安諾普表示,微軟公司的看法是�����,實時通訊將不僅僅局限于即時通訊����。
企業(yè)將改變通訊的方式�。安諾普說�,電子郵件在企業(yè)使用的時間還不滿15年�����,它目前已經(jīng)非常普及��。他表示�����,我認為即時通訊也會走一條類似的路����。員工會在包括從臺式機到移動設(shè)備在內(nèi)的各種網(wǎng)絡設(shè)備上實時地共享文檔和圖像。
并非只有微軟公司在試圖這樣做��。除了數(shù)十家小廠商外��,像惠普�、Sun等巨頭也紛紛采取措施,企圖在企業(yè)即時通訊市場上分一杯羹���。
企業(yè)級即時通訊產(chǎn)品非常關(guān)健��,因為面向消費者的即時通訊產(chǎn)品不但安全性低�����,而且在企業(yè)中也被認為讓員工浪費了大量的工作時間���。另外�,企業(yè)還擔心員工使用即時通訊工具非法下載受保護的版權(quán)內(nèi)容��,運行這樣的軟件也可能使企業(yè)的網(wǎng)絡門戶洞開�����,受到病毒�、特洛伊木馬以及其它各種威脅。
網(wǎng)絡安全廠商Guardent公司的技術(shù)總監(jiān)布雷迪說�����,企業(yè)必須制定員工如何在網(wǎng)絡上部署這些軟件的規(guī)章制度����,并認真執(zhí)行這些制度�����。
盡管即時通訊應用使得我們能夠與朋友和合作者以近乎實時的方式通過互聯(lián)網(wǎng)進行聊天�,甚至結(jié)識新的朋友�����。但如果不采取合適的防護措施����,即時通訊服務用戶可能成為黑客竊取用戶個人資料或惡意摧毀用戶PC的理想靶子�����。
安全專家指出�,隨著微軟、AOL���、雅虎等公司的即時通訊服務用戶的快速增長���,潛在的危險可能成為現(xiàn)實。據(jù)Jupiter稱��,今年4月份,這三家即時通訊服務提供商在美國的家庭用戶去年10月份的9860萬增加到了1億1100萬��。Gartner曾預測���,去年夏季它們的全球用戶為2億�。IDC預測���,到2005年�,即時通訊服務的企業(yè)用戶將高達3億�����。
隨著即時通訊服務不斷推出語音���、視頻聊天等新功能����,其危險性也大大增加了����。賽門鐵克公司安全反應小組的首席架構(gòu)官凱里說,與其他軟件一樣�����,即時通訊軟件中也有bug和潛在的安全缺陷。反病毒廠商已經(jīng)將即時通訊服務列入了監(jiān)測的范圍�。
他還指出,即時通訊客戶端一直與服務器相連�,從理論上說,蠕蟲病毒可能非常迅速地感染數(shù)以百萬計的用戶�����。利用帶有即時通訊服務的具有互聯(lián)網(wǎng)訪問功能的攻擊可能造成巨大的損失��。凱里說�,在未來二年內(nèi)����,將有包括計算機、手機在內(nèi)的無數(shù)設(shè)備能夠使用即時通訊服務���。想象一下紅色代碼�、Nimda這種類型的病毒發(fā)作時的景象吧�,它感染的不再是數(shù)十萬臺服務器,而是無數(shù)的設(shè)備���。
在即時通訊發(fā)展的早期��,即時服務只能傳輸文本文件���,這時�����,其危險還是比較小的�����。當然了�����,個人的機密資料和企業(yè)的商業(yè)機密仍然可能在不經(jīng)意間被泄露����。而現(xiàn)在的即時通訊服務普遍支持文件共享��,尤其是可執(zhí)行文件的共享��,這也是黑客最容易下手的地方��。
安全專家表示,隨著即時通訊軟件中添加的復雜功能不斷增加����,黑客可能從中找出新的安全缺陷。 盡管目前還沒有專門的即時通訊安全軟件��,但防火墻���、反病毒軟件��、內(nèi)容過濾軟件等傳統(tǒng)的防范措施也適用于即時通訊服務����。安全專家還建議��,用戶不應當隨意接受陌生人發(fā)送的消息����。
但許多沒有從不熟悉的電子郵件地址下載文件的用戶可能僅僅通過即時消息服務而受到攻擊����,即時消息服務已經(jīng)被用戶認為是一種用戶交往。但安全專家指出�����,與傳統(tǒng)的社會交往一樣,在線聊天也存在危險��,而且也許受到攻擊的機會更多��。
安全專家表示���,用戶最需要的是采取行動��,防火墻和反病毒軟件能夠使我們免受明顯的攻擊�。另外�,在網(wǎng)上受到攻擊的危險與在網(wǎng)上的活動密切相關(guān)的,如果進行除瀏覽和收發(fā)電子郵件之外的活動�����,受到攻擊的可能性就會大大增加���。除非用戶能夠及時更新�,否則最好的反病毒軟件也無濟于事�。
作者供稿 CTI論壇編輯
相關(guān)鏈接: