誰來守護(hù)即時信息安全���?
賽門鐵克中國區(qū)技術(shù)總監(jiān) 郭訓(xùn)平
2004/02/09
即時信息(IM:instant message)最初以好友間聊天服務(wù)開始,經(jīng)過發(fā)展壯大���,現(xiàn)已成為上億互聯(lián)網(wǎng)用戶的必備工具���。對于即時信息的應(yīng)用前景,業(yè)界權(quán)威調(diào)查機構(gòu)的分析結(jié)果顯示,企業(yè)在線即時信息用戶正處于快速增長期��,到2005年將達(dá)到三億用戶���。 面對這一蓬勃發(fā)展的巨大市場����,我們在為即時信息技術(shù)的迅猛發(fā)展感到高興的同時��,也對這一新興信息交換工具的安全缺陷表示擔(dān)憂�����。
即時信息 先天脆弱
今天使用的諸多即時信息系統(tǒng)�����,大多數(shù)在設(shè)計的時候都考慮了可擴展性�,而較少考慮到安全問題。一個普遍的現(xiàn)象是幾乎所有免費在線即時信息系統(tǒng)都缺乏加密功能�;大多數(shù)都具備繞過傳統(tǒng)的企業(yè)防火墻的功能,給管理員對它們在企業(yè)內(nèi)使用的管理帶來了很大的困難��。這些系統(tǒng)中的密碼管理不安全����,容易受到賬戶哄騙程序的攻擊����,還可能受到拒絕服務(wù)攻擊���。
而且�,我們的調(diào)查發(fā)現(xiàn)���,目前即時信息系統(tǒng)是傳播計算機蠕蟲和混合威脅的理想平臺�。具體來說��,即時信息交換的安全缺陷有如下幾點:
信息交換并非直接互通:目前��,大多數(shù)即時信息系統(tǒng)采用客戶機/服務(wù)器結(jié)構(gòu)�。一般在安裝時,用戶都在自己的客戶端機器上安裝即時信息代理���,然后通過即時信息提供商的即時信息服務(wù)器實現(xiàn)信息的通信交換。在大部分情況下�����,即時信息并不是從用戶計算機直接發(fā)送給他的好友的,而是通過公用的互聯(lián)網(wǎng)從第一個用戶發(fā)送至即時信息服務(wù)器�����,然后發(fā)送到接收者的計算機那里���。由于幾乎在所有的即時信息系統(tǒng)中�,用戶之間發(fā)送的信息未加密(也沒法加密)���,導(dǎo)致信息容易遭到竊取����。
文件交換未加密:即時信息系統(tǒng)允許用戶以非加密形式傳輸�����、交換文件���。這樣的文件交換會導(dǎo)致傳統(tǒng)病毒����、蠕蟲�����、特洛伊木馬以及混合威脅的大量傳播。此外��,盡管從技術(shù)上講�,提供能在即時信息文件交換穿越企業(yè)防火墻時對其進(jìn)行掃描的安全產(chǎn)品是可以實現(xiàn)的,但是目前還沒有安全軟件提供商提供這樣的網(wǎng)關(guān)掃描解決方案����,其中部分原因在于即時信息協(xié)議的專有性。
腳本功能存在缺陷:因為最流行的一些即時信息平臺提供腳本編寫功能�����。這一功能在提供了方便的同時�����,也幫助了計算機蠕蟲和混合威脅的傳播�;已知的基于腳本的即時信息蠕蟲已經(jīng)多達(dá)十幾種,使得這一問題變得非�����,F(xiàn)實�。因此,非常有必要在所有的桌面計算機上實施防病毒保護(hù)����,預(yù)防這類基于即時信息的惡意編碼。
除上述安全缺陷之外��,IM還有一些易被利用的弱點�����。首先��,與其它基于Internet的應(yīng)用軟件相似����,即時信息程序中可能會有一些漏洞,攻擊者可能會通過Internet利用這些漏洞發(fā)起攻擊���。借助緩沖器溢出和畸形數(shù)據(jù)包攻擊���,攻擊者可以訪問任何一臺安裝帶有易攻擊點的即時信息客戶端PC。其次����,很多即時信息系統(tǒng)提供商還為即時信息添加了與聊天無關(guān)的功能����,使得即時信息系統(tǒng)客戶端軟件向Internet開放���,這無疑增加了遭受攻擊的可能�。此外����,很多即時信息系統(tǒng)很容易受到帳戶竊取和哄騙程序的攻擊,這些易攻擊點可能會允許攻擊者竊取其他用戶的即時信息賬戶��,并扮演該用戶與他人通信����。最后,由于用戶在很多系統(tǒng)上經(jīng)常使用同一個密碼�,這樣攻擊者在打開安全措施不夠的加密即時信息交換文件以后,還可通過同一密碼侵入企業(yè)其它系統(tǒng)�。
確保安全 對癥下藥
盡管即時信息發(fā)展時間較短、協(xié)議專有���,并以此造成了現(xiàn)有的信息安全工具在安全防護(hù)方面的不匹配���,但由于其已具有了廣闊用戶群���,發(fā)展十分迅速,為此賽門鐵克的網(wǎng)絡(luò)安全專家正在對這項技術(shù)進(jìn)行研究����,以推出相應(yīng)的安全防護(hù)工具����。
基于即時信息本身的這些缺陷,為了確保即時信息的安全���,我們建議企業(yè)在所有臺式機上實施臺式機防火墻解決方案(或集成的防病毒/防火墻解決方案)���。這樣的防火墻可以幫助阻止未經(jīng)批準(zhǔn)使用的即時信息程序,從而防止針對即時信息系統(tǒng)的攻擊���。賽門鐵克前不久推出的硬件防火墻VelociRaptor即是這種集成的防病毒/防火墻解決方案���。
此外,要預(yù)防通過即時信息文件交換造成病毒的傳播與基于腳本的即時信息蠕蟲�,最好的方法就是在所有客戶端臺式機上部署最新的防病毒軟件。目前在這方面賽門鐵克已有針對客戶端的防病毒軟件解決方案—諾頓防病毒企業(yè)版7.6���,它同時提供桌面計算機和文件服務(wù)器的全面防毒保護(hù)功能���,并特別針對Microsoft Exchange�����、Lotus Notes服務(wù)器設(shè)計了自動化電子郵件防毒及內(nèi)容過濾功能�,并且支持漫游用戶�����,從而可為即時信息交換提供全面防毒功能��。
減低危險 防患未然
要降低即時信息系統(tǒng)給企業(yè)帶來的風(fēng)險�,在具體應(yīng)用中,除了建議用戶在所有臺式機上部署防病毒軟件和個人防火墻��,我們還提請廣大用戶注意以下建議:
◆ 在企業(yè)內(nèi)部建立即時信息使用策略����,確保企業(yè)內(nèi)部人員安全的使用即時信息,避免濫用����;
◆ 向企業(yè)內(nèi)部的人員宣傳不要用公共的即時信息系統(tǒng)發(fā)送機密信息���;
◆ 恰當(dāng)配置企業(yè)防火墻,阻擋未經(jīng)批準(zhǔn)的“非法”即時信息通信�;
◆ 如果可能,建議部署企業(yè)專用即時信息服務(wù)器��,將企業(yè)的即時信息系統(tǒng)與外部隔離��;
◆ 執(zhí)行客戶端即時信息設(shè)置(默認(rèn)情況下����,拒絕文件傳輸?shù)取?
◆ 盡快安裝即時信息軟件的補丁程序����。
總之,即時信息系統(tǒng)依靠其效率和方便性��,正迅速被企業(yè)用戶接納���。但不幸的是���,幾乎沒有供應(yīng)商提供統(tǒng)一的即時信息解決方案,而是任由用戶自己選擇,這就給企業(yè)內(nèi)部安全帶來了隱患��,F(xiàn)在很多即時信息系統(tǒng)都是為了個人用戶聊天設(shè)計的��,而不是為了方便企業(yè)安全通信�。因此,它們給企業(yè)帶來了新的隱患����������;谝陨显����,我們建議企業(yè)應(yīng)及時制訂并實施即時信息策略以便全面享受即時信息系統(tǒng)帶來的通信優(yōu)勢,同時降低遭受安全攻擊的可能性�����。
即時信息系統(tǒng)是傳播計算機蠕蟲和混合威脅的溫床�,這是由其先天特點決定的:IM應(yīng)用廣泛,為病毒傳播提供了廣泛環(huán)境�;IM提供功能出色的通信架構(gòu)�����,但也易于被利用�;IM集成可用來查找新目標(biāo)的目錄適合病毒的集群傳播�����;IM可以由簡單易編的腳本控制�����,容易被懷有惡意的人利用��。
產(chǎn)品鏈接
VelociRaptor硬件防火墻:作為一種集成的防病毒/防火墻解決方案��,VelociRaptor與其它防火墻產(chǎn)品相比�,最大特色在于即插即用的快速安裝����、遠(yuǎn)程管理接口、快速過濾且高度安全等優(yōu)點�。作為高度集成軟硬件的防火墻/虛擬專用網(wǎng)絡(luò)裝置,以“Full-Inspection Technology” 掃描技術(shù)提供企業(yè)級的網(wǎng)絡(luò)安全防護(hù)����,確保為企業(yè)提供穩(wěn)固��、快速和安全的Internet聯(lián)機�。它具備即插即提供安全防護(hù)的特性����,并在其網(wǎng)關(guān)安全防護(hù)架構(gòu)中,整合了用來過濾網(wǎng)絡(luò)資料的先進(jìn)資料檢查技術(shù)����、應(yīng)用層代理、網(wǎng)絡(luò)流向分析(network circuit analysis)和封包過濾等功能�。此外,VelociRaptor同時還內(nèi)建了賽門鐵克的企業(yè)虛擬專用網(wǎng)絡(luò)(VPN)�,提供“站點到站點”的虛擬專用網(wǎng)絡(luò)支持。這使得有移動商務(wù)人士的企業(yè)用戶還可升級至擁有完全虛擬專用網(wǎng)絡(luò)的服務(wù)支持�����,享受包含免費的私人防火墻控管與延長對遠(yuǎn)程及移動通訊工作者的保護(hù)功能��。
賽迪網(wǎng) 中國信息化(industry.ccidnet.com)
相關(guān)鏈接: