即时信息的安全要害
王金元
2003/06/12
在现今商务时代,即时信息似乎顺理成章地成为人们实时交流的理想工具。然而,许多企业因为一个简单的原因而徘徊在外,这就是即时信息与其它类似的应用程序可能会造成严重的安全问题。当上个星期雅虎弄出个补丁,补上它的即时信息与聊天程序上的一个缓冲区溢位的安全漏洞时,更加让人尝到了即时信息的安全要害。
尽管安全问题是如此的严重,会影响企业即时信息的应用,但许多开发商正在努力找出其安全漏洞,寻求新的技术措施来解决这一拦路虎,力争夺取这一新生市场。面对这一美好前程,企业将如何拉下这个拦路虎?他们会成功扩张这块企业版图吗?
即时信息崛起 先天脆弱多多
即时信息的迅速崛起,安全问题变得令人担忧。经权威人士研究发现,今天使用的诸多即时信息系统大多数在设计的时候都考虑了可扩展性,而没有考虑到安全问题。首先,一个普遍的现象是几乎所有免费在线即时信息系统都缺乏加密功能,允许用户以非加密形式传输、交换文件。这样的文件交换会导致传统病毒、蠕虫、特洛伊木马以及混合威胁的大量传播。此外,尽管从技术上讲,提供能在即时信息文件交换穿越企业防火墙时对其进行扫描的安全产品是可以实现的,但是目前还没有安全软件提供商提供这样的网关扫描解决方案,其中部分原因在于即时信息协议的专有性。
此外,因为最流行的一些即时信息平台提供脚本编写功能,帮助用户编写Visual Basic、JavaScript和专利脚本编码或标准的Windows程序以控制信息代理不同的特色。这样的脚本可以执行自动指导即时信息代理自动与其他用户联系、发文件、改变程序设置、执行其他潜在的恶意程序等操作。这一功能不但提供方便,而且还帮助计算机蠕虫和混合威胁的传播。已知的基于脚本的即时信息蠕虫已经多达十几种,使得这一问题变得非常现实,如最近发现的广为传播的Fizzer蠕虫,攻入了美国在线的即时信息网络和百年老店IRC(Internet Relay Chat)网络。 还有4月出现的AIM-Canbot蠕虫、2月出现在MSN上的Menger/Coolnow蠕虫。
再者,很多商务即时信息服务都在使用80端口,而这个端口还可以用来运载HTTP信息。当即时信息上千次甚至上万次地打开80端口时,就会把公司经常暴露在危险之中。这意味着黑客可以利用这些安全弱点,窃取用户身份、发送有病毒的附件和其它有毒软件,或者借助缓冲器溢出和畸形数据包进行攻击,特别是那些非法下载和使用即时信息软件的企业,使企业的网络安全受到的威胁更多。由于用户在很多系统上经常使用同一个密码,这样攻击者在打开安全措施不够的加密即时信息交换文件以后,还可通过同一密码神不知、鬼不觉地进入其它企业系统。
确保用户安全 对症下药有方
基于即时信息本身的这些缺陷,为了确保即时信息的安全,人们都在想方设法,对症下药。首先,采用加密即时信息软件。比如,上周美国在线公开测试了新贝它版加密即时信息软件AIM(AOL Instant Messenger)5.2.3255,新产品还有无线功能的AIM 5.2.3074,年初公司还推出了AIM 5.2.3139贝它版。这些加密软件,即方便了企业B2B用户在PC和移动工具上安全交流信息,也为企业安全提心吊胆的管理员松了一口气。此外,网络安全专家赛门铁克建议企业在所有台式机上实施台式机防火墙解决方案(或集成的防病毒/防火墙解决方案)。这样的防火墙可以帮助阻塞未经批准使用的即时信息程序,从而防止来自或针对即时信息系统的攻击。再者,要预防通过即时信息文件交换造成病毒的传播与基于脚本的即时信息蠕虫,最好的方法就是在所有客户端台式机上部署最新的防病毒软件。最后,规范使用程序也很重要。“公司不得不制定办法来指导员工如何在他们网络上正确地使用这些程序,接着还得进一步督促他们。”网络安全公司 Guardent首席技术官Jerry Brady说。
另一有代表性的解决方案是信息资源提供商去年共同推出了一种新的在企业内保护即时信息安全的管理服务EIM(Enterprise Instant Messaging)。EIM使用的是一个专门为即时信息设计的独立端口,不是80端口,所以对于出入企业的即时信息监督工作就简单多了,对企业网络的威胁少多了。EIM服务避免了可能发生的身份窃取,因为它把即时信息帐户和现存的电子邮件帐户相连接。此外,EIM还使用Lightweight Directory Access Protocol (LDAP)与公司的地址连接。 而且,这项服务还对公司网站和联合信息中心的交流进行加密,加密功能保障了即时信息有一个更高的秘密水平。
安全问题不难 前景依然看好
“安全是一个大问题,但应用趋势仍会推动即时信息应用的发展。” Gartner分析家Lou Latham说。自9.11恐怖事件发生以来,美国人不敢外出办事,大大加快了即时信息的发展,而SARS的肆虐,为远距离实时交流提供了契机。 “开发商的冲刺将使即时信息产品支撑起互联网的安全标准,这正好是社会需求的反映。” 根据 IDC 的业界分析结果,企业在线即时信息用户正处于增长趋势,到2005年将达到三亿人。
尽管IBM的 Lotus在其实时通信产品上已经占领了企业即时信息市场的很大份额,但其它公司如微软、美国在线、雅虎、惠普、Sun和国内老大腾讯等奋勇直追,杀奔企业即时信息市场,一场军阀混战在所难免。据业界分析,在这一较量中,国际霸主微软很难独霸一方。因为微软面对的对手太多,其中有些还是个人即时信息方面的专干。不过,一场角逐使即时信息产品长进不小。比如微软3月推出的升级贝它版实时交流平台,能大大地扩大协同交流的领域。负责即时信息的微软副总裁Anoop Gupta说:“微软的实时交流新版产品好于即时信息产品。我们认为如果企业用上了它,就会改变他们的交流方式。” Gupta指出,电子邮件在企业中使用还不到15年,现在几乎满天都是。“我想你会看到即时信息的类似潮流。”微软设想让员工通过实时交流来共享文档和图片,通过网络将桌面PC上的文件实时传送到移动装置上,如Tablet PC平台。
企业即时信息产品的提供是开辟这一市场的关键。因为个人版不仅缺乏安全性,还背上了“不务正业”的坏名声。但是Gupta却不这样认为,他觉得个人即时信息的使用更加说明了人们对这一技术的喜爱。他说:“人人都会确信,对于他们来说,这是一个有用的工具。”如果企业即时信息能象个人即时信息模式那样遍地开花的话,无界交流就成为了现实。
eNet硅谷动力(cio.enet.com.cn)
相关链接: