即时通信要设防_即时通信

即时通信要设防

清水编译 2007/06/29

　　即时通信给企业网络带来了病毒等恶意攻击的威胁，专家建议要管理好企业即时通信。

　　如果你给员工一笔费用，结果可想而知：一部分钱会被他们用于请客吃饭；要是给员工派一辆公司汽车，他们至少会在一段时间自己私用。

　　开放的即时通信（IM）也是如此。完全允许员工安装及使用开放的即时通信软件，就意味着会出现私人聊天——这是毫无疑问的。但更糟糕的是，一部分使用即时通信的员工是与陌生人在聊天，这可能会将恶意软件、网络钓鱼攻击、病毒及其他各类恶意信息引入公司网络。

　　彻底禁用

　　最为彻底的应对措施就是通过安全和群组策略在桌面端禁用、在网关端禁用以及在防火墙端禁用即时通信工具。这样，IM就完蛋了。假如你可以不用IM，那么这是最好的办法。如果你能在一般的办公环境中只使用电子邮件和办公电话系统，那么IM只是精通电脑的员工手里的奢侈玩具。问题就能这么简单地解决了。

　　但有许多工作场所不属于“一般的办公环境”。这些工作场所的工作人员喜欢使用IM迅速联系远程办公人员和远程站点联络人，当然还能进行实时的网络客户服务。不管你喜不喜欢，IM已经摆在面前了。那该怎么办呢？

　　举个例说，商用的微软办公室通信服务器（OCS）/Live Communication Server不是市面上惟一一个高级的即时通信平台，但它却有人们需要的所有优秀功能。你可以使用OCS来管理IM流量，与Windows Messenger之外的IM客户端软件实现互通，还能够跟踪IM对话内容以便监管或者审查。

　　但真正让人喜欢的是，知道自己在做什么的Windows管理员可以使用活动目录和OCS创建相当于IM虚拟局域网（VLAN）的东西。这样，管理员就可以允许某些用户使用IM与外面进行通信，然后审查来自其余网络的那部分流量。所以，即使即时消息引来了恶意软件，恶意信息实际上也会被诱捕起来，这功能很棒。

　　使用其他技术，你还可以对来回的IM流量进行加密。如果你在传输重要数据，建议你这么做。不过尽管对这些流量进行加密也许切实可行，但通过IM来传输“重要数据”是最糟糕的办法。对IM而言，建议人们坚持采用管理、跟踪、扫描及隔离等方法。

　　管理好IM

　　不过，对IM进行设置和监控颇为让人头痛。如果你有一批人数相当多、精通Windows的IT人员，那么这肯定不成问题。但如果你是一家中小企业，人手有限，每天还有另外一大堆事情要去做，那么不妨考虑把这项让人头痛的任务交给别人去做。比如，MessageLabs、Verizon等公司就提供安全的、可管理的即时通讯信服务，作为一项主机托管服务。

　　这肯定会给公司内部带来许多好处：安全扫描、流量监控、审查，以及通常准确许多的报告功能。但你必须留意与客户之间的兼容性等问题。譬如说，如果你的客户可能使用各种即时通信客户软件，那么就不要选用那些限制你的用户，使其只能使用某一种客户软件的主机托管服务。这其中有许多解决办法，所以在花钱之前有必要与主机托管提供商洽谈一下。

　　总地说来，我们大力主张对IM采取“完全说不”的态度。如果你不需要IM，就禁用它吧！但是由于越来越多的办公人员确实需要它，所以最好的办法就是比较一下内部实施OCS和求助于MessageLabs等外部提供商各自具有的优点。但总地来说，你不能忽视它，忽视它只会让情况在将来变得更糟糕。

计算机世界网(www.ccw.com.cn)