AIM,Yahoo! Messenger 和Google Talk这些即时通讯(IM)平台,已经不再只是高中生才用的聊天工具,企业也开始使用它们来沟通。然而,很多情况下,与这些技术相配套的安全策略和流程却还没有到位。现在是时候考虑在企业中正在怎样使用以及应该怎样使用即使通讯,以及如何防范IM工具带来的威胁。 即时通讯策略 第一步是明确阐明你们公司对于即时通讯的策略。
用户是否可以在该组织的系统上安装和使用IM软件?如果你制定了“排除其它软件”的策略,那么你可能会以为已经把情况考虑进去了,但是不要忘了,Windows XP SP2自带有Windows Messenger,这就可以钻空子。 ……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
AIM,Yahoo! Messenger 和Google Talk这些即时通讯(IM)平台,已经不再只是高中生才用的聊天工具,企业也开始使用它们来沟通。然而,很多情况下,与这些技术相配套的安全策略和流程却还没有到位。现在是时候考虑在企业中正在怎样使用以及应该怎样使用即使通讯,以及如何防范IM工具带来的威胁。
即时通讯策略
第一步是明确阐明你们公司对于即时通讯的策略。用户是否可以在该组织的系统上安装和使用IM软件?如果你制定了“排除其它软件”的策略,那么你可能会以为已经把情况考虑进去了,但是不要忘了,Windows XP SP2自带有Windows Messenger,这就可以钻空子。
下面这些问题是你在制定你们组织的IM策略时应该考虑的:
- 你们的网络是否允许IM的使用?
- 用户能在你们组织的系统上运行IM软件吗?
- 你们公司是否支持或者说需要一种特定的即时通信平台?
- 是不是要强制加密?
- IM是否可以用于企业通讯,还是只能用于个人通信?
- 对通过IM交流的数据的敏感性是否有所限制?
- 是否要求保留一定时间内的通信记录?
一旦有了明确的IM使用策略,就要向用户讲解这些策略的要求和用户需承担的责任。
即时通讯的安全措施
如果决定要允许使用即时通讯,那就得对它采取防护措施,以避免受到IM网络里流行的病毒、蠕虫及其它恶意代码的危害。可以使用能在所有工作站上对IM进行扫描的现代防病毒软件,还可以考虑使用基于网络内容的过滤器来扫描IM流量以检测恶意软件。
同时,你还需要防止通信内容被窃听,因为它要经过公共网络。在外部,IM软件使用的是IM运营商的服务器,这意味着所有信息在去往或者来自那些服务器时都要经过公共网络。如果你认为用户可能通过IM发送敏感信息(不论是无意或有意),都应该着重考虑加密这些数据。不幸的是,加密的IM是一种相对来说不太成熟的技术,通常需要专门的客户端。在这一领域内的佼佼者当数Cerulean Studios公司的Trillian免费客户端,它支持多种IM网络,能与其他Trillian客户端的用户进行加密的通信。
保障即时通讯安全的终极大法就是运行你们自己的IM服务器或网关。这样就可以减轻信息通过Internet时遇到的外界威胁,因为这些流量都是在自己的本地网络内,这实际上并没有想象中那样难。其中许多产品都能让你对网络中的IM流量类型和目的地址进行精细控制。除了商业产品,你也不妨考虑开源的Jabber IM服务器项目。
即时通讯将在可以预见的将来普及,并且会成为信息安全人员的重大挑战。如果你因为业务需要而不能禁用IM,那么就一定要考虑采取强有力的措施来限制这种技术对你们公司所造成的威胁。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
评估厂商安全策略:你应该关注这五个问题
网络空间的动态特性要求安全策略适应这一趋势。很多安全损害首先是由于针对厂商的攻击引起的,所有企业必须解决与厂商有关的网络威胁。评估厂商的安全策略是一种确保数据安全性的合理方法。
-
将平板电脑用于工作合适吗?安全问题怎么解决?
平板电脑是不是不如笔记本电脑安全呢?我在为我的公司制定设备安全策略,是否应该禁用平板?或者采取特定的平板安全策略来限制特定厂商/OS的平板设备的使用?
-
转型中的深信服不只有安全,云和虚拟化占了半壁江山
深信服从2011年就已开始布局云和虚拟化领域。积累至今,云和虚拟化已发展成与安全业务平分秋色,再仅拿安全厂商来看待深信服显然已不合时宜了。
-
让IT更简单:深信服在京举办2016年大客户技术高峰论坛
6月18日,以“创新佳法,IT简法”为主题的深信服2016年大客户技术高峰论坛在北京国贸大酒店隆重举行。这是深信服第8年举办高峰技术论坛,会议吸引了来自全国各地的800多位CIO前来参与,共同探讨IT技术的新动向。