企业信息安全受IM威胁

申请免费试用、咨询电话：400-8352-114

如果IT公司到目前为止还没有一定的关于使用即时消息的策略的话，那确实是时候该统一的制定一个这样的策略了，因为即时消息的使用规模正在迅速的发展。

6月5日伯顿公司的发表了一项新的说法---“加强即时消息的安全性：并不只是一句空谈”，即时消息的使用正以爆炸般的速度在增长。但IT管理者们却把重点还是放在那些已经成熟的了业务工具上。

加利福尼亚的一家研究机构称，即时消息在商务上的传送自2005年到2006年之间从14亿条增长到19亿条，增幅大概在25%左右，并且截止到2008年的这两年间，这个数字将会以惊人的速度增长到43亿条。

伯顿的高级安全分析师Diana Kelley说，尽管即时消息的使用在大幅度的增长着，但是很少的公司为此而制定一个正式的使用策略和规范。IT管理者们没有更多的关注“消费者导向的商务”的原因主要是由于他们并不十分的确定在他们的公司里有多少员工正在使用即时消息或者说即时消息中都传递了什么样类型的集体和个人的信息。

Kellye还说，不管是使用windows平台或者开源平台的IT公司，面临的问题差不多是相同的，那就是在企业内部如何控制即时消息的进一步扩展。“即时消息的使用，在一些企业内部已经形成了一种组织规模，特别是在那些还没有真正决定是否允许使用即时消息的企业里面。”

Kelley说，公司的第一步就是制定一个统一的策略和规范来管理即时消息，哪怕策略就是很直接的禁止使用即时消息。那些实行禁止使用即时消息的公司，可以借助现成的产品来阻止员工门使用即时消息工具发送消息。

Kelley说，对于那些想允许即时消息使用但稍加限制的公司，可以制定一个规则，规则规定谁有权使用即时消息，使用的目的和发出消息的内容。规则还应该包括是否可以发送带有附件形式的文件。因为象Bropia, Kelvir 和MyDoom类型的蠕虫病毒专门是针对在即时消息发送中所粘贴的文件附件进行的侵害。

另外一个值得考虑的问题，关于即时消息会话的存档和更新存档的时间间隔。最后，公司一定要强制性的执行这些规则和策略。

Kelley说，保护即时消息是一项规模更庞大的网络工作或者说是主动管理工作。保护即时消息的方法如下：

1.认证：提供多因素的身份认证

2.访问控制：用户信息应该被链接到象活动目录那样的目录存 储中去，以加强用户策略。

3.过滤恶意插件和URL：除了基于内容的策略排检外，系统还应该检查恶意签名和反垃圾邮件的侵入。

4.加密：即时消息一般不进行加密，但是这些规定和策略能对特定的数据起到加强安全性的作用，例如网关到网关的加密，服务器对服务器的加密和客户端到客户端的加密。

Kelley说，总而言之，如果不使用适当的针对即时消息的策略的话，公司将面临风险，“真正的商务是应该允许使用即时消息的，只不过要多加引导。所以为了商业目的而使用即时消息的企业和组织必须保护和控制好这个重要的交流平台。”(techtarget)