建立企业即时通讯-论即时通讯安全性（五）

建立企业即时通讯

为了确保公司环境免受即时通讯人员的“威胁”，组织应该：

1

建立企业即时通讯使用政策。明确定义即时消息在企业内扮演的角色非常重要。

通过制定企业使用政策，使用者和负责执行的技术团队都能清楚地了解这一立场。

该政策应包含关于哪些服务是允许的信息（例如聊天是可以接受的，而文件传输不可以），可以交换什么类型的信息，监视和记录的状态以及任何法律或人力资源影响。

用户将因此知道可接受使用的范围，并了解公司的法律地位。 技术团队将能够根据政策的范围规划和设计适当的安全对策措施。

2

正确配置企业防火墙以阻止未经批准的IM通信。

虽然大多数IM客户端都是'端口敏捷'，但阻止默认端口并确保出站连接仅适用于授权主机/地址，这将使管理IM环境变得更加轻松。

通过使用身份验证代理服务器来管理桌面互联网访问（即所有客户端工作站只能通过代理服务器访问互联网资源），可以对IP服务，协议和目的地进行额外控制。

3

强化客户端工作站。企业工作站应该进行配置，以限制用户安装未授权软件的能力。

此过程将通过删除非必需的应用程序，限制对操作系统调用和数据（例如，Windows命令行和访问系统注册表）的访问来确保适当的文件和目录权限。

从而提高客户端主机的整体安全性。建议使用经认可的硬化指南。

4

部署桌面防护产品。强烈建议安装本地防病毒和个人IDS或防火墙软件。

这些桌面保护代理将帮助限制不需要的安装和Internet访问。在允许使用即时消息客户端用于商业目的的企业环境中，桌面保护代理将有助于防止恶意使用。

组织应确保这些产品是集中管理的，并且不能由本地用户配置。

5

修补工作站。组织必须确保所有可能访问Internet的工作站（无论是直接访问Internet还是通过代理服务器）或者从Internet接收资料（例如来自外部源的电子邮件附件）均已正确打补丁，并且运行最新的Service Pack 和安全更新。

此修补程序过程应确保所有应用程序（包括IM客户端软件）在更新发布后尽快进行修补。

6

加强IM客户端设置。就像配置桌面保护代理一样，组织应该通过集中管理的操作强制执行IM客户端设置，并防止本地用户更改它们。

7

监视检查以确保IM客户端策略的符合性。结合可接受的使用策略，组织必须能够监视所有IM流量的合规性。

虽然公共IM系统不提供捕获IM流量的任何方法，但存在可在其结论中捕获IM流量的第三方工具。

但是，除非IM系统是基于服务器的，否则中途丢弃的对话将丢失。

8

部署企业IM（EIM）服务以隔离企业消息传递。

如果企业需要IM服务用于商业用途，组织应调查在其环境中部署专用IM服务器的可能性如SparkleIM。

这将有助于业务消息内容的分离，允许全面监控和存储数据，并帮助提供内部用户身份的保证。 另外，这个封闭的系统仍然可以暴露给关键的外部客户和供应商。

SparkleIM系统为企业提供了自己的客户端和服务器，这些客户端和服务器都具有企业安全功能，包括阻塞，日志记录，审计，监控，路由和加密。

9

保护加密传输的信息。某些IM客户端软件在正确配置（如SparkleComm）时确实支持加密（例如SSL）。

如果要通过Internet或公司LAN传输机密信息（包括登录身份验证凭证），组织必须确保启用加密。

但是，启用加密将会对组织监控和记录消息流量的能力产生不利影响。

10

使用专用命名约定或实名制。

组织应使用企业即时通讯平台，而不是每个即时通讯用户创建自己的用户名（其他人尚未在公共信使服务中使用该用户名），该组织应利用现有的命名方案 （如电子邮件地址，Active Directory和LDAP）。

由于该组织拥有自己的名称空间，因此与其他业务中的用户名不会有冲突，并且混淆的机会也会减少。

结语

很显然，无论组织是否准备好，IM都会带头整合PC及手机上的通信。同样，组织发现他们的办公通信（例如电话，即时消息，文档共享，视频和网络会议）必须无缝协作。

像劳格科技这样的厂商已经通过诸如他们的“SparkleComm”等产品为这种通信融合播种了种子。

消费级即时通信技术在企业环境中的流行确保了黑客和恶意用户对这些技术的日益关注。

针对未知用户的攻击越来越普遍，他们被诱骗下载并运行专门为组织提供后门程序的木马软件，或参与针对其他组织的分布式拒绝服务（DDoS）攻击。

因此，IT管理层必须通过制定适当的公司政策并采用专为企业级设计的解决方案来控制即时通讯的使用。