“我們上班時不可以使用任何即時通訊（IM）軟件的，可以使用工作電子郵箱，但發的郵件是被監控的，主要是公司為了防止員工將程序源代碼泄露出去。”這是一位在國內著名IT企業上班的朋友對我描述他們的工作環境。當然，雖然都是每天面對電腦、面對網絡，但是工作性質不同，不同的公司在對IM軟件使用上的限制自然也有所區別。

事實上，大家一談到IM軟件應用，往往首先想到的就是聊天。現在，諸如MSN、ICQ、Yahoo、QQ、UC等IM軟件越來越多地進駐辦公室，仍然主要是作為聊天工具，或者就是個傳傳文件，發發消息的小玩意，只不過現在大家聊的話題涉及公事更多而已。對企業的管理者而言，多半并不喜歡員工進行工作以外的事情，因此企業需要在便利及安全之間作選擇。

雖然說目前大部分企業還是把IM軟件定義為聊天而非溝通工具。因此國內有些大企業還是以限制與監控網絡通訊過程，作為員工考核與獎懲的依據。不少企業為了避免員工在上班時沒事就跟人聊天閑扯，便主張禁止IM軟件的使用；然而，把IM軟件列為禁忌，可能有點因噎廢食，畢竟，使用IM軟件好比雙刃劍，利弊參半。一項針對IM軟件使用情況所做的調查報告指出，有39%的使用者認為IM可以提升工作效率；若以即時溝通的觀點出發，有82%的使用者認為網絡即時通訊可以快速解決工作上溝通的問題；另有70%認為可以快速知道對方是否在線。由這些數據可以看出，IM軟件對企業具有正面的效益。對于這樣一個雙刃劍，如何才能揚長避短，就需要考驗企業的管理功力了。

最近，Gartner分析也指出，目前全球有30%以上的企業使用IM來從事商業溝通，但是只有少于1%的企業對IM做過管控。然而，面對近年來不斷出現的通過IM軟件傳播的網絡病毒，（IM）軟件的有效管理就要提到企業的管理日程上來

脆弱的IM

大多數IM系統在設計的時候都考慮了可擴展性，但卻沒有充分地考慮安全問題。一個普遍的現象是，幾乎所有免費的在線即時信息系統都缺乏加密功能，其中大多數都具備繞過傳統的企業防火墻的功能，為網絡管理帶來了很大的困難。此外，這些系統中的密碼管理不夠安全，使賬戶容易受到攻擊，還可能受到拒絕服務等方式的攻擊。Gartner研究部副總裁Carl Claunch在談起（IM）軟件的安全問題時曾經憂心忡忡地說，安全顧慮、缺乏事后可追查的文件記錄、服務品質有限、整合問題和欠缺對非文字媒體的支持，令企業對投資即時通信技術裹足不前。“IM的安全性不足，因為基本的IM架構不是專為信息保全而設計，”Claunch說：“你不會想電子轉賬10億美元到瑞士的某家銀行，然后用IM來確認這筆交易。”

事實上，IM一些自身的特點使很多IM系統成為迅速傳播計算機蠕蟲和混合病毒的理想平臺。例如，IM普及迅速、應用廣泛，為病毒傳播提供了環境；IM集成可用來查找新目標目錄，適合病毒的集群傳播；在很多情況下，IM可以被簡單易編的腳本控制，并容易被懷有惡意的人利用。

據了解，現在大多數IM系統采用了C/S結構。在大多數情況下，IM的傳播是借助于服務器的，用戶之間發送的信息未經加密（也沒有辦法加密），信息對于攻擊者是清楚可見的，很容易導致信息被竊取。另外，即時信息系統還允許用戶用非加密形式傳輸、交換文件，這樣會導致蠕蟲、特洛伊木馬以及混合病毒的大量傳播。而且，到目前為止，還沒有安全軟件提供商提供相應的網關掃描解決方案。

如果我們剖析一下IM軟件的系統內部就會發現，很多IM系統都提供腳本編寫功能，可以幫助用戶編寫VB、javascript等標準Windows程序，以便控制不同方式的信息代理。但它在為用戶提供方便的同時，也為一些蠕蟲和混合病毒的傳播提供了途徑。因此，專家提醒用戶：非常有必要在個人計算機或終端計算機上實施防病毒保護，預防這類基于IM的惡意編碼。

尋找某個軟件的漏洞可以說是網絡黑客的“主營業務”，而對這些基于Internet的應用軟件，尋找程序漏洞對他們來說更是樂趣之一。黑客可以借助緩沖器溢出和畸形數據包等方式，攻擊者可以訪問任一臺安裝帶有易攻擊點的即時信息的客戶端。有時候，系統供應上位用戶提供的很多IM軟件附加功能提高了即時信息系統客戶端軟件向Internet的開放程度，增加了系統遭受攻擊的可能，也成了漏洞產生的“溫床”，增加了系統遭受攻擊的可能。此外，很多即時信息系統很容易受到賬戶竊取和哄騙程序的攻擊，這些易攻擊點允許攻擊者竊取其他用戶的即時信息賬戶，并扮演該用戶與他人通信。此外，最要命的就是大多數人為了方便記憶，經常使用同一個密碼，這樣攻擊者在打開沒有安全措施的加密即時信息交換文件以后，還可通過同一密碼進入其它的企業信息系統。

安全保衛戰

雖然說IM軟件發展的時間較短、協議專有，造成了現有信息安全工具在安全防護方面的不配套。但由于它已具有了廣泛的用戶群，并且發展十分迅速，所以，用戶對相應的安全防護工具的要求十分迫切。現在已經有很多IT公司開發出了專門針對IM軟件的安全保障系統。對企業來講，有兩種行之有效的方法可以對IM軟件進行管理

“封閉式”管理

所謂“封閉式”管理就是建置企業內部的“實時信息系統”。企業必需設置自己內部的信息服務器，每臺個人計算機必需安裝特定的實時信息程序，該實時信息系統完全運作在企業的Intranet環境并不與外界有任何聯系。“封閉式”實時信息系統的優點是可以提供企業更為安全文件及信息傳輸服務，同時信息管理人員又可對企業內部實時信息的使用加以管理，目前提供這方面解決方案的廠商有IBM、Jabber、Bantu等。

設置網關器

設置實時信息網關器(Messaging Gateway)：使用公開的“實時信息”程序(如AOL、ICQ、MSN)，但在公司內部設置實時信息網關器(Messaging Gateway)。與其讓使用者“非法”(不在企業的Security Policy之內)使用這些具有安全考量的實時信息，企業可以考慮將這些“非法使用”的情形“合法化”并加以管理，主要的精神就在于“凡走過必留下痕跡”，任何進出的信息都必須留下記錄，必要時信息管理人員才能根據這些記錄追查來龍去脈。而目前提供這方面解決方案的廠商有Akonix Systems、FaceTime等。

而對于流行的即時通訊語音服務，竊聽和攜帶惡意代碼的數碼照片的傳播是主要的不安全因素之一。世界著名的咨詢機構Gartner提醒各大企業要尤其注意即時通訊的安全性問題。Gartner建議企業用戶采用三個方法進行預防：應用企業級的IM工具，對公共IM服務提供具體的管理工具和配套服務，或是這兩種方法同時使用。

當我們無法抗拒Windows桌面右下角種著的ICQ綠色小花，或是佇立著MSN Messenger的藍色小人帶來的“魅力”，但又害怕這朵帶刺的玫瑰時，回避問題不是辦法，勇敢面對并解決問題才是首選！