即時通訊軟體企業安全的防護死角？

即時通訊（Instant Message, IM）軟體的魅力何在？為什麼會有這麼多人利用MSN在線上做交流？一般人心目中對MSN這類IM軟體的認定，都還是認為只是一種聊天的工具。不可否認的，IM的使用在企業之間已經是一種非常普遍的電子溝通方式，而且仍持續的成長中。而根據IDC的調查報告預估，到了2005年全球使用IM的人數將超過2億。
即時通訊的影響力
就好比當初IE瀏覽器的竄起，IM軟體已成為網際網路另一波明星級產物，由微軟對MSN產品砸下大筆廣告預算更可以看出，IM軟體未來在網際網路的使用將更普遍。 一項針對IM軟體使用情況所做的調查報告指出，有39%的使用者認為可以提升工作效率；若以即時溝通的觀點出發，有82%的使用者認為網路即時通訊可以快速解決工作上溝通的問題；另有70%認為可以快速知道對方是否在線上。由這些數據可以看出，IM軟體對企業還是有正面的效益，並非全然都是負面的影響。

便利與安全之間的取捨
一直被企業所忽略的IM軟體，對企業網路而言，其實已經形成一個不設防的安全漏洞。 根據Osterman Research的調查報告顯示，目前所有企業中，已有超過80%的企業員工使用IM軟體，而IM軟體也漸漸成為企業營運系統中的工具之一，但相對的也是一項危險的工具。Gartner分析也指出，目前全球有30%以上的企業使用IM來從事商業溝通，但是只有少於1%的企業對IM有做控管。對企業的管理者而言，多半還是不喜歡員工進行工作以外的事情，因此企業需要在便利及安全之間作選擇。 雖然如此，大部份企業還是把IM定義為聊天而非溝通。因此國內有些大企業還是以限制與監控網路通訊過程，做為員工考績與獎懲的依據。不少企業為了避免員工在上班時沒事就跟人聊天閒扯，便主張禁止IM軟體的使用；然而把IM軟體列為禁忌，可能有點因噎廢食，畢竟，使用IM軟體好比刀有兩面刃，利弊參半，企業主如何取其長避其短，可說是一項智慧的考驗。

即時通訊的潛在風險
由於大部份的企業對MSN等即時通訊軟體的部署未加以管制，所以，員工在網路上註冊其私人的帳號，做為與客戶或企業夥伴的聯絡窗口，一旦員工離職，企業並無法防止其繼續使用此代表公司的帳號。 雖然企業極為重視公司機密性資料的防護，對於每一環節的防護可說是滴水不漏；但是對於IM的防護幾乎是無人問津，殊不知，藉由IM傳送檔案的方式也是一大漏洞所在。 IM軟體在使用上可能遇到的幾種風險，包括： 1. 法律上風險︰由於即時通訊傳送檔案的方便性，以致於使用者常將好玩有趣的資料相互分享，如MP3、非法軟體等，都是可能造成企業面臨重大法律風險及成本。 2. 工作效率的降低︰因員工將即時通訊當作私人使用，加上公司無法對合法使用及非法使用作有效分別，以致員工上班聊天，影響工作效率。 3. 機密資料外流的風險︰即時通訊的文字及檔案傳送功能比電子郵件系統快速，使企業面臨更大的挑戰。 4. 資訊安全上的風險︰經由即時通訊傳到公司內部的文件資料，可能包含病毒及有害的程式碼，使用者不經意開啟，將有可能造成企業嚴重的資訊安全問題。

事後處理不如事前管理
就如同Web和Email，在Internet上IM將成為是繼兩者之後另一種既便利又有效率的網路服務。對企業主而言，在不願全面禁止使用的情況下，如何不影響員工權利，又能讓企業達到控制和管理的目的，除了做好對員工的教育外，事前做好規劃及管理政策，要比事後發生事情再來處理來的好。 據微軟的分析表示，目前有23%的企業管控IM軟體的方式是採用全開或全關，所以無法就細項作管控，因此企業無法一方面允許員工使用IM，一方面又不允許其傳送檔案。如果要做到細項的管控，針對IM，防火牆是做不來的，即便只是要用防火牆來做偵測或攔阻，也有困難。因此需要特別的解決方案，才能做好IM的控管。 目前對於IM控管軟體的接受度普遍不高，主要還是以高科技產業為主，傳統產業次之。而他們之所以會考量選用並接受此類管理產品，重點在於提升員工的生產力以及保護企業重要的資訊資產。

管理解決方案
和Web及Email等內容過濾產品一樣，IM控管軟體除了對使用者的權限做管控，如誰能使用、什麼時候使用外；也可以針對傳輸檔案的大小、名稱及類型等做控管，同時結合防毒軟體進行掃描，以降低遭病毒感染的可能性；至於不當對話內容，也可以做即時監控（Log機制）和保存，做為法律上的依據；報表功能，提供管理者相關資訊，如頻寬的使用、員工的使用情況等，可做為公司稽核之用。 面對IM控管軟體市場，廠商一致的看法是，目前還處在教育的階段，依廠商樂觀估計還要到明年市場才會較為熱絡。當然，也需要IM軟體的配合，正如所羅門系統應用事業處管理師李玉美所言，待IM軟體功能強大到夠成為一個誘因，企業才會意識到威脅所在，願意去購買建置IM的控管解決方案。 IM相關的控管軟體，目前在市場上還不多見，已推出的有：一高商務代理的SurfControl IM及Akonix、所羅門代理的Face Time Communications的IM Gardian、IM Director和IM Auditor，以及精誠資訊代理的NetIQ之imMarshal等解決方案。以下就各家的產品做介紹：

一高
在Internet上提供完整解決方案的一高商務，所代理的SurfControl內容過濾產品中，IM Filter是屬Gateway端的控管軟體，利用其block功能，做人員使用IM軟體的管控，例如哪些人可使用、或哪些人不可使用哪些IM軟體，是屬於較為簡易的控管軟體。除此之外，個人IP、IP範圍或子網域也可以做定義加以管控。 而另一款Akonix ，則是進階的IM控管軟體。可以進一步做好管理，如：使用者的管理，哪些人在什麼時間、什麼地方做什麼事？以及檢查記錄進出的訊息內容等。對於檔案傳輸也可做限制，整合了防毒軟體，可在線上即時針對傳輸中的檔案做病毒掃描。監控功能，可讓管理者即時了解及查看有哪些使用者在使用IM，或是交談內容。

所羅門
針對IM的控管軟體，所羅門所提供的解決方案較為完整。於今年正式代理美國Face Time Communications的IM控管軟體，分別是：IM Gardian、IM Director及IM Auditor。 依功能及需求的不同，Face Time分別推出三種不同版本的產品，其中的IM Gardian是屬於較為陽春的版本，可以做到檢視IM的使用者行為，但是對於通訊內容則無法做管制；IM Gardian另一優點如同安全閘道器，除了防火牆應有的TCP/IP封包階層的管理之外，甚至可以透過port 80 tunneling重新封裝過的封包，同時也可以做偵測管理。 而加強版的IM Director，則可針對通訊內容做管理，其主要是藉由政策做為管理機制。可以整合企業目錄伺服器，做好分層控管；另外也能將IM對話匯出到企業內部的郵件系統，整合企業既有的系統架構。 IM Auditor則強化在可稽核所有通用的即時通訊網路；可將IM身分對應到員工的IM，做好身分管理；同樣也可整合企業內部的目錄伺服器，並且可延申整合企業現有的防火牆及伺服器。

精誠
精誠資訊所代理NetIQ的imMarshal for MSN，是最早引進的IM控管軟體。現有版本只針對MSN，但精誠表示，今年下半年會推出所有IM軟體皆適用的新版本。 NetIQ的imMarshal for MSN可控管IM使用權、管理檔案傳送、對話內容全程存證、不當對話內容的即時分析、發佈違反使用規則警訊，以及整合防毒軟體做病毒掃描等功能。此外，使用閘道式的控管機制，讓管理人員可以更方便的定義出管理的政策，例如，可設定IM使用時間為早上8點到下午5點，在5點之後便不可使用，或者可設定一天只能傳送檔案三次等。

即早正視問題並做好防範
對企業而言，IM軟體是免費的，卻要企業主花錢購買解決方案來解決可能遇到的風險，其實是滿困難的。「一般人都在發生事情時，才會去注意問題；出事情後，才會知道資安產品的效益。」正如一高商務經銷業務部經理魏誠厚所言，目前大多數的企業主對IM的認知，也還是停留在唯有資安事件的發生才能感受到其重要性。 精誠資訊安全暨效能事業部產品經理江奇寯也表示，垃圾郵件問題的嚴重性，是造成反垃圾郵件過濾軟體之所以受到企業重視的原因；而IM控管軟體，目前尚屬萌芽階段，要等到MSN受到如駭客攻擊及中毒事件的增加、公司機密文件隨MSN等IM軟體洩漏出去，才會開始注意到其間的問題及重要性。 很有可能成為繼Web、Email之後的第三大網路服務的IM，可以預期的是，將成為另一個明星級的網路服務產品，以其即時性及互動的功能，甚至還有可能取代Email。因此，企業主如果能預先做好IM的控管準備，除了可以真正享受使用IM軟體的便利性，更重要的是可以降低企業在使用上的風險。