IM，聊得开心也要聊得放心

即时通讯（IM）是一种互联网在线用户实时交换消息的技术，被很多人称为电子邮件发明以来最酷的在线通讯方式。时至今日，即时通讯（IM）已经成为互联网中最广泛的应用之一，大部分人只要上网就会开着自己的MSN或QQ。

与此同时，即时通讯和其它点对点通讯软件也带来了严重的安全风险，IM软件的安全已经成为IT管理人员日渐担心的重要问题。在给企业用户带来了极大的方便性同时，IM同样给用户带来了其他意想不到的问题：

高先生是一家大型外贸公司的部门经理，随着公司业务规模的扩大，分公司和办事处已经遍布了全国的大多数省份和直辖市。高先生所在部门需要经常和其他分支机构和部门进行沟通，为了加快沟通效率并降低成本，高先生鼓励部门的员工采用MSN进行工作交流。一天高先生在网上浏览，竟发现一篇公司内部的培训PPT竟然出现在一个外贸论坛上，而且关于这篇文章的讨论还非常火热。这篇文章是公司多年经验的总结，里面融合了关于外贸操作的方法和技巧，大都属于原创的内容。高先生继续在论坛中搜索，结果更加让他吃惊，论坛中竟然有6篇文章是他们公司的机密文档。这些东西究竟是如何传出来的呢？经过调查，高先生发现许多员工用MSN和公司外部的同学、朋友聊天，更要命的是，这些员工的同学和朋友们很多都在竞争对手的公司里任职，在不知不觉中，不知有多少公司内部机密通过IM一传十，十传百，成为了业内人人尽知的秘密。眼看着部门业绩连续几个月停滞不前，高先生真是有苦难言。

那么IM到底给企业带来了哪些隐患呢？

首先，这些软件都是员工往往自行安装使用聊天软件，在工作时间使用聊天工具在同家人、朋友甚至是陌生人聊天搭讪并非个别现象。然而，管理层无法明确判断员工利用IM到底是谈业务还是聊私人话题。IT管理人员同样缺乏有效管理的手段，使得IM的应用几乎处于失控状态。从企业管理层面来看，这带来了严重的生产力流失。

其次，企业的商业机密可能通过IM被员工在有意或无意中泄露。国外曾经有员工通过即时通讯软件泄漏企业机密，导致企业损失，但因为证据不充分而逃避了法律制裁。另外，如果不采取合适的防护措施，即时通讯服务用户可能成为黑客窃取企业资料的理想靶子。

另外，通过即时通信软件传播的病毒数量也正在迅速增加，统计显示，中国内地针对网络游戏、聊天软件的木马数量比去年增加了五倍，达到90421个，占到总病毒数量的75.7%。值得留意的是与IM有关的“网络钓鱼”攻击目前正呈上升势头。这些有害的信息不仅会降低系统效率、侵占网络带宽，而且使企业的网络门户洞开，受到病毒、特洛伊木马以及其它各种威胁，使企业网络处于高风险状态。

这使得即时通讯软件IM（InstantMessage）成为了让企业又爱又恨的工具，业界对于IM的政策与态度，也常是一百八十度的极端：完全开放，或是完全地弃绝不用。

然而，对IM的封堵本身就是个难题，防火墙、简单的web过滤器及URL阻止机制不能够控制IM数据流。目前，网管员普遍采用将聊天软件使用的服务器加入黑名单来杜绝IM的使用。但聊天工具层出不穷，QQ、MSN、Skype、Yahoo！Messenger、ICQ，封服务器地址最大的特色就是治标不治本，有的网管员通过关闭路由器或防火墙的相应端口来禁止IM的流量，但由于IM 协议的设计让使用者几乎能在任何网络情况下都能进行交流，在端口被禁的情况下，很多IM能够通过智能检测端口，自动转到其它防火墙上必须打开的供用户上网的端口上进行通讯，例如80、443。所以，这些手段往往无法取得预期效果，而且会浪费大量的时间。

对于大多数企业来说，完全禁止即时通讯服务并不实际。如果管理层既不想放弃IM提供的实时性和方便性，又希望避免其带来的种种弊端，就必须将即时通讯置于有效管理控制之中。业内一些具有前瞻性的安全厂商提出了针对IM的安全解决方案。比如Symantec提出的IM Manager解决方案可以捕获IM的聊天内容，并提供杀毒支持。但对国内用户而言，国外厂商的解决方案对一些普及率更高的国产IM软件如QQ、网易泡泡（POPO）、新浪UC等显得力不从心，尤其是一些内容经过加密的IM软件（如QQ），大多数内容监控技术都在此败下阵来。

在该领域，国内一些创新的内容安全厂商创造性地提出自己的解决方案，很好地满足了这块日益膨胀的市场需求。例如深信服提出的行为诊断（Behaviors Diagnosis, BD）技术能够跟踪IM软件所使用的端口和相关协议，通过对行为的分析智能判断哪些端口使用的是标准HTTP/HTTPS协议，哪些端口在运行IM软件，进而非常有效的封掉IM。对标准的HTTP方式登录的聊天软件，通过其特有的深度内容检测功能（Thorough Content Detection, TCD），分析聊天工具发送和接受的数据包特征，通过过滤IM的关键字段，可以实现彻底封锁。

另一方面，在开放IM使用，又需对其进行监控的情况下，可以采用聊天内容同步侦听（Real-time Monitor for Messages ,  RMM)来实现对聊天内容的监督和记录。RMM技术是目前业界最有效的监控技术之一，通过与网络准入规则（Network Admission Rules, NAR）的配合，RMM可以实现对腾讯QQ、MSN Messenger、网易泡泡（POPO）、新浪UC、ICQ、Skype、Google Talk、Yahoo！Messenger等一系列主流IM的聊天内容监控。

此外， 在应对IM的安全性隐患方面，专业的上网行为管理设备可以提供了更全面的防护。比如，将URL控制同IM进行联动，即使你的员工点击了好友消息中的可疑链接，网页浏览控制也不会允许用户访问到危险地址。其次，通过在TCD（深度内容检测）中选取特定的规则，你可以对借助QQ、MSN等进行的文件传输进行有效管理。例如，你可以允许你的内网用户通过IM软件向外界发送文件，但其无法通过IM接受外网发送来的文件。另外，你也可以启用设备的网关杀毒功能进而更大程度上尽量避免蠕虫和病毒的入侵。