统一通信-即时通讯-视频会议-电话会议-科技新闻及文章

总结：

        很显然，无论组织是否准备好，IM都会带头整合PC及手机上的通信。同样，组织发现他们的办公通信（例如电话，即时消息，文档共享，视频和网络会议）必须无缝协作。像劳格科技这样的厂商已经通过诸如他们的“SparkleComm”等产品为这种通信融合播种了种子。

        消费级即时通信技术在企业环境中的流行确保了黑客和恶意用户对这些技术的日益关注。针对未知用户的攻击越来越普遍，他们被诱骗下载并运行专门为组织提供后门程序的木马软件，或参与针对其他组织的分布式拒绝服务（DDoS）攻击。

        因此，IT管理层必须通过制定适当的公司政策并采用专为企业级设计的解决方案来控制即时通讯的使用。

建立企业即时通讯

        为了确保公司环境免受即时通讯人员的“威胁”，组织应该：

1. 建立企业即时通讯使用政策 - 明确定义即时消息在企业内扮演的角色非常重要。 通过制定企业使用政策，使用者和负责执行的技术团队都能清楚地了解这一立场。 该政策应包含关于哪些服务是允许的信息（例如聊天是可以接受的，而文件传输不可以），可以交换什么类型的信息，监视和记录的状态以及任何法律或人力资源影响。 用户将因此知道可接受使用的范围，并了解公司的法律地位。 技术团队将能够根据政策的范围规划和设计适当的安全对策措施。

2. 正确配置企业防火墙以阻止未经批准的IM通信 - 虽然大多数IM客户端都是'端口敏捷'，但阻止默认端口并确保出站连接仅适用于授权主机/地址，这将使管理IM环境变得更加轻松。 通过使用身份验证代理服务器来管理桌面互联网访问（即所有客户端工作站只能通过代理服务器访问互联网资源），可以对IP服务，协议和目的地进行额外控制。

3. 强化客户端工作站 - 企业工作站应该进行配置，以限制用户安装未授权软件的能力。 此过程将通过删除非必需的应用程序，限制对操作系统调用和数据（例如，Windows命令行和访问系统注册表）的访问来确保适当的文件和目录权限，从而提高客户端主机的整体安全性。 建议使用经认可的硬化指南。

4. 部署桌面防护产品 - 强烈建议安装本地防病毒和个人IDS或防火墙软件。 这些桌面保护代理将帮助限制不需要的安装和Internet访问。 在允许使用即时消息客户端用于商业目的的企业环境中，桌面保护代理将有助于防止恶意使用。 组织应确保这些产品是集中管理的，并且不能由本地用户配置。

5. 修补工作站 - 组织必须确保所有可能访问Internet的工作站（无论是直接访问Internet还是通过代理服务器）或者从Internet接收资料（例如来自外部源的电子邮件附件）均已正确打补丁，并且运行最新的Service Pack 和安全更新。 此修补程序过程应确保所有应用程序（包括IM客户端软件）在更新发布后尽快进行修补。

6. 加强IM客户端设置 - 就像配置桌面保护代理一样，组织应该通过集中管理的操作强制执行IM客户端设置，并防止本地用户更改它们。

7. 监视检查以确保IM客户端策略的符合性 - 结合可接受的使用策略，组织必须能够监视所有IM流量的合规性。 虽然公共IM系统不提供捕获IM流量的任何方法，但存在可在其结论中捕获IM流量的第三方工具。 但是，除非IM系统是基于服务器的，否则中途丢弃的对话将丢失。

8. 部署企业IM（EIM）服务以隔离企业消息传递 - 如果企业需要IM服务用于商业用途，组织应调查在其环境中部署专用IM服务器的可能性如SparkleIM。 这将有助于业务消息内容的分离，允许全面监控和存储数据，并帮助提供内部用户身份的保证。 另外，这个封闭的系统仍然可以暴露给关键的外部客户和供应商。SparkleIM系统为企业提供了自己的客户端和服务器，这些客户端和服务器都具有企业安全功能，包括阻塞，日志记录，审计，监控，路由和加密。

9. 保护加密传输的信息 - 某些IM客户端软件在正确配置（如SparkleComm）时确实支持加密（例如SSL）。 如果要通过Internet或公司LAN传输机密信息（包括登录身份验证凭证），组织必须确保启用加密。 但是，启用加密将会对组织监控和记录消息流量的能力产生不利影响。

10. 使用专用命名约定或实名制 - 组织应使用企业即时通讯平台，而不是每个即时通讯用户创建自己的用户名（其他人尚未在公共信使服务中使用该用户名），该组织应利用现有的命名方案 （如电子邮件地址，Active Directory和LDAP）。 由于该组织拥有自己的名称空间，因此与其他业务中的用户名不会有冲突，并且混淆的机会也会减少。

即时通讯安全建议

       许多组织或机构认为他们可以通过简单地阻止本地IM端口来阻止其防火墙上的IM流量。 但是，如果他们的本地端口关闭，最流行的即时通讯应用程序是“端口敏捷”，能够找到其他开放端口并通过不同的端口隧道化流量。 除非组织准备关闭所有用户对Internet的访问，否则很难阻止IM使用。

       考虑到国内QQ，微信的漏洞分析可能会起到误导作用，所以对他们的的漏洞这里不做具体分析，但不是说他们的漏洞是不存在的。这里分析三种最国外的IM客户端：

• MSN Messenger - 用户必须登录到集中服务才能找到其他用户。 建立连接后，用户将以对等方式直接互相发送消息。 MSN Messenger的默认IP端口为1863，但客户端为'port-agile'，并且如果端口被阻止，它将查找其他开放端口 - 接下来将锁定HTTP端口80. MSN Messenger支持HTTP代理，但不支持HTTP代理 支持HTTP代理认证。 请注意，文件传输通过TCP端口6891进行，通过UDP端口13324和13325进行音频会议和视频会议，应用程序共享通常是TCP端口1503。

• Yahoo Instant Messenger - 用户登录到集中式Yahoo即时通讯服务以查找其他用户。 一旦通过身份验证和在线，用户可以选择直接或通过共享聊天室互相发送消息。 Yahoo Instant Messenger的默认端口为5050，但客户端为'port-agile'，如果端口被阻止，它将查找其他开放端口 - 接下来定位HTTP端口80.就像MSN Messenger一样，客户端支持HTTP 代理，但不是HTTP代理身份验证。 请注意，文件传输和文件共享通常通过TCP端口4443完成。

• AOL Instant Messenger（AIM） - 用户登录AOL实时通信开放系统（OSCAR），然后开始与基本OSCAR服务（BOS）进行通信，以查找并向其他用户发送消息。 这些消息在转发给收件人之前先通过服务器。 文件传输，语音流量和其他大型数字有效载荷以点对点模式进行 - 即发起IM客户端通过该服务发送其IP地址和开放端口，以便远程客户端可以连接到该端口。 AIM客户端的默认端口为5190，如果端口被阻止，'port-agile'软件将尝试通过端口23（telnet），20＆21（FTP）和80（HTTP）进行通信。 另外，用户可以选择通过SOCKS v4 / v5，一个HTTP代理或HTTPS代理。 但是，在通过HTTPS代理连接进行隧道传输时，AIM不会使用SSL来加密通信。

       一些第三方解决方案提供了以下功能：

1. 定义特定的服务 - 允许组织将用户和活动限制为特定的IM协议。

2. 阻止特定功能 - 允许组织选择可用的IM功能（例如，点对点文件传输，允许/拒绝访问聊天室访问等）

3. 记录访问和通信 - 使组织能够记录所有消息流量并链接回特定用户。

4. 按类别屏蔽 - 提供按特定用户，群组，地点和时段管理使用情况的功能。

       根据即时通讯在组织中的作用，确保组织免受未经授权的IM客户端和流量激增的过程并不容易完成，并且必须通过多层安全，教育和策略来解决。 如上所述，阻止IM客户端的本地端口是不够的。 企业必须评估他们是否需要在其组织内部使用IM功能，并采取适当的安全对策。