早在十多年前,當聽到電腦發出一聲「喔喔~」的時候,就知道週遭有人正在使用ICQ在聊天,ICQ作為即時通訊的開創者,在當時掀起了一股熱潮,讓許多身處在世界各地的朋友,能夠打破時空的距離,即時地傳遞彼此的訊息。
雖然在一開始,ICQ主要作為個人聊天用途,但因為簡單易用的介面,以及可顯示目前的使用狀態(如離開、忙碌、離線),也深獲知識工作者的好評,紛紛利用它作為商業溝通和客戶服務的工具。不過,隨著MSN、Yahoo Messenger和QQ的興起,ICQ在華人的世界裡已逐漸被遺忘,這些新一代即時通訊軟體的出現,雖然有著更為華麗的介面和表情符號、聲音影像的傳輸功能,但也帶來更多令人意想不到的問題。
即時通訊的資安事件
在2001年,從第一隻即時通訊病毒WORM_MENGER.A開始,即時通訊也成為病毒作者和駭客們另一個練功的好地方,它充分利用了人們的好奇心,以及對於即時通訊名單上都是好友們的信賴,透過傳送網址連結與分享的檔案,就讓整個的惡意感染行為如滾雪球般地不斷擴大。
到了2005年,還是有資安專家不斷呼籲提供即時通訊軟體的廠商,必須要跟上駭客的腳步,迅速地修補安全漏洞,以避免災害持續擴大。此外,在2007年則是有某位台灣女大學生,在網路上購買拍賣物品,並利用MSN messenger和位於中國上海的賣家連繫,後來該賣家以網路拍賣所使用的台灣帳戶被停用,要求女大學生協助以其名義申請新帳戶,女大學生竟將提款卡以快遞送到大陸,接著就被利用成為販賣盜版光碟的人頭帳戶。即時通訊的方便性竟也成為詐騙集團,用來作為跨國跨區域的新興犯罪工具。
即時通訊的潛在風險
即時通訊讓訊息的傳遞更加方便快速,因此對商業運作的好處包括了:可跨越地理區域的限制,減少長途電話的使用;可多人即時進行會議,以節省公司的差旅費;可直接分享傳送檔案,還可用清晰的語音和影像視訊對談等等。對員工的好處,則是能夠同時與多人對談並即時回應,可即時在線上解答顧客問題,不再需要等待電子郵件的回覆,可大幅提高工作效率。
不過,對資訊管理人員來說,即時通訊軟體會不會產生資安問題,該如何去管理可能的風險?是否應該如同管理其他服務,像是電子郵件、網站安全等等一樣來加以重視?才是另一個令人頭痛的問題。
目前,即時通訊會產生的資安問題,大致有以下幾種:
- 惡意程式感染 - 歹徒製作專門針對即時通訊的惡意程式,一旦使用者中毒之後,即會隨機且大量散布惡意檔案(如病毒、木馬),造成大規模的感染,並干擾網路的運作。
- 散布垃圾訊息 - 即時通訊的使用者在中毒之後,多半會在不知情的情況下,被利用來散布惡意連結,導致親朋好友們一併受害。
- 竊取不當資訊 - 供公眾使用的即時通訊是開放的,容易遭到竊聽,另外所洐生出的網路釣魚手法,會利用各種名義來騙取使用者帳號和密碼,假冒身分而造成更多社會問題。
- 成為洩密管道 - 除了包括對話中談及的個人隱私和商業資訊,有可能遭到截取之外,另外傳送檔案的功能,也可能被惡意的員工,用來傳送違反企業安全政策的內部機密檔案。
如果即時通訊的威脅,已經足以影響企業日常的營運活動時,那麼為了確保不會造成業務的中斷,強制禁止即時通訊軟體的使用,可算是一項釜底抽薪的做法,但這也很可能引起原本使用者的反彈,這個時候究竟該禁或不禁,就演變成為管理階層的兩難。
從資安的角度而言,到底該全面禁止或全面開放,是有一些討論空間的,尤其是與其完全禁止,改為採取替代辦法來有限度地開放,也是管理決策上面的一個選項,在決策之前,建議管理人員可以思考的方向有:
- 定義使用者的角色 - 在企業組織中,到底誰需要使用即時通訊軟體?要用來做什麼?這將是決定是否開放或禁止的首要考量,一旦角色清楚了,就可以思考該如何來管理。舉例來說,某線上購物公司,不允許一般人員在公司使用即時軟體,而是僅開放給客服人員利用它來進行客戶服務,所以針對客服人員,都會進行適當的教育訓練,以了解使用時的相關規範。
- 定義合理使用的範圍 - 定義在哪些地方可使用?使用的方式為何?清楚的定義企業對於即時通訊控管的方式與目的,可讓使用者明白為何要禁止或限制即時通訊的使用。實務上即有企業認為在內部開放使用即時通訊風險太高,所以採取技術方式全面封鎖,僅開放在外部的出差人員可以使用。
- 使用責任與隱私保護 - 在使用責任方面,企業宜明訂適當的獎懲方式,以公告向員工告知違反規定時的懲處辦法。如果企業已針對即時通訊內容進行監看與記錄,也應公開向員工說明企業監看的方式,例如是否進行關鍵字過濾或內容的側錄,以尊重員工的個人隱私權。
- 平台與技術的採用 - 企業要直接選用已供公眾使用的即時通訊軟體,還是另外建置商業用的即時通訊方案,應在事先評估目前的運用與管理需求為何,並檢視其與現有環境的相容性,以判斷導入後是否會產生可能的安全弱點。
在選擇相關技術方案時,資訊管理人員首先應考量的是,到底要控管哪些即時通訊軟體?是否可自訂控管的方式?如果允許即時通訊軟體進行檔案傳輸,是否可提供惡意程式如病毒、木馬的掃瞄機制?另外,在針對傳輸內容方面,也可考慮增加關鍵字的比對和垃圾訊息的過濾,尤其是當企業選用的是供公眾使用的即時通訊平台,員工登入的是位於外部的伺服器,相關資訊也會經由外部來傳送,是否有可能會遭到外部竊聽,是必須考量的風險之一。
一個兼顧安全的即時通訊方案,至少要提供適當的記錄,例如使用者登入、登出的時間,傳送訊息的對象、傳送檔案的名稱等,以便未來相關事件的查核。在進行訊息內容過濾時,也要提供簡單易懂的控管介面,以方便設定允許傳輸檔案的類型和內容過濾條件(關鍵字包括內部使用、帳號密碼、信用卡號碼、身分證字號)等。當然,還要盡量不影響既有的網路架構,以免因為部署了即時通訊管理方案之後,反而產生其他問題。
至於在員工的安全意識方面,除了透過文件化說明使用規範之外,也可利用技術方式,在員工每次登入即時通訊軟體時,警示員工需注意的安全使用規定,以預防資安事件的發生。其他可向員工宣導的安全觀念還有:「不要輕易點選來路不明的連結」、「不要在即時通訊談論敏感資訊」、「不要使用自動登入功能」、「不使用時請務必要登出」、「不要使用第三方的網頁版即時通訊軟體」、「不要接收不明格式的檔案」、「不要使用來路不明的外掛程式」等。
管理要因時制宜
在企業內部要落實即時通訊的有效管理,是一個很大的課題,有許多層面的兼顧,都必須要因人、因時、因地來制宜,很難有一套一體適用的辦法。不過,透過重點的把握,可以協助管理人員快速建立可行的管理方式。
即時通訊的安全管理重點,在管理面包括了制定安全管理政策、文件化方式的使用辦法、兼顧隱私權的監控機制,以及違反時的懲處原則;至於在技術面則包括選擇適當的平台與監控技術,以識別合法的使用者、防堵惡意程式的入侵、防止未經授權的檔案傳輸等,最後若再配合適當的稽核機制,定期的審查記錄與持續改善,要維持管理的有效運作相信是指日可待的。(本文刊載於2009年5月號網管人雜誌)
沒有留言:
張貼留言