《妥善管理企業的即時通訊》禁用即時通訊，如何成功阻擋？

雖然即時通訊有著比電子郵件更多的優點，但也面對相同的問題，即是病毒與垃圾訊息的資訊安全威脅，這樣的情況與日俱增，而且隨著用戶越來越多，以及即時通訊工具種類繁雜、軟體改版等增加安全缺口，也因為企業針對電子郵件通訊安全逐漸導入控管系統後，即時通訊成為駭客的重要目標。

因此，企業對於即時通訊所採取的第一步對策，便是禁止使用，此優點是將資訊安全的威脅先隔離在企業外部。只是，就目前的資訊技術發展現況，仍無法完美地達到事前預防即時通訊所造成的安全問題，特別是監控時漏洞，但如果能搭配企業擬定的策略，例如與使用者溝通並建立共識，或納入績效考核評估等，則能彌補技術上的控管缺口。

企業目前阻絕即時通訊的方式，主要分為兩個階段，第一階段是先決定此工具禁止或開放，以及範圍為局部或全面，並在企業原有的防火牆伺服器上，關閉或開啟對應的通訊埠，以及阻擋未經授權的即時通訊。第二階段則是搭配管理工具，除了控管流量與對話雙方外，進一步阻擋內部使用者企圖突破防火牆限制的行為。

企業如何針對阻擋做選擇，在成本上可區分為兩種管道：以現有IT架構達到初步阻斷的經濟方案，以及需要投資成本，採購能深入內容管理的應用產品。

經濟又快速的方案
關閉防火牆的通訊埠
在防火牆系統上採取阻擋的特點，除了不用更改原有的IT架構，減低網管人員的負擔外，也是經濟省錢的方法。

其方法是在企業原本的防火牆上，關閉即時通訊的通訊埠，這些埠號主要以下列為主：
MSN Messenger：1863埠（TCP）
MSN檔案傳輸：6891至6900埠（TCP）
MSN語音通話：6901埠（TCP）、2001至2120、6801、6901埠（UDP）
Yahoo！奇摩即時通：5050埠（TCP）
Yahoo！奇摩即時通語音通話：5000與5001埠（TCP）、5000至5010埠（UDP）
ICQ：1024以上所有通訊埠（TCP）、4000埠（UDP）
但因為新版的即時通訊用戶端工具能更改通訊連接埠，使用者也可以藉由其它應用軟體達到相同的功能，常使得網管人員防不勝防。此時，網路管理員必須定期或不定期掃瞄企業內部網路中，非經授權的通訊流量，並同時在防火牆上採取對應措施等。

設定更嚴格的群組原則
另一種阻隔方式則是，直接在企業內部的目錄服務（Windows Active Directory）上設定群組原則，禁止用戶端的電腦安裝任何應用軟體，包括即時通訊工具等。只是，員工雖然無法安裝工具軟體，還是可以經由網頁型即時通訊的方式達到其目的，除非主管連瀏覽器也一併禁用，解決方法則為第三種。

利用代理伺服器過濾網址
這種類方式似防火牆，是在企業內部的代理伺服器（Proxy Server），設定過濾或限制連結即時通訊用的服務網站，包括封鎖提供網頁型即時通訊的網站位址。不過，有心人士還是可以直接在瀏覽器上輸入服務網站的IP位址，而非一般的URL名稱，以躲避過濾程式。面對這個問題，網管人員就必須採取更細部的掃瞄方式，偵測此類網站的IP位址。

上述三種方式除了不會改變企業原有的IT架構外，也不需要採購額外的系統，但缺點是缺乏彈性。以群組設定為例，使用者雖然無法安裝即時通訊軟體，但對於其它必需的工具程式，也一併被限制，未免因噎廢食。或者防火牆的阻檔方式，只要使用者設法更改埠號即可對話，而且少數的網管人員難以應付多數的使用者，以及層出不窮的各式外掛工具。

投資採購封包辨識系統
結合應用層的阻擋產品
相對地，較彈性的禁用方式則在網路的應用層上架設控管系統，例如：具狀態偵測與應用層檢查的防火牆系統、入侵防禦系統（IPS）、內容過濾系統等，經由解析封包，辨識出即時通訊封包的應用型態並阻絕。以利基科技的InstantScan內容管理防火牆此產品為例，可以阻擋使用者透過偽裝埠號或使用HTTP/SOCKS代理伺服器，以規避控管的行為，即使流量已被轉址，仍可以使用MSN/Yahoo/ICQ等帳號取得管理權。如果能結合防火牆，則阻擋的成功率也將更高。

企業級即時通訊隔離公用工具
如果企業採取非全面禁用的策略，除了上述的方法，也可以導入企業級即時通訊系統，例如微軟的Live Communication Server或IBM的Lotus Sametime等，除了具備原本公用型即時通訊的功能外，也可以將企業內部與外部的溝通管道分開管理，也就是對於未經授權的對話一律阻止，達到安全且監控的溝通管道。這類企業級即時通訊系統與公用型用戶端工具，最大的差異點在於，後者以一對一通訊為主，但前者卻可以同時對多個角色對話，並且結合企業級的視訊產品，達到如視訊語音會議的延伸功用，用於兩岸三地的專案進度會議等。除此以外，由於內部與外部的即時通訊隔離，所以可以集中管理企業內部的通訊安全，以及加強對病毒防護等，企業也可以藉由此類產品，做為正式對外的即時通訊管道，這也是與公用型用戶端工具的不同應用特性。上述這些方式雖然彈性，不過企業必須採購額外的系統，並增加管理成本。

即時通訊控管上的漏洞
即時通訊的漏洞起源於使用者規避監控的動機，利用偽裝封包或隱藏在合法的通訊埠（例如80埠）、透過企業外部的代理伺服器當跳板、或透過撥接的方式，經由企業外部的電腦再連接即時通訊伺服器、以及直接在PDA等手持式設備上使用即時通訊等，都能夠繞過防火牆的阻撓，形成控管上的盲點。如果使用者選擇硬碰硬的手段，則可以安裝SoftEther這類網路連線軟體，直接穿透防火牆。由於此工具會在用戶端電腦中虛擬一張網路卡，並連接遠端的伺服器，而且傳輸封包採用類似虛擬私人網路（VPN）的協定，使得防火牆視為合法的連接而放行。

此外，即時通訊本身也因為點對點的特性，目前仍還沒有有效的管理工具，例如Skype。目前僅能做到禁止或開放，雖然市場中也有產品能阻擋Skype的傳檔功能，但仍無法監視其內容，即使採取側錄通話內容，因為語音檔案比起文字檔案，容量更大，會造成企業內部儲存系統負荷。

雖然在企業內部，仍可以經由如Websense等工具限制登入，如果使用者是在私人的筆記型電腦上使用Skype，便無法有效掌控。最近新聞所提到，歹徒使用Skype的特性互通訊息，躲避警方監視便是一例。

準備下一波的內容管控措施
主管與員工在控管即時通訊的攻防戰中，就現有的IT架構的阻隔措施而言，尚未有明顯的成效，對於漏洞的處理還需仰賴其它工具。雖然企業經營者掌握IT架構的控制權，但這些漏洞則讓使用者有機可趁，也使IT主管頭痛不已。

面對眾多無法控管的問題，以往採用經濟型的阻擋方式已無法奏效，也缺乏彈性，使用者只要有心規避阻隔，企業縱使非禁不可，勢必增加許多成本。此時，企業開始考量採用內容管理的解決方案，除了限制以外，也可以監控流量與內容等，在必要時，還可以舉證駁斥違反政策的使用者。如果主管能在禁止即時通訊政策執行前，與員工溝通，說明禁用的原因，並取得彼此的共識，有助於減少員工因心生不滿而突破封鎖的危機，特別是使用專門針對突破即時通訊漏洞的工具，企業也發現到，只要有使用者突破防火牆系統限制，常會互相告知，造成網管人員疲於奔命的工作負擔，通常這也是主管與員工因禁用即時通訊，卻未事先告知，所造成的對立與不必要的後果。文⊙張瑞隆