禁IM用IM，先從管理措施下手

在製作本期封面故事──「妥善管理企業的即時通訊」（請見第30頁）的過程中，我們調查臺灣前60大企業使用IM的狀況，其中有1/3的企業完全禁止使用，例如許多金融業者都禁用IM，包括台新銀行、建華、台北富邦、上海銀行、匯豐銀行等，他們擔心員工因而不小心洩露客戶的機密資料；另外1/3的企業則是有條件開放部分員工使用，例如台灣人壽採限制員工使用，但只要業務上有需求，則可經由主管同意而開放特定人員使用。

此外，也有1/3的企業是完全開放員工使用，例如陽明海運選擇完全開放，主要是因為陽明海運必須與國外許多公司隨時聯繫，而IM是業務溝通上最快速的工具，藉此可節省不少長途電話費。

面對IM的開放與禁用，國內企業各有各的作法。由前60大企業的調查來看，他們都非常清楚為何要禁用或使用，而且用與不用的衡量標的都回歸企業營運的考量。企業營運的終極目標之一就是獲利，在這個大前提之下，若使用IM會影響工作效率、對於業務發展缺乏積極的助益，無助於提升獲利，那麼就有必要禁用。非得禁用不可嗎？因為資訊系統多了IM服務，除了增加資訊管理的負擔之外，還會帶來更多的資訊安全風險。

透過IM管道傳播的病毒今年開始活躍起來。持續監控IM安全的IM管理解決方案廠商Akonix，在近日發布7月份的IM監控報告，他們發現的安全威脅越來越多，第二季發現的IM病毒就多達121種。光是7月，就新增加42項針對IM的安全威脅，比起前一個月增加了24%。而且，首度出現同時感染二種IM網絡的Rants病蟲，Akonix認為這將是未來IM病蟲的趨勢，而且病毒撰寫者不斷找尋更多IM的弱點，以發展更精進的攻擊手法，潛在的安全威脅會越來越嚴重。

IM是現今安全防禦中較為脆弱的一環，即便你已經部署了防毒軟體，但只要無法偵測IM病毒，那麼防毒網就會出現漏洞。即使電子郵件的防毒措施完善，但只要有一臺電腦由IM感染病蟲，那麼病蟲可能就會在企業內部網路擴散，安全防護就會功虧一簣。因此，要開放前有必要先檢視自身的防禦措施是否足夠。

除了網路安全的威脅之外，IM是比電子郵件更容易洩露機密的管道，因為IM比電子郵件還要即時，而且可以傳遞的資料型式不下於電子郵件。要管控越即時的通訊越是困難，雖然目前不少採用IM的企業會佐以監聽側錄，但這對於事後的搜證比較有幫助，卻無助於主動防範機密外洩。

雖然IM現階段潛藏許多安全威脅，但我們也發現有些企業善用它來改善企業營運，例如花蓮美崙飯店提供IM訂房管道，讓服務人員與顧客即時溝通，解決顧客不方便使用電話訂房的困擾；也有航空公司利用IM將機位資訊即時傳送給合作夥伴，提高機位的銷售。此外，威聯通及圓剛科技也推出IM客服，直接透過IM提供技術支援；神腦國際則利用IM，將快速變動的價格、存貨、送貨等訊息，即時發布給2000多個經銷點，將溝通時間從1星期縮短至1～2天。

然而，不論你打算禁用或是採納，都有必要先從管理的角度來思考：
若要禁用，真的已經徹底禁用了嗎？還是只是表面上禁用，而實際上員工仍可透過其他技術繼續使用。由於IM在技術上難以由簡單的方法徹底阻擋，你必須加上許多措施才能徹底阻擋。

若要善用，你是否已經做好安全防護措施？即便只是部分開放IM使用，若沒有針對IM防護，這些電腦很可能就是整個資訊安全防護網的漏洞。