即時通訊諜對諜

去年十二月才到科技公司上班的謝小姐，之前習慣利用MSN Messenger與客戶、朋友接洽和聊天，由於新公司是使用精簡型電腦（Thin Client），所以上班的第一天使用MSN Web Messenger與朋友分享新工作，但被主管發現她在使用即時通訊後，她沒有被告知即被禁用，加上公司布滿監聽設備，讓她頓時萌生辭意。

在資安公司上班的李小姐，擔心公司側錄她的即時通訊對話內容，希望與她交談的人都能安裝IMSecure，加密即時通訊的封包，以防被側錄。

有人想要禁，有人想要通，上面這些案例，正不斷的在企業內部上演。如果你也是劇中人，你會怎麼做呢？

根據IDC去年所發表的報告，全球企業使用即時通訊的人數，預計將從2004年的1億人，增加到2007年的2.6億人，平均年成長率達40％。

這對即時通訊廠商是一大利多，但不幸的是，對企業而言卻是一大隱憂，根據Iron Mountain的資料顯示，有80%的企業認為員工利用即時通訊作為私人聊天工具與維繫商業關係的工具，卻有75%的員工曾經透過即時通訊有意或誤發公司機密，更有66%的企業忽略備分即時通訊對話的重要性。

即時通訊讓人就像面對面一樣的交談，節省原本所需花費的時間與金錢，但它也帶來資訊安全的漏洞與法律風險。如果即時通訊是員工不可少的生產工具，那麼企業必須制定相關的安全規範與管理措施。

禁：即時通訊影響生產力，並造成資安漏洞
「企業內部出現兩種不同的聲音，員工認為即時通訊會提高生產力，但高階主管則持反面的看法，不但生產力會下降，還會帶來資安問題。」達友科技副總經理林皇興說。

企業會禁止員工使用即時通訊，大概不出以下幾個原因：即時通訊能夠規避防火牆的阻擋；檔案傳送可能成為病毒和蠕蟲散播的媒介；影音交談更會占據大量的網路頻寬，影響整體網路效能；除了資訊安全問題，即時通訊也有智慧財產權與機密外洩等法律問題；企業不知道員工是用即時通訊來工作還是聊天，擔心它會降低生產力。

賽門鐵克亞太區技術顧問林育民則舉了一個蠻有趣的例子，某家公司的員工利用MSN Messenger發展婚外情，結果被妻子發現，一狀告到公司，最後公司禁止所有員工使用即時通訊軟體。

為了禁止員工使用即時通訊，企業大概會採用以下幾種方式：

防火牆：這是大部分企業最常用的阻擋方式，將所有的即時通訊伺服器列為黑名單（包括Web版的即時通訊伺服器），阻擋特定IP和特定埠，例如MSN的1863、443和80埠，即時通訊軟體無法連線，使用者自然無法使用。

由於即時通訊廠商會不定期的增加伺服器、停機維修或使用其他網路埠，而且從不同的地區連結，可能得到不同的IP，加上我們無法完全阻擋80和443埠，所以管理者必須定期更新列表，不然可能出現漏網之魚。

新型的防火牆除了具備上述的阻擋功能，還擁有應用層過濾技術，能夠分析header字串，阻擋即時通訊的封包，以Check Point SmartDefense為例，能夠阻擋MSN、AIM、ICQ、Yahoo!及P2P傳輸。

IPS：相較於防火牆必須定期更新伺服器列表，IPS則簡單的多，只要分析出即時通訊的特徵（signature），就能夠加以阻擋，即使是加密過的QQ，也一樣照擋不誤。

用戶端防護軟體：有些個人端防護軟體能夠記錄個人電腦的網路連線程式，例如Zone Labs防火牆的Application privilege control功能，管理者可以禁止或移除非法的連線程式；Symantec Client Security同樣可由管理者制定網路連線政策，限制特定使用者才能夠用即時通訊。另外，Websense的CPM（Client Policy Manager，用戶端政策管理）模組也具備同樣的功能，並且能夠限制使用傳檔或語音交談功能。

資產管理軟體：包括CA（Unicenter Argis Portfolio Asset Management）、微軟（Software Asset Management，SAM）和本土的一些廠商，都有推出相關的解決方案，能讓管理者知道個人電腦上面安裝哪些軟體。另外，Windows AD也有Group Policy可以禁止用戶端安裝某些軟體。

防火牆和IPS都只能事後阻擋，而用戶端防護和資產管理軟體則可以直接禁止員工安裝程式和網路連線。林育民表示，閘道型防火牆和IPS仍有其局限性，所以資產管理和用戶端防護軟體是比較能夠治本的方法。

精誠公司技術經理錢宜中表示，大部分的企業都只看到即時通訊影響生產力的部分，而忽略它所帶來的資安威脅，如果未妥善的管理，反而會造成更大的損失。

通：員工鑽各種漏洞，擋也擋不住

企業想讓即時通訊「不通」，但員工卻想讓即時通訊「一路暢通」。有人說魔高一尺、道高一丈，我們就來看看員工有哪些因應之道，以及企業該如何處置。

Proxy：傳統的防火牆只能擋埠或IP位址，在早期，使用者只要設定Proxy，就可以直接穿透防火牆，加上現今的即時通訊軟體可以自動變更所使用的網路埠，很容易就可以連上IM主機。為了解決這個問題，企業同樣可以使用代理伺服器，並在Proxy上設定規則，以阻擋不當連線，而且現今的應用層防火牆（Application Firewall）會檢查封包所使用的網路協定，如果不符合RFC規範，就會加以阻擋，所以Proxy大都起不了作用。

Web即時通訊：微軟和AOL已經分別推出MSN Web Messenger及WebICQ，不用安裝程式就可以直接使用即時通訊，如果企業未更新防火牆的黑名單IP，可能形成資安死角。

Tunnel：利用HTTP、SSL或SSH Tunnel，以及先前熱烈討論的Softether，員工也可以成功連結即時通訊伺服器，常見的工具包括Hopster、PuTTY及ENat等。另外，這些軟體大多有免費與付費版本，免費版本只提供基本的頻寬，不適合用來傳檔及影音聊天，對企業的網路頻寬影響不大。

企業要阻擋這些方式，可以收集遠端Tunnel的伺服器，將他們列入防火牆的黑名單， Softether則需要IPS才能夠阻擋。不過，SSL或SSH Tunnel則比較棘手，因為他們所傳輸的封包經過加密，所以沒有人知道它是在做什麼，只能利用稽核的方式，分析網路封包，查看哪些人的網路流量不正常（過多的SSH和SSL流量），詢問他們的使用目的。

當然，如果員工是利用PDA和SmartPhone連結即時通訊，那麼企業就真的拿他們沒辦法。

影響生產力和洩密的管道非常的多，即時通訊只是其中之一，企業可能要回歸到根本，對員工進行教育訓練，並對資產進行風險評估，依等級分門別類，才能有效的管理。

問題仍未受重視，監控議題尚待發酵
即時通訊近年來成為企業通訊的一大利器，我們可以利用它來知道當事人的行蹤，但是它也開始成為資訊安全的隱憂，不單只是藉由即時通訊的漏洞入侵，在沒有監控的狀況之下，員工很容易在無意間洩漏公司機密，成為相當大的資安威脅。

在我們去年底所做的調查中，「未來一年內，你認為哪些資安問題對貴公司而言是最頭痛的？」只有15.5%的受訪者勾選即時通訊，可見即時通訊的問題尚未受到重視，只有少數企業開始導入相關的解決方案。

林皇興表示，高科技製造業是最積極導入即時通訊管理解決方案的產業，而且他們大都是有限度的開放，希望員工能夠在被管理的狀況下，使用即時通訊軟體。

目前大多數企業則都還在掙扎，倒底要花多少錢去建置解決方案？一般而言，至少需要數十萬元的經費，才能建置完善的即時通訊監控方案，中小企業根本買不下手，大多是百人以上的企業才會採購。

在建置方面，即時通訊管理系統的運作方式可分成Relay及Sniffer模式。Relay模式的優點是能夠完整側錄，也可以即時阻擋非法行為，但如果設備故障時，將影響到整個網路；Sniffer產品不用變更網路架構，設備故障也不會影響，但在流量很的企業內，可能會遺漏封包。

除了預算和運作模式，由於即時通訊版本更新快速，功能不斷增加，不僅為管理系統帶來難課，也讓企業擔心產品是否能夠跟得上，例如最新版的MSN Messenger 7.0增加手寫、來電震動和動畫傳遞功能，以手寫為例，它是「圖」而非文字，所以系統並無法加以記錄。因此現階段只能夠限定員工使用舊版MSN Messenger，或等待支援禁止此功能的新版本監控軟體。

維護隱私，反側錄有理？
越來越多企業開始針對即時通訊進行過濾和監控，但也有使用者企圖躲避系統稽核或側錄內容，有些主管甚至害怕遭到MIS人員監控，所以要求享有特權，反而造成更多漏洞。

IMsecure是許多人使用的反側錄工具。它是Zone Labs Security Suite的其中一個功能，企業部署之後，除了能夠限制員工使用即時通訊、傳擋及語音交談等功能，也會以DES演算法加密傳輸的封包，讓一般的監控工具無法側錄談話內容。這就像之前的郵件加密傳輸，雙方都要安裝PGP（Pretty Good Privacy）。

一些企業級的即時通訊軟體，也具備加密功能，能夠加密內部傳輸的對話，但同樣地，必須雙方都有建置。

除此之外，SSH和SSL Tunnel也能夠加密傳輸的內容，但要注意的是，它只能加密用戶端到伺服器端的內容，伺服器到對方的傳輸仍是明碼，IM Secure則是加密對話雙方的傳輸內容。如果只是想要躲避公司的監控，用SSH/SSL Tunnel反而比較有效，因為不見得每個人都會想裝IMsecure。

雖然一般的管理軟體擋不住Web版的即時通訊，和一些加密傳輸的產品，但它還是能夠阻擋常見的即時通訊，並且達到一定的功效，以IMlogic為例，如果它接收到的即時通訊封包是加密過的，無法解析其內容，就會禁止其傳輸。

我們再從法律層面來看隱私權。美國有「電子通訊隱私法」，禁止企業監控員工的電子通訊，除非取得員工同意，或是在維護企業利益的情況下，英國也有「電信通訊合法商業運用通訊監察規則」，允許企業監控員工的電子通訊。可惜的是，臺灣目前仍沒有相關的法律條文，所以企業監控員工的電子通訊，仍是處於模糊地帶。

就我們的經驗而言，很多公司並未側錄員工的即時通訊對話內容，但是，員工反而疑神疑鬼，擔心老板正在監看。因此，我們建議企業若真的要監控員工的即時通訊內容，最好盡到告知的義務，會在何種情況下監控即時通訊行為，那麼員工也許會產生自我監控的行為，表現出良好的一面，而不是安裝反側錄軟體。

制定使用規範，強化稽核機制
即時通訊危險嗎？有人說即時通訊會傳播病毒，其實目前只有以IM為散播途徑的病毒，並沒有出現真正的IM病毒；有人認為即時通訊會降低生產力，但似乎也有提高生產力的案例，而且，如果你嚐過它的甜頭，肯定認為它的便利性大於危險性，眾多的功能，讓你工作十分便利。但可別忘了，越便利的東西，相對的也越不安全。

中華數位產品研發經理高銘鍾說：「使用IM是一種方便而必然的趨勢，及早的認識、了解、規畫才能真正享受IM所帶來的價值，而非受其害。」

企業如果要將即時通訊應用在企業內部，最好先制定管理政策，包括哪些部門可以允許使用、是否監聽、教育宣導、安全政策及相關的配套措施，如此才能用的安心。舉例來說，許多人並不知道即時通訊的危險性，像在對話中議價或傳送估價單，都有可能遭第三方攔截，企業最好時常宣導即時通訊的危險性，以及該如何正確使用即時通訊。

制定規則之後，又要回歸到基本面，必須有稽核制度確認員工是否有遵守規定，例如公司政策規定不能傳檔，員工是否有利用它來傳檔；規定暱稱（screen name）不能與公司及業務相關，是否有監控產品能夠規範使用者的暱稱。

如果員工整天想鑽漏洞，或是害怕對話內容被側錄，這樣都只會降低生產力，適合的彈性與規畫，應該是化解對立的不二法門！文⊙陳世煌