深度防御

　　企业既要阻止恶意程序的下载和执行，又要阻止病毒等恶意代码的传播。反病毒程序和个人的防火墙对于保护终端用户机器免受恶意程序的威胁提供了一种很好的方案，但企业还必须部署IM网关,去阻止IM和P2P病毒等恶意代码的传播。总之,抵御IM和P2P攻击要求深度防御,如下表所示:

风险	IM网关
IM 网络攻击:借助IM网络传播的恶意代码	1.      阻止可疑的IM消息的传播 2.      反病毒工具扫描IM文件传输 3.      创建已知的垃圾通信制造者清单
IM 客户端的漏洞利用:能够利用IM客户端漏洞的恶意代码一般并不需要通过IM传播	1.      根据已知的漏洞阻止某些包含这种漏洞的客户端版本 2.      阻止可疑的IM文件的传输 3.      反病毒工具扫描IM文件的传输

　　应对措施和策略

　　如果企业真得关心如何部署一个安全的IM通信基础结构，就必须遵循一些指导方针。笔者下面涉及的这些策略与措施可以控制企业IM的使用，并将安全风险降至最低。

　　1.企业应当建立健全的IM使用策略。如果企业没有可执行的安全策略，就不应当部署某种安全技术。企业必须建立IM使用的最佳方法并实施一些具体的限制。企业还应当教育雇员，需要让其知道使用IM的风险和采取预防措施的重要性。例如，不要让雇员共享IM的口令，不要与未授权的资源通信，谨慎对待或拒绝文件的传输等。

　　2.建立一套可靠的防御体系。首先，要配置企业的防火墙使其可以阻止所有未认可的IM服务，如公司可以限制在上班时间禁用QQ等，仅允许用于工作的MSN通信。其次，公司的桌面都应当配置防火墙，桌面防火墙提供了另外一层的安全性，它可以限制用户使用公共的IM服务。这些防火墙按照“允许”、“禁止”两种规则工作，这种规则与安装在PC上的程序息息相关。管理员或用户可以配置防火墙仅允许认可的程序连接到互联网。第三，要在每台电脑上都要安装反病毒软件。这是我们可以阻止病毒、木马等恶意代码通过IM文件传输的唯一方法。要打开反病毒软件的自动更新功能，并告诉用户关闭自动更新的弊端，这样就极大的减少了遗漏某种新病毒的可能性。第四，最好部署公司的IM服务器。一个安全的IM系统总是可以提供强健的加密和认证机制，并可以与公司现有的目录服务架构完美地整合。

　　3.加强补丁管理。许多公共的IM网络都能及时提供补丁来对付最新发现的程序漏洞。网络安全管理人员需要经常安装这些IM的补丁和更新。

　　4.正确地使用。例如，不要允许任何公共的IM服务进入公司的网络内部。企业也要采取措施防止内部IM传输到公共网络上，这样公司就可以更好地管理安全风险。企业应当部署一种内部的IM功能，而不是使用外部的免费使用的方案。只有这样，企业才能够真正管理内部服务器，并限制某些通信进入企业内部网络。如果企业需要与外部的IM服务供应商联系，就要保障IM客户端只能连接到指定的服务器。不要公开列示这些服务器。

　　5.依靠IM安全工具。企业可以采用第三方提供的一些安全工具，如secway提供的SimpLite、Simppro等,以及赛门铁克的IM manager等。这类工具可以保障IM通过在公共网络和企业IM网络上通信的安全。有的IM安全工具还可以保存公司IM通信的日志。

　　不管你选择部署何种类型的IM系统，安全都是最值得重视的首要目标。企业应当关注所有的安全问题，如在部署企业IM系统之前实施病毒扫描、内容过滤、文件传输的阻止及反垃圾信息等。这就叫未雨绸缪。IM确实是一颗值得品尝的果实，但要真正地吃得可口，就不得不考虑遵循一定的安全方针和策略。