企業總動員 管控即時傳訊

■ 郭尊華 近幾年，即時傳訊（IM, Instant Messaging）應用蔚為風潮，相關軟體及服務不斷演進，從最初頗為簡單的文字傳遞，逐漸整合傳輸檔案、語音及視訊等功能，甚至因為攜帶PDA、手機等手持裝置日益普遍，已使得IM成長趨勢凌駕於電子郵件，成為大眾最常使用的溝通工具。 在企業應用方面，愈來愈多的公司，特別是中小企業，著眼於IM的便利性、低投資成本與各式通訊功能，將IM大量運用於視訊會議、跨國事務聯絡或協同合作的溝通上。 根據Radcati集團的調查，消費性與企業用IM市場加總起來，2005年全球用戶約3億，預估2006年會突破3.9億；在北美更有約85%受訪企業表示，公司內有IM使用者。此外，Osterman市調公司的調查報告顯示，到了2007年，約有八成的電子郵件使用者會使用IM。 病毒感染加速 IM的特性與電子郵件明顯不同。絕大多數的IM使用，都是透過資訊部門無法管控的公開網路，傳遞文字訊息、語音、視訊及檔案；又由於IM瞬時 傳遞與社交網絡的本質，病毒與蠕蟲在30到40秒內，經由IM便可能感染超過50萬台電腦，傳播速度遠比透過電子郵件快上幾十、數百倍甚至上千倍。 伴隨著IM席捲全球的應用浪潮，已有愈來愈多的駭客與網路犯罪者，想要藉由這樣的管道散布惡意程式與間諜軟體。依據賽門鐵克安全機制應變中心的統計， 2005年藉由IM進行攻擊的資安事件增加近17倍，面對這樣的威脅，相較於有60%的企業會監控電子郵件的使用安全，對IM使用，卻有高達90%的企業沒有採取任何管控或預防措施。 面對來自IM的新形態資安挑戰，企業首須了解，IM所帶來的安全威脅將與日俱增，因為IM病毒作者及駭客不斷創新攻擊方法，例如隱藏惡意的網址，讓使用者在不知情的狀況下點選；病毒也會利用IM軟體中的聯絡人名單來傳遞，以降低使用者的戒心。IM的安全威脅有87%是來自IM蠕蟲，這些惡性程式碼會像蠕蟲般在電腦網路中爬行，從一台電腦爬到另外一台電腦，這種散播方式一旦爆發，便如同滾雪球般迅速蔓延，終至不可收拾。 四階段防護 保障資安 為了確保IM的安全，企業可採以下四階段作法。 評估IM使用現況：只有極少數企業對於組織內的IM使用現況瞭若指掌，因為企業對員工使用I-M，只是擔心他們在上班時間藉由IM與親友聊天，在沒有生產力的活動上耗費太多時間，或是不經意間洩漏公司機密，並未全面性考量，訂立企業內部IM使用規範。 為了避免IM威脅，企業應該著手了解組織內的IM使用狀況，包括哪些員工使用IM、用途為何及使用哪些IM軟體，以建立風險評估概況，以及規劃完整的風險管理策略。 保護組織遠離IM威脅：當企業建立了IM風險評估概況後，便應快速針對弱點進行補強，最重要的是選擇適合的解決方案，以防止IM威脅。根據統計，企業導入 IM安全解決方案，投資報酬率可達216%。一旦紓緩最急迫的威脅後，企業便能專注於其他營運目標，如法規遵循、公司治理等。 建立有效的IM使用政策：唯有透過完整的政策建立、使用者教育及持續監控，企業才能大幅減低IM相關風險。舉例來說，企業應訂立內部IM使用規範，包括向員工宣導不要透過公開的IM系統傳遞機密訊息、要求員工不得啟用檔案傳輸功能，或者必要時企業內部僅架設供企業本身使用的IM伺服器，將企業傳訊系統與外界隔離開來等。這些政策並非局限於資訊部門，而應全體動員，讓各部門都積極參與、遵循。 擬定IM長期策略：當然，企業一定要建立長期的IM策略，如果能夠善用IM，將IM功能整合到協同作業與商業流程中，除了可以有效降低企業的溝通成本，更能為企業帶來營運優勢。 企業勝出的關鍵，經常建立在速度之上，IM帶給企業的不僅是挑戰，亦是營運利器，企業只要能妥善管理組織內IM使用狀況，並彈性運用於對內對外的溝通上，將能以最符合投資成本效益的要求，因應市場及大環境的變動。 （作者是賽門鐵克大中華區總裁） 【2006/09/08 經濟日報】