文章编号]1673-0194(2016)16-00-01
信息化已经成为企业发展过程中的必然选择。在企业信息化体系之下,数据的流动,除了物联网带动的各种数据采集外,工作人员之间的沟通仍然是企业信息流动的重点驱动力量。随着数据实时性特征领域相关需求的不断突出,企业环境内部各种即时通信工具也开始日渐盛行。
1 企业即时通信系统安全特征分析
企业即时通信系统(Enterprise Instant Messenger,EIM)是即时通信系统在企业环境中的深入应用,通常以基础脚本作为起点展开面向企业环境的功能开发,能够支持文本、语音、视频以及其他标准数据的传输支持。从应用的角度看,在企业环境内部中,EIM的出现对当前社会上正在使用的其他IM通信工具有一定的替代作用,尤其是对于油田组织而言,这种替代作用尤其明显。因为在这样的大型工业环境中,工作时涉及的信息沟通方,通常也是日常生活中的朋友,因此EIM对于这样的群体而言,完全能够取代社会化IM的地位。
当前EIM系统的工作框架,如图1所示。
从图1中可以看出,C/S模式仍然是当前EIM中最为常用的架构。客户端通过网络环境实现数据的传输与交换,保持对服务器的使用状态,而同时服务器通过公共数据网实现对于客户端身份认证,以及消息的过滤与转发。
从安全的角度看,EIM主要面临的问题包括病毒的传播和用户身份授权管理不善。由于EIM的文件传输采取了P2P模式,它可以将文件作为附件通过点对点方式传送,而绕过网络周边安全防御设备。这种工作方式本质上无法对病毒实现有效地防范,造成病毒威胁。除此以外,缓冲区溢出、拒绝服务等攻击方式也屡见不鲜。而在用户身份管理方面,用户账号授权管理不善,移动端丢失默认登录以及密码被盗是主要存在的安全问题。当前IM开发商对于系统的扩展性倾注了过多关注,但对于认证机制考虑不足,也会给攻击者可乘之机。
文件交换过程中的弱加密甚至于不加密的状态,同样可能会导致信息截取问题的发生。以及考虑到当前主流的EIM 软件都提供了脚本编写功能,虽然方便了企业用户实现EIM二次开发,但是却会进一步加剧蠕虫病毒等威胁。
2 加强EIM安全建设
考虑到当前EIM对于企业工作正常展开的重要价值,加强对其安全建设就显得格外重要。结合目前该领域的发展,可以发现有如下几个方面,可以作为提升EIM安全水平的工作重点。
2.1 加强用户身份管理
用户登录过程中可靠和严谨的身份验证,对提升EIM的整体安全有着毋庸置疑的积极价值。如果用户在进行注册的时候,已经将密码摘要存入服务器,则可以考虑在SHA-1报文摘要算法的基础上展开对于登录验证的优化。首先在客户端发起登录请求的时候,服务器端生成一个随机值,联通登录界面一同反馈给客户端,而后在客户端完成密码输入之后,采用SHA-1算法来生成报文摘要1,再和随机值散列生成报文摘要2,并进行提交。最后,服务器在接到相关数据之后,将两个方面的报文摘要进行对比,进一步来确定是否授权登录。
2.2 加强信息交换安全建设
在EIM环境中,信息的传输和交换是主要的职能,同时也是安全隐患最为严重的环节。信息传输和交换的过程中,必须要保证信息内容不被窃取或篡改,同时要考虑信息传输的效率问题,尤其是在工业环境之下,很多数据都要求强实时性的情况下,实现安全和效率的平衡至关重要。实际工作中需要合理安排加密机制,例如:利用对称密钥算法IDEA加密明文,同时采用RSA机制对秘钥进行加密传输,确保信息机密。随后用MD5生成信息摘要,并且用RSA为摘要签名,提升签名速度的基础之上保证信息不可抵赖特征。诸如此类相关机制,共同构建起完善的EIM安全环境。
2.3 文件传输模块设计安全
对于这一方面,主要是考虑在原有文件传输功能的基础上,附加两层安全防护技术来进一步保证传输的安全性,即病毒扫描技术和文件加密技术。其中前者能够有效防止已经受到病毒感染文件的进一步传输,并且对其进行隔离,保证系统安全。而后者则用于实现面向文件内容的安全保证,使文件处于密文状态发送,用来防止攻击者窃取文件成功后直接得到文件的真实内容。
3 结 语
EIM必然会随着组织的发展不断深入应用,实际工作中必须对相关安全技术保持敏感,积极分析企业环境中的数据特征和安全需求,才能有效引入和设置安全技术,保证企业正常运行。
主要参考文献
[1]赵双红,刘寿强,潘春华.P2P通信网络安全问题探析[J].计算机安全,2003(11).
