即时信息(IM:instant message)最初以好友间聊天服务开始，经过发展壮大，现已成为上千万互联网用户的必备工具。现在比较受欢迎的系统，如美国在线(American-on-Line)的即时信息系统、Microsoft的MSN Messenger、ICQ 和IRC等都已经改变了我们与朋友、熟人及同事的在线交流方式。

　　而对于即时信息的应用前景，根据 IDC 的业界分析结果，企业在线即时信息用户正处于增长趋势，到2005年将达到三亿人。 面对这一蓬勃发展的巨大市场，我们在为基于互联网的即时信息技术发展为我们提供许多便利的同时，同时也对这一新兴信息交换工具的安全缺陷担忧。

　　即时信息 先天脆弱

　　经权威人士研究发现，今天使用的诸多即时信息系统大多数在设计的时候都考虑了可扩展性，而没有考虑到安全问题。一个普遍的现象是几乎所有免费在线即时信息系统都缺乏加密功能;大多数都具备绕过传统的企业防火墙的功能，给管理员对它们在企业内使用的管理带来了很大的困难。这些系统中的密码管理不安全，容易受到帐户哄骗的攻击，还可能受到拒绝服务攻击。

　　而且，来自网络安全专家赛门铁克的调查发现，目前即时信息系统是迅速传播计算机蠕虫和混合威胁的理想平台，这是由于它们自身先天具备以下的特点决定的，例如:

　　IM普及迅速 应用广泛 为病毒传播提供了广泛环境;

　　IM提供功能出色的通信架构 受到用户亲睐 也易于被利用;

　　IM集成可用来查找新目标的目录(如好友列表)适合病毒的集群传播 ;

　　在很多情况下，IM 可以由简单易编的脚本控制 容易被怀有恶意的人利用

　　具体到即时信息交换的安全缺陷，我们总结发现有如下几点:

　　信息交换并非直接互通

　　目前，大多数即时信息系统采用客户机/服务器结构。一般在安装时，用户都在自己的客户端机器上安装即时信息代理，然后通过即时信息提供商架构中的即时信息服务器实现信息的通信交换。在大部分情况下，即时信息并不是从用户计算机直接发送给他或她的好友的，而是通过公用的互联网从第一个用户发送至即时信息服务器，然后发送到接收者的计算机那里。由于几乎在所有的即时信息系统中，用户之间发送的信息未加密(也没法加密)是清楚可见的，导致信息容易遭到窃取。

　　文件交换未加密

　　即时信息系统还允许用户以非加密形式传输、交换文件。这样的文件交换会导致传统病毒、蠕虫、特洛伊木马以及混合威胁的大量传播。此外，尽管从技术上讲，提供能在即时信息文件交换穿越企业防火墙时对其进行扫描的安全产品是可以实现的，但是目前还没有安全软件提供商提供这样的网关扫描解决方案，其中部分原因在于即时信息协议的专有性。

[1] [2] 下一页  

（责任编辑：hahack）