卡内基梅隆大学：即时通讯安全和使用指南

概述

由于许多即时消息 (IM) 系统没有设计安全功能，因此黑客发现很容易植入病毒、间谍软件、网络钓鱼诈骗、IM 垃圾邮件 (spim) 和各种蠕虫。

适用于

本指南适用于所有使用即时消息作为电子通信手段的组织内部机构。

指南的目的

基于计算机安全政策制定使用计算机、电话和信息资源的一般政策。本文档中规定的指导方针的目标是帮助最大限度地减少组织内部的即时消息安全事件。

定义/说明

服务器代理：消息通过 IM 供应商的计算机并转发给用户。

服务器代理：消息传递给 IM 供应商只是为了启动用户之间的通信，然后用户直接相互通信。

特洛伊木马：系统上的隐藏程序，一旦用户被诱骗运行，就会执行特定功能。

SPIM：即时消息垃圾邮件

指引声明

使用 IM 存在许多风险，并且与任何形式的电子通信一样，必须采取某些措施来降低这些风险。此类风险包括：

•通过不安全的交付渠道泄露机密信息。Public Instant Messaging 传输未加密的信息，因此绝不应将其用于敏感或机密信息。这些信息在互联网上，任何人都可以访问。

•传播病毒和蠕虫。即时消息 (IM) 程序正迅速成为启动网络病毒和蠕虫的首选方法。缺乏内置的安全性、下载文件的能力和内置的收件人“好友列表”创造了一个病毒和蠕虫可以快速传播的环境。这种威胁增长得如此之快，以至于 IM 正迅速赶上电子邮件成为主要攻击点。

•将网络暴露给后门木马

•拒绝服务攻击

•劫持会话 - IM 收到的信息未经过身份验证。无法验证消息是否真的来自收件人认为他或她在会话期间正在与之通信的发件人。聊天会话可能被劫持，用户可能被冒充。

•因下载受版权保护的材料而产生的法律责任。

用户责任和程序

用户责任和程序如下：

•确保 IM 账户密码符合组织内部关于强密码的建议。

•从 IM 公司下载并安装安全升级。该软件经常更新以解决安全漏洞。

•为 IM 程序启用自动更新，并在更新可用时立即安装。

•调查 IM 客户端的加密。电子前沿基金会提供IM 加密资源。 

•不要让 IM 程序“记住”密码或自动登录账户。

•不要自动接受来自不在联系人列表中的登录名称的传入消息。如果有人想开始通过 IM交流，他们应该发送电子邮件或打电话以交换 IM 登录名。

•在任何情况下都不接受文件传输。文件传输是黑客发起病毒攻击的一种简便方法，并且在到达计算机之前不会对其进行病毒扫描。在这种情况下，通过电子邮件发送附件将是更好的选择，因为 (1) 期望进行通信，并且 (2) 除了计算机上的防病毒应用程序外，还将在邮件服务器上扫描附件。

•不要单击邮件中发送给链接，即使它们看起来来自认识的人。许多链接通常会转到托管恶意软件的站点，或者可能以某种方式出现格式错误以利用另一个漏洞。

•保护敏感数据的隐私。不要通过 IM 讨论或在包含敏感数据的计算机上安装 IM 应用程序。不要假设 IM 对话是私密的或安全的。大多数 IM 程序没有加密；因此，在网络上收听的人可以阅读IM 对话中所说的任何内容。

•避免文件共享。文件共享增加了未经授权的各方可以访问计算机的风险。

•实施包括网络台式机和笔记本电脑解决方案的病毒防护，以处理两种 IM 交付方式（服务器代理和服务器代理）。

参考来源：卡内基梅隆大学信息安全办公室网站

本文只是为了大家在开展网络安全工作中，提供一种拓展思路和参考。我们所有的网络安全工作开展必须依据我国的法律法规和国家标准开展。

原文始发于微信公众号（祺印说信安）：卡内基梅隆大学：即时通讯安全和使用指南