科技新知

Skype與資安的相互矛盾



前言
根據Skype官方文件內容指出(註一)Skype的通訊內容全都經過加密處理,以確定不會在傳輸過程中遭到攔截和監聽。但是在蠕蟲與病毒橫行的今天,對IT部門而言,更大的問題是Skype應用程式可能給他們的網路帶來什麼樣的風險。
回應此一顧慮,IT部門將會認為Skype構成的風險,不會比其他與網際網路相連的軟體來得小,既然是這樣為什麼還是有相當多的企業仍然堅持使用Skype?
原 因無他,傳統的網路電話遭遇的最大難題是:「VoIP的品質再怎麼好,也受網際網路服務供應商(ISP)提供的服務品質所限制。」造成的通訊品質不良等斷 訊雜訊等問題出現,此時Skype的興起帶來的震撼已經深深烙印在使用者的心中,每個使用過的人無一不稱讚Skype通訊品質與效果,更重要的是 Skype是個免費的軟體卻提供了穩定的品質。
為什麼Skype 能提供這麼優良的服務?
Skype採取的架構已經顛覆了傳統VOIP架設的模式,他是基於點對點(peer-to-peer)這個新興的通訊協定,達到優良的通話品質與效果。
站在IT部門而言Skype這樣的軟體會有什麼樣的問題?
由 於點對點(peer-to-peer)通訊協定,是採取不固定連線伺服器及連線埠。因此不僅通訊埠會自動跳動,故難以封鎖固定、單一的連接埠,以設定使用 者權限。造成IT部門無法掌握並控管,流量無法有效利用與控管,且Skype通訊軟體的功能強大已經不侷限在通話上,發展至今已擁有檔案傳輸、視訊傳輸等 其他功能。但是基於點對點(peer-to-peer)協定上具有可穿透防火牆的特性(註二),造成無法管制使用者行為,對資訊安全層面來講將是一大挑 戰。
如何解決Skype安全的問題
儘管Skype可能招惹風險,但是仍有許多企業希望在可以透過Skype進行業務上的溝通。因此許多內容管理廠商,像是Blue Coat、所羅門等,都端出Skype管理解決方案。
Blue Coat代理商騰蒙科技(註三),Blue Coat的安全閘道器ProxySG設備,就提供Skype控管機制,透過安全閘道器可以針對加密的443埠控管,透過SSL加速卡,進行傳輸的內容拆解、分析,查看內容有無問題。
安全管理廠商所羅門(註四),該公司提供的安全控管軟體,讓企業可採取限定部門、人下載Skpye的權限。並阻擋點對點的傳輸,即時監控使用者行為。
那IT部門需要的是什麼樣的企業通訊解決方案?
IT 部門偏好的是集中管理系統,以便把管控權操之在自己手中,而不是Skype採用的點對點(peer-to-peer)分散式系統。例如傳統的VoIP系 統,藉由傳統的架構才能完全的確保資安保障,也因為是傳統,能使用的功能也只侷限在通話上,因此IT部門才能有效的掌握並維護企業的安全
那IT部門該如何選擇企業通訊解決方案呢?
企 業必須要先評估使用Skype的風險後,再採取符合企業所需要的措施。如果企業評估後,認為開放使用Skype對商業上的幫助大於禁止前者,那企業即應透 過控管工具,管理使用者電腦,並完全信任使用者使用Skype行為,因為IT部門並沒有辦法站在企業的角度去有效防止任何有關資安問題的行為(如上述)。
曾 經有證券業者,因為客戶要求,利用Skype進行業務的溝通以及下單,但是後來卻面臨到無法紀錄對話,事後造成下單糾紛的問題,因此後來就採取禁止使用的 管理方式。水可以載舟亦可以覆舟,IT部門此時所擔任的腳色就像是警察一樣,保護的對象是企業內部資料,要如何去做,要怎麼去執行,這些都是要企業、 IT、使用者三方面去討論研究,可行的辦法為何?回歸到原點IT部門目前針對Skype的部份能做的措施有限,如要達到完全防護資安的階段則需要購買相當 多的設備與產品才能有效進行管理與控制,換個角度思考一下,當企業投入大量的金錢與人力卻只針對Skype的管理與控制,卻忽略了『人』這個最大的變數, 就算現階段能阻止Skype誰能知道下個突破性的軟體或硬體什麼時候會出現,因此建議企業將『人』的變數降至最低,IT部門就像是堤防一樣,只能做預期性 的防範,假如當『人』的變化流量超過IT預期的堤防等級時,資安的問題將陸續浮現,因此建議企業雙管齊下,而不是單方面的進行,才能達到資安的理想境界。
企業通訊禁止使用Skype進行聯繫該如何尋找替代方案?
Skype目前能提供給企業的功能可區分為三類:
1 品質優良的網路電話
2 即時的訊息傳遞與檔案交換
3 簡單明瞭的視訊會議
Skype所帶來的方便性與效能目前正衝擊者各大企業,各大企業也在資安的天枰上掙扎,假設企業評估之後將禁止Skype的使用,那企業該如何尋找替代方案呢?針對上述三大功能可參考下列替代方案:
方案一
企業可以透過PBX電話交換機系統結合VoIP設備與VPN達到AB兩地實體分機聯繫的夢想解決掉大量的通話需求,可有效監控流量,並動態調整頻寬,降低對公司頻寬的影響。
提供解決方案廠商:Nortel 、Avaya 、Cisco等大型系統廠商皆有相關解決方案
方案二
企業可透過內部的Mail System或Ftp System來解決AB兩地大量資料交換的需求,並可透過設備或者軟體來進行有效管理與控制相關資訊提高資訊安全等級。也可降地使用者的操作難度,增進工作效率。
提供解決方案廠商:Mircosoft、Linux 等大型系統廠商皆有相關解決方案。
方案三
企業可利用VPN建置視訊會議系統,達到Skype目前無法達到的多方視訊會議功能與大型會議的使用,提升AB兩地的溝通效率。
提供解決方案廠商:Polycom(註五)等大型系統廠商皆有相關解決方案。
以上只是概述幾個替代方案提供參考,還是要按照企業的特性來做適當的調整,才能有效提升AB兩地的連繫達到溝通無國界的境界。
結論
企 業為了業務方便,透過Skype節省通話費,不過在卻同時招致了病毒或是使用內容管理廠商提出Skype控管的產品,也有資訊安全顧問提出配套措施的作 法。不過Skype仍有難以解決的安全性問題。由於Skyp用P2P 通訊協定,其採取不固定連線伺服器及連線埠。因此不僅通訊埠會自動跳動,是故難以封鎖固定、單一的連接埠,以設定使用者權限。而且由於所有傳輸內容都加 密,,因此現階段很難提出一次阻擋掉語音、檔案、文字的解決方案。短期內恐怕還無法提出有效控管Skype的方式,其實「企業最安全的選擇,就是完全的阻 擋掉員工使用Skype。」關於資料洩密的問題,企業在這方面的損失程度大於省下的電話費用。該如何在節費與資安的天平上取得平衡,端看企業的智慧與判 斷。
補充說明
註一 http://www.skype.com/intl/zh-Hant/help/faq/privacy.html
註二 http://www.skype.com/intl/zh-Hant/download/explained.html
註三 http://www.sunfuin.com.tw/product/bluecoat.shtml
註四 http://www.solomon.com.tw/sa/web/all-03.html
註五 http://www.polycom.com.tw/index.php

 



用LINE傳送

關於作者

Leo

Leo

喜愛旅遊並沉迷科技應用數十年無法自拔的重度 3C 上癮者!

發表評論