HKCert
保安指南

使用流動即時通訊的保安指引

發布日期: 31 / 03 / 2015
最後更新: 20 / 04 / 2015

 

什麼是「即時通訊」?

即時通訊(Instant Messaging,簡稱 IM)是一個實時通訊系統,允許兩人或多人通過網路即時傳遞文字訊息、檔案、語音與視訊交流。隨著智能手機的興起,即時通訊程式也從個人電腦轉向流動平台,不論你的流動裝置是 Android、iOS 或 Windows Phone,只要透過簡單登記,便可與你的朋友在流動裝置上進行即時通訊。

 

隨着流動即時通訊服務日趨普及,不論在個人或公事上,也會被用作收發訊息、網頁連結、相片或其他檔案與他人分享。可是,在享受這些服務帶來的便利,它也帶來資訊保安的問題。

 

保安威脅

1. 釣魚訊息或連結

帶有釣魚訊息或連結會透過流動即時通訊傳送給用戶,若用戶不注意內容真偽,便有機會誤墮釣魚陷阱或訊息詐騙之中。

 

2. 散播惡意程式

帶有惡意程式或惡意附件的訊息可傳送給用戶,若用戶不慎開啟訊息或附件,程式或系統便可能受到影響。

 

3. 敏感資料外洩

在公眾網絡下使用流動即時通訊,訊息內容可能會被攔截及竊聽,敏感資料便因此而外洩。

 

4. 帳號遭盜用

多款流動即時通訊程式均提供桌上版本或網頁版本,讓用戶可在電腦上使用同一即時通訊帳號進行通訊。可是,如果攻擊者成功破解帳戶的密碼或用戶沒有妥善管理帳號,便可遭盜用。

 

5. 軟件漏洞

軟件需要透更新進行漏洞修補,若用戶沒有即時更新應用程式,惡意使用者便可透過軟件漏洞進行攻擊,導致程式或系統受到破壞,敏感資料及帳號也有機會因此而遭盜取。

 

保安指引 - 個人篇

1. 了解流動即時通訊程式的保安功能

各款流動即時通訊服務都有不同的保安功能,例如訊息加密、自我刪除訊息、雙重認證登入、私隱設定、雲端備份等。用戶應了解所使用的即時通訊程式的保安功能,並按照需要適當設定

 

2. 關閉自動接受朋友加入及朋友搜尋功能

陌生人可以透過即時通訊程式進行搜尋朋友,然後對目標人物施以釣魚陷阱及訊息詐騙。為避免成為受害者,用戶可關閉自動接受朋友加入及朋友搜尋功能,從而減低資料外洩及誤墮陷阱的風險

 

3. 注意不明來歷訊息的連結和附件

多款的流動即時通訊程式都支援群組訊息或廣播訊息,不明來歷的連結和附件可透過廣播訊息傳給用戶,當中可能帶有惡意程式。若用戶對這些連結或附件存有懷疑,就不要開啟它們。

 

4. 避免傳送個人或敏感資料

流動即時通訊程式需要網絡及訊息伺服器來提供服務,當中可能存在訊息傳送及訊息儲存的保安問題,例如訊息在公共WiFi下被攔截;儲存在手機上訊息沒有加密。因此,用戶應避免透過流動即時通訊程式傳送個人或敏感資料。

 

5. 管理即時通訊帳號

多款流動即時通訊程式均提供桌上版本或網頁版本,用戶除了為流動裝置加上屏幕鎖來防止未經授權使用即時通訊帳號外,還要妥善管理在電腦或瀏覽器上的即時通訊帳號。在每次使用後,用戶應登出即時通訊服務,並不要記住帳號密碼。

 

6. 更新應用程式

應用程式的更新一般都是提供程式修補,多於提供新增功能。因此,應用程式保持更新可以為應用程式提高穩定性及修補已知的保安漏洞。

 

保安指引 - 企業篇

除了以上的保安指引外,企業還要考慮以下流動即時通訊程式的保安指引。

 

1. 制定使用守則

公司應制定流動即時通訊程式的使用政策,例如

  • 員工應使用公司指定的即時通訊程式;
  • 員工不可以使用流動即時通訊程式傳送公司的敏感資料及內部文件;
  • 員工的流動裝置需設定螢幕鎖及加密儲存裝置等等。

 

2. 考慮使用支援自設的訊息伺服器的流動即時通訊程式

有些流動即時通訊程式支援自設的訊息伺服器,可以確保訊息傳及儲存在自架的伺服器,這樣可以減低資料外洩風險。

 

3. 部署 BYOD 管理方案

透過部署 BYOD 方案,可以確保員工的流動裝置遵守公司的規定及設置。

 

4. 定期為員工提供資訊保安培訓

培訓可以令員工了解即時通訊程式的保安威脅,及有關即時通訊程式的公司政策。這有助員工提升保安意識,減低使用即時通訊程式的保安風險。