四、 安全性考虑 

    信息安全在今天的语境下已经异常丰富了，相信不同时间问同100个人估计能有300个不同的理解和解释。原因很简单，安全的概念本身就很广泛（ISC^2仅CBK就划分了10个），加之IM的应用领域、应用模式、服务对象千差万别。大型企业应用其实更需要安全保护，设计目标里总是信誓旦旦，但实施后评估的时候发现好像都“缩水”了，为什么？原因带该有如下几点： 

    •大型企业内部坛坛罐罐太多，IM的新成员又总是要和老成员搭线，为了互联而“削足适履”常常是很无奈的选择。 

    •用户的应用模式变了或者用户觉得麻烦，并且有很有力的业务原因告诉IT：“这个我不能接受”。 

    •诸如“数据库我要基于证书访问，应用也是、Web访问也是… 但是PKI用哪个？怎么认证？”之类的技术复杂度，把IM的实施人员挡住了。 

    •诸如“我们的主要业务在浙江、福建，数据中心也在那边，不过上次台风之后IM差点成了没有I的空M了”之类的物理安全因素。 

    除此而外，还有非常令人头疼的安全策略、安全管理、IM客户端管理，还有大环境下法律法规的要求…… 

    其实逐条分析，为了适应法律、法规，为了让用户“透明”地接受安全性保护，还是有很多技术措施可以做到的，关键在于IM建设中能否方便的用起来。虽然几大厂商在自身的平台上都有相对完善的安全方案，但是大型企业应用很难保证全部都“捆”在一艘船上，可以考虑下述手段： 

    •采用业内最主流（支持产品多）、标准化程度最高的技术方案，不要做产品厂商的“小白鼠”。 

    •把安全性作为机制也作为独立的IM组成系统，与运维、应用建设齐头并进，必要的时候还要先行。

图3：为保证IM安全，设计企业集中的安全机制

    五、 借他山之石 

    开源、Web API、外部SOA 访问点都是不错的选择，毕竟企业开始自己IM建设的时候，IT人员很难面面俱到。评估自己的弱项、使用专业的服务未尝不是明智之举。借力的目的也很明确，把企业IM用得着的也都想办法划到图1的那个框里，为了给自己增加选择，可能的话同一个领域划上2个，权作双保险。

    六、 总结 

    大型企业IM核心在其业务功能，但投入更多地在“集成”、“互联”、“运维”和“安全”，越是企业关键业务的IM系统，业务功能除另外4项的商值就越小，同时技术实现之外的内容往往更多。