龍笛安全專家：數(shù)字政府安全建設(shè)應(yīng)抓住即時(shí)通訊安全牛鼻子

文件在總體要求里談到：“堅(jiān)持安全可控。全面落實(shí)總體國(guó)家安全觀，堅(jiān)持促進(jìn)發(fā)展和依法管理相統(tǒng)一、安全可控和開放創(chuàng)新并重，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全各項(xiàng)法律法規(guī)制度，全面構(gòu)建制度、管理和技術(shù)銜接配套的安全防護(hù)體系，切實(shí)守住網(wǎng)絡(luò)安全底線?！?/p>

人民網(wǎng)就此評(píng)論指出：在推進(jìn)數(shù)字政府建設(shè)過程中，要堅(jiān)持安全可控，數(shù)字政府基礎(chǔ)設(shè)施、產(chǎn)品、服務(wù)、數(shù)據(jù)采用自主可控的先進(jìn)技術(shù)、安全可靠的結(jié)構(gòu)設(shè)計(jì)，規(guī)避各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)，增強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)。

如何保證規(guī)避各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)，保證數(shù)字政府建設(shè)過程中的數(shù)據(jù)安全可控？在信息安全終端龍頭企業(yè)龍笛看來，就是要抓住信息安全數(shù)據(jù)安全泄露的源頭——即時(shí)通訊領(lǐng)域?qū)е碌臄?shù)據(jù)泄露，抓住這一牛鼻子就抓住了數(shù)據(jù)安全的核心，也就抓住了數(shù)字政府建設(shè)過程中的數(shù)據(jù)全流程安全問題。

一、

即時(shí)通訊已成數(shù)據(jù)泄露源頭

在數(shù)字化轉(zhuǎn)型過程中，即時(shí)通訊、在線辦公已經(jīng)成為人們生活中的重要場(chǎng)景。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的第49次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2021年12月，我國(guó)網(wǎng)民規(guī)模達(dá)10.32億，互聯(lián)網(wǎng)普及率達(dá)73.0%。在網(wǎng)民中，即時(shí)通信用戶使用率分別為97.5%，用戶規(guī)模分別達(dá)10.07億，即時(shí)通信應(yīng)用基本實(shí)現(xiàn)普及。然而，相關(guān)調(diào)查數(shù)據(jù)顯示，泄密風(fēng)險(xiǎn)往往在內(nèi)外部文件傳輸和工作人員的日常溝通過程中產(chǎn)生，使用普通的即時(shí)通訊產(chǎn)品會(huì)存在極大的安全隱患和泄密風(fēng)險(xiǎn)。

國(guó)家保密局自2021年起，連續(xù)發(fā)表了《看看這些真實(shí)案例，微信辦公一定要注意保密》《快自查，微信公眾號(hào)爆出這些泄密案》等多篇文章，披露微信辦公泄密的典型案例，引發(fā)了全行業(yè)對(duì)于微信等普通即時(shí)通訊軟件用于辦公的高度警惕和重視。

此外，2022年中國(guó)信息通信研究院發(fā)布的《中國(guó)信息發(fā)展態(tài)勢(shì)報(bào)告》指出：在中國(guó)網(wǎng)民規(guī)模擴(kuò)大到十億以上的背景下，數(shù)據(jù)安全、個(gè)人信息泄露風(fēng)險(xiǎn)持續(xù)增加，而泄露源頭主要是包括即時(shí)通訊在內(nèi)的各種APP。

疫情之下，在線移動(dòng)辦公通訊成為主要工作場(chǎng)景。多人在線協(xié)作辦公，即時(shí)通訊作為核心辦公場(chǎng)景，這在提高使用人員效率的同時(shí)，也增加了重要數(shù)據(jù)泄露的風(fēng)險(xiǎn)。近期，國(guó)家保密機(jī)關(guān)通報(bào)了近年來發(fā)生的數(shù)起使用某通訊軟件泄密典型案件：泄密方式涉及“違規(guī)使用某通訊軟件傳達(dá)涉密信息”，“請(qǐng)示匯報(bào)工作的相關(guān)文件拍照后用使用某通訊軟件發(fā)送”，“違規(guī)拍攝辦公場(chǎng)所和辦公內(nèi)容后發(fā)送朋友圈”等。上述各種違規(guī)行為往往相互交織、互為作用，致使涉密信息一再擴(kuò)散。

除《保密法》《網(wǎng)絡(luò)安全法》及《個(gè)人信息保護(hù)法》等法規(guī)出臺(tái)后，使重要涉密數(shù)據(jù)、個(gè)人隱私等個(gè)人重要數(shù)據(jù)有法可依之外，中國(guó)信通院“鑄基計(jì)劃”針對(duì)即時(shí)通訊軟件滅而不絕的泄密事件，于2022年4月份，適時(shí)啟動(dòng)了“辦公即時(shí)通信軟件安全系列標(biāo)準(zhǔn)”的編制工作，開始對(duì)即時(shí)通訊行業(yè)進(jìn)行標(biāo)準(zhǔn)統(tǒng)一和源頭治理。

二、

即時(shí)通訊數(shù)據(jù)泄露危害國(guó)家安全

數(shù)據(jù)安全是國(guó)家主權(quán)、國(guó)家安全的重要組成部分。數(shù)據(jù)作為新型生產(chǎn)要素，對(duì)傳統(tǒng)生產(chǎn)方式變革具有重大影響。習(xí)總書記強(qiáng)調(diào)：“要切實(shí)保障國(guó)家數(shù)據(jù)安全。要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，強(qiáng)化國(guó)家關(guān)鍵數(shù)據(jù)資源保護(hù)能力，增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力?！?/p>

數(shù)據(jù)安全是數(shù)據(jù)全流程的安全，是數(shù)據(jù)生產(chǎn)、存儲(chǔ)、傳輸、訪問、使用、銷毀、公開等全過程的安全，并保證數(shù)據(jù)處理過程的保密性、完整性、可用性，任何一個(gè)環(huán)節(jié)的疏漏都會(huì)造成系統(tǒng)性的風(fēng)險(xiǎn)。此外，個(gè)人姓名、聯(lián)系方式、車輛登記、社交媒體等個(gè)體非實(shí)體隱含數(shù)據(jù)的數(shù)據(jù)泄露，也會(huì)引發(fā)實(shí)時(shí)定位等國(guó)家公共安全問題。

3月22日，360公司披露了美國(guó)國(guó)家安全局針對(duì)中國(guó)境內(nèi)目標(biāo)所使用的代表性網(wǎng)絡(luò)武器——量子攻擊平臺(tái)的技術(shù)特點(diǎn)。美國(guó)利用這一技術(shù)對(duì)世界各國(guó)訪問美國(guó)社交媒體的互聯(lián)網(wǎng)用戶發(fā)起網(wǎng)絡(luò)攻擊，中國(guó)即時(shí)通訊軟件也是其攻擊目標(biāo)。

信息安全新媒體“安在”近日發(fā)布報(bào)告指出，美國(guó)國(guó)家安全局下屬的接入技術(shù)行動(dòng)處（TAO）持續(xù)對(duì)全球互聯(lián)網(wǎng)用戶實(shí)施無差別數(shù)據(jù)竊密。對(duì)此，外交部發(fā)言人汪文斌稱：“這意味著無論你是誰，無論你在世界的哪個(gè)角落，只要你使用網(wǎng)絡(luò)社交平臺(tái)，背后就都可能有個(gè)‘老大’在盯著你。”

在中國(guó)人的手機(jī)里，最大的網(wǎng)絡(luò)社交平臺(tái)是什么？是微信、釘釘?shù)绕胀磿r(shí)通訊軟件。超過10億的全民社交工具具有重大的安全隱患。

在和平時(shí)期，人們似乎對(duì)這樣的即時(shí)通訊導(dǎo)致的數(shù)據(jù)泄密隱患并不會(huì)引起太多重視，但如果反觀俄烏戰(zhàn)爭(zhēng)，我們可以了解到，即時(shí)通訊數(shù)據(jù)泄露可導(dǎo)致國(guó)家關(guān)鍵基礎(chǔ)設(shè)施奔潰和精準(zhǔn)斬首，這不禁讓人不寒而栗。

首先是在俄烏戰(zhàn)爭(zhēng)中，各方通過即時(shí)通訊、協(xié)同辦公軟件泄露所收集的地理信息、科研數(shù)據(jù)被用于網(wǎng)絡(luò)精準(zhǔn)攻擊對(duì)象。

其次利用人臉識(shí)別技術(shù)與即時(shí)通訊泄露的數(shù)據(jù)進(jìn)行比對(duì)，對(duì)重點(diǎn)個(gè)人進(jìn)行精準(zhǔn)斬首行動(dòng)，人臉識(shí)別等人工智能被用于戰(zhàn)爭(zhēng)，這些技術(shù)與即時(shí)通訊泄露數(shù)據(jù)也是前后臺(tái)的關(guān)系。

在前臺(tái)，遍布烏克蘭大小街道的攝像頭捕捉到參戰(zhàn)的俄羅斯將士人臉信息。在后臺(tái)，烏克蘭利用西方提供的大數(shù)據(jù)平臺(tái)進(jìn)行數(shù)據(jù)比對(duì)，對(duì)一些關(guān)鍵指揮官進(jìn)行定點(diǎn)清除。

有報(bào)道稱，俄羅斯莫爾德維喬中將所在位置被對(duì)方發(fā)現(xiàn)定位，因此遭到精確制導(dǎo)彈藥遠(yuǎn)程襲擊陣亡。另一名車臣士兵在一輛坦克前發(fā)表自己的感想，他發(fā)布的照片就被進(jìn)入大數(shù)據(jù)進(jìn)行分析，最終根據(jù)在線人臉識(shí)別技術(shù)發(fā)現(xiàn)，他就是一個(gè)叫Hussein Mezhidov的車臣指揮官。

作為世界頭號(hào)網(wǎng)絡(luò)攻擊受害國(guó)，中國(guó)即時(shí)通訊數(shù)據(jù)泄露問題不容忽視。除了上文提到的美國(guó)國(guó)家安全部利用量子攻擊平臺(tái)對(duì)世界各國(guó)社交平臺(tái)數(shù)據(jù)進(jìn)行無差別收集外，近日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布專題研究報(bào)告，同日披露美國(guó)國(guó)家安全局（NSA）下屬的又一款網(wǎng)絡(luò)攻擊武器“酸狐貍”漏洞攻擊武器平臺(tái)（以下簡(jiǎn)稱“酸狐貍”平臺(tái)）。該武器平臺(tái)主要用于突破位于受害目標(biāo)辦公內(nèi)網(wǎng)的主機(jī)系統(tǒng)，并植入各類木馬、后門等程序以實(shí)現(xiàn)持久化控制，目前中國(guó)有上百個(gè)重要信息系統(tǒng)被植入木馬。有專家懷疑其為大規(guī)模網(wǎng)絡(luò)戰(zhàn)準(zhǔn)備。

為了保護(hù)國(guó)家發(fā)展的重大成果，政府、金融、高?？蒲性核④姽?、航空航天等受網(wǎng)絡(luò)攻擊威脅最大的行業(yè)應(yīng)該及時(shí)重視即時(shí)通訊領(lǐng)域的數(shù)據(jù)安全，用安全即時(shí)通訊工具來取代微信、釘釘?shù)绕胀磿r(shí)通訊工具，以實(shí)現(xiàn)安全辦公。

三、

龍笛保障數(shù)據(jù)流轉(zhuǎn)各環(huán)節(jié)安全

作為信息安全終端行業(yè)頭部企業(yè)，龍笛認(rèn)為，在數(shù)字時(shí)代，數(shù)據(jù)資產(chǎn)存在著以下幾大風(fēng)險(xiǎn)：

1.數(shù)據(jù)收集風(fēng)險(xiǎn)

在數(shù)據(jù)收集環(huán)節(jié)，風(fēng)險(xiǎn)威脅涵蓋保密性威脅、完整性威脅、可用性威脅等。保密性威脅指黑客通過建立隱蔽隧道，對(duì)信息進(jìn)行各個(gè)維度的分析，竊取有價(jià)信息；完整性威脅指只截取某段元數(shù)據(jù)，數(shù)據(jù)不全；可用性威脅指刻意偽造或篡改數(shù)據(jù)。

2.數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)

數(shù)據(jù)存儲(chǔ)安全性成為企業(yè)數(shù)字化轉(zhuǎn)型運(yùn)營(yíng)中必須關(guān)注的問題，一旦出現(xiàn)遺漏，面臨的是法律和道德的鞭策。在數(shù)據(jù)存儲(chǔ)環(huán)節(jié)，風(fēng)險(xiǎn)威脅來自外部因素、內(nèi)部因素、數(shù)據(jù)庫系統(tǒng)安全等。外部因素包括黑客拖庫、數(shù)據(jù)庫后門、挖礦木馬、數(shù)據(jù)庫勒索、惡意篡改等。內(nèi)部因素包括內(nèi)部人員竊取、不同利益方對(duì)數(shù)據(jù)的超權(quán)限使用、弱口令配置、離線暴力破解、錯(cuò)誤配置等。

數(shù)據(jù)庫系統(tǒng)安全包括數(shù)據(jù)庫軟件漏洞和應(yīng)用程序邏輯漏洞，如：SQL注入、提權(quán)、緩沖區(qū)溢出；存儲(chǔ)設(shè)備丟失等其他情況。傳統(tǒng)式存儲(chǔ)設(shè)備——集中式云存儲(chǔ)主要是使用中心化服務(wù)器來存儲(chǔ)數(shù)據(jù)與提供存儲(chǔ)服務(wù)，造成安全性低和數(shù)據(jù)隱私泄漏風(fēng)險(xiǎn)。

3.數(shù)據(jù)使用風(fēng)險(xiǎn)

在數(shù)據(jù)使用環(huán)節(jié)，風(fēng)險(xiǎn)威脅來自于外部因素、內(nèi)部因素、系統(tǒng)安全等。外部因素包括賬戶劫持、APT攻擊、身份偽裝、認(rèn)證失效、密鑰丟失、漏洞攻擊、木馬注入等。內(nèi)部因素包括內(nèi)部人員、DBA違規(guī)操作竊取、濫用、泄露數(shù)據(jù)等，如：非授權(quán)訪問敏感數(shù)據(jù)、非工作時(shí)間、工作場(chǎng)所訪問核心業(yè)務(wù)表、高危指令操作；系統(tǒng)安全包括不嚴(yán)格的權(quán)限訪問、多源異構(gòu)數(shù)據(jù)集成中隱私泄露等。

龍笛花了近十年時(shí)間，打造了一款以安全即時(shí)通訊為核心功能的戰(zhàn)略級(jí)安全移動(dòng)辦公產(chǎn)品——龍笛，其產(chǎn)品和解決方案已廣泛應(yīng)用于多種拓展場(chǎng)景服務(wù)中，包括應(yīng)急指揮系統(tǒng)、軍隊(duì)移動(dòng)辦公、智慧社區(qū)、健康醫(yī)療等眾多行業(yè)領(lǐng)域內(nèi)。

作為一款安全通訊工具，龍笛做到了數(shù)據(jù)資產(chǎn)從時(shí)間和空間上的安全性。從時(shí)間上來說，保障數(shù)據(jù)資產(chǎn)從產(chǎn)生、遷移、流轉(zhuǎn)、直至消亡的全生命周期的安全性；從空間上來說，保障數(shù)據(jù)資產(chǎn)在基礎(chǔ)設(shè)施層、平臺(tái)層以及應(yīng)用層之間流轉(zhuǎn)，不同層次會(huì)有不同顆粒度的防護(hù)需求。

1. 信息采集階段

作為一款去中心化的私有云產(chǎn)品，龍笛可以做到不采集數(shù)據(jù)。信息只存儲(chǔ)在信息發(fā)送端和信息接收端，而且信息傳輸?shù)男诺劳ㄟ^龍笛可以做到全程信息加密。

龍笛提供私有化服務(wù)器部署，讓每一個(gè)政企都能擁有專屬服務(wù)器，規(guī)避云安全風(fēng)險(xiǎn)。避免了信息被第三方人為竊取、泄露的風(fēng)險(xiǎn)。

龍笛服務(wù)器無后門，購買龍笛服務(wù)器后，只能通過上門升級(jí)的方式更新版本，因此減少了數(shù)據(jù)被廠商遠(yuǎn)程采集的風(fēng)險(xiǎn)。

以下龍笛的一些加密特征和封閉社區(qū)特征更是規(guī)避了信息在產(chǎn)生和傳輸階段的風(fēng)險(xiǎn)：

所有經(jīng)過“龍笛”平臺(tái)上的記錄都采用密文方式存儲(chǔ)，所有經(jīng)過龍笛的消息、文件都經(jīng)過了加密，保證了手機(jī)端、接收端、傳輸端的信息安全，即使信息被不法分子竊取，也無法解密。

龍笛作為一款強(qiáng)大的安全協(xié)同辦公工具，可以完全替代微信、釘釘?shù)绕胀ɑヂ?lián)網(wǎng)協(xié)同辦公軟件，并避免了微信、釘釘?shù)然诠性频募磿r(shí)協(xié)同辦公工具被不法分子用于非法數(shù)據(jù)采集的目的。

2. 數(shù)據(jù)存儲(chǔ)階段

市面上即時(shí)通訊工具大致分為兩類，一類以公有云存儲(chǔ)為主，用戶的信息、數(shù)據(jù)存儲(chǔ)在云端服務(wù)器，正是這些互聯(lián)網(wǎng)社交即時(shí)通訊軟件成為了數(shù)據(jù)泄露的源頭，被國(guó)家保密局重點(diǎn)點(diǎn)名。

另一類是私有化部署，自設(shè)服務(wù)器，數(shù)據(jù)信息由自己掌控。

龍笛所有權(quán)為用戶所有，服務(wù)器方式存儲(chǔ)在本單位的機(jī)房。參與辦公、聊天的人員通過購買者邀請(qǐng)的方式加入社區(qū)。辦公記錄、社區(qū)里的數(shù)據(jù)除非用戶自主刪除，所有信息第三方無法獲取和破解。

在服務(wù)器端，管理員也無法擅自查看用戶數(shù)據(jù)信息，實(shí)現(xiàn)了數(shù)據(jù)的物理隔離。

3. 數(shù)據(jù)使用階段

依托龍笛技術(shù)，基于信息加密防護(hù)算法，保障了龍笛數(shù)據(jù)使用安全。在龍笛上，所有傳輸和存儲(chǔ)的數(shù)據(jù)都進(jìn)行了加密，有效地防止了非授權(quán)登錄、越權(quán)操作法竊取其中的信息，讓用戶擁有一臺(tái)“安全通訊服務(wù)器”。

龍笛作為國(guó)內(nèi)終端安全管理領(lǐng)域的企業(yè)，是國(guó)內(nèi)網(wǎng)絡(luò)與信息安全領(lǐng)域領(lǐng)先的解決方案提供商。龍笛依托國(guó)家級(jí)科技專項(xiàng)課題成果產(chǎn)業(yè)化，成功服務(wù)于我國(guó)BM行業(yè)、公安系統(tǒng)、軍工行業(yè)、金融行業(yè)、重點(diǎn)央企等，為千萬級(jí)高安全行業(yè)用戶提供了安全、持續(xù)、穩(wěn)定的即時(shí)通訊和移動(dòng)辦公服務(wù)，至今無信息泄露事件。

綜上，與重度依賴數(shù)據(jù)、需要對(duì)用戶數(shù)據(jù)進(jìn)行開發(fā)利用實(shí)現(xiàn)千人千面、精準(zhǔn)廣告推送的普通互聯(lián)網(wǎng)型辦公協(xié)同軟件不同，龍笛真正做到了保證數(shù)據(jù)生產(chǎn)流通使用全過程的信息安全。這款基于私有化安全通信辦公的軟件平臺(tái)近十年來堅(jiān)持安全可控、安全可靠的結(jié)構(gòu)設(shè)計(jì)，規(guī)避各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)，成為了數(shù)字型政府建設(shè)中不可缺少的數(shù)據(jù)安全衛(wèi)士！