龍笛安全專家：數字政府安全建設應抓住即時通訊安全牛鼻子

文件在總體要求里談到：“堅持安全可控。全面落實總體國家安全觀，堅持促進發(fā)展和依法管理相統(tǒng)一、安全可控和開放創(chuàng)新并重，嚴格落實網絡安全各項法律法規(guī)制度，全面構建制度、管理和技術銜接配套的安全防護體系，切實守住網絡安全底線?！?/p>

人民網就此評論指出：在推進數字政府建設過程中，要堅持安全可控，數字政府基礎設施、產品、服務、數據采用自主可控的先進技術、安全可靠的結構設計，規(guī)避各個環(huán)節(jié)的安全風險，增強網絡安全防范意識。

如何保證規(guī)避各個環(huán)節(jié)的安全風險，保證數字政府建設過程中的數據安全可控？在信息安全終端龍頭企業(yè)龍笛看來，就是要抓住信息安全數據安全泄露的源頭——即時通訊領域導致的數據泄露，抓住這一牛鼻子就抓住了數據安全的核心，也就抓住了數字政府建設過程中的數據全流程安全問題。

一、

即時通訊已成數據泄露源頭

在數字化轉型過程中，即時通訊、在線辦公已經成為人們生活中的重要場景。中國互聯網絡信息中心(CNNIC)發(fā)布的第49次《中國互聯網絡發(fā)展狀況統(tǒng)計報告》顯示，截至2021年12月，我國網民規(guī)模達10.32億，互聯網普及率達73.0%。在網民中，即時通信用戶使用率分別為97.5%，用戶規(guī)模分別達10.07億，即時通信應用基本實現普及。然而，相關調查數據顯示，泄密風險往往在內外部文件傳輸和工作人員的日常溝通過程中產生，使用普通的即時通訊產品會存在極大的安全隱患和泄密風險。

國家保密局自2021年起，連續(xù)發(fā)表了《看看這些真實案例，微信辦公一定要注意保密》《快自查，微信公眾號爆出這些泄密案》等多篇文章，披露微信辦公泄密的典型案例，引發(fā)了全行業(yè)對于微信等普通即時通訊軟件用于辦公的高度警惕和重視。

此外，2022年中國信息通信研究院發(fā)布的《中國信息發(fā)展態(tài)勢報告》指出：在中國網民規(guī)模擴大到十億以上的背景下，數據安全、個人信息泄露風險持續(xù)增加，而泄露源頭主要是包括即時通訊在內的各種APP。

疫情之下，在線移動辦公通訊成為主要工作場景。多人在線協(xié)作辦公，即時通訊作為核心辦公場景，這在提高使用人員效率的同時，也增加了重要數據泄露的風險。近期，國家保密機關通報了近年來發(fā)生的數起使用某通訊軟件泄密典型案件：泄密方式涉及“違規(guī)使用某通訊軟件傳達涉密信息”，“請示匯報工作的相關文件拍照后用使用某通訊軟件發(fā)送”，“違規(guī)拍攝辦公場所和辦公內容后發(fā)送朋友圈”等。上述各種違規(guī)行為往往相互交織、互為作用，致使涉密信息一再擴散。

除《保密法》《網絡安全法》及《個人信息保護法》等法規(guī)出臺后，使重要涉密數據、個人隱私等個人重要數據有法可依之外，中國信通院“鑄基計劃”針對即時通訊軟件滅而不絕的泄密事件，于2022年4月份，適時啟動了“辦公即時通信軟件安全系列標準”的編制工作，開始對即時通訊行業(yè)進行標準統(tǒng)一和源頭治理。

二、

即時通訊數據泄露危害國家安全

數據安全是國家主權、國家安全的重要組成部分。數據作為新型生產要素，對傳統(tǒng)生產方式變革具有重大影響。習總書記強調：“要切實保障國家數據安全。要加強關鍵信息基礎設施安全保護，強化國家關鍵數據資源保護能力，增強數據安全預警和溯源能力。”

數據安全是數據全流程的安全，是數據生產、存儲、傳輸、訪問、使用、銷毀、公開等全過程的安全，并保證數據處理過程的保密性、完整性、可用性，任何一個環(huán)節(jié)的疏漏都會造成系統(tǒng)性的風險。此外，個人姓名、聯系方式、車輛登記、社交媒體等個體非實體隱含數據的數據泄露，也會引發(fā)實時定位等國家公共安全問題。

3月22日，360公司披露了美國國家安全局針對中國境內目標所使用的代表性網絡武器——量子攻擊平臺的技術特點。美國利用這一技術對世界各國訪問美國社交媒體的互聯網用戶發(fā)起網絡攻擊，中國即時通訊軟件也是其攻擊目標。

信息安全新媒體“安在”近日發(fā)布報告指出，美國國家安全局下屬的接入技術行動處（TAO）持續(xù)對全球互聯網用戶實施無差別數據竊密。對此，外交部發(fā)言人汪文斌稱：“這意味著無論你是誰，無論你在世界的哪個角落，只要你使用網絡社交平臺，背后就都可能有個‘老大’在盯著你?！?/p>

在中國人的手機里，最大的網絡社交平臺是什么？是微信、釘釘等普通即時通訊軟件。超過10億的全民社交工具具有重大的安全隱患。

在和平時期，人們似乎對這樣的即時通訊導致的數據泄密隱患并不會引起太多重視，但如果反觀俄烏戰(zhàn)爭，我們可以了解到，即時通訊數據泄露可導致國家關鍵基礎設施奔潰和精準斬首，這不禁讓人不寒而栗。

首先是在俄烏戰(zhàn)爭中，各方通過即時通訊、協(xié)同辦公軟件泄露所收集的地理信息、科研數據被用于網絡精準攻擊對象。

其次利用人臉識別技術與即時通訊泄露的數據進行比對，對重點個人進行精準斬首行動，人臉識別等人工智能被用于戰(zhàn)爭，這些技術與即時通訊泄露數據也是前后臺的關系。

在前臺，遍布烏克蘭大小街道的攝像頭捕捉到參戰(zhàn)的俄羅斯將士人臉信息。在后臺，烏克蘭利用西方提供的大數據平臺進行數據比對，對一些關鍵指揮官進行定點清除。

有報道稱，俄羅斯莫爾德維喬中將所在位置被對方發(fā)現定位，因此遭到精確制導彈藥遠程襲擊陣亡。另一名車臣士兵在一輛坦克前發(fā)表自己的感想，他發(fā)布的照片就被進入大數據進行分析，最終根據在線人臉識別技術發(fā)現，他就是一個叫Hussein Mezhidov的車臣指揮官。

作為世界頭號網絡攻擊受害國，中國即時通訊數據泄露問題不容忽視。除了上文提到的美國國家安全部利用量子攻擊平臺對世界各國社交平臺數據進行無差別收集外，近日，國家計算機病毒應急處理中心和360公司分別發(fā)布專題研究報告，同日披露美國國家安全局（NSA）下屬的又一款網絡攻擊武器“酸狐貍”漏洞攻擊武器平臺（以下簡稱“酸狐貍”平臺）。該武器平臺主要用于突破位于受害目標辦公內網的主機系統(tǒng)，并植入各類木馬、后門等程序以實現持久化控制，目前中國有上百個重要信息系統(tǒng)被植入木馬。有專家懷疑其為大規(guī)模網絡戰(zhàn)準備。

為了保護國家發(fā)展的重大成果，政府、金融、高校科研院所、軍工、航空航天等受網絡攻擊威脅最大的行業(yè)應該及時重視即時通訊領域的數據安全，用安全即時通訊工具來取代微信、釘釘等普通即時通訊工具，以實現安全辦公。

三、

龍笛保障數據流轉各環(huán)節(jié)安全

作為信息安全終端行業(yè)頭部企業(yè)，龍笛認為，在數字時代，數據資產存在著以下幾大風險：

1.數據收集風險

在數據收集環(huán)節(jié)，風險威脅涵蓋保密性威脅、完整性威脅、可用性威脅等。保密性威脅指黑客通過建立隱蔽隧道，對信息進行各個維度的分析，竊取有價信息；完整性威脅指只截取某段元數據，數據不全；可用性威脅指刻意偽造或篡改數據。

2.數據存儲風險

數據存儲安全性成為企業(yè)數字化轉型運營中必須關注的問題，一旦出現遺漏，面臨的是法律和道德的鞭策。在數據存儲環(huán)節(jié)，風險威脅來自外部因素、內部因素、數據庫系統(tǒng)安全等。外部因素包括黑客拖庫、數據庫后門、挖礦木馬、數據庫勒索、惡意篡改等。內部因素包括內部人員竊取、不同利益方對數據的超權限使用、弱口令配置、離線暴力破解、錯誤配置等。

數據庫系統(tǒng)安全包括數據庫軟件漏洞和應用程序邏輯漏洞，如：SQL注入、提權、緩沖區(qū)溢出；存儲設備丟失等其他情況。傳統(tǒng)式存儲設備——集中式云存儲主要是使用中心化服務器來存儲數據與提供存儲服務，造成安全性低和數據隱私泄漏風險。

3.數據使用風險

在數據使用環(huán)節(jié)，風險威脅來自于外部因素、內部因素、系統(tǒng)安全等。外部因素包括賬戶劫持、APT攻擊、身份偽裝、認證失效、密鑰丟失、漏洞攻擊、木馬注入等。內部因素包括內部人員、DBA違規(guī)操作竊取、濫用、泄露數據等，如：非授權訪問敏感數據、非工作時間、工作場所訪問核心業(yè)務表、高危指令操作；系統(tǒng)安全包括不嚴格的權限訪問、多源異構數據集成中隱私泄露等。

龍笛花了近十年時間，打造了一款以安全即時通訊為核心功能的戰(zhàn)略級安全移動辦公產品——龍笛，其產品和解決方案已廣泛應用于多種拓展場景服務中，包括應急指揮系統(tǒng)、軍隊移動辦公、智慧社區(qū)、健康醫(yī)療等眾多行業(yè)領域內。

作為一款安全通訊工具，龍笛做到了數據資產從時間和空間上的安全性。從時間上來說，保障數據資產從產生、遷移、流轉、直至消亡的全生命周期的安全性；從空間上來說，保障數據資產在基礎設施層、平臺層以及應用層之間流轉，不同層次會有不同顆粒度的防護需求。

1. 信息采集階段

作為一款去中心化的私有云產品，龍笛可以做到不采集數據。信息只存儲在信息發(fā)送端和信息接收端，而且信息傳輸的信道通過龍笛可以做到全程信息加密。

龍笛提供私有化服務器部署，讓每一個政企都能擁有專屬服務器，規(guī)避云安全風險。避免了信息被第三方人為竊取、泄露的風險。

龍笛服務器無后門，購買龍笛服務器后，只能通過上門升級的方式更新版本，因此減少了數據被廠商遠程采集的風險。

以下龍笛的一些加密特征和封閉社區(qū)特征更是規(guī)避了信息在產生和傳輸階段的風險：

所有經過“龍笛”平臺上的記錄都采用密文方式存儲，所有經過龍笛的消息、文件都經過了加密，保證了手機端、接收端、傳輸端的信息安全，即使信息被不法分子竊取，也無法解密。

龍笛作為一款強大的安全協(xié)同辦公工具，可以完全替代微信、釘釘等普通互聯網協(xié)同辦公軟件，并避免了微信、釘釘等基于公有云的即時協(xié)同辦公工具被不法分子用于非法數據采集的目的。

2. 數據存儲階段

市面上即時通訊工具大致分為兩類，一類以公有云存儲為主，用戶的信息、數據存儲在云端服務器，正是這些互聯網社交即時通訊軟件成為了數據泄露的源頭，被國家保密局重點點名。

另一類是私有化部署，自設服務器，數據信息由自己掌控。

龍笛所有權為用戶所有，服務器方式存儲在本單位的機房。參與辦公、聊天的人員通過購買者邀請的方式加入社區(qū)。辦公記錄、社區(qū)里的數據除非用戶自主刪除，所有信息第三方無法獲取和破解。

在服務器端，管理員也無法擅自查看用戶數據信息，實現了數據的物理隔離。

3. 數據使用階段

依托龍笛技術，基于信息加密防護算法，保障了龍笛數據使用安全。在龍笛上，所有傳輸和存儲的數據都進行了加密，有效地防止了非授權登錄、越權操作法竊取其中的信息，讓用戶擁有一臺“安全通訊服務器”。

龍笛作為國內終端安全管理領域的企業(yè)，是國內網絡與信息安全領域領先的解決方案提供商。龍笛依托國家級科技專項課題成果產業(yè)化，成功服務于我國BM行業(yè)、公安系統(tǒng)、軍工行業(yè)、金融行業(yè)、重點央企等，為千萬級高安全行業(yè)用戶提供了安全、持續(xù)、穩(wěn)定的即時通訊和移動辦公服務，至今無信息泄露事件。

綜上，與重度依賴數據、需要對用戶數據進行開發(fā)利用實現千人千面、精準廣告推送的普通互聯網型辦公協(xié)同軟件不同，龍笛真正做到了保證數據生產流通使用全過程的信息安全。這款基于私有化安全通信辦公的軟件平臺近十年來堅持安全可控、安全可靠的結構設計，規(guī)避各個環(huán)節(jié)的安全風險，成為了數字型政府建設中不可缺少的數據安全衛(wèi)士！