龍笛安全專(zhuān)家：數(shù)字政府安全建設(shè)應(yīng)抓住即時(shí)通訊安全牛鼻子

國(guó)務(wù)院關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見(jiàn)

文件首先確認(rèn)了十八大以來(lái)，網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略、大數(shù)據(jù)戰(zhàn)略的重大成果。文件同時(shí)指出：數(shù)字政府建設(shè)仍然存在一些突出問(wèn)題——“主要是頂層設(shè)計(jì)不足，體制機(jī)制不夠健全，創(chuàng)新應(yīng)用能力不強(qiáng)，數(shù)據(jù)壁壘依然存在，網(wǎng)絡(luò)安全保障體系還有不少突出短板，干部隊(duì)伍數(shù)字意識(shí)和數(shù)字素養(yǎng)有待提升，政府治理數(shù)字化水平與國(guó)家治理現(xiàn)代化要求還存在較大差距?！?/p>

文件在總體要求里，談到：“堅(jiān)持安全可控。全面落實(shí)總體國(guó)家安全觀，堅(jiān)持促進(jìn)發(fā)展和依法管理相統(tǒng)一、安全可控和開(kāi)放創(chuàng)新并重，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全各項(xiàng)法律法規(guī)制度，全面構(gòu)建制度、管理和技術(shù)銜接配套的安全防護(hù)體系，切實(shí)守住網(wǎng)絡(luò)安全底線。”

人民網(wǎng)權(quán)威就此評(píng)論指出：在推進(jìn)數(shù)字政府建設(shè)過(guò)程中，要堅(jiān)持安全可控，數(shù)字政府基礎(chǔ)設(shè)施、產(chǎn)品、服務(wù)、數(shù)據(jù)采用自主可控的先進(jìn)技術(shù)、安全可靠的結(jié)構(gòu)設(shè)計(jì)，規(guī)避各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)，增強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)。

如何保證規(guī)避各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)，保證數(shù)字政府建設(shè)過(guò)程中的數(shù)據(jù)安全可控？在信息安全終端龍頭企業(yè)龍笛看來(lái)，就是要抓住信息安全數(shù)據(jù)安全泄露的源頭——即時(shí)通訊領(lǐng)域?qū)е碌臄?shù)據(jù)泄露，抓住這一牛鼻子就抓住了數(shù)據(jù)安全的核心，也就抓住了數(shù)字政府建設(shè)過(guò)程中的數(shù)據(jù)全流程安全問(wèn)題。

一．即時(shí)通訊已成數(shù)據(jù)泄露的源頭

在數(shù)字化轉(zhuǎn)型中，即時(shí)通訊、在線辦公已經(jīng)成為人們生活中的重要場(chǎng)景。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布第49次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2021年12月，我國(guó)網(wǎng)民規(guī)模達(dá)10.32億，互聯(lián)網(wǎng)普及率達(dá)73.0%。在網(wǎng)民中，即時(shí)通信用戶(hù)使用率分別為97.5%，用戶(hù)規(guī)模分別達(dá)10.07億，即時(shí)通信應(yīng)用基本實(shí)現(xiàn)普及。然而，相關(guān)調(diào)查數(shù)據(jù)顯示，泄密風(fēng)險(xiǎn)往往在內(nèi)外部文件傳輸和工作人員的日常溝通過(guò)程中產(chǎn)生，使用普通的即時(shí)通訊產(chǎn)品會(huì)存在極大的安全隱患和泄密風(fēng)險(xiǎn)。

防范微信泄密

國(guó)家保密局自2021年起，連續(xù)發(fā)表了《看看這些真實(shí)案例，微信辦公一定要注意保密》、《快自查，微信公眾號(hào)爆出這些泄密案》等多篇文章，披露微信辦公泄密的典型案例，引發(fā)了全行業(yè)對(duì)于微信等普通即時(shí)通訊軟件用于辦公的高度警惕和重視。

此外，根據(jù)2022年中國(guó)信息通信研究院發(fā)布的《中國(guó)信息發(fā)展態(tài)勢(shì)報(bào)告》。報(bào)告指出：在中國(guó)網(wǎng)民規(guī)模擴(kuò)大到十億以上的背景下，數(shù)據(jù)安全、個(gè)人信息泄露風(fēng)險(xiǎn)持續(xù)增加，而泄露源頭主要是包括即時(shí)通訊在內(nèi)的各種APP。

在疫情之下，在線移動(dòng)辦公通訊成為主要工作場(chǎng)景。多人在線協(xié)作辦公，即時(shí)通訊作為核心辦公場(chǎng)景在提高使用人員效率的同時(shí)，也增加了重要數(shù)據(jù)泄露的風(fēng)險(xiǎn)。近期，國(guó)家保密機(jī)關(guān)通報(bào)了近年來(lái)發(fā)生的數(shù)起使用某通訊軟件泄密典型案件：泄密方式涉及“違規(guī)使用某通訊軟件傳達(dá)涉密信息”，“請(qǐng)示匯報(bào)工作的相關(guān)文件拍照后用使用某通訊軟件發(fā)送”，“違規(guī)拍攝辦公場(chǎng)所和辦公內(nèi)容后發(fā)送朋友圈”等。上述各種違規(guī)行為往往相互交織、互為作用，致使涉密信息一再擴(kuò)散。

除了保密法和《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法》等法規(guī)出臺(tái)后，使重要涉密數(shù)據(jù)、個(gè)人隱私等個(gè)人重要數(shù)據(jù)有法可依之外，針對(duì)即時(shí)通訊軟件滅而不絕的泄密事件，2022年4月份，中國(guó)信通院“鑄基計(jì)劃”適時(shí)啟動(dòng)了“辦公即時(shí)通信軟件安全系列標(biāo)準(zhǔn)”的編制工作，開(kāi)始對(duì)即時(shí)通訊行業(yè)進(jìn)行標(biāo)準(zhǔn)統(tǒng)一和源頭治理。

二．即時(shí)通訊數(shù)據(jù)泄露危害國(guó)家安全

數(shù)據(jù)安全是國(guó)家主權(quán)、國(guó)家安全的重要組成部分。習(xí)總書(shū)記指出，數(shù)據(jù)作為新型生產(chǎn)要素，對(duì)傳統(tǒng)生產(chǎn)方式變革具有重大影響。習(xí)近平總書(shū)記強(qiáng)調(diào)：“要切實(shí)保障國(guó)家數(shù)據(jù)安全。要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，強(qiáng)化國(guó)家關(guān)鍵數(shù)據(jù)資源保護(hù)能力，增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力。

習(xí)總書(shū)記談數(shù)字轉(zhuǎn)型

數(shù)據(jù)安全是數(shù)據(jù)全流程的安全，是數(shù)據(jù)生產(chǎn)、存儲(chǔ)、傳輸、訪問(wèn)、使用、銷(xiāo)毀、公開(kāi)等全過(guò)程的安全，并保證數(shù)據(jù)處理過(guò)程的保密性、完整性、可用性，任何一個(gè)環(huán)節(jié)的疏漏都會(huì)造成系統(tǒng)性的風(fēng)險(xiǎn)。此外，個(gè)人姓名、聯(lián)系方式、車(chē)輛登記、社交媒體等個(gè)體非實(shí)體隱含數(shù)據(jù)的數(shù)據(jù)泄露，也會(huì)引發(fā)實(shí)時(shí)定位等國(guó)家公共安全問(wèn)題。

3月22日，360公司披露了美國(guó)國(guó)家安全局針對(duì)中國(guó)境內(nèi)目標(biāo)所使用的代表性網(wǎng)絡(luò)武器——量子攻擊平臺(tái)的技術(shù)特點(diǎn)。美國(guó)利用這一技術(shù)對(duì)世界各國(guó)訪問(wèn)美國(guó)社交媒體的互聯(lián)網(wǎng)用戶(hù)發(fā)起網(wǎng)絡(luò)攻擊，中國(guó)即時(shí)通訊軟件也是其攻擊目標(biāo)。

信息安全新媒體“安在”近日發(fā)布報(bào)告指出，美國(guó)國(guó)家安全局下屬的接入技術(shù)行動(dòng)處（TAO）持續(xù)對(duì)全球互聯(lián)網(wǎng)用戶(hù)實(shí)施無(wú)差別數(shù)據(jù)竊密。對(duì)此，外交部發(fā)言人汪文斌稱(chēng)：“這意味著無(wú)論你是誰(shuí)，無(wú)論你在世界的哪個(gè)角落，只要你使用網(wǎng)絡(luò)社交平臺(tái)，背后就都可能有個(gè)‘老大’在盯著你。”在中國(guó)人的手機(jī)里，最大的網(wǎng)絡(luò)社交平臺(tái)是什么？微信、釘釘?shù)绕胀磿r(shí)通訊軟件超過(guò)10億的全民社交工具具有重大的安全隱患。

量子攻擊平臺(tái)

在和平時(shí)期，人們似乎對(duì)這樣的即時(shí)通訊導(dǎo)致的數(shù)據(jù)泄密隱患并不會(huì)引起太多重視，但如果反觀俄烏戰(zhàn)爭(zhēng)，即時(shí)通訊數(shù)據(jù)泄露可以使得國(guó)家關(guān)鍵基礎(chǔ)設(shè)施奔潰和精準(zhǔn)斬首就會(huì)讓人不寒而栗。

首先是在俄烏戰(zhàn)爭(zhēng)中，各方通過(guò)即時(shí)通訊、協(xié)同辦公軟件泄露所收集的地理信息、科研數(shù)據(jù)被用于網(wǎng)絡(luò)精準(zhǔn)攻擊對(duì)象。

其次利用人臉識(shí)別技術(shù)與即時(shí)通訊泄露的數(shù)據(jù)進(jìn)行比對(duì)，對(duì)重點(diǎn)個(gè)人進(jìn)行精準(zhǔn)斬首行動(dòng)。在戰(zhàn)爭(zhēng)中，人臉識(shí)別等人工智能被用于戰(zhàn)爭(zhēng)。這些技術(shù)與即時(shí)通訊泄露數(shù)據(jù)也是前后臺(tái)的關(guān)系。

在前臺(tái)，遍布烏克蘭大小街道的攝像頭捕捉到參戰(zhàn)的俄羅斯將士人臉信息。在后臺(tái)，烏克蘭利用西方提供的大數(shù)據(jù)平臺(tái)進(jìn)行數(shù)據(jù)比對(duì)，對(duì)一些關(guān)鍵指揮官定進(jìn)行定點(diǎn)清除。

有報(bào)道稱(chēng)，俄羅斯莫爾德維喬中將所在位置被對(duì)方發(fā)現(xiàn)定位，因此遭到精確制導(dǎo)彈藥遠(yuǎn)程襲擊陣亡。另一名車(chē)臣士兵在一輛坦克前發(fā)表自己的感想。他發(fā)布的照片就會(huì)被進(jìn)入大數(shù)據(jù)進(jìn)行分析，最終根據(jù)在線人臉識(shí)別技術(shù)發(fā)現(xiàn)，他就是一個(gè)叫Hussein Mezhidov的車(chē)臣指揮官。

作為世界頭號(hào)網(wǎng)絡(luò)攻擊受害國(guó)，中國(guó)即時(shí)通訊數(shù)據(jù)泄露問(wèn)題不容忽視。除了上文提到了美國(guó)國(guó)家安全部利用量子攻擊平臺(tái)對(duì)世界各國(guó)社交平臺(tái)數(shù)據(jù)進(jìn)行無(wú)差別收集外，近日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布專(zhuān)題研究報(bào)告，同日披露美國(guó)國(guó)家安全局（NSA）下屬的又一款網(wǎng)絡(luò)攻擊武器“酸狐貍”漏洞攻擊武器平臺(tái)（以下簡(jiǎn)稱(chēng)“酸狐貍”平臺(tái)）。該武器平臺(tái)主要用于突破位于受害目標(biāo)辦公內(nèi)網(wǎng)的主機(jī)系統(tǒng)，并植入各類(lèi)木馬、后門(mén)等程序以實(shí)現(xiàn)持久化控制，目前中國(guó)有上百個(gè)重要信息系統(tǒng)被植入木馬。有專(zhuān)家懷疑其為大規(guī)模網(wǎng)絡(luò)戰(zhàn)準(zhǔn)備。

為了保護(hù)國(guó)家發(fā)展的重大成果，政府、金融、高?？蒲性核④姽?、航空航天等受網(wǎng)絡(luò)攻擊威脅最大的行業(yè)應(yīng)該及時(shí)重視即時(shí)通訊領(lǐng)域的數(shù)據(jù)安全，用安全即時(shí)通訊工具來(lái)取代微信、釘釘?shù)绕胀磿r(shí)通訊工具實(shí)現(xiàn)安全辦公。

三．龍笛保障數(shù)據(jù)流轉(zhuǎn)各個(gè)環(huán)節(jié)安全

作為信息安全終端行業(yè)頭部企業(yè)，龍笛認(rèn)為：在數(shù)字時(shí)代，數(shù)據(jù)資產(chǎn)存在著以下幾大風(fēng)險(xiǎn)。

數(shù)據(jù)安全模型
本模型圖片來(lái)自網(wǎng)絡(luò)

1 數(shù)據(jù)收集風(fēng)險(xiǎn)

在數(shù)據(jù)收集環(huán)節(jié)，風(fēng)險(xiǎn)威脅涵蓋保密性威脅、完整性威脅、可用性威脅等。保密性威脅指黑客通過(guò)建立隱蔽隧道，對(duì)信息進(jìn)行各個(gè)維度的分析，竊取有價(jià)信息；完整性威脅指只截取某段元數(shù)據(jù)，數(shù)據(jù)不全；可用性威脅指刻意偽造或篡改數(shù)據(jù)。

2.數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)

數(shù)據(jù)存儲(chǔ)安全性成為企業(yè)數(shù)字化轉(zhuǎn)型運(yùn)營(yíng)中必須關(guān)注的問(wèn)題，一旦出現(xiàn)遺漏面臨的是法律和道德的鞭策。在數(shù)據(jù)存儲(chǔ)環(huán)節(jié)，風(fēng)險(xiǎn)威脅來(lái)自外部因素、內(nèi)部因素、數(shù)據(jù)庫(kù)系統(tǒng)安全等。外部因素包括黑客拖庫(kù)、數(shù)據(jù)庫(kù)后門(mén)、挖礦木馬、數(shù)據(jù)庫(kù)勒索、惡意篡改等。內(nèi)部因素包括內(nèi)部人員竊取、不同利益方對(duì)數(shù)據(jù)的超權(quán)限使用、弱口令配置、離線暴力破解、錯(cuò)誤配置等。

數(shù)據(jù)庫(kù)系統(tǒng)安全包括數(shù)據(jù)庫(kù)軟件漏洞和應(yīng)用程序邏輯漏洞，如：SQL注入、提權(quán)、緩沖區(qū)溢出；存儲(chǔ)設(shè)備丟失等其他情況。傳統(tǒng)式存儲(chǔ)設(shè)備——集中式云存儲(chǔ)主要是使用中心化服務(wù)器來(lái)存儲(chǔ)數(shù)據(jù)與提供存儲(chǔ)服務(wù)，造成安全性低和數(shù)據(jù)隱私泄漏風(fēng)險(xiǎn)。

3 數(shù)據(jù)使用風(fēng)險(xiǎn)

在數(shù)據(jù)使用環(huán)節(jié)，風(fēng)險(xiǎn)威脅來(lái)自于外部因素、內(nèi)部因素、系統(tǒng)安全等。外部因素包括賬戶(hù)劫持、APT攻擊、身份偽裝、認(rèn)證失效、密鑰丟失、漏洞攻擊、木馬注入等。內(nèi)部因素包括內(nèi)部人員、DBA違規(guī)操作竊取、濫用、泄露數(shù)據(jù)等，如：非授權(quán)訪問(wèn)敏感數(shù)據(jù)、非工作時(shí)間、工作場(chǎng)所訪問(wèn)核心業(yè)務(wù)表、高危指令操作；系統(tǒng)安全包括不嚴(yán)格的權(quán)限訪問(wèn)、多源異構(gòu)數(shù)據(jù)集成中隱私泄露等。

作為龍笛花了近十年時(shí)間，投資12.6億元打造的一款以安全即時(shí)通訊為核心功能的戰(zhàn)略級(jí)安全移動(dòng)辦公產(chǎn)品龍笛，目前已為上百萬(wàn)客戶(hù)提供了專(zhuān)業(yè)安全的產(chǎn)品和服務(wù)，行業(yè)覆蓋國(guó)家重要部委機(jī)構(gòu)、軍工、銀行、金融、能源、央企等重要部門(mén)并受到用戶(hù)部門(mén)的一致好評(píng)。其產(chǎn)品和解決方案已廣泛應(yīng)用于多種拓展場(chǎng)景服務(wù)中，包括應(yīng)急指揮系統(tǒng)、軍隊(duì)移動(dòng)辦公、智慧社區(qū)、健康醫(yī)療等眾多行業(yè)領(lǐng)域內(nèi)。

作為一款安全通訊工具，龍笛做到了數(shù)據(jù)資產(chǎn)從時(shí)間和空間上的安全性。從時(shí)間上來(lái)說(shuō)，保障數(shù)據(jù)資產(chǎn)從產(chǎn)生、遷移、流轉(zhuǎn)、直至消亡的全生命周期的安全性；從空間上來(lái)說(shuō)，保障數(shù)據(jù)資產(chǎn)在基礎(chǔ)設(shè)施層、平臺(tái)層以及應(yīng)用層之間流轉(zhuǎn)，不同層次會(huì)有不同顆粒度的防護(hù)需求。

龍笛安全功能

1. 信息采集階段

作為一款去中心化私有云產(chǎn)品，龍笛可以做到不采集數(shù)據(jù)。信息只存儲(chǔ)在信息發(fā)送端和信息接收端，而且信息傳輸?shù)男诺劳ㄟ^(guò)龍笛可以做到全程信息加密。

龍笛提供私有化服務(wù)器部署，讓每一個(gè)政企都能擁有專(zhuān)屬服務(wù)器，規(guī)避云安全風(fēng)險(xiǎn)。避免了信息被第三方人為竊取、泄露的風(fēng)險(xiǎn)。

龍笛服務(wù)器無(wú)后門(mén)，購(gòu)買(mǎi)龍笛服務(wù)器后，只能通過(guò)上門(mén)升級(jí)方式更新版本。因此，減少了數(shù)據(jù)被廠商遠(yuǎn)程采集的風(fēng)險(xiǎn)。

以下龍笛的一些加密特征和封閉社區(qū)的特征更是規(guī)避了信息在產(chǎn)生和傳輸階段的風(fēng)險(xiǎn)：

所有經(jīng)過(guò)“龍笛”平臺(tái)上的記錄都采用密文方式存儲(chǔ)，所有經(jīng)過(guò)龍笛的消息、文件都經(jīng)過(guò)了加密，保證了手機(jī)端、接收端、傳輸端的信息安全，即使信息被不法分子竊取，也無(wú)法解密。

龍笛平臺(tái)有明水印和暗水印。每個(gè)人的通訊錄和聊天記錄窗口都有獨(dú)特的個(gè)人水印，如果發(fā)生手機(jī)截屏或者拍照泄密事件，圖片上有該用戶(hù)的水印信息，方便在信息泄露溯源。以上措施使得使用者不敢泄露信息從而杜絕了信息被非法采集的風(fēng)險(xiǎn)。

龍笛作為一款強(qiáng)大的安全協(xié)同辦公工具，可以完全替代微信、釘釘?shù)绕胀ɑヂ?lián)網(wǎng)協(xié)同辦公軟件，并避免了微信、釘釘?shù)然诠性频募磿r(shí)協(xié)同辦公工具被不法分子用于非法數(shù)據(jù)采集的目的。

2. 數(shù)據(jù)存儲(chǔ)階段

市面上即時(shí)通訊工具大致分為兩類(lèi)，一類(lèi)以公有云存儲(chǔ)為主，用戶(hù)的信息、數(shù)據(jù)存儲(chǔ)在云端服務(wù)器，正是這些互聯(lián)網(wǎng)社交即時(shí)通訊軟件成為了數(shù)據(jù)泄露的源頭，被國(guó)家保密局重點(diǎn)點(diǎn)名。

另一類(lèi)是私有化部署，自設(shè)服務(wù)器，數(shù)據(jù)信息由自己掌控。

龍笛所有權(quán)為用戶(hù)所有，可以以服務(wù)器方式存儲(chǔ)在本單位的機(jī)房，也可以小盒子方式存儲(chǔ)在購(gòu)買(mǎi)者自己的辦公室、家里。參與辦公、聊天的人員通過(guò)購(gòu)買(mǎi)者邀請(qǐng)的方式加入社區(qū)。辦公記錄、社區(qū)里的數(shù)據(jù)除非用戶(hù)自主刪除，所有信息第三方無(wú)法獲取和破解。

在服務(wù)器端，管理員也無(wú)法擅自查看用戶(hù)數(shù)據(jù)信息，實(shí)現(xiàn)保障了數(shù)據(jù)的物理隔離。

3. 數(shù)據(jù)使用階段

依托龍笛基于信息加密防護(hù)算法，保障了龍笛數(shù)據(jù)使用安全。在龍笛上，所有傳輸和存儲(chǔ)的數(shù)據(jù)都進(jìn)行了加密，有效地防止了非授權(quán)登錄、越權(quán)操作法竊取其中的信息，讓用戶(hù)擁有一臺(tái)“安全通訊服務(wù)器”。

龍笛作為國(guó)內(nèi)終端安全管理領(lǐng)域的企業(yè)，是國(guó)內(nèi)網(wǎng)絡(luò)與信息安全領(lǐng)域領(lǐng)先的解決方案提供商。公司自2013年投入大量資金啟動(dòng)研發(fā)了專(zhuān)為黨政軍機(jī)關(guān)和央企金融大行業(yè)單位使用的安全即時(shí)通訊平臺(tái)-龍笛（龍笛），并依托國(guó)家級(jí)科技專(zhuān)項(xiàng)課題成果產(chǎn)業(yè)化，成功服務(wù)于我國(guó)BM行業(yè)、公安系統(tǒng)、軍工行業(yè)、金融行業(yè)、重點(diǎn)央企等，為千萬(wàn)級(jí)高安全行業(yè)用戶(hù)安全、持續(xù)、穩(wěn)定提供了即時(shí)通訊和移動(dòng)辦公服務(wù)，至今無(wú)信息泄露事件。

龍笛與重度依賴(lài)數(shù)據(jù)、需要對(duì)用戶(hù)數(shù)據(jù)進(jìn)行開(kāi)發(fā)利用實(shí)現(xiàn)千人千面、精準(zhǔn)廣告推送的普通互聯(lián)網(wǎng)型辦公協(xié)同軟件不同，真正可以做到數(shù)據(jù)流轉(zhuǎn)各環(huán)節(jié)的數(shù)據(jù)安全。

綜上，龍笛，真正做到了數(shù)據(jù)生產(chǎn)流通使用全過(guò)程的信息安全。這款基于私有化安全通信辦公的龍笛軟件平臺(tái)近十年來(lái)堅(jiān)持安全可控、安全可靠的結(jié)構(gòu)設(shè)計(jì)，規(guī)避各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)，成為了數(shù)字型政府建設(shè)中不可缺少的數(shù)據(jù)安全衛(wèi)士。