龍笛安全專家：即時通訊已成重要泄密場景，守護協(xié)會學會數(shù)據(jù)安全“堤壩”

。

即時通訊工具

一．即時通訊已成重要涉密場景

據(jù)研究顯示，即時通訊在網(wǎng)民中的高滲透率和高黏性，令其成為惡意攻擊主要的傳播渠道。收到垃圾消息是即時通訊用戶最常遇到的安全問題，其次是病毒或有害文件。另外，網(wǎng)絡調(diào)查顯示，有兩成用戶表示曾遭遇網(wǎng)絡詐騙。而沒有遇到過任何安全問題的用戶比例不到10%，反映出即時通訊的安全形勢不容樂觀。

疫情之下，居家辦公場景增多，即時通訊作為移動辦公中最為集中的應用場景，更加受到黑客的注目。以即時通訊為媒介的網(wǎng)絡釣魚等社會工程學攻擊通過手機侵入公司內(nèi)網(wǎng)竊取數(shù)據(jù)逐漸成為企業(yè)安全、國家安全中的軟肋和安全木桶中最短的一根木板，一旦泄露，就給政府、國企央企、高?？蒲袡C構造成嚴重的數(shù)據(jù)泄露威脅。

社會工程學是一種利用人的心理弱點，主要體現(xiàn)為詐騙和虛假信息的攻擊手段。即時通訊作為溝通工具，用戶在與好友聊天過程中的低戒備性，更為惡意攻擊創(chuàng)造了條件。由于社會工程學攻擊的手段隱蔽，因而難以防范，危害巨大。

2022年攻防演練中，龍笛參與了國家多部委組織的即時通訊關鍵信息基礎設施安全保障工作。在這一過程中，更加深刻地意識到：信息安全問題不單是技術問題，更是一個管理問題。管理學中的木桶原理同樣適用于數(shù)據(jù)安全。黑客一般會選擇什么樣的目標進行攻擊？毫無疑問，是具有數(shù)據(jù)價值的核心節(jié)點。特別是薄弱的容易攻擊的節(jié)點。這也不難理解為什么國家網(wǎng)絡部門歷次發(fā)布的網(wǎng)絡安全報告中，政府、國防、科研、金融、交通等部門往往是排名前五的攻擊對象，因為一旦攻破，這些重要數(shù)據(jù)就會作為重要情報進入國際黑市，給一國造成嚴重的安全問題。

隨著中國新基建的逐步完成，一些政府和一些國企央企的安全保障能力也得以提高，但仍然存在一些掌握重要數(shù)據(jù)的節(jié)點單位和一些數(shù)據(jù)安全泄露隱患較為集中的場景，協(xié)會學會就是這樣一些數(shù)據(jù)安全隱患較大，但并未引起重視的單位。

在官方的解釋中，協(xié)會也指由個人、單個組織為達到某種目標，通過簽署協(xié)議，自愿組成的團體或組織。學會的根本任務是科研、學術交流，促進學科發(fā)展，發(fā)現(xiàn)、培養(yǎng)、推薦人才，促進科技成果轉化，代表科技工作者與政府溝通，反映科技工作者心聲，維護科技工作者權益。

這樣一種松散聯(lián)合的方式，使得協(xié)會、學會部門很難采取正式管理會員的方式，使得協(xié)會日常管理存在安全隱患。協(xié)會、學會由于沒有固定的收入來源，只收會費等方式維持自己日常開支，使得協(xié)會學會無暇顧及數(shù)據(jù)安全問題，在數(shù)字化時代和疫情之下，面對面溝通逐漸被不見面溝通的移動辦公所取代，隨之而來的數(shù)據(jù)安全問題更加嚴重。

然而，協(xié)會、學會作為一種聯(lián)合體和指導部門，匯集的大量有價值數(shù)據(jù)一直不因協(xié)會學會松散合作的屬性而有任何降低。協(xié)會學會匯聚了各行業(yè)、能反映企業(yè)經(jīng)營指標、能力的數(shù)據(jù)，這些數(shù)據(jù)可能還沒被加工，包裝發(fā)送到統(tǒng)計部門，可以說是最原汁原味的元數(shù)據(jù)。這些數(shù)據(jù)集中反映了一個領域、一個行業(yè)最真實的狀態(tài)，誰掌握了這些數(shù)據(jù)，誰就掌握了這個行業(yè)的密碼。此外，一個協(xié)會、學會往往掌握著幾百萬條會員個人數(shù)據(jù)。在個人數(shù)據(jù)越來越有價值的今天，甚至美國、日本等發(fā)達國家，協(xié)會、學會的數(shù)據(jù)安全事件歷年屢有發(fā)生。

2019年9月19日，某局辦公室工作人員齊某到市委發(fā)文室領取1份涉密文件，回單位后按程序進行辦理。該局負責同志作出批示，要求交給該市3個協(xié)會的辦公室主任閱知。因上述協(xié)會駐外辦公，齊某擅自用手機拍攝文件，通過微信發(fā)送給市私營企業(yè)協(xié)會辦公室主任黃某、消費者協(xié)會辦公室主任王某，電話通知個體勞動者協(xié)會辦公室主任徐某到黃某處閱知此文件（徐某未注冊微信，與黃某在同一地點辦公）。9月20日，黃某為及時傳達文件精神，按工作慣例直接將齊某發(fā)來的涉案文件圖片，轉發(fā)至其所在協(xié)會工作群，造成泄密。案件發(fā)生后，有關部門給予齊某、黃某黨內(nèi)警告處分，將齊某調(diào)離文書崗位。

近年來，國家保密局盡管屢次三令五申禁止微信等普通即時通訊工具用于涉密辦公，但相關案件還是時有發(fā)生。在當前復雜的國內(nèi)國際形勢下，安全即時通訊安全不容忽視。

切莫將微信用于涉密辦公

二 龍笛成為關鍵信息基礎設施即時通訊安全底座

龍笛為此建議：包括協(xié)會學會在內(nèi)的國家重點單位安全即時通訊設施建設應從六個方面考慮:

第一，支持私有化信創(chuàng)環(huán)境部署，獨立的私有服務器、數(shù)據(jù)自主可控敏感信息內(nèi)部傳遞，支持跨單位、跨組織、跨地域同時使用；

第二，國密級黨政軍會議系統(tǒng)，系統(tǒng)需支持音頻會議內(nèi)容全程加密符合國密算法，主持人管控參會權限，杜絕外部接入；

第三，安全獨立的國密通訊系統(tǒng)，做到通訊記錄本地存儲，不存外網(wǎng)服務器，通訊信息三端加密，充分保障各類信息安全；

第四，符合國家保密相關要求，安全產(chǎn)品應符合國家BM相關要求，具備國家級成功應用示范案例；

第五，具備卓越的用戶體驗和主流使用習慣等，利于工作人員使用和大面積推廣；

第六，能夠作為本單位統(tǒng)一的入口，匯聚工作中現(xiàn)有的應用和軟件，高可拓展性實現(xiàn)統(tǒng)一管理，降低風險。

龍笛

龍笛是信息安全終端龍頭企業(yè),根據(jù)國家重點部門即時通訊問題提出的一套完整解決方案,經(jīng)過近10年的發(fā)展和成百上千個重點單位的部署實踐,已經(jīng)形成自己獨有的安全即時通訊產(chǎn)品。在歷年的國家關鍵信息基礎設施“攻防演練”中,龍笛產(chǎn)品及其維護團隊發(fā)揮了重要的作用。龍笛提供的龍笛具有以下特點：

1、安全信創(chuàng)產(chǎn)品,可作為關鍵信息基礎設施安全底座

近年來,龍笛在潛心技術研發(fā)下,相繼推出包含政府信創(chuàng)安全解決方案在內(nèi)的一系列方法舉措,與產(chǎn)業(yè)上下游形成了信創(chuàng)生態(tài)系統(tǒng)。

2、全流程、全方位方式關鍵基礎信息設施數(shù)據(jù)泄露

即時通訊領域的安全是系統(tǒng)的安全和全流程的安全。數(shù)據(jù)在即時通訊的接收端(客戶端)、發(fā)送端、傳輸渠道和轉發(fā)服務器端都有數(shù)據(jù)泄露的可能。而根據(jù)現(xiàn)代網(wǎng)絡安全的觀點,任何一個薄弱環(huán)節(jié)都是“最短的木桶”,一旦被攻破或者竊取,都會造成系統(tǒng)性的安全問題。

龍笛采用服務端、傳輸SSL加密和客戶端三端加密,以及通訊、存儲、訪問、使用、管理模式五維防護的全方位安全架構體系,讓用戶再也不用擔心信息泄密、被竊取等問題。而且即使手機遺失,數(shù)據(jù)也不能解開。

此外,為滿足政企用戶更高效、更安全的使用需求,龍笛還設置了多種特色安全功能,簡便易上手操作,包括敏感詞設置、單次閱讀、禁止復制、禁止截屏、文檔溯源等,實現(xiàn)群內(nèi)密聊、群消息閱后即焚、群內(nèi)禁止截屏、消息及文件圖片控制等,支持5000人超級群、音視頻會議等,能夠基于政企用戶的工作流程實現(xiàn)各種業(yè)務場景信息化,并提供豐富的協(xié)同管理和報表功能。

即時通訊做到了數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)存儲、數(shù)據(jù)銷毀全流程的數(shù)據(jù)安全。

在歷年的攻防演練中,龍笛及其維護團隊以期安全的品質(zhì)和精心的服務滿足了高安全需求網(wǎng)絡、黨政網(wǎng)絡、隱私/工作秘密網(wǎng)絡需求,成功服務了國家部委、軍工、部隊、科研院校、大型央企、金融機構等重要單位,被相關單位選為“指定即時通訊軟件”,已成為國家重要單位、重點工程優(yōu)選的即時通訊平臺和基座,裝機量達萬臺,保障了國家關鍵信息基礎設施的即時通訊安全,移動辦公安全。