龍笛安全專家：數(shù)字政府安全建設應抓住即時通訊安全牛鼻子

國務院關于加強數(shù)字政府建設的指導意見

文件首先確認了十八大以來，網(wǎng)絡強國戰(zhàn)略、大數(shù)據(jù)戰(zhàn)略的重大成果。文件同時指出：數(shù)字政府建設仍然存在一些突出問題——“主要是頂層設計不足，體制機制不夠健全，創(chuàng)新應用能力不強，數(shù)據(jù)壁壘依然存在，網(wǎng)絡安全保障體系還有不少突出短板，干部隊伍數(shù)字意識和數(shù)字素養(yǎng)有待提升，政府治理數(shù)字化水平與國家治理現(xiàn)代化要求還存在較大差距?！?/p>

文件在總體要求里，談到：“堅持安全可控。全面落實總體國家安全觀，堅持促進發(fā)展和依法管理相統(tǒng)一、安全可控和開放創(chuàng)新并重，嚴格落實網(wǎng)絡安全各項法律法規(guī)制度，全面構建制度、管理和技術銜接配套的安全防護體系，切實守住網(wǎng)絡安全底線。”

人民網(wǎng)權威就此評論指出：在推進數(shù)字政府建設過程中，要堅持安全可控，數(shù)字政府基礎設施、產(chǎn)品、服務、數(shù)據(jù)采用自主可控的先進技術、安全可靠的結構設計，規(guī)避各個環(huán)節(jié)的安全風險，增強網(wǎng)絡安全防范意識。

如何保證規(guī)避各個環(huán)節(jié)的安全風險，保證數(shù)字政府建設過程中的數(shù)據(jù)安全可控？在信息安全終端龍頭企業(yè)龍笛看來，就是要抓住信息安全數(shù)據(jù)安全泄露的源頭——即時通訊領域導致的數(shù)據(jù)泄露，抓住這一牛鼻子就抓住了數(shù)據(jù)安全的核心，也就抓住了數(shù)字政府建設過程中的數(shù)據(jù)全流程安全問題。

一．即時通訊已成數(shù)據(jù)泄露的源頭

在數(shù)字化轉型中，即時通訊、在線辦公已經(jīng)成為人們生活中的重要場景。中國互聯(lián)網(wǎng)絡信息中心(CNNIC)發(fā)布第49次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截至2021年12月，我國網(wǎng)民規(guī)模達10.32億，互聯(lián)網(wǎng)普及率達73.0%。在網(wǎng)民中，即時通信用戶使用率分別為97.5%，用戶規(guī)模分別達10.07億，即時通信應用基本實現(xiàn)普及。然而，相關調查數(shù)據(jù)顯示，泄密風險往往在內外部文件傳輸和工作人員的日常溝通過程中產(chǎn)生，使用普通的即時通訊產(chǎn)品會存在極大的安全隱患和泄密風險。

防范微信泄密

國家保密局自2021年起，連續(xù)發(fā)表了《看看這些真實案例，微信辦公一定要注意保密》、《快自查，微信公眾號爆出這些泄密案》等多篇文章，披露微信辦公泄密的典型案例，引發(fā)了全行業(yè)對于微信等普通即時通訊軟件用于辦公的高度警惕和重視。

此外，根據(jù)2022年中國信息通信研究院發(fā)布的《中國信息發(fā)展態(tài)勢報告》。報告指出：在中國網(wǎng)民規(guī)模擴大到十億以上的背景下，數(shù)據(jù)安全、個人信息泄露風險持續(xù)增加，而泄露源頭主要是包括即時通訊在內的各種APP。

在疫情之下，在線移動辦公通訊成為主要工作場景。多人在線協(xié)作辦公，即時通訊作為核心辦公場景在提高使用人員效率的同時，也增加了重要數(shù)據(jù)泄露的風險。近期，國家保密機關通報了近年來發(fā)生的數(shù)起使用某通訊軟件泄密典型案件：泄密方式涉及“違規(guī)使用某通訊軟件傳達涉密信息”，“請示匯報工作的相關文件拍照后用使用某通訊軟件發(fā)送”，“違規(guī)拍攝辦公場所和辦公內容后發(fā)送朋友圈”等。上述各種違規(guī)行為往往相互交織、互為作用，致使涉密信息一再擴散。

除了保密法和《網(wǎng)絡安全法》、《個人信息保護法》等法規(guī)出臺后，使重要涉密數(shù)據(jù)、個人隱私等個人重要數(shù)據(jù)有法可依之外，針對即時通訊軟件滅而不絕的泄密事件，2022年4月份，中國信通院“鑄基計劃”適時啟動了“辦公即時通信軟件安全系列標準”的編制工作，開始對即時通訊行業(yè)進行標準統(tǒng)一和源頭治理。

二．即時通訊數(shù)據(jù)泄露危害國家安全

數(shù)據(jù)安全是國家主權、國家安全的重要組成部分。習總書記指出，數(shù)據(jù)作為新型生產(chǎn)要素，對傳統(tǒng)生產(chǎn)方式變革具有重大影響。習近平總書記強調：“要切實保障國家數(shù)據(jù)安全。要加強關鍵信息基礎設施安全保護，強化國家關鍵數(shù)據(jù)資源保護能力，增強數(shù)據(jù)安全預警和溯源能力。

習總書記談數(shù)字轉型

數(shù)據(jù)安全是數(shù)據(jù)全流程的安全，是數(shù)據(jù)生產(chǎn)、存儲、傳輸、訪問、使用、銷毀、公開等全過程的安全，并保證數(shù)據(jù)處理過程的保密性、完整性、可用性，任何一個環(huán)節(jié)的疏漏都會造成系統(tǒng)性的風險。此外，個人姓名、聯(lián)系方式、車輛登記、社交媒體等個體非實體隱含數(shù)據(jù)的數(shù)據(jù)泄露，也會引發(fā)實時定位等國家公共安全問題。

3月22日，360公司披露了美國國家安全局針對中國境內目標所使用的代表性網(wǎng)絡武器——量子攻擊平臺的技術特點。美國利用這一技術對世界各國訪問美國社交媒體的互聯(lián)網(wǎng)用戶發(fā)起網(wǎng)絡攻擊，中國即時通訊軟件也是其攻擊目標。

信息安全新媒體“安在”近日發(fā)布報告指出，美國國家安全局下屬的接入技術行動處（TAO）持續(xù)對全球互聯(lián)網(wǎng)用戶實施無差別數(shù)據(jù)竊密。對此，外交部發(fā)言人汪文斌稱：“這意味著無論你是誰，無論你在世界的哪個角落，只要你使用網(wǎng)絡社交平臺，背后就都可能有個‘老大’在盯著你?！痹谥袊说氖謾C里，最大的網(wǎng)絡社交平臺是什么？微信、釘釘?shù)绕胀磿r通訊軟件超過10億的全民社交工具具有重大的安全隱患。

量子攻擊平臺

在和平時期，人們似乎對這樣的即時通訊導致的數(shù)據(jù)泄密隱患并不會引起太多重視，但如果反觀俄烏戰(zhàn)爭，即時通訊數(shù)據(jù)泄露可以使得國家關鍵基礎設施奔潰和精準斬首就會讓人不寒而栗。

首先是在俄烏戰(zhàn)爭中，各方通過即時通訊、協(xié)同辦公軟件泄露所收集的地理信息、科研數(shù)據(jù)被用于網(wǎng)絡精準攻擊對象。

其次利用人臉識別技術與即時通訊泄露的數(shù)據(jù)進行比對，對重點個人進行精準斬首行動。在戰(zhàn)爭中，人臉識別等人工智能被用于戰(zhàn)爭。這些技術與即時通訊泄露數(shù)據(jù)也是前后臺的關系。

在前臺，遍布烏克蘭大小街道的攝像頭捕捉到參戰(zhàn)的俄羅斯將士人臉信息。在后臺，烏克蘭利用西方提供的大數(shù)據(jù)平臺進行數(shù)據(jù)比對，對一些關鍵指揮官定進行定點清除。

有報道稱，俄羅斯莫爾德維喬中將所在位置被對方發(fā)現(xiàn)定位，因此遭到精確制導彈藥遠程襲擊陣亡。另一名車臣士兵在一輛坦克前發(fā)表自己的感想。他發(fā)布的照片就會被進入大數(shù)據(jù)進行分析，最終根據(jù)在線人臉識別技術發(fā)現(xiàn)，他就是一個叫Hussein Mezhidov的車臣指揮官。

作為世界頭號網(wǎng)絡攻擊受害國，中國即時通訊數(shù)據(jù)泄露問題不容忽視。除了上文提到了美國國家安全部利用量子攻擊平臺對世界各國社交平臺數(shù)據(jù)進行無差別收集外，近日，國家計算機病毒應急處理中心和360公司分別發(fā)布專題研究報告，同日披露美國國家安全局（NSA）下屬的又一款網(wǎng)絡攻擊武器“酸狐貍”漏洞攻擊武器平臺（以下簡稱“酸狐貍”平臺）。該武器平臺主要用于突破位于受害目標辦公內網(wǎng)的主機系統(tǒng)，并植入各類木馬、后門等程序以實現(xiàn)持久化控制，目前中國有上百個重要信息系統(tǒng)被植入木馬。有專家懷疑其為大規(guī)模網(wǎng)絡戰(zhàn)準備。

為了保護國家發(fā)展的重大成果，政府、金融、高?？蒲性核?、軍工、航空航天等受網(wǎng)絡攻擊威脅最大的行業(yè)應該及時重視即時通訊領域的數(shù)據(jù)安全，用安全即時通訊工具來取代微信、釘釘?shù)绕胀磿r通訊工具實現(xiàn)安全辦公。

三．龍笛保障數(shù)據(jù)流轉各個環(huán)節(jié)安全

作為信息安全終端行業(yè)頭部企業(yè)，龍笛認為：在數(shù)字時代，數(shù)據(jù)資產(chǎn)存在著以下幾大風險。

數(shù)據(jù)安全模型
本模型圖片來自網(wǎng)絡

1 數(shù)據(jù)收集風險

在數(shù)據(jù)收集環(huán)節(jié)，風險威脅涵蓋保密性威脅、完整性威脅、可用性威脅等。保密性威脅指黑客通過建立隱蔽隧道，對信息進行各個維度的分析，竊取有價信息；完整性威脅指只截取某段元數(shù)據(jù)，數(shù)據(jù)不全；可用性威脅指刻意偽造或篡改數(shù)據(jù)。

2.數(shù)據(jù)存儲風險

數(shù)據(jù)存儲安全性成為企業(yè)數(shù)字化轉型運營中必須關注的問題，一旦出現(xiàn)遺漏面臨的是法律和道德的鞭策。在數(shù)據(jù)存儲環(huán)節(jié)，風險威脅來自外部因素、內部因素、數(shù)據(jù)庫系統(tǒng)安全等。外部因素包括黑客拖庫、數(shù)據(jù)庫后門、挖礦木馬、數(shù)據(jù)庫勒索、惡意篡改等。內部因素包括內部人員竊取、不同利益方對數(shù)據(jù)的超權限使用、弱口令配置、離線暴力破解、錯誤配置等。

數(shù)據(jù)庫系統(tǒng)安全包括數(shù)據(jù)庫軟件漏洞和應用程序邏輯漏洞，如：SQL注入、提權、緩沖區(qū)溢出；存儲設備丟失等其他情況。傳統(tǒng)式存儲設備——集中式云存儲主要是使用中心化服務器來存儲數(shù)據(jù)與提供存儲服務，造成安全性低和數(shù)據(jù)隱私泄漏風險。

3 數(shù)據(jù)使用風險

在數(shù)據(jù)使用環(huán)節(jié)，風險威脅來自于外部因素、內部因素、系統(tǒng)安全等。外部因素包括賬戶劫持、APT攻擊、身份偽裝、認證失效、密鑰丟失、漏洞攻擊、木馬注入等。內部因素包括內部人員、DBA違規(guī)操作竊取、濫用、泄露數(shù)據(jù)等，如：非授權訪問敏感數(shù)據(jù)、非工作時間、工作場所訪問核心業(yè)務表、高危指令操作；系統(tǒng)安全包括不嚴格的權限訪問、多源異構數(shù)據(jù)集成中隱私泄露等。

作為龍笛花了近十年時間，投資12.6億元打造的一款以安全即時通訊為核心功能的戰(zhàn)略級安全移動辦公產(chǎn)品龍笛，目前已為上百萬客戶提供了專業(yè)安全的產(chǎn)品和服務，行業(yè)覆蓋國家重要部委機構、軍工、銀行、金融、能源、央企等重要部門并受到用戶部門的一致好評。其產(chǎn)品和解決方案已廣泛應用于多種拓展場景服務中，包括應急指揮系統(tǒng)、軍隊移動辦公、智慧社區(qū)、健康醫(yī)療等眾多行業(yè)領域內。

作為一款安全通訊工具，龍笛做到了數(shù)據(jù)資產(chǎn)從時間和空間上的安全性。從時間上來說，保障數(shù)據(jù)資產(chǎn)從產(chǎn)生、遷移、流轉、直至消亡的全生命周期的安全性；從空間上來說，保障數(shù)據(jù)資產(chǎn)在基礎設施層、平臺層以及應用層之間流轉，不同層次會有不同顆粒度的防護需求。

龍笛安全功能

1. 信息采集階段

作為一款去中心化私有云產(chǎn)品，龍笛可以做到不采集數(shù)據(jù)。信息只存儲在信息發(fā)送端和信息接收端，而且信息傳輸?shù)男诺劳ㄟ^龍笛可以做到全程信息加密。

龍笛提供私有化服務器部署，讓每一個政企都能擁有專屬服務器，規(guī)避云安全風險。避免了信息被第三方人為竊取、泄露的風險。

龍笛服務器無后門，購買龍笛服務器后，只能通過上門升級方式更新版本。因此，減少了數(shù)據(jù)被廠商遠程采集的風險。

以下龍笛的一些加密特征和封閉社區(qū)的特征更是規(guī)避了信息在產(chǎn)生和傳輸階段的風險：

所有經(jīng)過“龍笛”平臺上的記錄都采用密文方式存儲，所有經(jīng)過龍笛的消息、文件都經(jīng)過了加密，保證了手機端、接收端、傳輸端的信息安全，即使信息被不法分子竊取，也無法解密。

龍笛平臺有明水印和暗水印。每個人的通訊錄和聊天記錄窗口都有獨特的個人水印，如果發(fā)生手機截屏或者拍照泄密事件，圖片上有該用戶的水印信息，方便在信息泄露溯源。以上措施使得使用者不敢泄露信息從而杜絕了信息被非法采集的風險。

龍笛作為一款強大的安全協(xié)同辦公工具，可以完全替代微信、釘釘?shù)绕胀ɑヂ?lián)網(wǎng)協(xié)同辦公軟件，并避免了微信、釘釘?shù)然诠性频募磿r協(xié)同辦公工具被不法分子用于非法數(shù)據(jù)采集的目的。

2. 數(shù)據(jù)存儲階段

市面上即時通訊工具大致分為兩類，一類以公有云存儲為主，用戶的信息、數(shù)據(jù)存儲在云端服務器，正是這些互聯(lián)網(wǎng)社交即時通訊軟件成為了數(shù)據(jù)泄露的源頭，被國家保密局重點點名。

另一類是私有化部署，自設服務器，數(shù)據(jù)信息由自己掌控。

龍笛所有權為用戶所有，可以以服務器方式存儲在本單位的機房，也可以小盒子方式存儲在購買者自己的辦公室、家里。參與辦公、聊天的人員通過購買者邀請的方式加入社區(qū)。辦公記錄、社區(qū)里的數(shù)據(jù)除非用戶自主刪除，所有信息第三方無法獲取和破解。

在服務器端，管理員也無法擅自查看用戶數(shù)據(jù)信息，實現(xiàn)保障了數(shù)據(jù)的物理隔離。

3. 數(shù)據(jù)使用階段

依托龍笛基于信息加密防護算法，保障了龍笛數(shù)據(jù)使用安全。在龍笛上，所有傳輸和存儲的數(shù)據(jù)都進行了加密，有效地防止了非授權登錄、越權操作法竊取其中的信息，讓用戶擁有一臺“安全通訊服務器”。

龍笛作為國內終端安全管理領域的企業(yè)，是國內網(wǎng)絡與信息安全領域領先的解決方案提供商。公司自2013年投入大量資金啟動研發(fā)了專為黨政軍機關和央企金融大行業(yè)單位使用的安全即時通訊平臺-龍笛（龍笛），并依托國家級科技專項課題成果產(chǎn)業(yè)化，成功服務于我國BM行業(yè)、公安系統(tǒng)、軍工行業(yè)、金融行業(yè)、重點央企等，為千萬級高安全行業(yè)用戶安全、持續(xù)、穩(wěn)定提供了即時通訊和移動辦公服務，至今無信息泄露事件。

龍笛與重度依賴數(shù)據(jù)、需要對用戶數(shù)據(jù)進行開發(fā)利用實現(xiàn)千人千面、精準廣告推送的普通互聯(lián)網(wǎng)型辦公協(xié)同軟件不同，真正可以做到數(shù)據(jù)流轉各環(huán)節(jié)的數(shù)據(jù)安全。

綜上，龍笛，真正做到了數(shù)據(jù)生產(chǎn)流通使用全過程的信息安全。這款基于私有化安全通信辦公的龍笛軟件平臺近十年來堅持安全可控、安全可靠的結構設計，規(guī)避各個環(huán)節(jié)的安全風險，成為了數(shù)字型政府建設中不可缺少的數(shù)據(jù)安全衛(wèi)士。