Home / การส่งข้อความโต้ตอบแบบทันที Dragon Flute / 龙笛特色 / 龙笛安全专家:即时通讯已成重要泄密场景,守护协会学会数据安全“堤坝”

龙笛安全专家:即时通讯已成重要泄密场景,守护协会学会数据安全“堤坝”

即时通讯作为国民基础应用之一,它的即时通讯功能和丰富的生态功能满足了人们在互联网时代语音、文字、视频多媒体沟通,这一功能应用渗透于用户的工作、学习、生活等点滴中,便利了人们生活,也同时带来了严重的数据泄露问题。在2022年攻防演练中,信息安全终端安全龙头企业龙笛参与了多项即时通讯关键信息基础设施的安全保障工作,在多年的攻防演练中,龙笛清晰地认识到:安全问题不是简单的技术问题,而是一个管理问题。在管理学中适用的木桶原理同样适合于数据安全领域。在国家安全中,哪个环节的管理最薄弱,数据价值最集中,就最容易受到黑客的网络攻击。综合对比,龙笛认为,2022年,中国数据安全薄弱的环节之一是协会学会的即时通讯安全。守护协会学会的即时通讯数据安全,就是守护国家数据安全堤坝

即时通讯工具

一.即时通讯已成重要涉密场景

据研究显示,即时通讯在网民中的高渗透率和高黏性,令其成为恶意攻击主要的传播渠道。收到垃圾消息是即时通讯用户最常遇到的安全问题,其次是病毒或有害文件。另外,网络调查显示,有两成用户表示曾遭遇网络诈骗。而没有遇到过任何安全问题的用户比例不到10%,反映出即时通讯的安全形势不容乐观。

疫情之下,居家办公场景增多,即时通讯作为移动办公中最为集中的应用场景,更加受到黑客的注目。以即时通讯为媒介的网络钓鱼等社会工程学攻击通过手机侵入公司内网窃取数据逐渐成为企业安全、国家安全中的软肋和安全木桶中最短的一根木板,一旦泄露,就给政府、国企央企、高校科研机构造成严重的数据泄露威胁。

社会工程学是一种利用人的心理弱点,主要体现为诈骗和虚假信息的攻击手段。即时通讯作为沟通工具,用户在与好友聊天过程中的低戒备性,更为恶意攻击创造了条件。由于社会工程学攻击的手段隐蔽,因而难以防范,危害巨大。

2022年攻防演练中,龙笛参与了国家多部委组织的即时通讯关键信息基础设施安全保障工作。在这一过程中,更加深刻地意识到:信息安全问题不单是技术问题,更是一个管理问题。管理学中的木桶原理同样适用于数据安全。黑客一般会选择什么样的目标进行攻击?毫无疑问,是具有数据价值的核心节点。特别是薄弱的容易攻击的节点。这也不难理解为什么国家网络部门历次发布的网络安全报告中,政府、国防、科研、金融、交通等部门往往是排名前五的攻击对象,因为一旦攻破,这些重要数据就会作为重要情报进入国际黑市,给一国造成严重的安全问题。

随着中国新基建的逐步完成,一些政府和一些国企央企的安全保障能力也得以提高,但仍然存在一些掌握重要数据的节点单位和一些数据安全泄露隐患较为集中的场景,协会学会就是这样一些数据安全隐患较大,但并未引起重视的单位。

在官方的解释中,协会也指由个人、单个组织为达到某种目标,通过签署协议,自愿组成的团体或组织。学会的根本任务是科研、学术交流,促进学科发展,发现、培养、推荐人才,促进科技成果转化,代表科技工作者与政府沟通,反映科技工作者心声,维护科技工作者权益。

这样一种松散联合的方式,使得协会、学会部门很难采取正式管理会员的方式,使得协会日常管理存在安全隐患。协会、学会由于没有固定的收入来源,只收会费等方式维持自己日常开支,使得协会学会无暇顾及数据安全问题,在数字化时代和疫情之下,面对面沟通逐渐被不见面沟通的移动办公所取代,随之而来的数据安全问题更加严重。

然而,协会、学会作为一种联合体和指导部门,汇集的大量有价值数据一直不因协会学会松散合作的属性而有任何降低。协会学会汇聚了各行业、能反映企业经营指标、能力的数据,这些数据可能还没被加工,包装发送到统计部门,可以说是最原汁原味的元数据。这些数据集中反映了一个领域、一个行业最真实的状态,谁掌握了这些数据,谁就掌握了这个行业的密码。此外,一个协会、学会往往掌握着几百万条会员个人数据。在个人数据越来越有价值的今天,甚至美国、日本等发达国家,协会、学会的数据安全事件历年屡有发生。

2019年9月19日,某局办公室工作人员齐某到市委发文室领取1份涉密文件,回单位后按程序进行办理。该局负责同志作出批示,要求交给该市3个协会的办公室主任阅知。因上述协会驻外办公,齐某擅自用手机拍摄文件,通过微信发送给市私营企业协会办公室主任黄某、消费者协会办公室主任王某,电话通知个体劳动者协会办公室主任徐某到黄某处阅知此文件(徐某未注册微信,与黄某在同一地点办公)。9月20日,黄某为及时传达文件精神,按工作惯例直接将齐某发来的涉案文件图片,转发至其所在协会工作群,造成泄密。案件发生后,有关部门给予齐某、黄某党内警告处分,将齐某调离文书岗位。

近年来,国家保密局尽管屡次三令五申禁止微信等普通即时通讯工具用于涉密办公,但相关案件还是时有发生。在当前复杂的国内国际形势下,安全即时通讯安全不容忽视。

切莫将微信用于涉密办公

二 龙笛成为关键信息基础设施即时通讯安全底座

龙笛为此建议:包括协会学会在内的国家重点单位安全即时通讯设施建设应从六个方面考虑:

第一,支持私有化信创环境部署,独立的私有服务器、数据自主可控敏感信息内部传递,支持跨单位、跨组织、跨地域同时使用;

第二,国密级党政军会议系统,系统需支持音频会议内容全程加密符合国密算法,主持人管控参会权限,杜绝外部接入;

第三,安全独立的国密通讯系统,做到通讯记录本地存储,不存外网服务器,通讯信息三端加密,充分保障各类信息安全;

第四,符合国家保密相关要求,安全产品应符合国家BM相关要求,具备国家级成功应用示范案例;

第五,具备卓越的用户体验和主流使用习惯等,利于工作人员使用和大面积推广;

第六,能够作为本单位统一的入口,汇聚工作中现有的应用和软件,高可拓展性实现统一管理,降低风险。

龙笛

龙笛是信息安全终端龙头企业,根据国家重点部门即时通讯问题提出的一套完整解决方案,经过近10年的发展和成百上千个重点单位的部署实践,已经形成自己独有的安全即时通讯产品。在历年的国家关键信息基础设施“攻防演练”中,龙笛产品及其维护团队发挥了重要的作用。龙笛提供的龙笛具有以下特点:

1、安全信创产品,可作为关键信息基础设施安全底座

近年来,龙笛在潜心技术研发下,相继推出包含政府信创安全解决方案在内的一系列方法举措,与产业上下游形成了信创生态系统。

2、全流程、全方位方式关键基础信息设施数据泄露

即时通讯领域的安全是系统的安全和全流程的安全。数据在即时通讯的接收端(客户端)、发送端、传输渠道和转发服务器端都有数据泄露的可能。而根据现代网络安全的观点,任何一个薄弱环节都是“最短的木桶”,一旦被攻破或者窃取,都会造成系统性的安全问题。

龙笛采用服务端、传输SSL加密和客户端三端加密,以及通讯、存储、访问、使用、管理模式五维防护的全方位安全架构体系,让用户再也不用担心信息泄密、被窃取等问题。而且即使手机遗失,数据也不能解开。

此外,为满足政企用户更高效、更安全的使用需求,龙笛还设置了多种特色安全功能,简便易上手操作,包括敏感词设置、单次阅读、禁止复制、禁止截屏、文档溯源等,实现群内密聊、群消息阅后即焚、群内禁止截屏、消息及文件图片控制等,支持5000人超级群、音视频会议等,能够基于政企用户的工作流程实现各种业务场景信息化,并提供丰富的协同管理和报表功能。

即时通讯做到了数据采集、数据分析、数据存储、数据销毁全流程的数据安全。

在历年的攻防演练中,龙笛及其维护团队以期安全的品质和精心的服务满足了高安全需求网络、党政网络、隐私/工作秘密网络需求,成功服务了国家部委、军工、部队、科研院校、大型央企、金融机构等重要单位,被相关单位选为“指定即时通讯软件”,已成为国家重要单位、重点工程优选的即时通讯平台和基座,装机量达万台,保障了国家关键信息基础设施的即时通讯安全,移动办公安全。