近期,國務(wù)院發(fā)布《國務(wù)院關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》���,為新一輪數(shù)字政府建設(shè)指明了方向��。在文件正文�,重點(diǎn)談到了數(shù)字政府建設(shè)過程中的安全可控問題��,人民網(wǎng)對(duì)此發(fā)文作了權(quán)威評(píng)論��,指出要采用自主可控的先進(jìn)技術(shù)��、安全可靠的結(jié)構(gòu)設(shè)計(jì)����,規(guī)避各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)。
一
文件首先確認(rèn)了十八大以來�����,網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略�����、大數(shù)據(jù)戰(zhàn)略的重大成果��。文件同時(shí)指出:數(shù)字政府建設(shè)仍然存在一些突出問題——“主要是頂層設(shè)計(jì)不足����,體制機(jī)制不夠健全,創(chuàng)新應(yīng)用能力不強(qiáng)�,數(shù)據(jù)壁壘依然存在,網(wǎng)絡(luò)安全保障體系還有不少突出短板��,干部隊(duì)伍數(shù)字意識(shí)和數(shù)字素養(yǎng)有待提升���,政府治理數(shù)字化水平與國家治理現(xiàn)代化要求還存在較大差距�?!?/p>
二
文件在總體要求里談到:“堅(jiān)持安全可控。全面落實(shí)總體國家安全觀�,堅(jiān)持促進(jìn)發(fā)展和依法管理相統(tǒng)一、安全可控和開放創(chuàng)新并重�����,嚴(yán)格落實(shí)網(wǎng)絡(luò)安全各項(xiàng)法律法規(guī)制度���,全面構(gòu)建制度�����、管理和技術(shù)銜接配套的安全防護(hù)體系�,切實(shí)守住網(wǎng)絡(luò)安全底線?!?/p>
人民網(wǎng)就此評(píng)論指出:在推進(jìn)數(shù)字政府建設(shè)過程中,要堅(jiān)持安全可控��,數(shù)字政府基礎(chǔ)設(shè)施�、產(chǎn)品、服務(wù)����、數(shù)據(jù)采用自主可控的先進(jìn)技術(shù)、安全可靠的結(jié)構(gòu)設(shè)計(jì)���,規(guī)避各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)�,增強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)���。
如何保證規(guī)避各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)��,保證數(shù)字政府建設(shè)過程中的數(shù)據(jù)安全可控���?在信息安全終端龍頭企業(yè)北信源看來,就是要抓住信息安全數(shù)據(jù)安全泄露的源頭——即時(shí)通訊領(lǐng)域?qū)е碌臄?shù)據(jù)泄露��,抓住這一牛鼻子就抓住了數(shù)據(jù)安全的核心����,也就抓住了數(shù)字政府建設(shè)過程中的數(shù)據(jù)全流程安全問題。
即時(shí)通訊已成數(shù)據(jù)泄露源頭
在數(shù)字化轉(zhuǎn)型過程中�,即時(shí)通訊、在線辦公已經(jīng)成為人們生活中的重要場(chǎng)景�����。中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的第49次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示����,截至2021年12月,我國網(wǎng)民規(guī)模達(dá)10.32億�,互聯(lián)網(wǎng)普及率達(dá)73.0%。在網(wǎng)民中���,即時(shí)通信用戶使用率分別為97.5%��,用戶規(guī)模分別達(dá)10.07億����,即時(shí)通信應(yīng)用基本實(shí)現(xiàn)普及。然而���,相關(guān)調(diào)查數(shù)據(jù)顯示����,泄密風(fēng)險(xiǎn)往往在內(nèi)外部文件傳輸和工作人員的日常溝通過程中產(chǎn)生�,使用普通的即時(shí)通訊產(chǎn)品會(huì)存在極大的安全隱患和泄密風(fēng)險(xiǎn)。
國家保密局自2021年起�,連續(xù)發(fā)表了《看看這些真實(shí)案例,微信辦公一定要注意保密》《快自查�����,微信公眾號(hào)爆出這些泄密案》等多篇文章�����,披露微信辦公泄密的典型案例�,引發(fā)了全行業(yè)對(duì)于微信等普通即時(shí)通訊軟件用于辦公的高度警惕和重視。
此外���,2022年中國信息通信研究院發(fā)布的《中國信息發(fā)展態(tài)勢(shì)報(bào)告》指出:在中國網(wǎng)民規(guī)模擴(kuò)大到十億以上的背景下�����,數(shù)據(jù)安全��、個(gè)人信息泄露風(fēng)險(xiǎn)持續(xù)增加����,而泄露源頭主要是包括即時(shí)通訊在內(nèi)的各種APP�。
疫情之下,在線移動(dòng)辦公通訊成為主要工作場(chǎng)景���。多人在線協(xié)作辦公�,即時(shí)通訊作為核心辦公場(chǎng)景����,這在提高使用人員效率的同時(shí),也增加了重要數(shù)據(jù)泄露的風(fēng)險(xiǎn)���。近期�����,國家保密機(jī)關(guān)通報(bào)了近年來發(fā)生的數(shù)起使用某通訊軟件泄密典型案件:泄密方式涉及“違規(guī)使用某通訊軟件傳達(dá)涉密信息”����,“請(qǐng)示匯報(bào)工作的相關(guān)文件拍照后用使用某通訊軟件發(fā)送”,“違規(guī)拍攝辦公場(chǎng)所和辦公內(nèi)容后發(fā)送朋友圈”等���。上述各種違規(guī)行為往往相互交織�、互為作用���,致使涉密信息一再擴(kuò)散���。
除《保密法》《網(wǎng)絡(luò)安全法》及《個(gè)人信息保護(hù)法》等法規(guī)出臺(tái)后,使重要涉密數(shù)據(jù)�����、個(gè)人隱私等個(gè)人重要數(shù)據(jù)有法可依之外�����,中國信通院“鑄基計(jì)劃”針對(duì)即時(shí)通訊軟件滅而不絕的泄密事件��,于2022年4月份���,適時(shí)啟動(dòng)了“辦公即時(shí)通信軟件安全系列標(biāo)準(zhǔn)”的編制工作���,開始對(duì)即時(shí)通訊行業(yè)進(jìn)行標(biāo)準(zhǔn)統(tǒng)一和源頭治理�。
即時(shí)通訊數(shù)據(jù)泄露危害國家安全
數(shù)據(jù)安全是國家主權(quán)����、國家安全的重要組成部分����。數(shù)據(jù)作為新型生產(chǎn)要素,對(duì)傳統(tǒng)生產(chǎn)方式變革具有重大影響����。習(xí)總書記強(qiáng)調(diào):“要切實(shí)保障國家數(shù)據(jù)安全。要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)�,強(qiáng)化國家關(guān)鍵數(shù)據(jù)資源保護(hù)能力,增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力��?����!?/span>
數(shù)據(jù)安全是數(shù)據(jù)全流程的安全,是數(shù)據(jù)生產(chǎn)��、存儲(chǔ)��、傳輸�、訪問、使用���、銷毀�����、公開等全過程的安全�,并保證數(shù)據(jù)處理過程的保密性����、完整性、可用性�,任何一個(gè)環(huán)節(jié)的疏漏都會(huì)造成系統(tǒng)性的風(fēng)險(xiǎn)。此外����,個(gè)人姓名���、聯(lián)系方式、車輛登記�����、社交媒體等個(gè)體非實(shí)體隱含數(shù)據(jù)的數(shù)據(jù)泄露���,也會(huì)引發(fā)實(shí)時(shí)定位等國家公共安全問題�。
3月22日�,360公司披露了美國國家安全局針對(duì)中國境內(nèi)目標(biāo)所使用的代表性網(wǎng)絡(luò)武器——量子攻擊平臺(tái)的技術(shù)特點(diǎn)。美國利用這一技術(shù)對(duì)世界各國訪問美國社交媒體的互聯(lián)網(wǎng)用戶發(fā)起網(wǎng)絡(luò)攻擊�,中國即時(shí)通訊軟件也是其攻擊目標(biāo)��。
信息安全新媒體“安在”近日發(fā)布報(bào)告指出���,美國國家安全局下屬的接入技術(shù)行動(dòng)處(TAO)持續(xù)對(duì)全球互聯(lián)網(wǎng)用戶實(shí)施無差別數(shù)據(jù)竊密��。對(duì)此����,外交部發(fā)言人汪文斌稱:“這意味著無論你是誰��,無論你在世界的哪個(gè)角落,只要你使用網(wǎng)絡(luò)社交平臺(tái)���,背后就都可能有個(gè)‘老大’在盯著你�����?����!?/p>
在中國人的手機(jī)里���,最大的網(wǎng)絡(luò)社交平臺(tái)是什么?是微信�、釘釘?shù)绕胀磿r(shí)通訊軟件。超過10億的全民社交工具具有重大的安全隱患�����。
在和平時(shí)期����,人們似乎對(duì)這樣的即時(shí)通訊導(dǎo)致的數(shù)據(jù)泄密隱患并不會(huì)引起太多重視,但如果反觀俄烏戰(zhàn)爭,我們可以了解到�����,即時(shí)通訊數(shù)據(jù)泄露可導(dǎo)致國家關(guān)鍵基礎(chǔ)設(shè)施奔潰和精準(zhǔn)斬首��,這不禁讓人不寒而栗����。
首先是在俄烏戰(zhàn)爭中,各方通過即時(shí)通訊����、協(xié)同辦公軟件泄露所收集的地理信息、科研數(shù)據(jù)被用于網(wǎng)絡(luò)精準(zhǔn)攻擊對(duì)象�。
其次利用人臉識(shí)別技術(shù)與即時(shí)通訊泄露的數(shù)據(jù)進(jìn)行比對(duì),對(duì)重點(diǎn)個(gè)人進(jìn)行精準(zhǔn)斬首行動(dòng)�����,人臉識(shí)別等人工智能被用于戰(zhàn)爭��,這些技術(shù)與即時(shí)通訊泄露數(shù)據(jù)也是前后臺(tái)的關(guān)系���。
在前臺(tái),遍布烏克蘭大小街道的攝像頭捕捉到參戰(zhàn)的俄羅斯將士人臉信息。在后臺(tái)�����,烏克蘭利用西方提供的大數(shù)據(jù)平臺(tái)進(jìn)行數(shù)據(jù)比對(duì)����,對(duì)一些關(guān)鍵指揮官進(jìn)行定點(diǎn)清除。
有報(bào)道稱����,俄羅斯莫爾德維喬中將所在位置被對(duì)方發(fā)現(xiàn)定位,因此遭到精確制導(dǎo)彈藥遠(yuǎn)程襲擊陣亡�����。另一名車臣士兵在一輛坦克前發(fā)表自己的感想����,他發(fā)布的照片就被進(jìn)入大數(shù)據(jù)進(jìn)行分析,最終根據(jù)在線人臉識(shí)別技術(shù)發(fā)現(xiàn)��,他就是一個(gè)叫Hussein Mezhidov的車臣指揮官�����。
作為世界頭號(hào)網(wǎng)絡(luò)攻擊受害國,中國即時(shí)通訊數(shù)據(jù)泄露問題不容忽視���。除了上文提到的美國國家安全部利用量子攻擊平臺(tái)對(duì)世界各國社交平臺(tái)數(shù)據(jù)進(jìn)行無差別收集外���,近日,國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布專題研究報(bào)告����,同日披露美國國家安全局(NSA)下屬的又一款網(wǎng)絡(luò)攻擊武器“酸狐貍”漏洞攻擊武器平臺(tái)(以下簡稱“酸狐貍”平臺(tái))。該武器平臺(tái)主要用于突破位于受害目標(biāo)辦公內(nèi)網(wǎng)的主機(jī)系統(tǒng)��,并植入各類木馬���、后門等程序以實(shí)現(xiàn)持久化控制�,目前中國有上百個(gè)重要信息系統(tǒng)被植入木馬��。有專家懷疑其為大規(guī)模網(wǎng)絡(luò)戰(zhàn)準(zhǔn)備�。
為了保護(hù)國家發(fā)展的重大成果,政府��、金融���、高校科研院所、軍工�����、航空航天等受網(wǎng)絡(luò)攻擊威脅最大的行業(yè)應(yīng)該及時(shí)重視即時(shí)通訊領(lǐng)域的數(shù)據(jù)安全���,用安全即時(shí)通訊工具來取代微信��、釘釘?shù)绕胀磿r(shí)通訊工具��,以實(shí)現(xiàn)安全辦公�。
信源密信保障數(shù)據(jù)流轉(zhuǎn)各環(huán)節(jié)安全
作為信息安全終端行業(yè)頭部企業(yè)��,北信源認(rèn)為����,在數(shù)字時(shí)代,數(shù)據(jù)資產(chǎn)存在著以下幾大風(fēng)險(xiǎn):
本模型圖片來自網(wǎng)絡(luò)
1.數(shù)據(jù)收集風(fēng)險(xiǎn)
在數(shù)據(jù)收集環(huán)節(jié)�����,風(fēng)險(xiǎn)威脅涵蓋保密性威脅、完整性威脅�����、可用性威脅等���。保密性威脅指黑客通過建立隱蔽隧道��,對(duì)信息進(jìn)行各個(gè)維度的分析�����,竊取有價(jià)信息�;完整性威脅指只截取某段元數(shù)據(jù)��,數(shù)據(jù)不全��;可用性威脅指刻意偽造或篡改數(shù)據(jù)��。
2.數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)
數(shù)據(jù)存儲(chǔ)安全性成為企業(yè)數(shù)字化轉(zhuǎn)型運(yùn)營中必須關(guān)注的問題����,一旦出現(xiàn)遺漏,面臨的是法律和道德的鞭策�。在數(shù)據(jù)存儲(chǔ)環(huán)節(jié)�����,風(fēng)險(xiǎn)威脅來自外部因素、內(nèi)部因素��、數(shù)據(jù)庫系統(tǒng)安全等�����。外部因素包括黑客拖庫���、數(shù)據(jù)庫后門�、挖礦木馬���、數(shù)據(jù)庫勒索���、惡意篡改等。內(nèi)部因素包括內(nèi)部人員竊取���、不同利益方對(duì)數(shù)據(jù)的超權(quán)限使用���、弱口令配置��、離線暴力破解���、錯(cuò)誤配置等。
數(shù)據(jù)庫系統(tǒng)安全包括數(shù)據(jù)庫軟件漏洞和應(yīng)用程序邏輯漏洞����,如:SQL注入、提權(quán)�����、緩沖區(qū)溢出�����;存儲(chǔ)設(shè)備丟失等其他情況����。傳統(tǒng)式存儲(chǔ)設(shè)備——集中式云存儲(chǔ)主要是使用中心化服務(wù)器來存儲(chǔ)數(shù)據(jù)與提供存儲(chǔ)服務(wù),造成安全性低和數(shù)據(jù)隱私泄漏風(fēng)險(xiǎn)�����。
3.數(shù)據(jù)使用風(fēng)險(xiǎn)
在數(shù)據(jù)使用環(huán)節(jié),風(fēng)險(xiǎn)威脅來自于外部因素�����、內(nèi)部因素���、系統(tǒng)安全等。外部因素包括賬戶劫持����、APT攻擊、身份偽裝��、認(rèn)證失效�����、密鑰丟失���、漏洞攻擊����、木馬注入等�。內(nèi)部因素包括內(nèi)部人員、DBA違規(guī)操作竊取���、濫用���、泄露數(shù)據(jù)等�,如:非授權(quán)訪問敏感數(shù)據(jù)�����、非工作時(shí)間��、工作場(chǎng)所訪問核心業(yè)務(wù)表����、高危指令操作;系統(tǒng)安全包括不嚴(yán)格的權(quán)限訪問���、多源異構(gòu)數(shù)據(jù)集成中隱私泄露等�����。
北信源花了近十年時(shí)間����,投資12.6億元打造了一款以安全即時(shí)通訊為核心功能的戰(zhàn)略級(jí)安全移動(dòng)辦公產(chǎn)品——信源密信,其產(chǎn)品和解決方案已廣泛應(yīng)用于多種拓展場(chǎng)景服務(wù)中�,包括應(yīng)急指揮系統(tǒng)、軍隊(duì)移動(dòng)辦公����、智慧社區(qū)、健康醫(yī)療等眾多行業(yè)領(lǐng)域內(nèi)�����。
作為一款安全通訊工具���,信源密信做到了數(shù)據(jù)資產(chǎn)從時(shí)間和空間上的安全性。從時(shí)間上來說����,保障數(shù)據(jù)資產(chǎn)從產(chǎn)生、遷移�����、流轉(zhuǎn)����、直至消亡的全生命周期的安全性;從空間上來說,保障數(shù)據(jù)資產(chǎn)在基礎(chǔ)設(shè)施層�����、平臺(tái)層以及應(yīng)用層之間流轉(zhuǎn)���,不同層次會(huì)有不同顆粒度的防護(hù)需求�。
1. 信息采集階段
作為一款去中心化的私有云產(chǎn)品��,信源密信可以做到不采集數(shù)據(jù)��。信息只存儲(chǔ)在信息發(fā)送端和信息接收端�,而且信息傳輸?shù)男诺劳ㄟ^信源密信可以做到全程信息加密。
信源密信提供私有化服務(wù)器部署����,讓每一個(gè)政企都能擁有專屬服務(wù)器,規(guī)避云安全風(fēng)險(xiǎn)����。避免了信息被第三方人為竊取、泄露的風(fēng)險(xiǎn)�����。
信源密信服務(wù)器無后門,購買信源密信服務(wù)器后��,只能通過上門升級(jí)的方式更新版本�,因此減少了數(shù)據(jù)被廠商遠(yuǎn)程采集的風(fēng)險(xiǎn)。
以下信源密信的一些加密特征和封閉社區(qū)特征更是規(guī)避了信息在產(chǎn)生和傳輸階段的風(fēng)險(xiǎn):
所有經(jīng)過“信源密信”平臺(tái)上的記錄都采用密文方式存儲(chǔ)�����,所有經(jīng)過信源密信的消息����、文件都經(jīng)過了加密,保證了手機(jī)端����、接收端�、傳輸端的信息安全,即使信息被不法分子竊取��,也無法解密���。
信源密信平臺(tái)有明水印和暗水印�。每個(gè)人的通訊錄和聊天記錄窗口都有獨(dú)特的個(gè)人水印��,如果發(fā)生手機(jī)截屏或者拍照泄密事件,圖片上有該用戶的水印信息���,方便在信息泄露溯源��。以上措施使得使用者不敢泄露信息從而杜絕了信息被非法采集的風(fēng)險(xiǎn)����。
信源密信作為一款強(qiáng)大的安全協(xié)同辦公工具�,可以完全替代微信、釘釘?shù)绕胀ɑヂ?lián)網(wǎng)協(xié)同辦公軟件����,并避免了微信、釘釘?shù)然诠性频募磿r(shí)協(xié)同辦公工具被不法分子用于非法數(shù)據(jù)采集的目的����。
2. 數(shù)據(jù)存儲(chǔ)階段
市面上即時(shí)通訊工具大致分為兩類,一類以公有云存儲(chǔ)為主�����,用戶的信息����、數(shù)據(jù)存儲(chǔ)在云端服務(wù)器�,正是這些互聯(lián)網(wǎng)社交即時(shí)通訊軟件成為了數(shù)據(jù)泄露的源頭�,被國家保密局重點(diǎn)點(diǎn)名。
另一類是私有化部署��,自設(shè)服務(wù)器�����,數(shù)據(jù)信息由自己掌控�����。
信源密信所有權(quán)為用戶所有�,可以以服務(wù)器方式存儲(chǔ)在本單位的機(jī)房,也可以小盒子方式存儲(chǔ)在購買者自己的辦公室��、家里�。參與辦公、聊天的人員通過購買者邀請(qǐng)的方式加入社區(qū)��。辦公記錄���、社區(qū)里的數(shù)據(jù)除非用戶自主刪除,所有信息第三方無法獲取和破解��。
在服務(wù)器端,管理員也無法擅自查看用戶數(shù)據(jù)信息��,實(shí)現(xiàn)了數(shù)據(jù)的物理隔離����。
3. 數(shù)據(jù)使用階段
依托北信源專利技術(shù),基于信息加密防護(hù)算法���,保障了信源密信數(shù)據(jù)使用安全���。在信源密信上,所有傳輸和存儲(chǔ)的數(shù)據(jù)都進(jìn)行了加密�,有效地防止了非授權(quán)登錄、越權(quán)操作法竊取其中的信息����,讓用戶擁有一臺(tái)“安全通訊服務(wù)器”。
北信源作為國內(nèi)終端安全管理領(lǐng)域的龍頭企業(yè)�����,是國內(nèi)網(wǎng)絡(luò)與信息安全領(lǐng)域領(lǐng)先的解決方案提供商�����。信源密信依托國家級(jí)科技專項(xiàng)課題成果產(chǎn)業(yè)化,成功服務(wù)于我國BM行業(yè)�����、公安系統(tǒng)�、軍工行業(yè)、金融行業(yè)��、重點(diǎn)央企等�,為千萬級(jí)高安全行業(yè)用戶提供了安全、持續(xù)��、穩(wěn)定的即時(shí)通訊和移動(dòng)辦公服務(wù)����,至今無信息泄露事件。
綜上�,與重度依賴數(shù)據(jù)、需要對(duì)用戶數(shù)據(jù)進(jìn)行開發(fā)利用實(shí)現(xiàn)千人千面�����、精準(zhǔn)廣告推送的普通互聯(lián)網(wǎng)型辦公協(xié)同軟件不同�,信源密信真正做到了保證數(shù)據(jù)生產(chǎn)流通使用全過程的信息安全����。這款基于私有化安全通信辦公的軟件平臺(tái)近十年來堅(jiān)持安全可控�、安全可靠的結(jié)構(gòu)設(shè)計(jì)���,規(guī)避各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)�,成為了數(shù)字型政府建設(shè)中不可缺少的數(shù)據(jù)安全衛(wèi)士�����!
