近期,國務(wù)院發(fā)布《國務(wù)院關(guān)于加強數(shù)字政府建設(shè)的指導(dǎo)意見》��,為新一輪數(shù)字政府建設(shè)指明了方向����。在文件正文,重點談到了數(shù)字政府建設(shè)過程中的安全可控問題����,人民網(wǎng)對此發(fā)文作了權(quán)威評論����,指出要采用自主可控的先進技術(shù)、安全可靠的結(jié)構(gòu)設(shè)計��,規(guī)避各個環(huán)節(jié)的安全風(fēng)險��。
一
文件首先確認(rèn)了十八大以來����,網(wǎng)絡(luò)強國戰(zhàn)略、大數(shù)據(jù)戰(zhàn)略的重大成果��。文件同時指出:數(shù)字政府建設(shè)仍然存在一些突出問題——“主要是頂層設(shè)計不足�,體制機制不夠健全,創(chuàng)新應(yīng)用能力不強���,數(shù)據(jù)壁壘依然存在����,網(wǎng)絡(luò)安全保障體系還有不少突出短板����,干部隊伍數(shù)字意識和數(shù)字素養(yǎng)有待提升,政府治理數(shù)字化水平與國家治理現(xiàn)代化要求還存在較大差距�?���!?/p>
二
文件在總體要求里談到:“堅持安全可控�。全面落實總體國家安全觀,堅持促進發(fā)展和依法管理相統(tǒng)一��、安全可控和開放創(chuàng)新并重��,嚴(yán)格落實網(wǎng)絡(luò)安全各項法律法規(guī)制度��,全面構(gòu)建制度����、管理和技術(shù)銜接配套的安全防護體系,切實守住網(wǎng)絡(luò)安全底線����?�!?/p>
人民網(wǎng)就此評論指出:在推進數(shù)字政府建設(shè)過程中��,要堅持安全可控��,數(shù)字政府基礎(chǔ)設(shè)施��、產(chǎn)品、服務(wù)�、數(shù)據(jù)采用自主可控的先進技術(shù)、安全可靠的結(jié)構(gòu)設(shè)計���,規(guī)避各個環(huán)節(jié)的安全風(fēng)險�,增強網(wǎng)絡(luò)安全防范意識���。
如何保證規(guī)避各個環(huán)節(jié)的安全風(fēng)險��,保證數(shù)字政府建設(shè)過程中的數(shù)據(jù)安全可控�?在信息安全終端龍頭企業(yè)北信源看來���,就是要抓住信息安全數(shù)據(jù)安全泄露的源頭——即時通訊領(lǐng)域?qū)е碌臄?shù)據(jù)泄露���,抓住這一牛鼻子就抓住了數(shù)據(jù)安全的核心,也就抓住了數(shù)字政府建設(shè)過程中的數(shù)據(jù)全流程安全問題�。
在數(shù)字化轉(zhuǎn)型過程中�����,即時通訊、在線辦公已經(jīng)成為人們生活中的重要場景���。中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的第49次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示���,截至2021年12月,我國網(wǎng)民規(guī)模達(dá)10.32億���,互聯(lián)網(wǎng)普及率達(dá)73.0%�。在網(wǎng)民中�����,即時通信用戶使用率分別為97.5%��,用戶規(guī)模分別達(dá)10.07億�����,即時通信應(yīng)用基本實現(xiàn)普及�����。然而�����,相關(guān)調(diào)查數(shù)據(jù)顯示�����,泄密風(fēng)險往往在內(nèi)外部文件傳輸和工作人員的日常溝通過程中產(chǎn)生�����,使用普通的即時通訊產(chǎn)品會存在極大的安全隱患和泄密風(fēng)險��。
國家保密局自2021年起�,連續(xù)發(fā)表了《看看這些真實案例,微信辦公一定要注意保密》《快自查�����,微信公眾號爆出這些泄密案》等多篇文章�,披露微信辦公泄密的典型案例,引發(fā)了全行業(yè)對于微信等普通即時通訊軟件用于辦公的高度警惕和重視��。
此外����,2022年中國信息通信研究院發(fā)布的《中國信息發(fā)展態(tài)勢報告》指出:在中國網(wǎng)民規(guī)模擴大到十億以上的背景下,數(shù)據(jù)安全、個人信息泄露風(fēng)險持續(xù)增加���,而泄露源頭主要是包括即時通訊在內(nèi)的各種APP����。
疫情之下���,在線移動辦公通訊成為主要工作場景�����。多人在線協(xié)作辦公���,即時通訊作為核心辦公場景,這在提高使用人員效率的同時���,也增加了重要數(shù)據(jù)泄露的風(fēng)險�����。近期���,國家保密機關(guān)通報了近年來發(fā)生的數(shù)起使用某通訊軟件泄密典型案件:泄密方式涉及“違規(guī)使用某通訊軟件傳達(dá)涉密信息”,“請示匯報工作的相關(guān)文件拍照后用使用某通訊軟件發(fā)送”�����,“違規(guī)拍攝辦公場所和辦公內(nèi)容后發(fā)送朋友圈”等�。上述各種違規(guī)行為往往相互交織、互為作用�����,致使涉密信息一再擴散��。
除《保密法》《網(wǎng)絡(luò)安全法》及《個人信息保護法》等法規(guī)出臺后��,使重要涉密數(shù)據(jù)�、個人隱私等個人重要數(shù)據(jù)有法可依之外,中國信通院“鑄基計劃”針對即時通訊軟件滅而不絕的泄密事件���,于2022年4月份���,適時啟動了“辦公即時通信軟件安全系列標(biāo)準(zhǔn)”的編制工作,開始對即時通訊行業(yè)進行標(biāo)準(zhǔn)統(tǒng)一和源頭治理�����。
數(shù)據(jù)安全是國家主權(quán)���、國家安全的重要組成部分�����。數(shù)據(jù)作為新型生產(chǎn)要素��,對傳統(tǒng)生產(chǎn)方式變革具有重大影響��。習(xí)總書記強調(diào):“要切實保障國家數(shù)據(jù)安全��。要加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護��,強化國家關(guān)鍵數(shù)據(jù)資源保護能力��,增強數(shù)據(jù)安全預(yù)警和溯源能力����?����!?/span>
數(shù)據(jù)安全是數(shù)據(jù)全流程的安全�����,是數(shù)據(jù)生產(chǎn)、存儲�、傳輸��、訪問����、使用、銷毀����、公開等全過程的安全,并保證數(shù)據(jù)處理過程的保密性��、完整性��、可用性��,任何一個環(huán)節(jié)的疏漏都會造成系統(tǒng)性的風(fēng)險�。此外,個人姓名���、聯(lián)系方式��、車輛登記��、社交媒體等個體非實體隱含數(shù)據(jù)的數(shù)據(jù)泄露����,也會引發(fā)實時定位等國家公共安全問題。
3月22日�����,360公司披露了美國國家安全局針對中國境內(nèi)目標(biāo)所使用的代表性網(wǎng)絡(luò)武器——量子攻擊平臺的技術(shù)特點�����。美國利用這一技術(shù)對世界各國訪問美國社交媒體的互聯(lián)網(wǎng)用戶發(fā)起網(wǎng)絡(luò)攻擊����,中國即時通訊軟件也是其攻擊目標(biāo)。
信息安全新媒體“安在”近日發(fā)布報告指出���,美國國家安全局下屬的接入技術(shù)行動處(TAO)持續(xù)對全球互聯(lián)網(wǎng)用戶實施無差別數(shù)據(jù)竊密���。對此,外交部發(fā)言人汪文斌稱:“這意味著無論你是誰���,無論你在世界的哪個角落�,只要你使用網(wǎng)絡(luò)社交平臺,背后就都可能有個‘老大’在盯著你�。”
在中國人的手機里����,最大的網(wǎng)絡(luò)社交平臺是什么��?是微信�、釘釘?shù)绕胀磿r通訊軟件。超過10億的全民社交工具具有重大的安全隱患��。
在和平時期�,人們似乎對這樣的即時通訊導(dǎo)致的數(shù)據(jù)泄密隱患并不會引起太多重視,但如果反觀俄烏戰(zhàn)爭���,我們可以了解到����,即時通訊數(shù)據(jù)泄露可導(dǎo)致國家關(guān)鍵基礎(chǔ)設(shè)施奔潰和精準(zhǔn)斬首�����,這不禁讓人不寒而栗。
首先是在俄烏戰(zhàn)爭中����,各方通過即時通訊、協(xié)同辦公軟件泄露所收集的地理信息���、科研數(shù)據(jù)被用于網(wǎng)絡(luò)精準(zhǔn)攻擊對象�����。
其次利用人臉識別技術(shù)與即時通訊泄露的數(shù)據(jù)進行比對����,對重點個人進行精準(zhǔn)斬首行動����,人臉識別等人工智能被用于戰(zhàn)爭,這些技術(shù)與即時通訊泄露數(shù)據(jù)也是前后臺的關(guān)系�����。
在前臺���,遍布烏克蘭大小街道的攝像頭捕捉到參戰(zhàn)的俄羅斯將士人臉信息�。在后臺,烏克蘭利用西方提供的大數(shù)據(jù)平臺進行數(shù)據(jù)比對�,對一些關(guān)鍵指揮官進行定點清除。
有報道稱��,俄羅斯莫爾德維喬中將所在位置被對方發(fā)現(xiàn)定位���,因此遭到精確制導(dǎo)彈藥遠(yuǎn)程襲擊陣亡��。另一名車臣士兵在一輛坦克前發(fā)表自己的感想�����,他發(fā)布的照片就被進入大數(shù)據(jù)進行分析,最終根據(jù)在線人臉識別技術(shù)發(fā)現(xiàn)��,他就是一個叫Hussein Mezhidov的車臣指揮官���。
作為世界頭號網(wǎng)絡(luò)攻擊受害國�,中國即時通訊數(shù)據(jù)泄露問題不容忽視��。除了上文提到的美國國家安全部利用量子攻擊平臺對世界各國社交平臺數(shù)據(jù)進行無差別收集外��,近日,國家計算機病毒應(yīng)急處理中心和360公司分別發(fā)布專題研究報告���,同日披露美國國家安全局(NSA)下屬的又一款網(wǎng)絡(luò)攻擊武器“酸狐貍”漏洞攻擊武器平臺(以下簡稱“酸狐貍”平臺)���。該武器平臺主要用于突破位于受害目標(biāo)辦公內(nèi)網(wǎng)的主機系統(tǒng),并植入各類木馬���、后門等程序以實現(xiàn)持久化控制�,目前中國有上百個重要信息系統(tǒng)被植入木馬���。有專家懷疑其為大規(guī)模網(wǎng)絡(luò)戰(zhàn)準(zhǔn)備�����。
為了保護國家發(fā)展的重大成果�����,政府���、金融、高?��?蒲性核?�、軍工��、航空航天等受網(wǎng)絡(luò)攻擊威脅最大的行業(yè)應(yīng)該及時重視即時通訊領(lǐng)域的數(shù)據(jù)安全��,用安全即時通訊工具來取代微信�����、釘釘?shù)绕胀磿r通訊工具���,以實現(xiàn)安全辦公���。
信源密信保障數(shù)據(jù)流轉(zhuǎn)各環(huán)節(jié)安全
作為信息安全終端行業(yè)頭部企業(yè)�����,北信源認(rèn)為�����,在數(shù)字時代,數(shù)據(jù)資產(chǎn)存在著以下幾大風(fēng)險:
本模型圖片來自網(wǎng)絡(luò)
1.數(shù)據(jù)收集風(fēng)險
在數(shù)據(jù)收集環(huán)節(jié)���,風(fēng)險威脅涵蓋保密性威脅��、完整性威脅�����、可用性威脅等����。保密性威脅指黑客通過建立隱蔽隧道���,對信息進行各個維度的分析��,竊取有價信息���;完整性威脅指只截取某段元數(shù)據(jù)��,數(shù)據(jù)不全���;可用性威脅指刻意偽造或篡改數(shù)據(jù)��。
2.數(shù)據(jù)存儲風(fēng)險
數(shù)據(jù)存儲安全性成為企業(yè)數(shù)字化轉(zhuǎn)型運營中必須關(guān)注的問題�����,一旦出現(xiàn)遺漏��,面臨的是法律和道德的鞭策�。在數(shù)據(jù)存儲環(huán)節(jié),風(fēng)險威脅來自外部因素�����、內(nèi)部因素��、數(shù)據(jù)庫系統(tǒng)安全等���。外部因素包括黑客拖庫�����、數(shù)據(jù)庫后門���、挖礦木馬、數(shù)據(jù)庫勒索�、惡意篡改等����。內(nèi)部因素包括內(nèi)部人員竊取�����、不同利益方對數(shù)據(jù)的超權(quán)限使用、弱口令配置��、離線暴力破解、錯誤配置等���。
數(shù)據(jù)庫系統(tǒng)安全包括數(shù)據(jù)庫軟件漏洞和應(yīng)用程序邏輯漏洞,如:SQL注入�、提權(quán)、緩沖區(qū)溢出���;存儲設(shè)備丟失等其他情況��。傳統(tǒng)式存儲設(shè)備——集中式云存儲主要是使用中心化服務(wù)器來存儲數(shù)據(jù)與提供存儲服務(wù)��,造成安全性低和數(shù)據(jù)隱私泄漏風(fēng)險��。
3.數(shù)據(jù)使用風(fēng)險
在數(shù)據(jù)使用環(huán)節(jié)���,風(fēng)險威脅來自于外部因素、內(nèi)部因素����、系統(tǒng)安全等。外部因素包括賬戶劫持���、APT攻擊�、身份偽裝�����、認(rèn)證失效����、密鑰丟失、漏洞攻擊�、木馬注入等。內(nèi)部因素包括內(nèi)部人員�、DBA違規(guī)操作竊取、濫用����、泄露數(shù)據(jù)等,如:非授權(quán)訪問敏感數(shù)據(jù)����、非工作時間、工作場所訪問核心業(yè)務(wù)表�、高危指令操作;系統(tǒng)安全包括不嚴(yán)格的權(quán)限訪問��、多源異構(gòu)數(shù)據(jù)集成中隱私泄露等����。
北信源花了近十年時間,投資12.6億元打造了一款以安全即時通訊為核心功能的戰(zhàn)略級安全移動辦公產(chǎn)品——信源密信�,其產(chǎn)品和解決方案已廣泛應(yīng)用于多種拓展場景服務(wù)中�,包括應(yīng)急指揮系統(tǒng)�、軍隊移動辦公、智慧社區(qū)�����、健康醫(yī)療等眾多行業(yè)領(lǐng)域內(nèi)��。
作為一款安全通訊工具���,信源密信做到了數(shù)據(jù)資產(chǎn)從時間和空間上的安全性�。從時間上來說����,保障數(shù)據(jù)資產(chǎn)從產(chǎn)生、遷移���、流轉(zhuǎn)����、直至消亡的全生命周期的安全性�;從空間上來說,保障數(shù)據(jù)資產(chǎn)在基礎(chǔ)設(shè)施層、平臺層以及應(yīng)用層之間流轉(zhuǎn)����,不同層次會有不同顆粒度的防護需求。
1. 信息采集階段
作為一款去中心化的私有云產(chǎn)品����,信源密信可以做到不采集數(shù)據(jù)�����。信息只存儲在信息發(fā)送端和信息接收端���,而且信息傳輸?shù)男诺劳ㄟ^信源密信可以做到全程信息加密����。
信源密信提供私有化服務(wù)器部署��,讓每一個政企都能擁有專屬服務(wù)器���,規(guī)避云安全風(fēng)險�。避免了信息被第三方人為竊取����、泄露的風(fēng)險�。
信源密信服務(wù)器無后門��,購買信源密信服務(wù)器后�,只能通過上門升級的方式更新版本,因此減少了數(shù)據(jù)被廠商遠(yuǎn)程采集的風(fēng)險�。
以下信源密信的一些加密特征和封閉社區(qū)特征更是規(guī)避了信息在產(chǎn)生和傳輸階段的風(fēng)險:
所有經(jīng)過“信源密信”平臺上的記錄都采用密文方式存儲,所有經(jīng)過信源密信的消息���、文件都經(jīng)過了加密����,保證了手機端����、接收端、傳輸端的信息安全����,即使信息被不法分子竊取,也無法解密�����。
信源密信平臺有明水印和暗水印。每個人的通訊錄和聊天記錄窗口都有獨特的個人水印���,如果發(fā)生手機截屏或者拍照泄密事件�����,圖片上有該用戶的水印信息�,方便在信息泄露溯源�����。以上措施使得使用者不敢泄露信息從而杜絕了信息被非法采集的風(fēng)險���。
信源密信作為一款強大的安全協(xié)同辦公工具,可以完全替代微信����、釘釘?shù)绕胀ɑヂ?lián)網(wǎng)協(xié)同辦公軟件,并避免了微信�����、釘釘?shù)然诠性频募磿r協(xié)同辦公工具被不法分子用于非法數(shù)據(jù)采集的目的�����。
2. 數(shù)據(jù)存儲階段
市面上即時通訊工具大致分為兩類,一類以公有云存儲為主��,用戶的信息����、數(shù)據(jù)存儲在云端服務(wù)器,正是這些互聯(lián)網(wǎng)社交即時通訊軟件成為了數(shù)據(jù)泄露的源頭�����,被國家保密局重點點名�。
另一類是私有化部署,自設(shè)服務(wù)器���,數(shù)據(jù)信息由自己掌控����。
信源密信所有權(quán)為用戶所有�����,可以以服務(wù)器方式存儲在本單位的機房���,也可以小盒子方式存儲在購買者自己的辦公室���、家里���。參與辦公、聊天的人員通過購買者邀請的方式加入社區(qū)�����。辦公記錄����、社區(qū)里的數(shù)據(jù)除非用戶自主刪除����,所有信息第三方無法獲取和破解。
在服務(wù)器端���,管理員也無法擅自查看用戶數(shù)據(jù)信息��,實現(xiàn)了數(shù)據(jù)的物理隔離�。
3. 數(shù)據(jù)使用階段
依托北信源專利技術(shù)���,基于信息加密防護算法�,保障了信源密信數(shù)據(jù)使用安全。在信源密信上��,所有傳輸和存儲的數(shù)據(jù)都進行了加密�����,有效地防止了非授權(quán)登錄���、越權(quán)操作法竊取其中的信息��,讓用戶擁有一臺“安全通訊服務(wù)器”�����。
北信源作為國內(nèi)終端安全管理領(lǐng)域的龍頭企業(yè)���,是國內(nèi)網(wǎng)絡(luò)與信息安全領(lǐng)域領(lǐng)先的解決方案提供商。信源密信依托國家級科技專項課題成果產(chǎn)業(yè)化��,成功服務(wù)于我國BM行業(yè)�����、公安系統(tǒng)、軍工行業(yè)��、金融行業(yè)�����、重點央企等��,為千萬級高安全行業(yè)用戶提供了安全��、持續(xù)���、穩(wěn)定的即時通訊和移動辦公服務(wù)��,至今無信息泄露事件���。
綜上�����,與重度依賴數(shù)據(jù)��、需要對用戶數(shù)據(jù)進行開發(fā)利用實現(xiàn)千人千面�����、精準(zhǔn)廣告推送的普通互聯(lián)網(wǎng)型辦公協(xié)同軟件不同,信源密信真正做到了保證數(shù)據(jù)生產(chǎn)流通使用全過程的信息安全�����。這款基于私有化安全通信辦公的軟件平臺近十年來堅持安全可控��、安全可靠的結(jié)構(gòu)設(shè)計��,規(guī)避各個環(huán)節(jié)的安全風(fēng)險����,成為了數(shù)字型政府建設(shè)中不可缺少的數(shù)據(jù)安全衛(wèi)士!
