1995年,凯文·凯利的作品《失控》问世。书中预测,20年后人类将会实现云计算、人工智能、虚拟现实等数字化应用,这些在当时颇具科幻色彩的场景,如今已融入普罗大众工作、生活的点点滴滴。
2017年,年轻的以色列历史学家尤瓦尔·赫拉利在《未来简史》中对科技带领人类走向何方提出了更深刻的思考:人类史上能够在短时间内重构世界的,只有四件事——饥荒、 瘟疫、 战争、技术革命。
过去三年中,疫情与数字技术革命的双重影响,在全球范围内引起了一系列连锁反应。但与所预见的不同,人类在面对巨变时没有被动挨打,而是主动迎接挑战。其中,以即时通讯平台为代表的数字技术,不仅推动着疫情下管控、复工、复产、复学的有序进行,也颠覆了几百年间人类传统的工作、生活方式,加速全球从工业经济迈向数字经济。
即时通讯平台的出现,使我们能够摆脱了办公固定场所的局限性,在高铁站、咖啡厅或者家中,只需轻轻一点,命令传达、文件互递、财务转账、视频投票……所有工作都可以一手掌控。
可以说,我们已经迎来了无边界办公时代。
无边界办公的便利也伴随着安全隐患
事物往往具备两面性,这是一把双刃剑,居安必思危。无边界办公带来便利也带来了新的安全隐患,在办公效率得到提升的同时,信息泄露的风险也会提升。办公从固定单位到任意地方的物理延伸,也意味着在虚拟世界中,数字信息的安全防护也需从内网延伸至信息的全生命周期,包括信息的产生、传输、接收、使用和销毁。
随着数据时代国家秘密形态全面数字化,社交媒体上一些行业、领域信息单独看可能不是国家秘密,汇聚起来却足以“牵一发而动全身”。
一个发生在2017年的真实案例:在中国银监会工作的女研究生李某,从单位OA系统收到一份未公开的指导性文件,因为这份文件对市场有预判作用,于是其告诉了前同事——某市银行领导郑某,并将文件拍照,用微信传给了对方。
郑某又将文件转发给另一位同事,同事再传其他的同事……就这样,这份机密文件在网上散布开来。直至某一日,美国彭博新闻社北京分社获取了此消息,并申请采访这一文件为何在网络公开……随后,李某被告上法庭,被判故意泄露国家秘密罪,判处有期徒刑一年,缓刑一年。
相比李某本人获罪,本次泄露机密对金融市场造成的一系列破坏,损失更是无法估算——2018年《中国银行理财市场报告》显示,2017年全市场金融同业类产品存续余额同比减少2.04万亿元,降幅62.57%。
另据报道,2018年工行理财业务收入同比下降18.62%;建行理财收入同比下降44.55%;基金子公司规模在2017年持续缩水,2018年1月同期减少1.68万亿元,缩水24.6%……
这是一次惨痛的教训,一份机密文件的泄露引发了一波市场的跌宕,就像蝴蝶效应一样带来了不可估量的损失和难以承担的后果。
事实上,李某在银监会就职,是接受过保密教育的,相比普通人更应该具备保密意识,文件的泄露也并非有意为之。可问题在于,一些国民级社交即时通讯软件让生活和工作难以分开,亲友、同学、同事、领导等多维度关系链混杂在同一个APP中,难以严格区分,如果在工作中使用这样的软件就存在巨大的安全隐患,文件泄密的途径太泛滥,就像无闸之水,任意流淌。
打开微信,你会发现有太多的群,既有生活群,也有工作群,还有各种临时群在沉睡但并没退出,工作与闲聊通用,虽然顺手,但安全隐患高。如果在政府机关、国有企业、科研单位、金融机构等数据保密性要求高的单位工作,更是会造成不可预料的后果。
比如在2020年发生的,国内首例利用微信“清粉”软件非法获取计算机信息系统数据案中,犯罪嫌疑人就是通过应用集群控制软件的方式控制用户微信号,从而非法获得了2000多万个用户微信群聊二维码信息,并将之倒卖给下游的诈骗、赌博团伙,有的案件中,非法收集的数据还被传至国外服务器,造成的信息安全问题更为严重。
2021年11月,国家保密局“保密观”发文《微信泄密又出新案例:赶紧筛查工作群》,指出:任何情况下,以泄露国家秘密为代价推进业务工作都是万万要不得的。并明确提出:不使用微信群办公。
2022年2月,国家保密局监督检查司发文《警惕!微信办公泄密的四个高风险环节》,同样也指出用普通社交通讯工具存在高泄密风险。
安全的即时通讯平台,润物细无声
当前的即时通讯市场,几乎被钉钉、微信等互联网大厂两分天下。但应用的广度并不等于即时通讯平台的安全程度。深究起来,两者在移动、PC端产生的数据是否安全?数据的传输交换又是否被拦截?更需要引起思考的是,用户交流产生的数据都存储在厂商的服务器上,会不会被二次利用?
这值得所有政企IT部门负责人深思:未来无边界办公会越来越盛行,如何保证无边界办公时数据不会被非法使用?机密信息不被自身员工泄露?选择即时通讯工具的过程中,是否应加上一个以前被忽视的前提 —— 安全?
以目前在国家重点单位、国家重要工程中已经大规模使用的安全即时通讯产品——信源密信为例,他们认为作为重要单位和重点人群的安全即时通讯工具,务必要满足以下几点:
首先,一定要私有化部署。
对于重要单位和重点人群而言,本质上是数据主权的问题。
这意味着数据从产生到传输再到存储,均不通过公有云,最终产生的所有数据都可以完全自主管理,数据主权牢牢掌握在自己手中。
所以,办公即时通讯系统一定要部署在本单位机房中、自己购买的私有云中,也可以是完全物理隔离的独立服务器中。以信源密信智能小黑盒为例,可以像书本一样放置于使用者的办公桌上,无需运维管理,无需静态IP地址,插电联网即可使用,独立于单位非涉密OA系统运行,特别适合领导团队和决策团队在线讨论交流重要事情。
其次,通讯过程要全程加密。
一般通讯软件只提供高效的信息接入和输出,不提供高强度的加密服务,对黑客入侵、病毒窃取等行为很难防控。所以,企业办公即时通讯工具要提供“端、管、云”的全方位安全防护,信息从发出到接收,均要采用高强度算法。
不仅如此,还要在软件功能上提供便捷服务,比如信源密信内嵌的明暗水印、密聊、橡皮擦、双删记录、禁止转发、单次阅读、文档溯源等加密功能,可以大幅降低机密信息外泄的可能性。如橡皮擦功能,传送者若觉得所沟通内容有所不妥,可批量撤回聊天记录;单次阅读功能,则直接杜绝了机密信息被转发、截屏的可能性;明暗水印功能,即便通过拍照或者扫描泄露的机密信息,也可识别加密水印追踪到泄密者。
最后,即时通讯产品在重要单位、重要企业使用中,一般都需要与业务系统对接融合,这样就需要产品能够具备快速开发和应用整理能力。在数字化转型的时代,大部分单位都在使用一些管理软件或系统,信源密信本身就可以作为一个安全即时通讯的底座来使用,提供了功能强大的SDK接口和应用构建平台,如内置基础、布局、业务等多类几十种常用控件(如:文本、数字、日期、单选、复选、下拉框、表格、划线等),可帮助重要单位快速完成个性化应用的开发,实现所见即所得。平台还采用标准化技术,支持第三方控件。从高效办公融合安全通讯需求视角看,像信源密信这样的产品能够作为五统一——统一办公平台,统一通讯、统一入口、统一用户、统一应用管理的“办公基座”,极大程度提升了用户办公效率。
互联网最初诞生于军事领域,在其迅速商业化、大众化后,追踪技术便应运而生,而且几乎被用到了极致。众所周知,“免费”是互联网的特色,其背后就是广告业的支持,而这一商业逻辑也离不开对用户数据的商业化使用。随着即时通讯工具的普及,利用其传输工作信息、讨论工作事项也变得越来越普遍。一些人想当然的认为这些不存在泄密风险,殊不知,这些即时通讯工作的使用者很可能已经被攻击者通过互联网跟踪技术盯上,其输入法记录的个人输入习惯,早已明白无误的跟踪到了个人的工作内容、岗位内容甚至用户密码,令人防不胜防。如果继续使用非专用的社交类通讯软件作为日常办公手段,不但相关工作信息容易被攻击者获取,而且可能作为跳板,进一步入侵重要单位的工作内网。
无边界办公时代的到来,国家极为重视
在中央网络安全和信息化委员会印发《“十四五”国家信息化规划》中,数字能力提升被列为10项优先行动之一。《规划》明确指出,要强化数据安全保障,加强对重要数据、企业商业秘密和个人信息的保护。
全国重要单位、重要企业、重点人群在迎接数字化转型浪潮的同时,一定要注重数据和信息的安全问题,沟通无处不在,我们更需要专属的、完全拥有管理主权的即时通讯平台。