近有则题为《微信工作群保密管理须知》 的推文在互联网上火了,这则《须知》从“建群先审批”、“日常严审核”、“事毕即解散”几个维度,从制度层面,建议相关组织强化对微信工作群的保密管理。难能可贵的是,这则《须知》给出了具有实操性的建议,如建议相关组织要规范群名统一为“XX部门XX工作群”,且名称变更要及时报告。对于各大企业和个人来说,这则《须知》的建议都有很强建设性。
在《须知》发布后,多家官方媒体进行了广泛转载,转载平台除了腾讯、网易、新浪、搜狐等头部平台外,还有澎湃新闻等权威媒体,《须知》的相关信息在百度搜索结果高达188万个,据相关新闻报道,全国多家单位组织了对《须知》的专题学习。
《须知》如此受欢迎和国家先后出台的保密政策法规不让人意外:人们愈发习惯用手机群聊办公,然而工作泄密事件也因此而频繁上演,要避免工作泄密,既需要更专业的办公应用,也离不开严格的工作纪律规范。
微信群泄露频发,《须知》爆火,到底怎么了?
这些年,随着微信在人们的生活中不断普及,微信群也成了人们日常的工作沟通工具。企业有公司群、工作群、项目群,机关有组织群、突发事件处理群、专题事务研究群,学校有家长老师沟通群……微信群确实提高了人们的协作效率、增加了办公的便利性。然而随着越来越多人使用微信群办公,微信群泄露工作机密信息的事件也日益频发。
据媒体报道,某市市委组织部工作人员曾某,收到上级单位下发的一份秘密级文件,要求紧急传达落实。因需要阅办的领导外出不在,曾某为尽快将文件传达到位,遮盖文件密级标志进行扫描,将电子版发送至单位微信工作群,造成泄密。
实际上,这样的新闻不胜枚举。
对于企业员工来说,工作群泄密会将导致公司机密外泄,商业利益直接受损。早在2015年,信息安全公司360就曾下发内部文件要求公司所有微信工作群必须于48小时内解散,理由是“为防止公司商业秘密外泄。”其要求员工之间不得通过微信讨论任何与工作相关内容,对外交流也不得通过微信讨论敏感业务。360此举是其作为信息安全服务商的先知先觉,现在这一做法正在被更多大厂跟进,很多互联网大厂如字节跳动、百度、中国移动都应用了自主研发的办公平台。
越来越多的群泄密新闻表明办公通讯的安全问题正日益凸显。那么,到底要如何避免工作群泄密事件屡次上演?
仅规范“群聊里的办公”,或还“不治本”
其实,在《微信工作群保密管理须知》火起来之前,就有来自“保密观”的《【保密提醒】勿让“微信群”变成“泄密圈”——微信办公要谨慎》等诸多相关内容,不断提醒相关组织微信群办公要防泄密于未然,且都被广泛转载。
然而,泄密事件依然时有发生。对于防范泄密,《微信工作群保密管理须知》这样的规范固然有用,不过只靠这样的规范来防范办公泄密还不足够:
首先,《须知》通过规范流程来尽可能避免人们主观犯错,这要求人们使用微信群办公时要“小心翼翼”,增加了办公人员的心理负担,也提高了微信群办公的行政成本;
其次,《须知》很难防止另一种主要的泄密情况:无心之失。很多时候办公人员泄密只是因为“看走眼”、“手快了”、“大意了”,他们或许已有极强的保密意识,但有时候看花眼不小心发错文件到群里,一旦没有在2分钟内撤回后果就会不堪设想。
后,《须知》难以防止一些恶意的泄密情况,比如要求群办公验证群成员身份,但也可能会存在冒名顶替的情况;有时候则有别有用心的人截图群聊将机密外泄,事前很难防范、事后很难排查。
工作群聊防泄密,根本解决之道在哪里?
现在看来有效的解决方案恐怕还是要设置一道“防火墙”,即要求办公者使用专业、专用的办公通讯平台。广西纪检监察网《警惕!多名公务员因微信办公违规被处理》一文直接给出了彻底解决方案:“原则上不提倡使用微信办公……将涉密载体全过程管理与智能手机使用保密管理结合起来,从源头上消除涉密文件数字化的隐患。”
不过,对于大多数办公者来说,直接不用手机群聊办公也很难:一则是用户习惯一旦养成了就很难改变;二则是由俭入奢易、由奢入俭难,在“懒人经济”下人们特别是年轻人都习惯了简单、便捷、高效的沟通方式,群聊办公确实有很多便捷的地方,对于年轻办公者来说,传统的PC系统以及纸质公文式办公很难再被广泛接纳。
因此,堵不如疏,与其限制人们用手机群聊办公“治标”,不如提供可以满足保密需求的专用办公通讯平台“治本”,在兼容办公者习惯、保障办公者体验、提升办公者效率、给予办公者便捷的同时,在技术层面防范泄密,做到百密而无一疏。而专用的办公通讯平台必须克服大众社交通讯平台的短板:
,不专用。微信是熟人社交软件,在这里人们的工作圈与生活圈混在一起,很容易导致工作信息以随意聊天的方式被主动或被动地“泄密”给了“家人”、“朋友”。而钉钉、企业微信虽可支撑企业日常沟通,但对于机密沟通场景来说依然不是专用的,比如手握大量秘密资料的人群如果使用面向公众的微信、钉钉的话,无异于不装杀毒软件在满是病毒木马的网络上“裸奔”。
第二,不足够。如果再看得更深一些,微信、钉钉这些都是属于私营企业开发的基于公有云的商业化产品,使用的是商用的通信网络、云计算平台、存储设备、芯片等基础设施,即便我们认为这些企业都“科技向善”努力保密打造“电信级”安全,但理论上来说,数据在终端、管道、云端……几乎每一个环节都存在泄密风险,除了存在被黑客们攻击的可能性外,还有大国角逐中“技术中立”的脆弱形成的后果,毕竟在商业IT基础设施上我国依然未能完全自主。
实际上,基于安全、隔离、专用的通讯工具进行办公的理念,在传统办公时代早已健全。前几年电视剧《人民的名义》大火,有心的观众应该留意到,在剧中高育良、沙瑞金等领导几乎不用手机打电话,而是使用办公桌上的两部座机,一部黑色一部红色,他们给上级和下属打电话都是用不同颜色的电话,因为红色电话是副省部级以上领导才能使用的专门保密座机,使用的是党政专网保密线路,据媒体报道这些保密电话都由每个省级行政区设立的专门通信局安装维护,这是很神秘的副厅级单位,专为国家机关提供服务。而且保密电话都不能和一般的电话网络连通,它采用独特的电话号码,只能拨打和接听保密的专网电话。
安全的办公即时通讯平台,需要体系化的保障
“红黑机”基于专网线路、专用号码、专人使用、专人保障等体系构建起了绝密级通信网络,移动办公的安全保障,同样需要用专业、专用的办公通讯平台,且要形成体系化的保障。
首先,用户端全场景防护不可少。人们随时、随地、随身的碎片化办公,有大量的信息和文件传输场景,如私聊、群聊、传输文件、视频会议、截图录屏等,每一个场景都可能出现信息泄密。因此专业的办公通讯平台需要关注办公即时通讯的全场景,形成无死角的绝对安全。
其次,数据层全链路信息安全体系来加持。除了在用户端全场景进行安全保障和防泄密管控外,还要确保信息从产生到传输到消费到存储乃至到销毁都被全程管控,百密而无一疏。除了手机等设备终端外,云端、管道、芯片等等环节都要确保信息安全,避免信息泄露,且万一出现泄露事件有据可查。
后,技术层专业级信息安全技术做保障。应用数据加密技术、密码技术、本地化部署技术、区块链技术、信息溯源技术、数据深度清理删除技术等,确保给数据全程加密“上锁”,且可以对任何数据使用者、接触者、传输者进行追溯,防范泄密。
可以看到,以上每一点都需要专业的安全通讯平台来实现。
目前市面上主流的聊天软件多聚焦于更方便、更好玩的“通讯”,而不是“安全级通讯”。开放、公有化、统一管理是这些产品的特点,相对应地,私有化、加密技术及专业办公功能的研发投入极大,分布式的私有化部署对于后期服务也会带来极大挑战,这正是基于公有云的传统互联网大厂不愿意去触碰的原因。
因此专业级私有化部署的安全办公通讯平台这件事,还是要专门公司来做。实际上,现在已经有了类似的公司在提供专业的办公通讯服务,比如专注于安全即时通讯办公的信源密信,就已经形成了体系化的办公即时通讯安全保障。
“信源密信”从其名字可看出主打的是“保密”的“密”,也就是办公通讯的安全保障能力。其产品保留了即时消息、群聊、群文件、视频会议等常见即时通讯软件提供的功能,且在使用习惯上跟已有主流软件保持一致,让用户习惯用。在大众通讯高效、便利性的基础上,提供体系化的安全保障:
首先,可进行全场景高级别安全防护。其针对各种场景下的泄密可能性开发了大量的内嵌功能,如水印、密聊、橡皮擦、双删记录、禁止截屏、单次阅读、文档溯源等专属加密功能,大幅降低了机密信息外泄的可能性,如橡皮擦功能,传送者若觉得所沟通内容有所不妥,可批量撤回聊天记录;即便通过拍照或者扫描泄露的机密信息,信源密信提供的文档溯源功能亦可借助特定的明暗水印识别工具追踪到泄密者。
其次,对通讯全过程加密,严防任何形式的数据泄露。其在高效的信息接入和输出外,提供“端、管、云”的全方位安全防护,有效防控黑客入侵、病毒窃取、云端泄露等常见的数据泄露行为。任何安全都要有足够的技术来保障,信源密信投入了比公众通讯软件更多的安全技术,进而更安全。
接着,可让使用单位将数据本地化,“一企一台”的私有化部署能力彻底杜绝数据泄露风险。以信源密信小黑盒为例,其可像书本一样放置于桌面,无需运维管理,30秒即可上手使用。基于此,任何通讯数据从产生到传输再到存储,均不通过公有云,且终产生的数据存储在用户端本地,让使用者做到数据完全自主可控安全,掌握“数据主权”。显然,这种“物理层面”的隔绝,跟《人民的名义》中的“红黑机”有着一样的逻辑和价值。
后,可在确保安全的基础上适配企业已有IT系统,并且全面支持信创。如今办公通讯平台已不只是信息沟通,而是升级成企业/组织的组织管理、工单流程、项目管理、财务报销等业务事项的综合承载平台,企事业单位的“人财物事”都在平台上操作。针对此,信源密信有着很强的兼容性,支持低代码快速开发,其给政企应用开发者提供了一个功能强大的应用构建平台,如内置基础、布局、业务等多类几十种常用控件,文本、数字、日期、单选、复选、下拉框、表格、划线等,只需要简单拖拽的操作,可帮助政企快速完成个性化应用的开发,实现所见即所得,同时平台采用的标准化技术也支持第三方控件。这意味着信源密信与企事业单位已有IT数字化架构并不冲突,相反,它更多是在易泄密的移动办公通讯场景中给企事业单位筑上一道防火墙,给人们的办公通讯和IT系统上一把锁。
发现大众通讯办公有安全泄密痛点的企业很多,且类似的产品不少,包括钉钉等平台也开发了“澡堂”这样的功能来防范泄密。不过,真正可以给各类组织提供绝密级安全办公通讯体系化保障的企业却是屈指可数。信源密信缔造者是知名终端安全管理企业北信源,其在信息安全领域深耕26年,在PC时代就在计算机安全领域颇有建树,更在中国终端安全管理市场累计14年占有率稳居。北信源在长期服务于客户的过程中,洞察到移动办公这一时代趋势,深刻感知到客户在信息安全上的痛点,结合积累的安全办公技术底气、场景经验、产品能力、服务体系,率先打造出聚焦信息安全的移动办公通讯基座:信源密信。
写在后:
我们正处于国际形势复杂多变的时代,《微信工作群保密管理须知》的学习热再一次敲响安全办公的警钟,我们不能贪图便利和效率而让群聊成为泄密途径,信息安全从来都不是一蹴而就的事情,办公通讯的信息防泄密、数据防泄漏同样是一个长期的系统工程。除了《信工作群保密管理须知》要成为每个办公者“肌肉记忆”的铁律,我们更需要在加密技术、信息安全、产品功能、云端防控、制度建设等维度的全方位、体系化、无死角保障。
正如谚语所讲,秘密是你的囚徒,一旦把它泄露出去,你便成了它的囚徒。
企业规范局域网办公行为,保护网络通讯安全稳定的具体方法?
大势至(北京)软件工程有限公司实时推出了可以有效控制电脑USB口使用、防止电脑随意使用优盘的“大势至电脑文件防泄密系统”。大势至电脑文件防泄密系统是一款适用于Windows操作系统的USB设备监控管理软件。该软件适用于企业、政府、军队、广告公司、设计单位等对信息安全性有特殊要求的机构,主要用于防止外部或内部人员有意或随意使用U盘、移动硬盘等USB移动存储设备拷贝内部机密信息而给单位带来的重大损失,达到有效保护单位商业机密的目的。
系统功能
系统主要提供了以下核心功能:
a、全面监控USB存储设备的使用
》禁止电脑连接一切USB存储设备,包括:优盘、移动硬盘、手机、平板等,不影响USB鼠标、键盘、加密狗等。
》设置特定U盘,即电脑只能识别白名单列表中的U盘。同时还可以对特定U盘进行二次权限设置。
》只允许从U盘向电脑拷贝文件,禁止电脑向U盘拷贝文件,或只允许电脑向U盘拷贝文件,禁止U盘向电脑拷贝文件。
》 密码权限设置。设置从电脑向U盘、移动硬盘拷贝文件时需要输入管理员密码。
》禁用CD/DVD光驱、禁止光驱刻录功能,但是允许光驱读取、禁用软驱。
》监控USB存储设备拷贝记录。详细记录U盘拷贝电脑文件时的日志,包括拷贝时间、文件名称等。
b、全面防止网络途径泄密的行为
》禁止聊天软件泄密。设置特定QQ、允许QQ聊天但禁止传文件、禁止QQ群传文件、禁止微信传文件等。
》禁止邮箱外传文件。禁止登录一切邮箱、允许登录特定邮箱、只允许收邮件禁止发送邮件等。
》禁止网盘向外传文件。禁止使用一切网盘、云盘,也可以设置使用特定网盘、云盘等。
》程序黑白名单管理。设置禁止运行的程序列表,或者设置只允许运行的程序列表。
》网页黑白名单管理。设置禁止打开的网址名单,或者设置只允许打开的网址名单。
》禁止登录论坛、博客、贴吧、空间等,禁止使用FTP上传文件、禁止手机和电脑通过网络互传文件等。
c、操作系统底层防护
》禁用注册表、禁用设备管理器、禁用组策略、禁用计算机管理、禁用任务管理器、禁用Msconfig、禁用安全模式、禁用光盘启动电脑、禁用红外、禁用串口/并口、禁用1394、禁用PCMCIA、禁用调制解调器
》禁用U盘启动电脑、禁用DOS命令、禁用格式化和Ghost、禁止修改IP/Mac、屏蔽PrtScn、屏蔽Esc键、屏蔽剪贴板、禁止网络共享、禁止查看进程、屏蔽Win键、屏蔽Ctrl+Alt+A键、禁用Telnet、开机系统自动隐藏运行
》设置全局白名单、禁止局域网通讯、禁用虚拟机、禁止创建用户、禁用有线网卡、禁用无线网卡、禁止安装随身WIFI、禁用蓝牙、登录密码设置、软件唤出热键管理、安装目录权限管理、UAC管理、恢复管理
》禁止开机按F8进入安全模式、禁止光驱启动操作系统、禁止U盘启动操作系统、禁止PE盘启动电脑等,防止各种手段绕过系统监控的情况。
3、产品架构
大势至电脑文件防泄密系统基于单机版和网络版两种架构,单机版安装在一台电脑上;网络版基于C/S架构,分为管理端和客户端,管理员电脑安装管理端,局域网其他电脑安装客户端。
