天极大咖秀

登录 | 申请注册

从机关单位群聊保密须知,看高安全办公即时通讯的必要性

罗超频道 2022-04-01 阅读: 6,800 次

最近有一则题为《机关、单位微信工作群保密管理须知》 的推文在互联网上火了,这则《须知》从“建群先审批”、“日常严审核”、“事毕即解散”几个维度,从制度层面,建议机关、单位强化对微信工作群的保密管理。难能可贵的是,这则《须知》给出了具有实操性的建议,如建议机关、单位要规范群名统一为“XX部门XX工作群”,且名称变更要及时报告。应该说,不仅对机关、单位来说,对于各大企业和个人来说,这则《须知》的建议都有很强建设性。

在《须知》发布后,多家官方媒体进行了广泛转载,转载平台除了腾讯、网易、新浪、搜狐等头部平台外,还有共产党员网、澎湃新闻等权威媒体,《须知》的相关信息在百度搜索结果高达188万个,据相关新闻报道,全国已有多家机关单位组织了对《须知》的专题学习,比如3月2日福建省福州市鼓楼区委党校就集体学习了《机关单位微信工作群保密管理须知》,就在同月,各地机关单位还认真学习了《微信泄密行为处分建议标准(试行)》,深入贯彻落实国家保密制度。

《须知》如此受欢迎和国家先后出台的保密政策法规不让人意外:人们愈发习惯用手机群聊办公,然而工作泄密事件也因此而频繁上演,要避免工作泄密,既需要更专业的办公应用,也离不开严格的工作纪律规范。

工作群泄露频发,《须知》爆火,到底怎么了?

这些年,随着微信在人们的生活中不断普及,微信群也成了人们日常的工作沟通工具。企业有公司群、工作群、项目群,机关有组织群、突发事件处理群、专题事务研究群,学校有家长老师沟通群……微信群确实提高了人们的协作效率、增加了办公的便利性。然而随着越来越多人使用微信群办公,微信群泄露工作机密信息的事件也日益频发。

据媒体报道,某市市委组织部工作人员曾某,收到上级单位下发的一份秘密级文件,要求紧急传达落实。因需要阅办的领导外出不在,曾某为尽快将文件传达到位,遮盖文件密级标志进行扫描,将电子版发送至单位微信工作群,造成泄密。

再比如据柳州市柳江区纪委监委消息,2020年2月3日,柳江区疾控中心工作人员叶某某将一份未经核定、内容涉及保密的调查报告上传至该中心的微信工作群。之后,该中心工作人员曾某某、潘某某、刘某某3人私自将该调查报告转发,其中曾某某将该调查报告转发至其家族微信群,其亲属再次进行转发,导致该调查报告被迅速在网络上转发传播,给柳江区疫情防控工作造成被动和不良社会影响。

实际上,这样的新闻不胜枚举。据广西纪检监察网《警惕!多名公务员因微信办公违规被处理》一文总结,就有湖南吉首市、广西南丹县、广西柳州市、广西富川县等地出现公职人员使用微信群或QQ群办公出现的泄密事件,有的是在日常工作中的疏忽大意,有的则是带着炫耀心理把机密文件发到同学群、亲戚群,结果均造成严重的泄密。对于机关单位工作人来说,泄露工作机密甚至可能会泄露国家秘密,使用微信办公导致泄密还可能违反《中华人民共和国保守国家秘密法》第四十八条第七款“在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密”,情节严重的将被依法追究刑事责任。

对于企业员工来说,工作群泄密会将导致公司机密外泄,商业利益直接受损。早在2015年,信息安全公司360就曾下发内部文件要求公司所有微信工作群必须于48小时内解散,理由是“为防止公司商业秘密外泄。”其要求员工之间不得通过微信讨论任何与工作相关内容,对外交流也不得通过微信讨论敏感业务。360此举是其作为信息安全服务商的先知先觉,现在这一做法正在被更多大厂跟进,很多互联网大厂如字节跳动、百度、中国移动都应用了自主研发的办公平台。

越来越多的群泄密新闻表明办公通讯的安全问题正日益凸显。那么,到底要如何避免工作群泄密事件屡次上演?

仅规范“群聊里的办公”,或还“不治本”

其实,在《机关、单位微信工作群保密管理须知》火起来之前,就有来自“保密观”的《【保密提醒】勿让“微信群”变成“泄密圈”——微信办公要谨慎》、来自国家保密局监督检查司的《警惕!微信办公泄密的四个高风险环节 》、秘书行政司的《切莫将微信用于涉密办公》等诸多相关内容,不断提醒机关单位微信群办公要防泄密于未然,且都被广泛转载。

然而,泄密事件依然时有发生。对于防范泄密,《机关、单位微信工作群保密管理须知》这样的规范固然有用,不过只靠这样的规范来防范办公泄密还不足够:

首先,《须知》通过规范流程来尽可能避免人们主观犯错,这要求人们使用微信群办公时要“小心翼翼”,增加了办公人员的心理负担,也提高了微信群办公的行政成本;

其次,《须知》很难防止另一种主要的泄密情况:无心之失。很多时候办公人员泄密只是因为“看走眼”、“手快了”、“大意了”,他们或许已有极强的保密意识,但有时候看花眼不小心发错文件到群里,一旦没有在2分钟内撤回后果就会不堪设想。

最后,《须知》也难以防止一些恶意的泄密情况,比如要求群办公验证群成员身份,但也可能会存在冒名顶替的情况;有时候则有别有用心的人截图群聊将机密外泄,事前很难防范、事后很难排查。

工作群聊防泄密,根本解决之道在哪里?

现在看来最有效的解决方案恐怕还是要设置一道“防火墙”,即要求办公者使用专业、专用的办公通讯平台。广西纪检监察网《警惕!多名公务员因微信办公违规被处理》一文直接给出了彻底解决方案:“原则上不提倡使用微信办公……将涉密载体全过程管理与智能手机使用保密管理结合起来,从源头上消除涉密文件数字化的隐患。”

不过,对于大多数办公者来说,直接不用手机群聊办公也很难:一则是用户习惯一旦养成了就很难改变;二则是由俭入奢易、由奢入俭难,在“懒人经济”下人们特别是年轻人都习惯了简单、便捷、高效的沟通方式,群聊办公确实有很多便捷的地方,对于年轻办公者来说,传统的PC系统以及纸质公文式办公很难再被广泛接纳。

因此,堵不如疏,与其限制人们用手机群聊办公“治标”,不如提供可以满足保密需求的专用办公通讯平台“治本”,在兼容办公者习惯、保障办公者体验、提升办公者效率、给予办公者便捷的同时,在技术层面防范泄密,做到百密而无一疏。而专用的办公通讯平台必须克服大众社交通讯平台的短板:

第一,不专用。微信是熟人社交软件,在这里人们的工作圈与生活圈混在一起,很容易导致工作信息以随意聊天的方式被主动或被动地“泄密”给了“家人”、“朋友”。而钉钉、企业微信虽可支撑企业日常沟通,但对于机密沟通场景来说依然不是专用的,比如手握大量秘密资料的人群如果使用面向公众的微信、钉钉的话,无异于不装杀毒软件在满是病毒木马的网络上“裸奔”。

第二,不足够。如果再看得更深一些,微信、钉钉这些都是属于私营企业开发的基于公有云的商业化产品,使用的是商用的通信网络、云计算平台、存储设备、芯片等基础设施,即便我们认为这些企业都“科技向善”努力保密打造“电信级”安全,但理论上来说,数据在终端、管道、云端……几乎每一个环节都存在泄密风险,除了存在被黑客们攻击的可能性外,还有大国角逐中“技术中立”的脆弱形成的后果,毕竟在商业IT基础设施上我国依然未能完全自主。

实际上,基于安全、隔离、专用的通讯工具进行办公的理念,在传统办公时代早已健全。前几年电视剧《人民的名义》大火,有心的观众应该留意到,在剧中高育良、沙瑞金等领导几乎不用手机打电话,而是使用办公桌上的两部座机,一部黑色一部红色,他们给上级和下属打电话都是用不同颜色的电话,因为红色电话是副省部级以上领导才能使用的专门保密座机,使用的是党政专网保密线路,据媒体报道这些保密电话都由每个省级行政区设立的专门通信局安装维护,这是很神秘的副厅级单位,专为国家机关提供服务。而且保密电话都不能和一般的电话网络连通,它采用独特的电话号码,只能拨打和接听保密的专网电话。

(党政军单位的红机黑机)

安全的办公即时通讯平台,需要体系化的保障

“红黑机”基于专网线路、专用号码、专人使用、专人保障等体系构建起了绝密级通信网络,移动办公的安全保障,同样需要用专业、专用的办公通讯平台,且要形成体系化的保障。

首先,用户端全场景防护不可少。人们随时、随地、随身的碎片化办公,有大量的信息和文件传输场景,如私聊、群聊、传输文件、视频会议、截图录屏等,每一个场景都可能出现信息泄密。因此专业的办公通讯平台需要关注办公即时通讯的全场景,形成无死角的绝对安全。

其次,数据层全链路信息安全体系来加持。除了在用户端全场景进行安全保障和防泄密管控外,还要确保信息从产生到传输到消费到存储乃至到销毁都被全程管控,百密而无一疏。除了手机等设备终端外,云端、管道、芯片等等环节都要确保信息安全,避免信息泄露,且万一出现泄露事件有据可查。

最后,技术层专业级信息安全技术做保障。应用数据加密技术、密码技术、本地化部署技术、区块链技术、信息溯源技术、数据深度清理删除技术等,确保给数据全程加密“上锁”,且可以对任何数据使用者、接触者、传输者进行追溯,防范泄密。

可以看到,以上每一点都需要专业的安全通讯平台来实现。

目前市面上主流的聊天软件多聚焦于更方便、更好玩的“通讯”,而不是“安全级通讯”。开放、公有化、统一管理是这些产品的特点,相对应地,私有化、加密技术及专业办公功能的研发投入极大,分布式的私有化部署对于后期服务也会带来极大挑战,这正是基于公有云的传统互联网大厂不愿意去触碰的原因。

因此专业级私有化部署的安全办公通讯平台这件事,还是要专门公司来做。实际上,现在已经有了类似的公司在提供专业的办公通讯服务,比如专注于安全即时通讯办公的信源密信,就已经形成了体系化的办公即时通讯安全保障。

“信源密信”从其名字可以看出主打的是“保密”的“密”,也就是办公通讯的安全保障能力。其产品保留了即时消息、群聊、群文件、视频会议等常见即时通讯软件提供的功能,且在使用习惯上跟已有主流软件保持一致,让用户习惯用。在大众通讯高效、便利性的基础上,提供体系化的安全保障:

首先,信源密信可进行全场景最高级别安全防护。其针对各种场景下的泄密可能性开发了大量的内嵌功能,如水印、密聊、橡皮擦、双删记录、禁止截屏、单次阅读、文档溯源等专属加密功能,大幅降低了机密信息外泄的可能性,如橡皮擦功能,传送者若觉得所沟通内容有所不妥,可批量撤回聊天记录;即便通过拍照或者扫描泄露的机密信息,信源密信提供的文档溯源功能亦可借助特定的明暗水印识别工具追踪到泄密者。

其次,信源密信对通讯全过程加密,严防任何形式的数据泄露。其在高效的信息接入和输出外,提供“端、管、云”的全方位安全防护,有效防控黑客入侵、病毒窃取、云端泄露等常见的数据泄露行为。任何安全都要有足够的技术来保障,信源密信投入了比公众通讯软件更多的安全技术,进而更安全。

接着,信源密信可以让使用单位将数据本地化,“一企一台”的私有化部署能力彻底杜绝数据泄露风险。以信源密信小黑盒为例,其可像书本一样放置于桌面,无需运维管理,30秒即可上手使用。基于此,任何通讯数据从产生到传输再到存储,均不通过公有云,且最终产生的数据存储在用户端本地,让使用者做到数据完全自主可控安全,掌握“数据主权”。显然,这种“物理层面”的隔绝,跟《人民的名义》中的“红黑机”有着一样的逻辑和价值。

最后,信源密信可在确保安全的基础上适配企业已有IT系统,并且全面支持信创。如今办公通讯平台已不只是信息沟通,而是升级成企业/组织的组织管理、工单流程、项目管理、财务报销等业务事项的综合承载平台,企事业单位的“人财物事”都在平台上操作。针对此,信源密信有着很强的兼容性,支持低代码快速开发,其给政企应用开发者提供了一个功能强大的应用构建平台,如内置基础、布局、业务等多类几十种常用控件,文本、数字、日期、单选、复选、下拉框、表格、划线等,只需要简单拖拽的操作,可帮助政企快速完成个性化应用的开发,实现所见即所得,同时平台采用的标准化技术也支持第三方控件。这意味着信源密信与企事业单位已有IT数字化架构并不冲突,相反,它更多是在最易泄密的移动办公通讯场景中给企事业单位筑上一道防火墙,给人们的办公通讯和IT系统上一把锁。

发现大众通讯办公有安全泄密痛点的企业很多,且类似的产品不少,包括钉钉等平台也开发了“澡堂”这样的功能来防范泄密。不过,真正可以给政府、企事业单位提供绝密级安全办公通讯体系化保障的企业却是屈指可数。

信源密信缔造者是知名终端安全管理企业北信源,其在信息安全领域深耕26年,在PC时代就在计算机安全领域颇有建树,更在中国终端安全管理市场累计14年占有率稳居第一。

北信源在长期服务于政府单位、军队、央国企过程中,洞察到移动办公这一时代趋势,深刻感知到客户在信息安全上的痛点,结合积累的安全办公技术底气、场景经验、产品能力、服务体系,率先打造出聚焦信息安全的移动办公通讯基座:信源密信。这款产品已经成功服务于国家部委、军队、保密单位、网络信息管理部门、大型央企、重点科研机构和重点高校、金融机构等,累计装机量过1000万,成为了国家重要单位、重点工程的优选产品,可以说是“强”安全即时通讯品类的隐形冠军。

据悉,结合国内各地开展的“微信泄密专项整治”活动和目前疫情反弹居家办公的实际情况,北信源公司本着“科技报国”的理念,本之以忠信,持之以慎密,面向国家重点单位提供私有化部署信源密信的免费试用体验活动 —— “慎密行动”,有需求的单位或机构可以联系北信源公司申请免费开通试用。

我们正处于国际形势复杂多变的时代,《机关、单位微信工作群保密管理须知》和《微信泄密行为处分建议标准(试行)》的学习热再一次敲响安全办公的警钟,我们不能贪图便利和效率而让群聊成为泄密途径。对于机关、单位乃至企业来说,信息安全从来都不是一蹴而就的事情,办公通讯的信息防泄密、数据防泄漏同样是一个长期的系统工程。除了《机关、单位微信工作群保密管理须知》要成为每个办公者“肌肉记忆”的铁律,更需要在加密技术、信息安全、产品功能、云端防控、制度建设等维度的全方位、体系化、无死角保障。

正如谚语所讲,秘密是你的囚徒,一旦把它泄露出去,你便成了它的囚徒。

罗超频道
专注于AI科技行业观察。

特别声明:文章版权归原作者所有,文章内容为作者个人观点,不代表大咖秀专栏的立场,转载请联系原作者获取授权。(有任何疑问都请联系wemedia@yesky.com)