發表日期 4/1/2022, 2:55:20 PM
最近有一則題為《機關、單位微信工作群保密管理須知》 的推文在互聯網上火瞭,這則《須知》從“建群先審批”、“日常嚴審核”、“事畢即解散”幾個維度,從製度層麵,建議機關、單位強化對微信工作群的保密管理。難能可貴的是,這則《須知》給齣瞭具有實操性的建議,如建議機關、單位要規範群名統一為“XX部門XX工作群”,且名稱變更要及時報告。應該說,不僅對機關、單位來說,對於各大企業和個人來說,這則《須知》的建議都有很強建設性。
在《須知》發布後,多傢官方媒體進行瞭廣泛轉載,轉載平台除瞭騰訊、網易、新浪、搜狐等頭部平台外,還有共産黨員網、澎湃新聞等權威媒體,《須知》的相關信息在百度搜索結果高達188萬個,據相關新聞報道,全國已有多傢機關單位組織瞭對《須知》的專題學習,比如3月2日福建省福州市鼓樓區委黨校就集體學習瞭《機關單位微信工作群保密管理須知》,就在同月,各地機關單位還認真學習瞭《微信泄密行為處分建議標準(試行)》,深入貫徹落實國傢保密製度。
《須知》如此受歡迎和國傢先後齣台的保密政策法規不讓人意外:人們愈發習慣用手機群聊辦公,然而工作泄密事件也因此而頻繁上演,要避免工作泄密,既需要更專業的辦公應用,也離不開嚴格的工作紀律規範。
工作群泄露頻發,《須知》爆火,到底怎麼瞭?
這些年,隨著微信在人們的生活中不斷普及,微信群也成瞭人們日常的工作溝通工具。企業有公司群、工作群、項目群,機關有組織群、突發事件處理群、專題事務研究群,學校有傢長老師溝通群……微信群確實提高瞭人們的協作效率、增加瞭辦公的便利性。然而隨著越來越多人使用微信群辦公,微信群泄露工作機密信息的事件也日益頻發。
據媒體報道,某市市委組織部工作人員曾某,收到上級單位下發的一份秘密級文件,要求緊急傳達落實。因需要閱辦的領導外齣不在,曾某為盡快將文件傳達到位,遮蓋文件密級標誌進行掃描,將電子版發送至單位微信工作群,造成泄密。
再比如據柳州市柳江區紀委監委消息,2020年2月3日,柳江區疾控中心工作人員葉某某將一份未經核定、內容涉及保密的調查報告上傳至該中心的微信工作群。之後,該中心工作人員曾某某、潘某某、劉某某3人私自將該調查報告轉發,其中曾某某將該調查報告轉發至其傢族微信群,其親屬再次進行轉發,導緻該調查報告被迅速在網絡上轉發傳播,給柳江區疫情防控工作造成被動和不良社會影響。
實際上,這樣的新聞不勝枚舉。據廣西紀檢監察網《警惕!多名公務員因微信辦公違規被處理》一文總結,就有湖南吉首市、廣西南丹縣、廣西柳州市、廣西富川縣等地齣現公職人員使用微信群或QQ群辦公齣現的泄密事件,有的是在日常工作中的疏忽大意,有的則是帶著炫耀心理把機密文件發到同學群、親戚群,結果均造成嚴重的泄密。對於機關單位工作人來說,泄露工作機密甚至可能會泄露國傢秘密,使用微信辦公導緻泄密還可能違反《中華人民共和國保守國傢秘密法》第四十八條第七款“在互聯網及其他公共信息網絡或者未采取保密措施的有綫和無綫通信中傳遞國傢秘密”,情節嚴重的將被依法追究刑事責任。
對於企業員工來說,工作群泄密會將導緻公司機密外泄,商業利益直接受損。早在2015年,信息安全公司360就曾下發內部文件要求公司所有微信工作群必須於48小時內解散,理由是“為防止公司商業秘密外泄。”其要求員工之間不得通過微信討論任何與工作相關內容,對外交流也不得通過微信討論敏感業務。360此舉是其作為信息安全服務商的先知先覺,現在這一做法正在被更多大廠跟進,很多互聯網大廠如字節跳動、百度、中國移動都應用瞭自主研發的辦公平台。
越來越多的群泄密新聞錶明辦公通訊的安全問題正日益凸顯。那麼,到底要如何避免工作群泄密事件屢次上演?
僅規範“群聊裏的辦公”,或還“不治本”
其實,在《機關、單位微信工作群保密管理須知》火起來之前,就有來自“保密觀”的《【保密提醒】勿讓“微信群”變成“泄密圈”――微信辦公要謹慎》、來自國傢保密局監督檢查司的《警惕!微信辦公泄密的四個高風險環節 》、秘書行政司的《切莫將微信用於涉密辦公》等諸多相關內容,不斷提醒機關單位微信群辦公要防泄密於未然,且都被廣泛轉載。
然而,泄密事件依然時有發生。對於防範泄密,《機關、單位微信工作群保密管理須知》這樣的規範固然有用,不過隻靠這樣的規範來防範辦公泄密還不足夠:
首先,《須知》通過規範流程來盡可能避免人們主觀犯錯,這要求人們使用微信群辦公時要“小心翼翼”,增加瞭辦公人員的心理負擔,也提高瞭微信群辦公的行政成本;
其次,《須知》很難防止另一種主要的泄密情況:無心之失。很多時候辦公人員泄密隻是因為“看走眼”、“手快瞭”、“大意瞭”,他們或許已有極強的保密意識,但有時候看花眼不小心發錯文件到群裏,一旦沒有在2分鍾內撤迴後果就會不堪設想。
最後,《須知》也難以防止一些惡意的泄密情況,比如要求群辦公驗證群成員身份,但也可能會存在冒名頂替的情況;有時候則有彆有用心的人截圖群聊將機密外泄,事前很難防範、事後很難排查。
工作群聊防泄密,根本解決之道在哪裏?
現在看來最有效的解決方案恐怕還是要設置一道“防火牆”,即要求辦公者使用專業、專用的辦公通訊平台。廣西紀檢監察網《警惕!多名公務員因微信辦公違規被處理》一文直接給齣瞭徹底解決方案:“原則上不提倡使用微信辦公……將涉密載體全過程管理與智能手機使用保密管理結閤起來,從源頭上消除涉密文件數字化的隱患。”
不過,對於大多數辦公者來說,直接不用手機群聊辦公也很難:一則是用戶習慣一旦養成瞭就很難改變;二則是由儉入奢易、由奢入儉難,在“懶人經濟”下人們特彆是年輕人都習慣瞭簡單、便捷、高效的溝通方式,群聊辦公確實有很多便捷的地方,對於年輕辦公者來說,傳統的PC係統以及紙質公文式辦公很難再被廣泛接納。
因此, 堵不如疏,與其限製人們用手機群聊辦公“治標”,不如提供可以滿足保密需求的專用辦公通訊平台“治本” ,在兼容辦公者習慣、保障辦公者體驗、提升辦公者效率、給予辦公者便捷的同時,在技術層麵防範泄密,做到百密而無一疏。而專用的辦公通訊平台必須剋服大眾社交通訊平台的短闆:
第一,不專用。微信是熟人社交軟件,在這裏人們的工作圈與生活圈混在一起,很容易導緻工作信息以隨意聊天的方式被主動或被動地“泄密”給瞭“傢人”、“朋友”。而釘釘、企業微信雖可支撐企業日常溝通,但對於機密溝通場景來說依然不是專用的,比如手握大量秘密資料的人群如果使用麵嚮公眾的微信、釘釘的話,無異於不裝殺毒軟件在滿是病毒木馬的網絡上“裸奔”。
第二,不足夠。如果再看得更深一些,微信、釘釘這些都是屬於私營企業開發的基於公有雲的商業化産品,使用的是商用的通信網絡、雲計算平台、存儲設備、芯片等基礎設施,即便我們認為這些企業都“科技嚮善”努力保密打造“電信級”安全,但理論上來說,數據在終端、管道、雲端……幾乎每一個環節都存在泄密風險,除瞭存在被黑客們攻擊的可能性外,還有大國角逐中“技術中立”的脆弱形成的後果,畢竟在商業IT基礎設施上我國依然未能完全自主。
實際上,基於安全、隔離、專用的通訊工具進行辦公的理念,在傳統辦公時代早已健全。前幾年電視劇《人民的名義》大火,有心的觀眾應該留意到,在劇中高育良、沙瑞金等領導幾乎不用手機打電話,而是使用辦公桌上的兩部座機,一部黑色一部紅色,他們給上級和下屬打電話都是用不同顔色的電話,因為紅色電話是副省部級以上領導纔能使用的專門保密座機,使用的是黨政專網保密綫路,據媒體報道這些保密電話都由每個省級行政區設立的專門通信局安裝維護,這是很神秘的副廳級單位,專為國傢機關提供服務。而且保密電話都不能和一般的電話網絡連通,它采用獨特的電話號碼,隻能撥打和接聽保密的專網電話。
(黨政軍單位的紅機黑機)
安全的辦公即時通訊平台,需要體係化的保障
“紅黑機”基於專網綫路、專用號碼、專人使用、專人保障等體係構建起瞭絕密級通信網絡,移動辦公的安全保障,同樣需要用專業、專用的辦公通訊平台,且要形成體係化的保障。
首先,用戶端全場景防護不可少。人們隨時、隨地、隨身的碎片化辦公,有大量的信息和文件傳輸場景,如私聊、群聊、傳輸文件、視頻會議、截圖錄屏等,每一個場景都可能齣現信息泄密。因此專業的辦公通訊平台需要關注辦公即時通訊的全場景,形成無死角的絕對安全。
其次,數據層全鏈路信息安全體係來加持。除瞭在用戶端全場景進行安全保障和防泄密管控外,還要確保信息從産生到傳輸到消費到存儲乃至到銷毀都被全程管控,百密而無一疏。除瞭手機等設備終端外,雲端、管道、芯片等等環節都要確保信息安全,避免信息泄露,且萬一齣現泄露事件有據可查。
最後,技術層專業級信息安全技術做保障。應用數據加密技術、密碼技術、本地化部署技術、區塊鏈技術、信息溯源技術、數據深度清理刪除技術等,確保給數據全程加密“上鎖”,且可以對任何數據使用者、接觸者、傳輸者進行追溯,防範泄密。
可以看到,以上每一點都需要專業的安全通訊平台來實現。
目前市麵上主流的聊天軟件多聚焦於更方便、更好玩的“通訊”,而不是“安全級通訊”。開放、公有化、統一管理是這些産品的特點,相對應地,私有化、加密技術及專業辦公功能的研發投入極大,分布式的私有化部署對於後期服務也會帶來極大挑戰,這正是基於公有雲的傳統互聯網大廠不願意去觸碰的原因。
因此專業級私有化部署的安全辦公通訊平台這件事,還是要專門公司來做。實際上,現在已經有瞭類似的公司在提供專業的辦公通訊服務,比如專注於安全即時通訊辦公的信源密信,就已經形成瞭體係化的辦公即時通訊安全保障。
“信源密信”從其名字可以看齣主打的是“保密”的“密”,也就是辦公通訊的安全保障能力。其産品保留瞭即時消息、群聊、群文件、視頻會議等常見即時通訊軟件提供的功能,且在使用習慣上跟已有主流軟件保持一緻,讓用戶習慣用。在大眾通訊高效、便利性的基礎上,提供體係化的安全保障:
首先,信源密信可進行全場景最高級彆安全防護。 其針對各種場景下的泄密可能性開發瞭大量的內嵌功能,如水印、密聊、橡皮擦、雙刪記錄、禁止截屏、單次閱讀、文檔溯源等專屬加密功能,大幅降低瞭機密信息外泄的可能性,如橡皮擦功能,傳送者若覺得所溝通內容有所不妥,可批量撤迴聊天記錄;即便通過拍照或者掃描泄露的機密信息,信源密信提供的文檔溯源功能亦可藉助特定的明暗水印識彆工具追蹤到泄密者。
其次,信源密信對通訊全過程加密,嚴防任何形式的數據泄露。 其在高效的信息接入和輸齣外,提供“端、管、雲”的全方位安全防護,有效防控黑客入侵、病毒竊取、雲端泄露等常見的數據泄露行為。任何安全都要有足夠的技術來保障,信源密信投入瞭比公眾通訊軟件更多的安全技術,進而更安全。
接著,信源密信可以讓使用單位將數據本地化,“一企一台”的私有化部署能力徹底杜絕數據泄露風險。以信源密信小黑盒為例,其可像書本一樣放置於桌麵,無需運維管理,30秒即可上手使用。基於此,任何通訊數據從産生到傳輸再到存儲,均不通過公有雲,且最終産生的數據存儲在用戶端本地,讓使用者做到數據完全自主可控安全,掌握“數據主權”。顯然,這種“物理層麵”的隔絕,跟《人民的名義》中的“紅黑機”有著一樣的邏輯和價值。
最後,信源密信可在確保安全的基礎上適配企業已有IT係統,並且全麵支持信創。 如今辦公通訊平台已不隻是信息溝通,而是升級成企業/組織的組織管理、工單流程、項目管理、財務報銷等業務事項的綜閤承載平台,企事業單位的“人財物事”都在平台上操作。針對此,信源密信有著很強的兼容性,支持低代碼快速開發,其給政企應用開發者提供瞭一個功能強大的應用構建平台,如內置基礎、布局、業務等多類幾十種常用控件,文本、數字、日期、單選、復選、下拉框、錶格、劃綫等,隻需要簡單拖拽的操作,可幫助政企快速完成個性化應用的開發,實現所見即所得,同時平台采用的標準化技術也支持第三方控件。這意味著信源密信與企事業單位已有IT數字化架構並不衝突,相反,它更多是在最易泄密的移動辦公通訊場景中給企事業單位築上一道防火牆,給人們的辦公通訊和IT係統上一把鎖。
發現大眾通訊辦公有安全泄密痛點的企業很多,且類似的産品不少,包括釘釘等平台也開發瞭“澡堂”這樣的功能來防範泄密。不過,真正可以給政府、企事業單位提供絕密級安全辦公通訊體係化保障的企業卻是屈指可數。
信源密信締造者是知名終端安全管理企業北信源,其在信息安全領域深耕26年,在PC時代就在計算機安全領域頗有建樹,更在中國終端安全管理市場纍計14年占有率穩居第一。
北信源在長期服務於政府單位、軍隊、央國企過程中,洞察到移動辦公這一時代趨勢,深刻感知到客戶在信息安全上的痛點,結閤積纍的安全辦公技術底氣、場景經驗、産品能力、服務體係,率先打造齣聚焦信息安全的移動辦公通訊基座:信源密信。這款産品已經成功服務於國傢部委、軍隊、保密單位、網絡信息管理部門、大型央企、重點科研機構和重點高校、金融機構等,纍計裝機量過1000萬,成為瞭國傢重要單位、重點工程的優選産品,可以說是“強”安全即時通訊品類的隱形冠軍。
據悉,結閤國內各地開展的“微信泄密專項整治”活動和目前疫情反彈居傢辦公的實際情況,北信源公司本著“科技報國”的理念,本之以忠信,持之以慎密,麵嚮國傢重點單位提供私有化部署信源密信的免費試用體驗活動 ―― “慎密行動”, 有需求的單位或機構可以聯係北信源公司申請免費開通試用。
我們正處於國際形勢復雜多變的時代,《機關、單位微信工作群保密管理須知》和《微信泄密行為處分建議標準(試行)》的學習熱再一次敲響安全辦公的警鍾,我們不能貪圖便利和效率而讓群聊成為泄密途徑。對於機關、單位乃至企業來說,信息安全從來都不是一蹴而就的事情,辦公通訊的信息防泄密、數據防泄漏同樣是一個長期的係統工程。除瞭《機關、單位微信工作群保密管理須知》要成為每個辦公者“肌肉記憶”的鐵律,更需要在加密技術、信息安全、産品功能、雲端防控、製度建設等維度的全方位、體係化、無死角保障。
正如諺語所講,秘密是你的囚徒,一旦把它泄露齣去,你便成瞭它的囚徒。