中国IDC圈3月31日报道,最近,苹果拒绝在一起国内恐怖案调查中协助联邦调查局,引发了公众的不满。
事件缘由是一起恐怖袭击事件,极端分子持枪攻击聚会人群,造成16人死亡,21人受伤的重大严重惨案,联邦调查局对这一事件立即展开调查,唯一的证据就保存在搭载iOS9操作系统iPhone 5c手机上。FBI费劲周折,始终无法破解密码获取信息,于是请求库克苹果公司协助,但是,库克拒绝了…
一方面是对公众保存在手机上各种信息的安全保密。
一方面美国政府的施压破解iphone的加密系统可能引发的一连串信息泄露问题。
如果你是库克,你是一家掌握着巨大公众信息的公司,你怎么做?
回答这个问题之前,我们先看一组数据:
罗列了从2012年到2015年这4年间重要信息泄露事件,每一条看完可能大家都会瞠目结舌,从个人隐私信息到公司商业机密。随着大数据时代的到来,互联网时代边界开始消失,我们似乎生活在一个被“监视的黄金时代”,10年之前,你不会想到健康信息会保存到智能手机上,你也不会知道你的财务信息、你的对话、商业机密,可能还有很多关于你的信息都已被存储在智能手机上或者云端服务器上,甚至你每天走过的地方都被保存在了微信运动上,你每天的工作内容都保存在钉钉或者蓝信上,而这些数据足够可以描述出一个人详细生活轨迹、财务状况、工作状况以及健康状况。10年前我们可能还穿着裤衩,如今如同穿着皇帝的新装,你觉得自己很安全,其实在“裸泳”。
随着信息化和大数据收集,大量的数据开始被公布于世,通过对网络数据的一些调查发现:2014年,全球数据泄露事件超过1500万起,而且这个数字还将会继续扩大。
信息泄密主要原因:内部组织为了利益泄密
泄密的主要方式:随着科技水平的发展,道高一尺魔高一丈,黑客的技术手段越来越先进,所谓的安全保护都是暂时与相对的,需要及时更新安全系统。
不难看出,其中数据泄露最重要的一条途径则是内部组织人员的有意识利益驱动。过去5年内,在国内包括阿里、银行等大型企业数据以及信息泄露均时有发生,随着微信、钉钉、蓝信等社交和办公软件的大量使用,作为工具方,如果没有足够的“库克”安全意识,那么信息泄露的可能性将会越来越大。
微信作为国内大的社交软件、钉钉作为国内中小企业主流的办公软件、蓝信作为大型及国有企业安全办公软件,它们又是如何保护个人和企业的安全的?
微信作为个人社交工具时,估计安全性与QQ差不多,账号被盗应该不是什么新鲜事,但是微信并非实名认证,大多数是昵称,即使被盗银行卡被转账的风险也没那么高,毕竟转账还需要六位数密码。而作为企业应用,在腾讯微信开发的时候,首先要进行开发者认证,此时腾讯服务器发送一个url携带几个参数过来,然后企业进行验证,再把腾讯发过来的echostr这个字段的内容返回给腾讯,从而完成验证过程。开发者与腾讯服务器共同持有的token(其实相当于私钥,但是此处为了与对称加密的私钥作区别,使用token(令牌)一词,其实腾讯文档中也是使用token一词),该token只有企业和腾讯平台拥有,不可外泄。
说白了,腾讯的公众号平台,在url参数这块实现了防篡改,在xml内容这块实现了防偷窥。总体来说,基本实现了加密技术中的“完整性”和“保密性”。
钉钉作为阿里与微信竞争的一款重量级产品,寄托着阿里在社交应用上的重大期望,但是错就错在阿里想做一款办公软件同时又想做一款社交软件,什么红包、添加手机好友等等功能。而广泛的社交功能与严密的安全问题显然是背道而驰,想要社交必然放弃严格的安全问题,从这一点可以猜测出,钉钉的安全性属于非严密级别,不过对于中小企业来说,信息泄露如同你的私密照与陈冠希的私密照的区别而已,或许阿里依旧继承了淘宝起家模式,定位中小企业。不过,钉钉的加密安全系统据说是阿里神盾局做的,相信在安全上应该比微信不分伯仲。
蓝信作为企业级安全移动工作平台,定位相对来说更加精准,主要针对大中型以及国有企业、交易所基金等重要机构,主打信息安全性能,国内唯一通过等保三级的移动工作平台。与奇虎360合作,每周出具系统安全评估报告,所有版本经过360黑客团队侵入测试、上交所委托第三方安全公司侵入测试、某国家机关安排专业安全机构侵入测试,支持政企专属部署,多种加密技术共同保障,确保数据安全。
区别钉钉大的特点在于它的三种部署模式,公有云服务、私有云部署、私有服务器部署。
1、三类成员资料和沟通数据分别在不同独立域内,数据隔离,确保组织业务和数据管理的安全。
2、在业务和数据安全隔离的前提下,三类成员彼此间的沟通协作顺畅无障碍,并且身份和权限是真实和唯一
3、尤其在三种服务器部署模式下,不同人员间,蓝信仍然保障数据隔离,组织间沟通协作身份权限唯一沟通协作无障碍
说白了,三种部署模式的好处就是有效的防止重要商业机密的内部泄露,从而有效的保障了企业以及用户的个人信息安全。
市面上三款主流的企业办公应用工具,安全级别上也各有侧重,不同的服务级别所对应需求的安全级别也截然不同。作为企业,或许我们更多的应该向库克学习,即使FBI也无法破解信息安全系统。
随着移动互联网的普及,尤其是大数据、物联网、智能化时代的到来,网络安全正在进入全新的时代,安全专家与黑客之间“道高一尺、魔高一丈”的正邪较量也因此在不断升级。其实,不管个人还是企业,学会保护隐私都将是未来面临的一个巨大挑战,而裸泳,至少有个游泳馆。