现在不少企业是用企业聊天协作工具辅助办公的,比如说钉钉、纷享销客、iWork365等。一旦涉及到工作,就有不少信息、甚至工作内容是涉及到企业机密的。那么,这些知名的写作平台又会采取什么手段来做保密工作呢?
钉钉采取了第三方认证ISO27001标准。是国际认可的信息安全管理标准,大意是从人员管理流程和工作流程方面规范数据的利用。业内人士透露,腾讯企业号平台同样采用了第三方认证的方式,不过腾讯官方从未对外公布。iWork365能够拿下一些要求严苛的大企业,和第三方认证的背书是分不开的。
很多做软件服务类的企业,在自己的领域算是了解的,但是对于申请认证却是一知半解,因此,申请ISO27001、ISO20000这样的适用于IT和服务行业的认证,委托第三方认证咨询公司进行操作,是最方便快捷省事的。
首先,偷窃企业信息最大的可能性来自于商业对手,或可以从商业对手那里获得好处的机构。他们需要盗取核心的数据,例如董事会讨论战略部署的内容、经理对下属部署投标报价,还有董事长叫美女秘书来办公室述职的命令。这些信息本来就是非常私密的交流,通过买通普通员工并没有办法获得这类聊天记录。于是利用黑客技术潜入服务器系统是一种最为理智的选择。所以,接下来的战场转移到了技术攻防。
IM系统的安全防护有简单的地方,是因为聊天记录以静态的形式存储。对于静态资料,国际上有一种通用的成熟解决方案,那就是密文存储。通过密码学的方式把数据加密,再把破译密文的密钥存储到安全的地方。理论上在得不到密钥的情况下, 对数据进行暴力破解,即使破解成功也是“山无棱天地合”的时代了。
密文存储、传输链路加密目前已经成为了主流企业办公平台的标配。但是整个系统仍然存在一个巨大的短板。以钉钉为例:对于密文,是没有办法实现搜索和好友推荐等功能的,所以钉钉对于存储在服务器上的企业通讯录和聊天记录是存在解密状态的。而这个解密状态,恰恰是数据最脆弱的时候。
这时数据面临的黑客威胁会陡然增加。由于钉钉身处阿里云之上,所以有关阿里云的所有安全防护固然是全部加身。这个时候,阿里云的安全性,就等同于钉钉的安全性了。为了超越阿里云的通用安全级别,迦卢在云盾等通用防护的基础上增加了专有防护。钉钉安全团队正是在维护这个专有防护体系。