小小文件居然有這麼多安全漏洞可以鑽!
安全可靠技術和應用研討會本週二在山東省濟南市召開,會議由山東省經濟和資訊化委員會、安全可靠技術和產業聯盟共同主辦。這也意味著資訊化安全問題已經上升到了國家、政府高度重視的層面。
而在眾多的議題中,除了晶片、系統安全層面的安全問題外,出乎我們意料的是,離我們平時日常工作最接近的文件檔案管理系統也同樣存在大量的安全問題,這些問題直接關係到企業甚至政府部門的資訊保安。
金山辦公CTO章慶元在接受我們採訪時解釋,文件安全問題集中爆發的環節主要有四個,首當其衝的就是企業內洩密。在傳統的辦公軟體系統下,有心的人可以用各種方式將政府機密公文或者是企業商業機密偷帶出去,比如複製、列印、攝屏等等,這些傳統辦公軟體都阻止不了。
其次是檔案洩密以後的追溯問題,這對政府和企業來說也是很重要的,如何找到洩密者關係到之後的安全問題會不會再發生。這種情況在我國的政府和企業都發生過,不在這個圈子裡的人是意識不到問題的嚴重性的。
第三是文件密級加祕密標的問題,保密檔案都是要密級標識的,是機密祕密還是絕密,加密多少年,這些都有嚴格的標準。有些檔案該標配的卻沒有標,是很嚴重的事故;而不該單位的亂標密,也會給管理會帶來很多負擔。因此如何適當的標密是件很重要的事情,也是很頭痛的一件事情。
最後是勒索病毒的問題,這個問題在雲解決方案之外幾乎是無解的,如果沒有部署私有云或是使用公有云,一旦重要檔案被勒索病毒汙染,就只能乖乖交“贖金”,否則檔案就不保。而現在很多政府機關和企業的辦公系統中並不具備這樣的條件。
這些都是政府和企業在日常辦公環境中的切身痛點,而要解決這些痛點問題,傳統的辦公軟體是無法提供有效的解決方案的。
安全隱患
那麼要如何解決這些問題?章慶元認為就是要電子公文全生命週期的安全可控。首先針對內部洩密就需要嚴格的許可權管控,哪些檔案哪些人可以開啟,哪些人可以複製,哪些人可以列印,可以在什麼時間內開啟/複製/影印,可以在什麼網路環境下開啟/複製/影印,都要有嚴格的許可權控制。
包括離線狀態下的許可權控制也是必要的,因為洩密者很有可能在斷網的環境下進行操作。因此安全的辦公軟體必須在離線之前就在雲端對檔案做過所有處理,到了本地的之後所有的限制都已經在那了才行。章慶元表示,這些金山WPS全都考慮到了。
其次針對檔案洩密以後的追溯,金山的方案是隱寫數字水印。這套隱藏的數字標記系統是看不見的,但卻真真實實地存在於每一個檔案中。它支援紙質檔案拍照及列印的溯源追蹤,可以通過溯源管理系統提取隱寫的溯源資訊,也可以定位涉及敏感資訊洩露的裝置及人員資訊,為敏感資訊洩露檔案的追蹤定責提供依據。
簡單來說就是,就算是通過攝屏方式竊取的檔案,在一定範圍內也能夠通過隱藏在文件中的特殊標記,找出盜攝的人是誰。
而針對文件密級加祕密標的問題,通過密級關鍵字監控內部流轉的涉密文件是個可行的解決方案。
最後應對勒索病毒,我們前面就說過唯一的辦法就是雲。防毒軟體是搞不定這種狀況的,只有把文件備份到雲上面才能解決,通過歷史版本回溯來找回被汙染的檔案。
正因為辦公環境的多變性、安全漏洞的多樣性、解決方案的複雜性,國家才會需要一個本土化的安全辦公軟體。這裡特別強調本土化也是有相當的考慮的。
首先一點大家肯定都容易理解,只有自主的技術自主的產品才能做到真正的安全和可控,別國的技術產品在一般企業用問題不大,但在國家部委機關、央企國企中使用本身就存在安全風險。
其次一點是中國的企業環境和政府環境與國外也有很大的差別,這種本地化的細節內容只有本土產品能夠考慮到。舉個簡單的例子,中國有個很特殊的東西——“印章”,它在文件裡面表現就很重要,但國外的產品不會考慮到這一點。再比如中國企業的資產負債表跟國外的資產負債表也是不一樣的,直接用國外的模板也是沒法用的。
而從安全層面考慮,由於審批的流程、行文的正規化、公文的標準等等,中國都與國外存在差異,因此在這些環節對安全資訊的敏感度也大不一樣。比如在Excel裡,一串21位的數字不具備任何特殊含義,甚至會給你轉換成科學記數法,但是在本土的WPS表格中就知道這是身份證號碼,是需要做安全隱私處理的。
今天說的這麼多,其實就是讓大家知道,在我們日常的工作環境中,就一個小小的文件系統背後,就能牽扯出大量的安全問題,而且是可以上升到國家安全的問題,可見資訊保安問題的嚴峻。而面對這樣的問題,只能依靠本土廠商的努力,依靠本土化的解決方案,本土企業身上的擔子也重。