“性冷淡”的企業(yè)聊天工具，里面的秘密比陌陌還多？

世道越來(lái)越艱辛，覓食都要以“團(tuán)伙”為單位。連恐怖分子搞暴恐襲擊都玩多點(diǎn)協(xié)同。

從某業(yè)內(nèi)段子手的吐槽來(lái)看，主打團(tuán)隊(duì)之間協(xié)作的企業(yè)聊天協(xié)作工具在2015年大火是有理可循的。釘釘、今目標(biāo)、紛享銷(xiāo)客、iWork365等等類(lèi)似平臺(tái)都在以各自的姿勢(shì)強(qiáng)勢(shì)插入這個(gè)領(lǐng)域。不過(guò)，有人的地方就有秘密；特別是人多的地方，秘密總是多到無(wú)處容身。

其實(shí)只要不在其中宣布出柜，這種“性冷淡”的內(nèi)部協(xié)作平臺(tái)是沒(méi)有什么“你懂的”秘密的。不過(guò)換一個(gè)角度來(lái)看：身處組織，最重要的秘密大概就是滿(mǎn)載真金白銀的“組織機(jī)密”，泄露組織機(jī)密一向是為我黨所不容的。

講真，如果使用協(xié)作平臺(tái)的大公司組織架構(gòu)圖和高管聊天內(nèi)容這些敏感的信息全部被某黑客竊取，那么他發(fā)家致富一定不是夢(mèng)，出任CEO，迎娶白富美，香艷的人生即將起航。各大平臺(tái)的安全負(fù)責(zé)人的主要職責(zé)就是不讓上述事件發(fā)生。那么這些知名的協(xié)作平臺(tái)在“保密工作”方面都用上了哪些“黑科技”呢？

【iWork365中被打上水印的通知】

對(duì)付“豬隊(duì)友”的黑科技

發(fā)出“宏愿”讓員工365天都愛(ài)工作的“iWork365”是建立在微信企業(yè)號(hào)平臺(tái)之上的，所以在安全方面天生標(biāo)配了騰訊的諸多黑科技。iWork365的CTO楊明給了雷鋒網(wǎng)展示了這張截圖，員工無(wú)論是瀏覽本公司組織架構(gòu)，還是查看聊天記錄或公告，機(jī)主的用戶(hù)名都會(huì)顯眼地“亂入”在背景中。這樣一來(lái)，“手癢”想截屏分享的童鞋就會(huì)心頭一顫、若有所悟。這就是他們對(duì)付“截屏黨”的殺手锏之一。阿里巴巴旗下釘釘團(tuán)隊(duì)的安全負(fù)責(zé)人迦盧告訴雷鋒網(wǎng)，在最新版本的釘釘中，同樣引入了人名水印功能?？磥?lái)這個(gè)黑科技有成為行業(yè)標(biāo)配的潛力。

當(dāng)然，人心叵測(cè)。從科學(xué)的角度上講，要想阻止一個(gè)人把他的所見(jiàn)分享給第三者，是不可能實(shí)現(xiàn)的。這種“把泄密者拉下水”的做法只是提高了泄密的成本。

【坊間流傳阿里的童鞋用釘釘?shù)摹霸杼媚Ｊ健背龉瘛?/strong>

為了進(jìn)一步防“豬隊(duì)友”，今年早些時(shí)候，有來(lái)往團(tuán)隊(duì)背景的釘釘搞出了一個(gè)“脫光衣服”聊天的激進(jìn)功能——澡堂模式。其實(shí)如此驚悚的名字背后，就是一個(gè)閱后即焚的功能。這個(gè)在約X軟件中常用的功能為什么會(huì)被引入商務(wù)平臺(tái)呢？迦盧闡述了一個(gè)邏輯：“比如投標(biāo)報(bào)價(jià)、或者商務(wù)談判的重要信息，往往不想讓對(duì)方留下證據(jù)，這種情況下就可以在澡堂模式中溝通?！痹谠杼媚Ｊ街袑?duì)話雙方幻化為紅藍(lán)兩方，周遭氤氳著各類(lèi)馬賽克。在澡堂模式中，信息不可復(fù)制而且是閱后即焚的。如果你說(shuō)的話是重要機(jī)密，例如你的出柜宣言，那么對(duì)方很難把你說(shuō)過(guò)這話的證據(jù)留存下來(lái)。當(dāng)然，如果對(duì)方截圖之后再用PS把馬賽克“修復(fù)”成你的頭像，或者對(duì)方直接拿一臺(tái)攝像機(jī)對(duì)準(zhǔn)自己的手機(jī)，那么。。。。他贏了。紛享銷(xiāo)客CTO林松介紹，紛享銷(xiāo)客也做了類(lèi)似的功能，只不過(guò)沒(méi)有閱后即焚這么激進(jìn)，而是允許用戶(hù)進(jìn)行撤回、刪除消息等操作。

無(wú)論如何，上述廠商的做法還是在一定程度上增大了泄密的難度，因?yàn)榇蟛糠至奶靺⑴c者的信息泄露是沒(méi)有計(jì)劃性的，而且很多敏感消息被擴(kuò)散僅僅是無(wú)心之舉。只不過(guò)在實(shí)際應(yīng)用中有究竟有多少人會(huì)選擇線上溝通如此敏感的信息，還沒(méi)有具體的數(shù)據(jù)支持。楊明表示，iWork365的團(tuán)隊(duì)就覺(jué)得在企業(yè)內(nèi)部平臺(tái)上加載閱后即焚比較怪異。不過(guò)這顯然是從產(chǎn)品格調(diào)的角度考量。而今目標(biāo)副總裁霍文旌表示，他們?cè)趦?nèi)部討論，認(rèn)為這項(xiàng)功能還是有必要的，只是目前還沒(méi)有開(kāi)發(fā)計(jì)劃。

鑒于以上兩種方法都沒(méi)辦法徹底杜絕信息的泄露，那么只能使出殺手锏了——根本不讓無(wú)關(guān)的人看到“敏感”的信息。比如每個(gè)人的聯(lián)系電話，在釘釘中就是可以被設(shè)置隱藏的。但是釘釘卻仍然允許用戶(hù)通過(guò)運(yùn)營(yíng)商網(wǎng)絡(luò)給同事打電話。為了隱匿掉對(duì)方的電話號(hào)，這種通話請(qǐng)求采取了一種回?fù)艿募夹g(shù)：

比如A想打電話給B，會(huì)接到一個(gè)回?fù)茈娫?，通過(guò)接聽(tīng)這個(gè)回?fù)茈娫拰?shí)現(xiàn)和對(duì)方的通話。在這樣一個(gè)過(guò)程中，A的電話會(huì)暴露給B，而B(niǎo)的電話會(huì)向A隱藏。也就是說(shuō)，即使你有權(quán)限給公司大BOSS打電話，你也是無(wú)法知道他的電話號(hào)碼的。

同樣，組織架構(gòu)其實(shí)也是企業(yè)的重大“秘密”。比如研發(fā)部、董事會(huì)的人員設(shè)置。這樣的情況，有一種比較簡(jiǎn)單的解，那就是組織架構(gòu)可以設(shè)置對(duì)一般員工部分隱身。管理員可以通過(guò)設(shè)置實(shí)現(xiàn)，只有少數(shù)高管可以看到完整的企業(yè)架構(gòu)。而一般的員工只能看到和自己有業(yè)務(wù)聯(lián)系的部門(mén)。即使是使用搜索頁(yè)無(wú)法搜到公司里的“隱身人”，除非有人介紹你和“隱身人”認(rèn)識(shí)，并且通過(guò)釘釘把他的名片發(fā)送給你，才可以建立好友關(guān)系。

如何對(duì)付職業(yè)“海盜”

當(dāng)然，偷竊企業(yè)信息最大的可能性來(lái)自于商業(yè)對(duì)手，或可以從商業(yè)對(duì)手那里獲得好處的機(jī)構(gòu)。他們需要盜取核心的數(shù)據(jù)，例如董事會(huì)討論戰(zhàn)略部署的內(nèi)容、經(jīng)理對(duì)下屬部署投標(biāo)報(bào)價(jià)，還有董事長(zhǎng)叫美女秘書(shū)來(lái)辦公室述職的命令。。。這些信息本來(lái)就是非常私密的交流，通過(guò)買(mǎi)通普通員工并沒(méi)有辦法獲得這類(lèi)聊天記錄。于是利用黑客技術(shù)潛入服務(wù)器系統(tǒng)是一種最為理智的選擇。所以，接下來(lái)的戰(zhàn)場(chǎng)轉(zhuǎn)移到了技術(shù)攻防。

IM系統(tǒng)的安全防護(hù)有簡(jiǎn)單的地方，是因?yàn)榱奶煊涗浺造o態(tài)的形式存儲(chǔ)。對(duì)于靜態(tài)資料，國(guó)際上有一種通用的成熟解決方案，那就是密文存儲(chǔ)。通過(guò)密碼學(xué)的方式把數(shù)據(jù)加密，再把破譯密文的密鑰存儲(chǔ)到安全的地方。理論上在得不到密鑰的情況下， 對(duì)數(shù)據(jù)進(jìn)行暴力破解，即使破解成功也是“山無(wú)棱天地合”的時(shí)代了。

【密文存儲(chǔ)邏輯示意圖】

密文存儲(chǔ)、傳輸鏈路加密目前看來(lái)已經(jīng)成為了主流企業(yè)辦公平臺(tái)的標(biāo)配。但是整個(gè)系統(tǒng)仍然存在一個(gè)巨大的短板。以釘釘為例：對(duì)于密文，是沒(méi)有辦法實(shí)現(xiàn)搜索和好友推薦等功能的，所以釘釘對(duì)于存儲(chǔ)在服務(wù)器上的企業(yè)通訊錄和聊天記錄是存在解密狀態(tài)的。而這個(gè)解密狀態(tài)，恰恰是數(shù)據(jù)最脆弱的時(shí)候。

這時(shí)數(shù)據(jù)面臨的黑客威脅會(huì)陡然增加。由于釘釘身處阿里云之上，所以有關(guān)阿里云的所有安全防護(hù)固然是全部加身。這個(gè)時(shí)候，阿里云的安全性，就等同于釘釘?shù)陌踩粤?。為了超越阿里云的通用安全?jí)別，迦盧在云盾等通用防護(hù)的基礎(chǔ)上增加了專(zhuān)有防護(hù)。釘釘安全團(tuán)隊(duì)正是在維護(hù)這個(gè)專(zhuān)有防護(hù)體系。

我們根據(jù)用戶(hù)的行為來(lái)分析請(qǐng)求是否合法。比如一個(gè)用戶(hù)在短時(shí)間內(nèi)進(jìn)行了大量的訪問(wèn)通訊錄的請(qǐng)求，那么這一定是異常的。

然而，迦盧說(shuō)釘釘運(yùn)行以來(lái)并沒(méi)有發(fā)現(xiàn)惡意的進(jìn)攻，他承認(rèn)“關(guān)鍵是無(wú)利可圖?！笨梢圆聹y(cè)：根據(jù)目前釘釘?shù)陌l(fā)展?fàn)顟B(tài)，也許黑客還不認(rèn)為上面的公司有被攻擊的價(jià)值。對(duì)于迦盧來(lái)說(shuō)，沒(méi)人進(jìn)攻也許不是好事。因?yàn)樗貌坏竭M(jìn)攻的行為模式，進(jìn)而改進(jìn)自身的防護(hù)策略。不過(guò)，他表示針對(duì)正常的訪問(wèn)行為做研究，也是可以讓防御策略進(jìn)步的。況且團(tuán)隊(duì)內(nèi)部經(jīng)常玩一種自己對(duì)自己做攻擊實(shí)驗(yàn)，除此之外阿里巴巴集團(tuán)的安全部也會(huì)兇殘地對(duì)釘釘進(jìn)行不預(yù)先通知的攻擊?！斑€好目前為止沒(méi)有發(fā)現(xiàn)大的漏洞，小的問(wèn)題是會(huì)出現(xiàn)的。”他說(shuō)。

最大的敵人是“自己”

自證清白可能是世界上最燒腦的事情之一了。所有此類(lèi)SaaS平臺(tái)都要面對(duì)一個(gè)終極問(wèn)題，那就是如何說(shuō)服用戶(hù)：“我們通過(guò)嚴(yán)格的內(nèi)控制度，保證自身不會(huì)碰客戶(hù)的數(shù)據(jù)資產(chǎn)”

【今目標(biāo)的特色功能】

霍文旌向雷鋒網(wǎng)介紹，今目標(biāo)由于使用了分布式存儲(chǔ)系統(tǒng)，因此理論上運(yùn)維人員并不能直接從IDC機(jī)房獲取到用戶(hù)的原始數(shù)據(jù)?！岸鴮?duì)于整合后的數(shù)據(jù)，工作人員需要得到授權(quán)，并且層層審批，才能得到指定的部分?jǐn)?shù)據(jù)?！倍斸敳扇×酥幸?guī)中矩，但是頗有成效的方法——第三方認(rèn)證。這里的第三方認(rèn)證就是ISO27001標(biāo)準(zhǔn)。這是國(guó)際認(rèn)可的信息安全管理標(biāo)準(zhǔn)，大意是從人員管理流程和工作流程方面規(guī)范數(shù)據(jù)的利用。業(yè)內(nèi)人士透露，騰訊企業(yè)號(hào)平臺(tái)同樣采用了第三方認(rèn)證的方式，不過(guò)騰訊官方從未對(duì)外公布。iWork365能夠拿下一些要求嚴(yán)苛的大企業(yè)，和第三方認(rèn)證的背書(shū)是分不開(kāi)的。

無(wú)論是否申請(qǐng)第三方認(rèn)證，幾大平臺(tái)均向雷鋒網(wǎng)拍胸脯保證他們擁有嚴(yán)格的內(nèi)控制度。紛享銷(xiāo)客的CTO林松說(shuō)：

紛享銷(xiāo)客對(duì)于線上用戶(hù)數(shù)據(jù)的保密是非?？粗氐?。普通研發(fā)人員是沒(méi)有權(quán)限訪問(wèn)的。對(duì)線上數(shù)據(jù)的訪問(wèn)會(huì)根據(jù)原因，例如客戶(hù)提出的需求，經(jīng)過(guò)嚴(yán)格的審批由專(zhuān)人操作。

除此之外，還有一個(gè)讓安全團(tuán)隊(duì)最為“頭疼”的問(wèn)題。那就是接入平臺(tái)的第三方服務(wù)。

無(wú)論是今目標(biāo)還是釘釘，都在以可以接入第三方的“財(cái)務(wù)系統(tǒng)”“辦公系統(tǒng)”為賣(mài)點(diǎn)。這種三方服務(wù)以ISV（獨(dú)立軟件開(kāi)發(fā)商）的形式接入平臺(tái)，利用平臺(tái)提供的接口進(jìn)行數(shù)據(jù)交流。平臺(tái)對(duì)于接入的服務(wù)有一些基本的安全策略，例如紛享銷(xiāo)客會(huì)對(duì)應(yīng)用調(diào)用的接口進(jìn)行安全認(rèn)證，對(duì)調(diào)用發(fā)起IP和頻次進(jìn)行限制等。并且提供了一個(gè)完整的開(kāi)發(fā)平臺(tái)，在很大程度上對(duì)開(kāi)發(fā)者的開(kāi)發(fā)流程做了規(guī)定。

不過(guò)對(duì)于釘釘來(lái)說(shuō)，主打開(kāi)放平臺(tái)的初衷讓他們并不想對(duì)第三方服務(wù)做出過(guò)多的限制。所以第三方服務(wù)本身的存儲(chǔ)、傳輸、用戶(hù)數(shù)據(jù)保護(hù)等一系列工作，平臺(tái)是無(wú)法深度干預(yù)的。從這一點(diǎn)上來(lái)說(shuō)，接口是容易失控的。迦盧的一番話反映出了釘釘在安全性上的究極痛點(diǎn)：

我不可能讓所有的開(kāi)發(fā)商都在我提供的構(gòu)架上開(kāi)發(fā)，那樣的話就失去了開(kāi)放的價(jià)值。但是同時(shí)，我還要盡可能地保證它們的安全。

他的話道盡了所有友商的辛酸。所有有關(guān)安全的策略最后都會(huì)面臨同一個(gè)問(wèn)題，那就是足夠安全和足夠方便。當(dāng)然平臺(tái)可以根據(jù)自身的經(jīng)驗(yàn)給開(kāi)發(fā)者提供建議，比如釘釘會(huì)建議開(kāi)發(fā)者使用阿里云盾。但是，強(qiáng)勢(shì)的“東家”一定會(huì)喪失好佃戶(hù)。無(wú)論是店大欺客還是客大欺店，都是妥協(xié)，所有人都試圖在其中找到精妙的平衡。用情懷者的話來(lái)說(shuō)，每個(gè)好的產(chǎn)品本質(zhì)上都是一個(gè)好的妥協(xié)。

尾聲

雖說(shuō)企業(yè)協(xié)作平臺(tái)在幕后拼了命研發(fā)“黑科技”來(lái)提高安全防護(hù)水平，但同時(shí)這些大牛們也同時(shí)承認(rèn)：這個(gè)世界上不存在絕對(duì)的安全。如果對(duì)方用巨大的能量來(lái)偷窺，那么防御的力量無(wú)疑也要增大。說(shuō)到底，在大量真金白銀的信息財(cái)富聚集到平臺(tái)之前，一切攻防戰(zhàn)爭(zhēng)都是假想。目前來(lái)看，在通用安全的狀況下，一個(gè)聊天App能做的也許只有這么多。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。