日前,由中国信息协会主办,信息化观察网、国润互联信息技术研究院、中国信息协会传媒中心承办的首届中国电子政务安全大会在北京成功召开。论客科技吴秀诚受邀出席大会,并带来题为《等保2.0时代,coremail保障政务邮件安全》的主题演讲。
论客科技副总裁吴秀诚
以下是演讲内容实录:
电子邮件系统作为政企事业单位内外部沟通的重要平台,是等保体系中信息系统部分的重要软件。电子邮件系统已成为渗透攻击控制关键信息基础设施的常用通道和有组织入侵窃密的主要入口。电子邮件安全问题已严重威胁政务信息安全、关键信息基础设施安全和国家安全。2018年,全国遭篡改的政府网站达216个。2019年,政府行业企业级用户平均每月共收发约728.7万封各类垃圾邮件,占比达72%。
我们在产品设计之初,就已经将等保标准作为了参考依据,在设计上严格按照等保的体系来架构产品相关服务。可以从几个维度来看:
一是底层数据安全。无论哪个应用,数据安全都是核心的,电子邮件的数据安全挺大的,很多用户的数据量迁移的时候动辄几百上千个T或者几个P,我们系统上每天有几亿封电子邮件在跑,数据量很大,很多时候整个数据安全都会有挑战,邮件是互联网的原生应用,它在60年代是互联网第一代应用,这些协议是比较原始和老旧的,如果不做任何整改数据安全得不到保障,邮件内容、帐号密码都是原文的,不做任何整改,很容易反编译回来,系统导致了数据安全是不够的,这块是需要做大量的整改。我们做了大量加密传输、加密存储、备份、归档等等来保证了整个数据底层的安全。如果这些都不做,邮件系统数据存储和传输,尤其传输应用大量在公网上跑,传输如果有新人做截数据包,很容易组装回来,数据安全是很关键的安全。
其次应用的安全,根据等保鉴定两块,一个是身份鉴别,一个安全审计。用邮件的人,就是互联网上的身份或者ID,顺着邮件的帐号能跟他背后的人来联系或者发生交互,或者做一点事。比较典型的应用场景就是两种,一种是想给领导发诈骗,另外一种对领导不太满意,发点谣言,如果一伪造,这个事情很麻烦,就会产生各种各样衍生的问题,里面可想象空间非常大,有可能导致政治问题或者社会问题。技术上有这么几种,一种是设备绑定,如果邮件什么都不改,是相当的不安全,如果很轻松的破译了你的帐号密码,他都可以很轻松的用。我们可以做设备绑定,指定的设备上才能用,其他的不能用,哪怕有你的帐号密码。另外双因子验证,通过手机短信进行二次验证,对盗用会有行大帮助。还有反病毒引擎,还有三员分立和安全审计,有安全审计员的角色,为了防网管,网管的权特别大,安全角度来说,网管本身就是bug,所以我们设了安全审计员的角色对内容进行三员分立,对它有审计的功能,防止网管做各种事情都可以。
我们有外网、PC、移动端、安卓和IOS,有全套的解决方案。从数据、应用到终端有一整套使用的逻辑,保证使用的安全。任何一个环节出问题,都不是安全的,对黑客或者对目标的攻击者来说有一个点搞定就行,从存储到传输,只要手机被感染了,终端上用邮件,如果没有保护,也可以很轻松攻破,做很多持续的诈骗。我们经常协助包括网警包括公安机构破案协助处理的时候,很多时候都是长期的跟踪APP的攻击,在用户的邮件里,关键的时候冒出来,经常涉及到诈骗都是几十万、上百万美金的诈骗,都是早早就获得了使用者邮件的帐号密码,然后在关键的时候,致命一击。
合规要求,我们是一条一条去对等保,用什么样的产品,用什么样的规格,一条一条去对,包括核心的技术包、加密、证书、备份、归档、径向融合等等规定我们产品的模块以及功能或者性能。1.0和2.0是有点差别的,因为等保1.0也算是设备厂商,今年很多设备机构已经开始试着用2.0做测评了,我们公司上个时期刚刚把2.0自己的系统,自用的做了2.0测评,2.0没有正式发证,相当于2.0的标准走一遍了。等保要求是哪些,可选是哪些,必选是哪些,不同单位建设不同,二级会有解决方案必选的是什么,必须等保二级要求传输加密,加密的模块也有加密机等等,有可选,传输链路的加密,邮件的备份,有高级的备份,不合规项目整改,有等保的服务包,实际上想把跟邮件相关的系统做等保的时候还有很多事情要做的,因为邮件系统虽然是简单系统,但是设计的东西特别多,从后端到前端一整套,如果涉及到加密,软硬件都要有,其实等保在整改项要求特别多,因为暴露在公网上环节多,等保需要去审查的点也多,要考核,要整改的项也会特别多。
我们会有相关的产品的选择,三级更复杂一点,有一个东西叫安全管理中心,这是等保三级明文规定需要的选项,我们很早把这个产品研发出来了,我们在两年之前就把相关的研究出来了,有兴趣可以翻等保合规要求,明显是必选的东西,我们有相关产品对应的,做成一整套等保三级解决方案,对应服务包以及专署的客户端,实际上现在容易出问题的,我们的经验就是客户端容易出问题,可能服务器做很多工作,因为有网管,但是使用端,因为都是普通的使用者,尤其是计算机应用水平不太够的用户,但是往往这些用户有可能是整个单位最高权重的那批人,在那个端上特别容易出问题,或者特别容易成为突破口。端的解决方案现阶段在我们的经验来看,尤其移动端,拿手机很方便,手机的使用者的职位和权利特别高,能拿到的东西就特别多,客户端根据我们的经验来说,使用电子邮件来说,是一个很容易出问题的地方。
这是我们在贯彻等保协助的时候,我们的服务。实际上很多时候,包括我们自己,我们作为设备厂商,我们的东西不是百分之百完全是合规要求的,很多时候要配合整改,配合改进,尤其是现在使用单位很多东西是千奇百怪的,甚至是参差不齐的,可能20个点,30个点,有十几个想的很好,总有几个想不到的,我们要有很多规定动作去配合,比如测评准备、方案编制、系统整改、测评、监督检查等等,我们会协助我们的客户来做相关的等保的动作。比如在协助的时候,很容易出的问题就是很多时候规章制度,尤其是硬件根本不重视,根本没有,这种东西就规范,我们配合客户编写管理规范、规章制度等等。
另外相关的检查项,要检查哪些东西,有可能会漏,可能手机端容易漏,检查的时候只看服务器了,但是端的检查有哪些。关联支撑系统,比如系统本身漏洞或者补丁是不是打好,这个也是相关的准备项。另外现场测评,测评有很多现场发挥得东西,在现场测评的配合,另外测评的人员是有经验和没经验,很多单位的网管有可能一辈子遇到一次两次的测评,这方面的经验还是比较弱的,我们在这块也配合用户做测评方案的编写,做一些相关的协助用户做等保检测服务。
总体来说,安全检测,数据防护,灾难备份,应急处理等等这几个点做安全服务方案,确保在真正使用过程的安全。我们过等保,真的不是为了应付等保处的检查,我理解真不是,过了等保,从1.0开始过,确实在面对黑客攻击的时候是有价值的。最新最火的电影《中国机长》,规范是很重要的,规范是救命的,我的感受在70周年大庆的时候,我们自己也是给客户做等保,在我看来这个才是真正的护网,那个是模拟攻击,这个是真实攻击,原来是演习,70周年是大考,之前的东西就是有用的,可以很有效的防护攻击的情况。所以在国庆70周年里,保护的客户没有一个出问题,得到了实战的检验。如果要害客户出了问题,很麻烦,真的上头条了,可能对相关的从业人员以及对应的分管冷藏都有很大影响,所以规范是很保护自己的。按照等保的条例,一条一条去改一条一条去规范,在实战中真的很管用。
这是我们自己过等保检测的证书,这是之前等保1.0的,这是最新,我们是8月份提交的,要测很久,上周才正式通知我们过测了,这是测评的封面,我们算是在率先使用2.0检测方面有一点经验的厂商了。
顺便说一下等保案例,比如大学,我们帮它做哪些内容,一是方案的规划,文档是等保检测很容易被忽视的,因为很多单位邮件管理整个方案显得非常非常简陋,甚至是没有的。另外例会,整改、漏洞修复,进场以后要干什么,不合规项整改,根据漏扫结果进行修复,协调会,模拟测试等等来做等保。
另外省级信息中心,我们也是协助它来过这个等保的全过程,包括文档申请,测评指标等等来配合用户做等保检测。我们公司总部在广州,全国都有分公司,我们在国庆期间配合网警反追踪,在第一时间,因为是应急,我们马上响应,我们是24小时全程值班,来做反应,效果非常明显。还有一些央企的案例,比如广州比较大的央企南方电网,跟这个对应的是前两年乌克兰有一起网络攻击案例,导致整个国家的全网,就是通过电网系统。都是广州的企业,非常非常重视,我们经常帮他做模拟攻击,模拟钓鱼,每次钓鱼都有发现,有几万员工,总是有一些员工很没有安全意识的。我们跟安全处会有合作,定期有模拟演练,模拟钓鱼邮件,发过去,每次发都是有人中招,如果是黑客,如果是境外分子,也会中招。我们反复的演练,员工安全意识会提高很快,因为内部有奖惩机制,演练几次以后,只有新员工容易中招,一般老员工很清楚的知道这个事情是要小心,不是随便给你一个复件你就随便点,他们已经开始慎重起来。
(本文是论客科技副总裁吴秀诚在首届中国电子政务安全大会上的演讲内容实录,略有删减,未经本人确认。)
