人妻夜夜爽天天爽三区麻豆AV网站,亚洲AV成人一区二区三区天堂,欧美人与动牲交欧美精品,亚洲AV无码一区东京热久久

【全球聚看點】釘釘,企業(yè)微信,飛書為企業(yè)提供的數(shù)據(jù)安全功能對比

01企業(yè) IM 開啟安全新挑戰(zhàn)


(相關資料圖)

曾幾何時,甲方企業(yè)內(nèi)部的 IT 部門、運維部門或者安全部門,在關于企業(yè)內(nèi)部的信息安全工作的建設上,是有過一段簡單而純粹的幸福時光。搭個局域網(wǎng),電腦上裝上殺毒軟件,選裝個DLP、上網(wǎng)行為管理、桌面管家,剩下的就是時不時看看后臺日志,或者出了事之后回溯下日志,工作大致就交待了。

直到 2013 年,以 IM 形式為切入的國外企業(yè)級超級聚合辦公平臺 Slack 橫空出世。國內(nèi)類似平臺阿里巴巴的釘釘,也于 2015 年 1 月份正式上線,后面跟隨著騰訊的企業(yè)微信(企微),字節(jié)跳動的飛書。

(Slack 劇照)

從此以后,國內(nèi)企業(yè)在享受新型溝通協(xié)作軟件帶來的便捷與效率快感的同時,信息安全的夢魘也就此展開,至今仍未得到緩解。安全的影響都在哪些地方呢:

A

公私融合互聯(lián)網(wǎng)屬性過強,公司與個人賬號和數(shù)據(jù)混雜在一起,數(shù)據(jù)外泄變得容易
B突破內(nèi)網(wǎng)基于公有云的模式(私有化部署版本除外),打破企業(yè)局域網(wǎng)模式
C在線文檔在線文檔癱瘓了文檔 DLP 的防御(DLP 確實應該轉(zhuǎn)型了)
D移動端威脅移動端的安全防護,一直算是企業(yè)的真空地帶,企業(yè)的安全能力還沒有從 PC 時代轉(zhuǎn)變過來,IM 移動端甚至是最重要的一側(cè),企業(yè)在安全管控上難以招架

當然了,這些新的辦公模式是時代的必然,也給企業(yè)帶來了極大的效率和體驗升級。只不過企業(yè)的安全建設跟進速度和轉(zhuǎn)型還遲遲無法跟上,于是企業(yè)的安全團隊就變得極其難過。

02企業(yè) IM 侵入私人空間

企業(yè)內(nèi)外部需要溝通,IM 并不是新鮮事,國內(nèi)企業(yè)在使用以釘釘為代表的聊天溝通工具之前也有不少其它選擇,光是微軟就有OC(Office Communicator)、MSN、Skype 等幾代產(chǎn)品,國內(nèi)至少還有個 QQ(適用于中小團隊內(nèi)部,或者一般企業(yè)對外溝通場景)。有一定規(guī)模和經(jīng)濟實力的企業(yè),還有不少其它商業(yè) IM 的選擇。

以釘釘、企微、飛書為代表的新一代辦公 IM,開啟了信息安全的潘多拉魔盒,而上一代 IM 產(chǎn)品倒還沒這些問題。核心點個人認為在于先行者釘釘早期產(chǎn)品定位的搖擺。企業(yè) IM,本是非常明確的定位,上一代產(chǎn)品重點在“企業(yè)”一詞,但早期的國內(nèi)版本,重點撲向了 IM,幻想著再造出第二個微信。于是開始在產(chǎn)品設計上,模糊了個人和企業(yè)的邊界,比如下面列舉的部分場景。一個新的產(chǎn)品形態(tài)開了這個頭,很難不讓后來者產(chǎn)生印隨的行為。

1、任意添加外部好友:通過個人手機號碼搜索,就能任意添加企業(yè)外部人士為好友,成為好友后企業(yè)內(nèi)部信息也能在好友之間幾乎無礙的流通了,因為可以毫無限制的聊天。

2、添加好友暴露個人隱私:好事者可以親自嘗試一下,通過這些 IM 以及其它任何可以通過手機號添加好友的軟件去檢索,幾乎可以拼湊出人名、大致郵箱、工作單位、性別等個人隱私信息。

3、個人手機號為賬號:不用搭配專用的企業(yè)賬號,個人手機號動態(tài)驗證碼任意登錄。

4、私人網(wǎng)盤方便數(shù)據(jù)備份:自動把群文檔歸檔到搭配的網(wǎng)盤,還貼心地讓企業(yè)網(wǎng)盤和個人網(wǎng)盤共存。

5、離職員工數(shù)據(jù)回收不全:員工離職后,殘留在個人網(wǎng)盤,外部聊天記錄的數(shù)據(jù)無法回收(比如和客戶的聊天記錄)或者回收不全(沒有這個功能或者歷史版本差異問題),導致數(shù)據(jù)直接流失。

國內(nèi)目前主流的企業(yè) IM,均出自互聯(lián)網(wǎng)巨頭,互聯(lián)網(wǎng)的基因決定了其產(chǎn)品互聯(lián)網(wǎng)的屬性,靈活、便捷,安全很多時候反而是一種自我限制,產(chǎn)品在安全設計上的缺位就顯得明顯了。

不過剛說完這句話我就后悔了,因為對標國外的類似產(chǎn)品,其出身無不也是出自科技巨頭(微軟,谷歌)或者年輕的互聯(lián)網(wǎng)基因團隊。而國外產(chǎn)品在安全的考慮上要明顯優(yōu)于國內(nèi)產(chǎn)品。

03國外企業(yè) IM Slack 的安全設計

以 Slack 為代表的國外 IM,對于企業(yè)信息安全的沖擊并未因為其新式的產(chǎn)品形態(tài)而帶來額外沖擊,甚至并沒有沖擊。

單從賬號層面的管理原則就可見差異。Slack 一如既往以郵箱為個人賬號,在企業(yè)角度郵箱是較為友好的信息化管理手段(公司一般都會給員工配置專屬的工作郵箱賬號,而非個人郵箱賬號),同時在添加好友方面,有較為完整的管理手段,如下圖,通過管理員審核的形式,避免了任意添加外部人士為好友的可能。

從這樣的設計原則不難看出,一個真正站在企業(yè)角度去設計的產(chǎn)品,和一個站在個人角度去設計的產(chǎn)品,從一開始走向就不一樣了。

為了同下面國內(nèi)企業(yè) IM 的安全能力有個直觀比較,這里列舉一下 Slack 的安全能力。

分類Slack應用場景
版本號4.32.127企業(yè)統(tǒng)一賬號單點登錄

賬號安全

企業(yè)SSO收費企業(yè)統(tǒng)一賬號單點登錄
密碼規(guī)則收費密碼復雜度要求
二次驗證免費賬密之外的二次身份驗證,比如短信和MFA
加密數(shù)據(jù)加密免費加密聊天數(shù)據(jù)
開放生態(tài)服務市場收費服務市場集成第三方安全應用,與企業(yè)移動性管理 (EMM) 、DLP 集成
合規(guī)支持隱私合規(guī)收費HIPAA 等隱私合規(guī)支持

04國內(nèi)企業(yè) IM 安全能力對比

根據(jù)公開的信息,我整理了一份國內(nèi)三大 IM 的安全能力盤點,匯聚到下面的表格里。需要特別說明的是,這里面并未完全包含各個產(chǎn)品所有的安全能力,尤其是權限管控類的能力在下面表格未有列出,因為關于設置成員能看什么,訪問什么的權限類能力過于細致,且各家未有太大差異,就不單獨列出來了。

排名不分先后,僅僅是按產(chǎn)品問世的時間線排序而已,請莫要過多聯(lián)想。

分類釘釘企微飛書

應用場景

版本號7.0.304.1.66.6.6

賬號安全

企業(yè)SSO--收費企業(yè)統(tǒng)一賬號單點登錄
密碼規(guī)則--收費密碼復雜度要求
二次驗證-免費收費賬密之外的二次身份驗證,比如短信和MFA
登錄有效期--收費強制定期重新登錄

終端安全

設備管理收費收費收費設備盤點和強制下線
移動端加密收費收費收費緩存數(shù)據(jù)加密
粘貼保護--收費特定辦公應用之間才能相互拷貝粘貼數(shù)據(jù),不是簡單的禁止拷貝功能
錄屏防護收費-收費防止錄屏軟件記錄 IM 操作
文件安全檢測收費免費收費檢測 IM 內(nèi)傳輸文件是否為病毒木馬,或者含有敏感數(shù)據(jù)
可信設備-收費-文件僅能被下載到可信設備上

訪問權限

準入訪問-收費收費特定終端環(huán)境和網(wǎng)絡才允許登錄
IP 限制-收費收費只能通過特定 IP 網(wǎng)段才能登錄
應用網(wǎng)關收費--零信任訪問,辦公應用訪問安全

數(shù)據(jù)保護

分類分級--收費針對記錄下來的文檔進行數(shù)據(jù)分類打標簽
數(shù)字水印收費免費收費聊天窗口水印,或者文檔水印
暗水印-收費-通過解析泄密圖片,追蹤泄密人員信息及操作時間
敏感詞過濾-收費收費聊天內(nèi)容是否含有敏感內(nèi)容,如黃暴恐政治等話題
DLP-收費收費檢測文件外泄行為

加密

密鑰管理收費-收費數(shù)據(jù)加密密鑰管理
數(shù)據(jù)加密收費免費收費加密聊天記錄
高管保護防打擾收費--防打擾,防ding,防資料外泄
開放生態(tài)服務市場收費收費-服務市場集成第三方安全應用
合規(guī)支持隱私合規(guī)---各國家地域隱私合規(guī)支持

注:由于本人并無以上所有 IM 的各個收費版本權限,所列內(nèi)容恐有遺漏或不準確之處,如若讀者有發(fā)現(xiàn)請務必告知更正,不甚感謝。

整理完該表格后,著實扭轉(zhuǎn)了本人之前關于三個產(chǎn)品的一些刻板影響,同時也加深了對三家企業(yè)不同特色文化的感受。

創(chuàng)新的飛書,創(chuàng)新的字節(jié)跳動

北京字節(jié)跳動成立于2012年3月,旗下活躍著今日頭條、抖音、TikTok、飛書等在各個領域極具代表性的產(chǎn)品。公司僅僅花了6年時間就成為了估值750億美元的獨角獸,如此神話故事的背后,離不開企業(yè)不斷追求卓越和創(chuàng)新的精神。

創(chuàng)新最簡單的解釋,就是做別人沒做或者不愿意做的事。從上面的表格可以看得出來,飛書在安全上的投入和開放出來的能力,在三者前列。

曾經(jīng)看到過國外咨詢機構對于企業(yè)數(shù)據(jù)安全建設的建議是,“不要比競爭對手做得少,但也不要比競爭對手做得多”。大部分產(chǎn)品也是遵循這樣的原則,都在賬號、權限、審計上強調(diào)自身在數(shù)據(jù)安全建設上的合格性,可見飛書還是愿意打破常規(guī),真的愿意站在客戶角度,去思考創(chuàng)新,并為之投入。不足之處在于,所有額外的安全能力都是收費功能。

開放的企微,坦然的騰訊

表格中綠色的“免費”字樣,只落在了企業(yè)微信的身上。在所有那些除了權限和審計以外的基本安全能力之外,只有企微免費開放了不少的安全功能給企業(yè)客戶使用。如同二次驗證、數(shù)字水印、數(shù)據(jù)加密,都是企業(yè)無比需要且務實的安全功能。

不僅有免費的安全能力,企微還開放了一定的數(shù)據(jù)接口,供企業(yè)或者第三方安全公司用于進行定制化的安全能力自主建設,比如下面的文件泄露檢測開放接口。

企業(yè)微信雖然晚于釘釘,但其應用服務市場亦有安全廠商入?。?/p>

無論從投資生態(tài),產(chǎn)品開放程度上都可見到騰訊早已不是那個 3Q 大戰(zhàn)之前的封閉大哥了。

占得先機的釘釘,服務市場的探索者

原本刻板以為釘釘作為國內(nèi)最早,用戶最廣泛的 IM,在安全能力上應該也不少,但如同表格所列在三家中并不占有優(yōu)勢。最為有特色的還是釘釘構建了非常豐富和活躍的服務商生態(tài),通過釘釘開放出去的 API 接口,由第三方服務商來為企業(yè)打造更多的服務,這是釘釘一大優(yōu)勢,其中涉及到安全的有下面這幾種產(chǎn)品。

05創(chuàng)新的安全功能

釘釘?shù)膽冒踩W(wǎng)關

釘釘自身提供的安全功能,比較有特色的就是這個應用網(wǎng)關,扮演的角色就是近年來比較為安全津津樂道的零信任 SASE,用以安全訪問內(nèi)網(wǎng)應用。

但是這樣的產(chǎn)品構建在釘釘之上,會有些許的別扭。如果是第三方應用,比如企業(yè)使用的是釘釘應用市場的某個 CRM 應用,這樣的安全能力讓企業(yè)買單是無論如何也說不過去的,如果發(fā)生任何應用本身的網(wǎng)絡安全問題,責任一定是第三方應用或者釘釘本身,企業(yè)沒有理由去關心這個問題。

如果是針對企業(yè)內(nèi)部的辦公系統(tǒng),要在外網(wǎng)訪問,但這些系統(tǒng)又沒接入釘釘,那企業(yè)直接采用第三方更為專業(yè)的 VPN 產(chǎn)品就好了,從釘釘這去繞一道,會顯得多此一舉。

企業(yè)微信的可信設備

可信設備管理,是個說起來簡單,但是做好卻極不容易的事情,做好了能發(fā)揮的實用價值亦是極其大。企業(yè)依托于可信設備的功能,能非常有效地規(guī)避很多數(shù)據(jù)泄露的風險。

好的設備管理能力,依賴于對設備唯一性的鑒別。程序如何唯一識別一臺機器并不簡單,隨著終端設備數(shù)量的增長,必然遇到不同設備被鑒別為同一設備,同一設備 ID 變換為新的 ID 的問題。這樣的情況給員工帶來的是體驗問題,企業(yè)運維成本的上升,安全產(chǎn)品客服和技術支持壓力的增長。

飛書的數(shù)據(jù)粘貼保護

這是一個極具創(chuàng)新的能力,目前除了在一些安全辦公空間類產(chǎn)品可見外(比如我自家的 數(shù)影星球 - 下一代數(shù)字辦公空間,幫助企業(yè)降本增效、安全辦公),這是第一個出現(xiàn)在 IM 里的能力??上拗瞥蓡T將飛書內(nèi)的信息粘貼到飛書以外的應用,保護企業(yè)數(shù)據(jù),防止信息泄露。尤其是現(xiàn)在企業(yè)內(nèi)部系統(tǒng)幾乎都是 Web 應用,數(shù)據(jù)可以直接被 Ctrl+V 出去,防護效果顯著。

有人會質(zhì)疑這功能可能會比較雞肋。會這么想的還是思維還停留在 PC 辦公時代,以終端文檔管控為主的時代。殊不知移動互聯(lián)網(wǎng)之后,企業(yè)的辦公應用大多都已經(jīng)轉(zhuǎn)變?yōu)?SaaS 化的應用或者說 Web 化的應用,尤其在科技型的企業(yè)內(nèi),數(shù)據(jù)都以結構化的形式存在應用內(nèi),而不是躺在電腦磁盤上的文件里。數(shù)據(jù)泄露更常見的場景不再是文檔外發(fā),而是數(shù)據(jù)從內(nèi)網(wǎng)站點直接復制拷貝到外網(wǎng)站點,如各類外部的云筆記、云文檔產(chǎn)品。

粘貼復制管控的功能,極具實用價值。

06辦公應用的數(shù)據(jù)安全責任,并不用完全落在應用自身肩上

俗話說術業(yè)有專攻,隔行如隔山。應用開發(fā)者最擅長的還是為用戶提供好用的業(yè)務功能,用于提升客戶效率和體驗。安全相對專業(yè),應用型的開發(fā)者和產(chǎn)品經(jīng)理很難具備專業(yè)安全的素養(yǎng),作為平臺類的構建者或許參考國外同行的經(jīng)驗,盡量開放接口,扶植第三方安全產(chǎn)品,于客戶和平臺自身的投入產(chǎn)出比來說才是最為劃算的。

07對國內(nèi)企業(yè) IM 的安全建議

除了建議如同企微的開放心態(tài)之外,較為實用一點有助于企業(yè)信息安全訴求的就提一點吧。

作為一個企業(yè)級的應用,能不能首先支持企業(yè)郵箱注冊與登錄?

關鍵詞: