【全球聚看點(diǎn)】釘釘,企業(yè)微信,飛書(shū)為企業(yè)提供的數據安全功能對比
01企業(yè) IM 開(kāi)啟安全新挑戰
(相關(guān)資料圖)
曾幾何時(shí),甲方企業(yè)內部的 IT 部門(mén)、運維部門(mén)或者安全部門(mén),在關(guān)于企業(yè)內部的信息安全工作的建設上,是有過(guò)一段簡(jiǎn)單而純粹的幸福時(shí)光。搭個(gè)局域網(wǎng),電腦上裝上殺毒軟件,選裝個(gè)DLP、上網(wǎng)行為管理、桌面管家,剩下的就是時(shí)不時(shí)看看后臺日志,或者出了事之后回溯下日志,工作大致就交待了。
直到 2013 年,以 IM 形式為切入的國外企業(yè)級超級聚合辦公平臺 Slack 橫空出世。國內類(lèi)似平臺阿里巴巴的釘釘,也于 2015 年 1 月份正式上線(xiàn),后面跟隨著(zhù)騰訊的企業(yè)微信(企微),字節跳動(dòng)的飛書(shū)。
(Slack 劇照)
從此以后,國內企業(yè)在享受新型溝通協(xié)作軟件帶來(lái)的便捷與效率快感的同時(shí),信息安全的夢(mèng)魘也就此展開(kāi),至今仍未得到緩解。安全的影響都在哪些地方呢:
A | 公私融合 | 互聯(lián)網(wǎng)屬性過(guò)強,公司與個(gè)人賬號和數據混雜在一起,數據外泄變得容易 |
B | 突破內網(wǎng) | 基于公有云的模式(私有化部署版本除外),打破企業(yè)局域網(wǎng)模式 |
C | 在線(xiàn)文檔 | 在線(xiàn)文檔癱瘓了文檔 DLP 的防御(DLP 確實(shí)應該轉型了) |
D | 移動(dòng)端威脅 | 移動(dòng)端的安全防護,一直算是企業(yè)的真空地帶,企業(yè)的安全能力還沒(méi)有從 PC 時(shí)代轉變過(guò)來(lái),IM 移動(dòng)端甚至是最重要的一側,企業(yè)在安全管控上難以招架 |
當然了,這些新的辦公模式是時(shí)代的必然,也給企業(yè)帶來(lái)了極大的效率和體驗升級。只不過(guò)企業(yè)的安全建設跟進(jìn)速度和轉型還遲遲無(wú)法跟上,于是企業(yè)的安全團隊就變得極其難過(guò)。
02企業(yè) IM 侵入私人空間
企業(yè)內外部需要溝通,IM 并不是新鮮事,國內企業(yè)在使用以釘釘為代表的聊天溝通工具之前也有不少其它選擇,光是微軟就有OC(Office Communicator)、MSN、Skype 等幾代產(chǎn)品,國內至少還有個(gè) QQ(適用于中小團隊內部,或者一般企業(yè)對外溝通場(chǎng)景)。有一定規模和經(jīng)濟實(shí)力的企業(yè),還有不少其它商業(yè) IM 的選擇。
以釘釘、企微、飛書(shū)為代表的新一代辦公 IM,開(kāi)啟了信息安全的潘多拉魔盒,而上一代 IM 產(chǎn)品倒還沒(méi)這些問(wèn)題。核心點(diǎn)個(gè)人認為在于先行者釘釘早期產(chǎn)品定位的搖擺。企業(yè) IM,本是非常明確的定位,上一代產(chǎn)品重點(diǎn)在“企業(yè)”一詞,但早期的國內版本,重點(diǎn)撲向了 IM,幻想著(zhù)再造出第二個(gè)微信。于是開(kāi)始在產(chǎn)品設計上,模糊了個(gè)人和企業(yè)的邊界,比如下面列舉的部分場(chǎng)景。一個(gè)新的產(chǎn)品形態(tài)開(kāi)了這個(gè)頭,很難不讓后來(lái)者產(chǎn)生印隨的行為。
1、任意添加外部好友:通過(guò)個(gè)人手機號碼搜索,就能任意添加企業(yè)外部人士為好友,成為好友后企業(yè)內部信息也能在好友之間幾乎無(wú)礙的流通了,因為可以毫無(wú)限制的聊天。
2、添加好友暴露個(gè)人隱私:好事者可以親自嘗試一下,通過(guò)這些 IM 以及其它任何可以通過(guò)手機號添加好友的軟件去檢索,幾乎可以拼湊出人名、大致郵箱、工作單位、性別等個(gè)人隱私信息。
3、個(gè)人手機號為賬號:不用搭配專(zhuān)用的企業(yè)賬號,個(gè)人手機號動(dòng)態(tài)驗證碼任意登錄。
4、私人網(wǎng)盤(pán)方便數據備份:自動(dòng)把群文檔歸檔到搭配的網(wǎng)盤(pán),還貼心地讓企業(yè)網(wǎng)盤(pán)和個(gè)人網(wǎng)盤(pán)共存。
5、離職員工數據回收不全:?jiǎn)T工離職后,殘留在個(gè)人網(wǎng)盤(pán),外部聊天記錄的數據無(wú)法回收(比如和客戶(hù)的聊天記錄)或者回收不全(沒(méi)有這個(gè)功能或者歷史版本差異問(wèn)題),導致數據直接流失。
國內目前主流的企業(yè) IM,均出自互聯(lián)網(wǎng)巨頭,互聯(lián)網(wǎng)的基因決定了其產(chǎn)品互聯(lián)網(wǎng)的屬性,靈活、便捷,安全很多時(shí)候反而是一種自我限制,產(chǎn)品在安全設計上的缺位就顯得明顯了。
不過(guò)剛說(shuō)完這句話(huà)我就后悔了,因為對標國外的類(lèi)似產(chǎn)品,其出身無(wú)不也是出自科技巨頭(微軟,谷歌)或者年輕的互聯(lián)網(wǎng)基因團隊。而國外產(chǎn)品在安全的考慮上要明顯優(yōu)于國內產(chǎn)品。
03國外企業(yè) IM Slack 的安全設計
以 Slack 為代表的國外 IM,對于企業(yè)信息安全的沖擊并未因為其新式的產(chǎn)品形態(tài)而帶來(lái)額外沖擊,甚至并沒(méi)有沖擊。
單從賬號層面的管理原則就可見(jiàn)差異。Slack 一如既往以郵箱為個(gè)人賬號,在企業(yè)角度郵箱是較為友好的信息化管理手段(公司一般都會(huì )給員工配置專(zhuān)屬的工作郵箱賬號,而非個(gè)人郵箱賬號),同時(shí)在添加好友方面,有較為完整的管理手段,如下圖,通過(guò)管理員審核的形式,避免了任意添加外部人士為好友的可能。
從這樣的設計原則不難看出,一個(gè)真正站在企業(yè)角度去設計的產(chǎn)品,和一個(gè)站在個(gè)人角度去設計的產(chǎn)品,從一開(kāi)始走向就不一樣了。
為了同下面國內企業(yè) IM 的安全能力有個(gè)直觀(guān)比較,這里列舉一下 Slack 的安全能力。
分類(lèi) | Slack | 應用場(chǎng)景 | |
---|---|---|---|
版本號 | 4.32.127 | 企業(yè)統一賬號單點(diǎn)登錄 | |
賬號安全 | 企業(yè)SSO | 收費 | 企業(yè)統一賬號單點(diǎn)登錄 |
密碼規則 | 收費 | 密碼復雜度要求 | |
二次驗證 | 免費 | 賬密之外的二次身份驗證,比如短信和MFA | |
加密 | 數據加密 | 免費 | 加密聊天數據 |
開(kāi)放生態(tài) | 服務(wù)市場(chǎng) | 收費 | 服務(wù)市場(chǎng)集成第三方安全應用,與企業(yè)移動(dòng)性管理 (EMM) 、DLP 集成 |
合規支持 | 隱私合規 | 收費 | HIPAA 等隱私合規支持 |
04國內企業(yè) IM 安全能力對比
根據公開(kāi)的信息,我整理了一份國內三大 IM 的安全能力盤(pán)點(diǎn),匯聚到下面的表格里。需要特別說(shuō)明的是,這里面并未完全包含各個(gè)產(chǎn)品所有的安全能力,尤其是權限管控類(lèi)的能力在下面表格未有列出,因為關(guān)于設置成員能看什么,訪(fǎng)問(wèn)什么的權限類(lèi)能力過(guò)于細致,且各家未有太大差異,就不單獨列出來(lái)了。
排名不分先后,僅僅是按產(chǎn)品問(wèn)世的時(shí)間線(xiàn)排序而已,請莫要過(guò)多聯(lián)想。
分類(lèi) | 釘釘 | 企微 | 飛書(shū) | 應用場(chǎng)景 | |
---|---|---|---|---|---|
版本號 | 7.0.30 | 4.1.6 | 6.6.6 | ||
賬號安全 | 企業(yè)SSO | - | - | 收費 | 企業(yè)統一賬號單點(diǎn)登錄 |
密碼規則 | - | - | 收費 | 密碼復雜度要求 | |
二次驗證 | - | 免費 | 收費 | 賬密之外的二次身份驗證,比如短信和MFA | |
登錄有效期 | - | - | 收費 | 強制定期重新登錄 | |
終端安全 | 設備管理 | 收費 | 收費 | 收費 | 設備盤(pán)點(diǎn)和強制下線(xiàn) |
移動(dòng)端加密 | 收費 | 收費 | 收費 | 緩存數據加密 | |
粘貼保護 | - | - | 收費 | 特定辦公應用之間才能相互拷貝粘貼數據,不是簡(jiǎn)單的禁止拷貝功能 | |
錄屏防護 | 收費 | - | 收費 | 防止錄屏軟件記錄 IM 操作 | |
文件安全檢測 | 收費 | 免費 | 收費 | 檢測 IM 內傳輸文件是否為病毒木馬,或者含有敏感數據 | |
可信設備 | - | 收費 | - | 文件僅能被下載到可信設備上 | |
訪(fǎng)問(wèn)權限 | 準入訪(fǎng)問(wèn) | - | 收費 | 收費 | 特定終端環(huán)境和網(wǎng)絡(luò )才允許登錄 |
IP 限制 | - | 收費 | 收費 | 只能通過(guò)特定 IP 網(wǎng)段才能登錄 | |
應用網(wǎng)關(guān) | 收費 | - | - | 零信任訪(fǎng)問(wèn),辦公應用訪(fǎng)問(wèn)安全 | |
數據保護 | 分類(lèi)分級 | - | - | 收費 | 針對記錄下來(lái)的文檔進(jìn)行數據分類(lèi)打標簽 |
數字水印 | 收費 | 免費 | 收費 | 聊天窗口水印,或者文檔水印 | |
暗水印 | - | 收費 | - | 通過(guò)解析泄密圖片,追蹤泄密人員信息及操作時(shí)間 | |
敏感詞過(guò)濾 | - | 收費 | 收費 | 聊天內容是否含有敏感內容,如黃暴恐政治等話(huà)題 | |
DLP | - | 收費 | 收費 | 檢測文件外泄行為 | |
加密 | 密鑰管理 | 收費 | - | 收費 | 數據加密密鑰管理 |
數據加密 | 收費 | 免費 | 收費 | 加密聊天記錄 | |
高管保護 | 防打擾 | 收費 | - | - | 防打擾,防ding,防資料外泄 |
開(kāi)放生態(tài) | 服務(wù)市場(chǎng) | 收費 | 收費 | - | 服務(wù)市場(chǎng)集成第三方安全應用 |
合規支持 | 隱私合規 | - | - | - | 各國家地域隱私合規支持 |
注:由于本人并無(wú)以上所有 IM 的各個(gè)收費版本權限,所列內容恐有遺漏或不準確之處,如若讀者有發(fā)現請務(wù)必告知更正,不甚感謝。
整理完該表格后,著(zhù)實(shí)扭轉了本人之前關(guān)于三個(gè)產(chǎn)品的一些刻板影響,同時(shí)也加深了對三家企業(yè)不同特色文化的感受。
創(chuàng )新的飛書(shū),創(chuàng )新的字節跳動(dòng)
北京字節跳動(dòng)成立于2012年3月,旗下活躍著(zhù)今日頭條、抖音、TikTok、飛書(shū)等在各個(gè)領(lǐng)域極具代表性的產(chǎn)品。公司僅僅花了6年時(shí)間就成為了估值750億美元的獨角獸,如此神話(huà)故事的背后,離不開(kāi)企業(yè)不斷追求卓越和創(chuàng )新的精神。
創(chuàng )新最簡(jiǎn)單的解釋?zhuān)褪亲鰟e人沒(méi)做或者不愿意做的事。從上面的表格可以看得出來(lái),飛書(shū)在安全上的投入和開(kāi)放出來(lái)的能力,在三者前列。
曾經(jīng)看到過(guò)國外咨詢(xún)機構對于企業(yè)數據安全建設的建議是,“不要比競爭對手做得少,但也不要比競爭對手做得多”。大部分產(chǎn)品也是遵循這樣的原則,都在賬號、權限、審計上強調自身在數據安全建設上的合格性,可見(jiàn)飛書(shū)還是愿意打破常規,真的愿意站在客戶(hù)角度,去思考創(chuàng )新,并為之投入。不足之處在于,所有額外的安全能力都是收費功能。
開(kāi)放的企微,坦然的騰訊
表格中綠色的“免費”字樣,只落在了企業(yè)微信的身上。在所有那些除了權限和審計以外的基本安全能力之外,只有企微免費開(kāi)放了不少的安全功能給企業(yè)客戶(hù)使用。如同二次驗證、數字水印、數據加密,都是企業(yè)無(wú)比需要且務(wù)實(shí)的安全功能。
不僅有免費的安全能力,企微還開(kāi)放了一定的數據接口,供企業(yè)或者第三方安全公司用于進(jìn)行定制化的安全能力自主建設,比如下面的文件泄露檢測開(kāi)放接口。
企業(yè)微信雖然晚于釘釘,但其應用服務(wù)市場(chǎng)亦有安全廠(chǎng)商入?。?/p>
無(wú)論從投資生態(tài),產(chǎn)品開(kāi)放程度上都可見(jiàn)到騰訊早已不是那個(gè) 3Q 大戰之前的封閉大哥了。
占得先機的釘釘,服務(wù)市場(chǎng)的探索者
原本刻板以為釘釘作為國內最早,用戶(hù)最廣泛的 IM,在安全能力上應該也不少,但如同表格所列在三家中并不占有優(yōu)勢。最為有特色的還是釘釘構建了非常豐富和活躍的服務(wù)商生態(tài),通過(guò)釘釘開(kāi)放出去的 API 接口,由第三方服務(wù)商來(lái)為企業(yè)打造更多的服務(wù),這是釘釘一大優(yōu)勢,其中涉及到安全的有下面這幾種產(chǎn)品。
05創(chuàng )新的安全功能
釘釘的應用安全網(wǎng)關(guān)
釘釘自身提供的安全功能,比較有特色的就是這個(gè)應用網(wǎng)關(guān),扮演的角色就是近年來(lái)比較為安全津津樂(lè )道的零信任 SASE,用以安全訪(fǎng)問(wèn)內網(wǎng)應用。
但是這樣的產(chǎn)品構建在釘釘之上,會(huì )有些許的別扭。如果是第三方應用,比如企業(yè)使用的是釘釘應用市場(chǎng)的某個(gè) CRM 應用,這樣的安全能力讓企業(yè)買(mǎi)單是無(wú)論如何也說(shuō)不過(guò)去的,如果發(fā)生任何應用本身的網(wǎng)絡(luò )安全問(wèn)題,責任一定是第三方應用或者釘釘本身,企業(yè)沒(méi)有理由去關(guān)心這個(gè)問(wèn)題。
如果是針對企業(yè)內部的辦公系統,要在外網(wǎng)訪(fǎng)問(wèn),但這些系統又沒(méi)接入釘釘,那企業(yè)直接采用第三方更為專(zhuān)業(yè)的 VPN 產(chǎn)品就好了,從釘釘這去繞一道,會(huì )顯得多此一舉。
企業(yè)微信的可信設備
可信設備管理,是個(gè)說(shuō)起來(lái)簡(jiǎn)單,但是做好卻極不容易的事情,做好了能發(fā)揮的實(shí)用價(jià)值亦是極其大。企業(yè)依托于可信設備的功能,能非常有效地規避很多數據泄露的風(fēng)險。
好的設備管理能力,依賴(lài)于對設備唯一性的鑒別。程序如何唯一識別一臺機器并不簡(jiǎn)單,隨著(zhù)終端設備數量的增長(cháng),必然遇到不同設備被鑒別為同一設備,同一設備 ID 變換為新的 ID 的問(wèn)題。這樣的情況給員工帶來(lái)的是體驗問(wèn)題,企業(yè)運維成本的上升,安全產(chǎn)品客服和技術(shù)支持壓力的增長(cháng)。
飛書(shū)的數據粘貼保護
這是一個(gè)極具創(chuàng )新的能力,目前除了在一些安全辦公空間類(lèi)產(chǎn)品可見(jiàn)外(比如我自家的 數影星球 - 下一代數字辦公空間,幫助企業(yè)降本增效、安全辦公),這是第一個(gè)出現在 IM 里的能力??上拗瞥蓡T將飛書(shū)內的信息粘貼到飛書(shū)以外的應用,保護企業(yè)數據,防止信息泄露。尤其是現在企業(yè)內部系統幾乎都是 Web 應用,數據可以直接被 Ctrl+V 出去,防護效果顯著(zhù)。
有人會(huì )質(zhì)疑這功能可能會(huì )比較雞肋。會(huì )這么想的還是思維還停留在 PC 辦公時(shí)代,以終端文檔管控為主的時(shí)代。殊不知移動(dòng)互聯(lián)網(wǎng)之后,企業(yè)的辦公應用大多都已經(jīng)轉變?yōu)?SaaS 化的應用或者說(shuō) Web 化的應用,尤其在科技型的企業(yè)內,數據都以結構化的形式存在應用內,而不是躺在電腦磁盤(pán)上的文件里。數據泄露更常見(jiàn)的場(chǎng)景不再是文檔外發(fā),而是數據從內網(wǎng)站點(diǎn)直接復制拷貝到外網(wǎng)站點(diǎn),如各類(lèi)外部的云筆記、云文檔產(chǎn)品。
粘貼復制管控的功能,極具實(shí)用價(jià)值。
06辦公應用的數據安全責任,并不用完全落在應用自身肩上
俗話(huà)說(shuō)術(shù)業(yè)有專(zhuān)攻,隔行如隔山。應用開(kāi)發(fā)者最擅長(cháng)的還是為用戶(hù)提供好用的業(yè)務(wù)功能,用于提升客戶(hù)效率和體驗。安全相對專(zhuān)業(yè),應用型的開(kāi)發(fā)者和產(chǎn)品經(jīng)理很難具備專(zhuān)業(yè)安全的素養,作為平臺類(lèi)的構建者或許參考國外同行的經(jīng)驗,盡量開(kāi)放接口,扶植第三方安全產(chǎn)品,于客戶(hù)和平臺自身的投入產(chǎn)出比來(lái)說(shuō)才是最為劃算的。
07對國內企業(yè) IM 的安全建議
除了建議如同企微的開(kāi)放心態(tài)之外,較為實(shí)用一點(diǎn)有助于企業(yè)信息安全訴求的就提一點(diǎn)吧。
作為一個(gè)企業(yè)級的應用,能不能首先支持企業(yè)郵箱注冊與登錄?
關(guān)鍵詞: