信息化觀察網(wǎng)

日前，由中國信息協(xié)會主辦，信息化觀察網(wǎng)、國潤互聯(lián)信息技術(shù)研究院、中國信息協(xié)會傳媒中心承辦的首屆中國電子政務(wù)安全大會在北京成功召開。論客科技吳秀誠受邀出席大會，并帶來題為《等保2.0時(shí)代，coremail保障政務(wù)郵件安全》的主題演講。

論客科技副總裁吳秀誠

以下是演講內(nèi)容實(shí)錄：

電子郵件系統(tǒng)作為政企事業(yè)單位內(nèi)外部溝通的重要平臺,是等保體系中信息系統(tǒng)部分的重要軟件。電子郵件系統(tǒng)已成為滲透攻擊控制關(guān)鍵信息基礎(chǔ)設(shè)施的常用通道和有組織入侵竊密的主要入口。電子郵件安全問題已嚴(yán)重威脅政務(wù)信息安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家安全。2018年，全國遭篡改的政府網(wǎng)站達(dá)216個(gè)。2019年，政府行業(yè)企業(yè)級用戶平均每月共收發(fā)約728.7萬封各類垃圾郵件，占比達(dá)72%。

我們在產(chǎn)品設(shè)計(jì)之初，就已經(jīng)將等保標(biāo)準(zhǔn)作為了參考依據(jù)，在設(shè)計(jì)上嚴(yán)格按照等保的體系來架構(gòu)產(chǎn)品相關(guān)服務(wù)?？梢詮膸讉€(gè)維度來看：

一是底層數(shù)據(jù)安全。無論哪個(gè)應(yīng)用，數(shù)據(jù)安全都是核心的，電子郵件的數(shù)據(jù)安全挺大的，很多用戶的數(shù)據(jù)量遷移的時(shí)候動輒幾百上千個(gè)T或者幾個(gè)P，我們系統(tǒng)上每天有幾億封電子郵件在跑，數(shù)據(jù)量很大，很多時(shí)候整個(gè)數(shù)據(jù)安全都會有挑戰(zhàn)，郵件是互聯(lián)網(wǎng)的原生應(yīng)用，它在60年代是互聯(lián)網(wǎng)第一代應(yīng)用，這些協(xié)議是比較原始和老舊的，如果不做任何整改數(shù)據(jù)安全得不到保障，郵件內(nèi)容、帳號密碼都是原文的，不做任何整改，很容易反編譯回來，系統(tǒng)導(dǎo)致了數(shù)據(jù)安全是不夠的，這塊是需要做大量的整改。我們做了大量加密傳輸、加密存儲、備份、歸檔等等來保證了整個(gè)數(shù)據(jù)底層的安全。如果這些都不做，郵件系統(tǒng)數(shù)據(jù)存儲和傳輸，尤其傳輸應(yīng)用大量在公網(wǎng)上跑，傳輸如果有新人做截?cái)?shù)據(jù)包，很容易組裝回來，數(shù)據(jù)安全是很關(guān)鍵的安全。

其次應(yīng)用的安全，根據(jù)等保鑒定兩塊，一個(gè)是身份鑒別，一個(gè)安全審計(jì)。用郵件的人，就是互聯(lián)網(wǎng)上的身份或者ID，順著郵件的帳號能跟他背后的人來聯(lián)系或者發(fā)生交互，或者做一點(diǎn)事。比較典型的應(yīng)用場景就是兩種，一種是想給領(lǐng)導(dǎo)發(fā)詐騙，另外一種對領(lǐng)導(dǎo)不太滿意，發(fā)點(diǎn)謠言，如果一偽造，這個(gè)事情很麻煩，就會產(chǎn)生各種各樣衍生的問題，里面可想象空間非常大，有可能導(dǎo)致政治問題或者社會問題。技術(shù)上有這么幾種，一種是設(shè)備綁定，如果郵件什么都不改，是相當(dāng)?shù)牟话踩?，如果很輕松的破譯了你的帳號密碼，他都可以很輕松的用。我們可以做設(shè)備綁定，指定的設(shè)備上才能用，其他的不能用，哪怕有你的帳號密碼。另外雙因子驗(yàn)證，通過手機(jī)短信進(jìn)行二次驗(yàn)證，對盜用會有行大幫助。還有反病毒引擎，還有三員分立和安全審計(jì)，有安全審計(jì)員的角色，為了防網(wǎng)管，網(wǎng)管的權(quán)特別大，安全角度來說，網(wǎng)管本身就是bug，所以我們設(shè)了安全審計(jì)員的角色對內(nèi)容進(jìn)行三員分立，對它有審計(jì)的功能，防止網(wǎng)管做各種事情都可以。

我們有外網(wǎng)、PC、移動端、安卓和IOS，有全套的解決方案。從數(shù)據(jù)、應(yīng)用到終端有一整套使用的邏輯，保證使用的安全。任何一個(gè)環(huán)節(jié)出問題，都不是安全的，對黑客或者對目標(biāo)的攻擊者來說有一個(gè)點(diǎn)搞定就行，從存儲到傳輸，只要手機(jī)被感染了，終端上用郵件，如果沒有保護(hù)，也可以很輕松攻破，做很多持續(xù)的詐騙。我們經(jīng)常協(xié)助包括網(wǎng)警包括公安機(jī)構(gòu)破案協(xié)助處理的時(shí)候，很多時(shí)候都是長期的跟蹤APP的攻擊，在用戶的郵件里，關(guān)鍵的時(shí)候冒出來，經(jīng)常涉及到詐騙都是幾十萬、上百萬美金的詐騙，都是早早就獲得了使用者郵件的帳號密碼，然后在關(guān)鍵的時(shí)候，致命一擊。

合規(guī)要求，我們是一條一條去對等保，用什么樣的產(chǎn)品，用什么樣的規(guī)格，一條一條去對，包括核心的技術(shù)包、加密、證書、備份、歸檔、徑向融合等等規(guī)定我們產(chǎn)品的模塊以及功能或者性能。1.0和2.0是有點(diǎn)差別的，因?yàn)榈缺?.0也算是設(shè)備廠商，今年很多設(shè)備機(jī)構(gòu)已經(jīng)開始試著用2.0做測評了，我們公司上個(gè)時(shí)期剛剛把2.0自己的系統(tǒng)，自用的做了2.0測評，2.0沒有正式發(fā)證，相當(dāng)于2.0的標(biāo)準(zhǔn)走一遍了。等保要求是哪些，可選是哪些，必選是哪些，不同單位建設(shè)不同，二級會有解決方案必選的是什么，必須等保二級要求傳輸加密，加密的模塊也有加密機(jī)等等，有可選，傳輸鏈路的加密，郵件的備份，有高級的備份，不合規(guī)項(xiàng)目整改，有等保的服務(wù)包，實(shí)際上想把跟郵件相關(guān)的系統(tǒng)做等保的時(shí)候還有很多事情要做的，因?yàn)猷]件系統(tǒng)雖然是簡單系統(tǒng)，但是設(shè)計(jì)的東西特別多，從后端到前端一整套，如果涉及到加密，軟硬件都要有，其實(shí)等保在整改項(xiàng)要求特別多，因?yàn)楸┞对诠W(wǎng)上環(huán)節(jié)多，等保需要去審查的點(diǎn)也多，要考核，要整改的項(xiàng)也會特別多。

我們會有相關(guān)的產(chǎn)品的選擇，三級更復(fù)雜一點(diǎn)，有一個(gè)東西叫安全管理中心，這是等保三級明文規(guī)定需要的選項(xiàng)，我們很早把這個(gè)產(chǎn)品研發(fā)出來了，我們在兩年之前就把相關(guān)的研究出來了，有興趣可以翻等保合規(guī)要求，明顯是必選的東西，我們有相關(guān)產(chǎn)品對應(yīng)的，做成一整套等保三級解決方案，對應(yīng)服務(wù)包以及專署的客戶端，實(shí)際上現(xiàn)在容易出問題的，我們的經(jīng)驗(yàn)就是客戶端容易出問題，可能服務(wù)器做很多工作，因?yàn)橛芯W(wǎng)管，但是使用端，因?yàn)槎际瞧胀ǖ氖褂谜撸绕涫怯?jì)算機(jī)應(yīng)用水平不太夠的用戶，但是往往這些用戶有可能是整個(gè)單位最高權(quán)重的那批人，在那個(gè)端上特別容易出問題，或者特別容易成為突破口。端的解決方案現(xiàn)階段在我們的經(jīng)驗(yàn)來看，尤其移動端，拿手機(jī)很方便，手機(jī)的使用者的職位和權(quán)利特別高，能拿到的東西就特別多，客戶端根據(jù)我們的經(jīng)驗(yàn)來說，使用電子郵件來說，是一個(gè)很容易出問題的地方。

這是我們在貫徹等保協(xié)助的時(shí)候，我們的服務(wù)。實(shí)際上很多時(shí)候，包括我們自己，我們作為設(shè)備廠商，我們的東西不是百分之百完全是合規(guī)要求的，很多時(shí)候要配合整改，配合改進(jìn)，尤其是現(xiàn)在使用單位很多東西是千奇百怪的，甚至是參差不齊的，可能20個(gè)點(diǎn)，30個(gè)點(diǎn)，有十幾個(gè)想的很好，總有幾個(gè)想不到的，我們要有很多規(guī)定動作去配合，比如測評準(zhǔn)備、方案編制、系統(tǒng)整改、測評、監(jiān)督檢查等等，我們會協(xié)助我們的客戶來做相關(guān)的等保的動作。比如在協(xié)助的時(shí)候，很容易出的問題就是很多時(shí)候規(guī)章制度，尤其是硬件根本不重視，根本沒有，這種東西就規(guī)范，我們配合客戶編寫管理規(guī)范、規(guī)章制度等等。

另外相關(guān)的檢查項(xiàng)，要檢查哪些東西，有可能會漏，可能手機(jī)端容易漏，檢查的時(shí)候只看服務(wù)器了，但是端的檢查有哪些。關(guān)聯(lián)支撐系統(tǒng)，比如系統(tǒng)本身漏洞或者補(bǔ)丁是不是打好，這個(gè)也是相關(guān)的準(zhǔn)備項(xiàng)。另外現(xiàn)場測評，測評有很多現(xiàn)場發(fā)揮得東西，在現(xiàn)場測評的配合，另外測評的人員是有經(jīng)驗(yàn)和沒經(jīng)驗(yàn)，很多單位的網(wǎng)管有可能一輩子遇到一次兩次的測評，這方面的經(jīng)驗(yàn)還是比較弱的，我們在這塊也配合用戶做測評方案的編寫，做一些相關(guān)的協(xié)助用戶做等保檢測服務(wù)。

總體來說，安全檢測，數(shù)據(jù)防護(hù)，災(zāi)難備份，應(yīng)急處理等等這幾個(gè)點(diǎn)做安全服務(wù)方案，確保在真正使用過程的安全。我們過等保，真的不是為了應(yīng)付等保處的檢查，我理解真不是，過了等保，從1.0開始過，確實(shí)在面對黑客攻擊的時(shí)候是有價(jià)值的。最新最火的電影《中國機(jī)長》，規(guī)范是很重要的，規(guī)范是救命的，我的感受在70周年大慶的時(shí)候，我們自己也是給客戶做等保，在我看來這個(gè)才是真正的護(hù)網(wǎng)，那個(gè)是模擬攻擊，這個(gè)是真實(shí)攻擊，原來是演習(xí)，70周年是大考，之前的東西就是有用的，可以很有效的防護(hù)攻擊的情況。所以在國慶70周年里，保護(hù)的客戶沒有一個(gè)出問題，得到了實(shí)戰(zhàn)的檢驗(yàn)。如果要害客戶出了問題，很麻煩，真的上頭條了，可能對相關(guān)的從業(yè)人員以及對應(yīng)的分管冷藏都有很大影響，所以規(guī)范是很保護(hù)自己的。按照等保的條例，一條一條去改一條一條去規(guī)范，在實(shí)戰(zhàn)中真的很管用。

這是我們自己過等保檢測的證書，這是之前等保1.0的，這是最新，我們是8月份提交的，要測很久，上周才正式通知我們過測了，這是測評的封面，我們算是在率先使用2.0檢測方面有一點(diǎn)經(jīng)驗(yàn)的廠商了。

順便說一下等保案例，比如大學(xué)，我們幫它做哪些內(nèi)容，一是方案的規(guī)劃，文檔是等保檢測很容易被忽視的，因?yàn)楹芏鄦挝秽]件管理整個(gè)方案顯得非常非常簡陋，甚至是沒有的。另外例會，整改、漏洞修復(fù)，進(jìn)場以后要干什么，不合規(guī)項(xiàng)整改，根據(jù)漏掃結(jié)果進(jìn)行修復(fù)，協(xié)調(diào)會，模擬測試等等來做等保。

另外省級信息中心，我們也是協(xié)助它來過這個(gè)等保的全過程，包括文檔申請，測評指標(biāo)等等來配合用戶做等保檢測。我們公司總部在廣州，全國都有分公司，我們在國慶期間配合網(wǎng)警反追蹤，在第一時(shí)間，因?yàn)槭菓?yīng)急，我們馬上響應(yīng)，我們是24小時(shí)全程值班，來做反應(yīng)，效果非常明顯。還有一些央企的案例，比如廣州比較大的央企南方電網(wǎng)，跟這個(gè)對應(yīng)的是前兩年烏克蘭有一起網(wǎng)絡(luò)攻擊案例，導(dǎo)致整個(gè)國家的全網(wǎng)，就是通過電網(wǎng)系統(tǒng)。都是廣州的企業(yè)，非常非常重視，我們經(jīng)常幫他做模擬攻擊，模擬釣魚，每次釣魚都有發(fā)現(xiàn)，有幾萬員工，總是有一些員工很沒有安全意識的。我們跟安全處會有合作，定期有模擬演練，模擬釣魚郵件，發(fā)過去，每次發(fā)都是有人中招，如果是黑客，如果是境外分子，也會中招。我們反復(fù)的演練，員工安全意識會提高很快，因?yàn)閮?nèi)部有獎(jiǎng)懲機(jī)制，演練幾次以后，只有新員工容易中招，一般老員工很清楚的知道這個(gè)事情是要小心，不是隨便給你一個(gè)復(fù)件你就隨便點(diǎn)，他們已經(jīng)開始慎重起來。

（本文是論客科技副總裁吳秀誠在首屆中國電子政務(wù)安全大會上的演講內(nèi)容實(shí)錄，略有刪減，未經(jīng)本人確認(rèn)。）