2020年初,一种新型冠状病毒以超强的传播能力把我们笼罩在了新冠肺炎的疫情之中。在专家呼吁和告诫下,人们“待在家”、“少外出”、“不聚集”,共同抗击新冠肺炎疫情。面对员工不能返岗的情况,很多企业纷纷组织员工使用移动端的聊天工具、视频会议工具、移动端互联网办公协作软件等开展远程办公。
但是,在便捷的移动互联网的聊天、视频会议和远程办公中难免会涉及企业的敏感信息和商业秘密,这些信息和资料存储在互联网上,散布在企业员工、客户、上下游协作单位人员的手机或笔记本电脑中。在各种流氓软件、间谍软件、垃圾邮件、爬虫技术、数据截获、嗅探、监听肆意泛滥的移动互联网,企业的数字资产、商业秘密和内部机密存在着很高的数据泄露风险。对于员工数量庞大和多元化业务交叉组合发展的大中型企业和集团企业,数据安全问题就犹如是悬在头上的达摩克利斯之剑,隐藏在高效便捷的互联网协作的表象之下。
品高软件自成立之日起,便专注于企业的信息化数字化建设,服务于众多政务、公安、电信、教育、轨交等行业的大型企事业客户,对于大中型企业在信息安全方面的要求更是有深入的理解。在竞争日益激烈的市场环境下,企业越来越重视客户及业务(生产)信息、业务(生产)资料、设计文档、知识产权等企业核心数字资产的安全防护。而企业的办公协作都是围绕着企业的这些核心数字资产而展开的,作为品高云系列产品中解决企业内外协作问题应用平台——聆客企业协作平台(以下简称聆客),从架构、传输、认证、设备、功能等方面,为大中型企业和集团的企业协作提供了更加安全更加自主可控的应对方案。
架构层面
谈到企业的IT架构,有句名言想必大家都知道:“一切抛开业务的架构设计都是耍流氓”。这里所设计的架构主要是针对于以下情况的企业。
大中型企业和集团企业往往已经具备了一定的信息化基础,其主要业务大部分已经建成了相应的信息系统运行在企业内部。但随着社会快速的发展,越来越多的大型企业都在呼唤稳态和敏态的双态IT支撑能力,并且这些企业更加重视数据的安全和企业自己的数据资产,在企业协作方面,同样希望能够拥有更强的可控能力。
为了满足这类企业的需求,同时又使企业能够享受到云计算和共享理念的红利,品高软件的聆客企业协作平台提供了混合的架构模式。
聆客平台将即时通讯、群组、动态、服务号、公告、日程、签到、项目等通用协作服务搭建在公有云资源上,通过公有云提供服务,所产生的基础协作数据,会推送给企业进行私有化存储。为了保证企业稳态发展,原有的传统业务系统仍然可以在原来的环境中继续运行,聆客平台通过与这些传统业务进行必要的对接、提供新型的业务服务,打造企业专属的协作平台,促进企业高效的协作协同,支撑企业实现敏态发展。对于聆客平台中嵌入的这些涉及更多企业敏感业务数据的对接服务,聆客平台支持将其部署在客户的私有化环境或VPC中,所产生的数据也在客户的自主管控之下。
此外,聆客平台中的企业云盘对于企业的各种非结构化的文档和资料的管理也同样采取了混合架构。云盘的各种服务是通过公有云提供的,但其文件数据却是存储于企业私有化的存储服务器中的。基于品高云S3协议的分布式存储,冗余+多通道读取技术,保障企业数据的存储安全和无间断的访问服务。同时,对文件提供加密存储,防止非授权用户绕过应用系统访问敏感数据。
采用这种混合架构,能够使企业在其原有IT架构的基础上进行渐进式的演变,既充分利用企业已投入的IT资产价值、确保了企业信息化数字化的稳妥演进,又能够享受移动互联网的便捷;既帮助企业实现敏捷创新,又确保了企业能够自主掌控自己的核心数据资产。
网络传输层面
混合架构下,客户端到服务端的连接以及公有云与私有云之间的桥接,都要考虑其在网络传输层面的安全要求。
基于聆客为企业打造的专属协作平台包含了通用的协作工具,并嵌入了对接企业专有业务的轻应用,其客户端与聆客平台公有云服务端之间的通信采用HTTPS超文本安全传输协议,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为客户端和服务器之间的通信加密,保证了通讯过程中数据不被泄密和篡改。
对于聆客平台中嵌入的企业专有业务的轻应用,当其要访问企业私有数据时,为了保证更高的安全性,可以采用VPN的接入方式进行访问,通过加密通道,请求对应的网络访问权限进行访问,从而保障数据的安全。
在服务端,通常采用VPN访问方式,通过加密通道,在聆客的公有云与企业的私有云(私有化的数据中心)之间进行桥接。对于某些对数据安全和性能有更高要求的企业,还可以通过铺设物理专线的方式进行连接。在公有云和企业私有云之间架起一条全封闭的信息高速公路,使得数据的传输更安全、更可靠、更快速。当然,考虑冗余的话,还可以采用专线+VPN或双专线的方案进行主备,进一步提高数据的可靠性和安全性。
访问控制安全
混合架构下,聆客企业协作平台通过构建多层级的SSO体系,实现单点登录和统一权限认证。
聆客在客户的私有云环境中,部署一套SSO服务,与企业私有的SSO或AD、UIM进行对接,再将企业私有环境中的SSO服务于聆客公有云中的SSO服务对接,不触碰企业人员的密码信息,先私后公,确保访问安全。
在权限认证方面,支持用户、应用、服务多重身份在多终端及前后台的统一认证;支持集团跨企互联及高安全网络隔离结构的统一身份认证;支持菜单、服务、方法、数据行等多粒度的安全认证与授权;能够实现企业集团多租户或企业上下游单位之间的关系互信,跨企业数据及服务的安全共享。
此外,除了传统的账号密码登录认证方式外,聆客还支持校验码、工卡、指纹、人脸识别等多种类型的安全扩展验证。
设备安全管控
在不同的工作场景下,企业人员往往需要使用不同类型的设备来开展办公协作,如台式机、笔记本电脑、手机、PAD,甚至同种类型的多台设备,如多台计算机、多部手机等,聆客可以对这些设备的接入进行合法性管控。
聆客对用户登陆程序所使用的设备进行激活绑定,管理员可查看和管理这些绑定的设备,限制终端数量或禁用某些设备。当用户离职或设备遗失,管理员可以禁用相应的设备,当设备再次接入互联网或启动聆客时,可自动执行远程数据销毁,擦除聆客在客户端的数据。
对于终端的数据,聆客采取了安装包签名、完整性校验和反编译保护等处理,防止仿冒应用和植入非法代码,避免因此导致的数据泄露。此外,不在文件、日志以及内存中缓存敏感信息,并提供安全沙箱机制,整个加解密过程均在沙箱中完成,确保密钥与加密算法不被泄漏。
安全防范功能
一些大型企业对安全合规性要求较高,为了满足他们的要求,聆客企业协作平台还提供了很多安全防范的功能,比如:
即时通讯
• 特定消息禁止转发,限制用户过度分享;
• 提供消息水印查看功能,追踪信息来源,防止用户截图信息泄露;
• 敏感消息可以即阅即焚,不留痕迹。
通讯录
• 可设置企业通讯录信息水印查看;
• 可设置人员密级,保护领导个人信息不外泄。
文件追踪管理
• 记录文件的转发、下载轨迹,一旦文件泄漏,可以根据转发证据链排查泄密者;
• 提供文件加水印预览和加水印下载功能,用户截图转发均可追溯。
聆客企业协作平台致力于打造企业专属的全员协作平台,其底层基础架构已通过《信息安全等级保护管理办法》的三级等保认证,应用系统已通过二级等保认证,系统可用性达99.9%。平台从架构、传输、认证、设备、功能等各个方面,为大中型企业和企业集团的办公协作提供了更加安全、更加自主可控的应对方案,使得企业既能享受公有云SaaS化的高效便捷,又确保企业能够自主掌控其数据资产,避免企业陷入绑定SaaS化服务商的陷阱。
▼
了解更多:
