2020年4月18日,由CIO时代学院主办、CIO时代APP承办的“2020中国数字政府建设高峰论坛”成功举办。本次高峰论坛采取论坛与展览相结合的方式。高峰论坛以“数字政府新模式”为主题,工业和信息化部原副部长杨学山、国家信息中心公共技术部主任刘建国、国家水利部信息中心书记蔡阳等17位专家、企业家和业界大咖参与了直播演讲和对话。线上1300多人通过CIO时代APP和“数字化建设”小程序参加了本次高峰论坛。本次活动也邀请到Coremail副总裁吴秀诚,他跟大家分享的主题是:疫情之下,政府信息安全不能忽视电子邮件。
吴秀诚
Coremail论客副总裁
首先跟大家简单介绍一下公司,Coremail论客是中国领先的电子邮件解决方案服务商,创始于1999年,网易公司联营企业。公司总部于广州,在北京、上海、深圳、厦门、济南、重庆、武汉等地共拥有超过400人的技术与服务团队,致力于为政府、教育、金融等行业与各类企事业单位提供邮件系统相关产品与解决方案。目前为止邮件license用户已经超过了10个亿,其中在全球范围内私有云邮件系统部署量超过10万台。
我主要想跟大家分享新形势的电子邮件的安全态势。新冠现在是全国甚至全球的主题,我们最近就大量的发现了以新冠病毒为主题的一些钓鱼邮件的攻击方法,对用户进行网络攻击,来威胁客户的信息安全,这个实际上是挺严重的情况。上个星期法制日报披露了一个案件,是19年7月某境外APP组织冒访我国某军工领域的重点单位的邮件登录界面,然后专门搭建了钓鱼攻击平台阵地,冒用系统管理员的身份向该单位多名人员发送钓鱼攻击邮件,之后该单位的职工王某就点击了钓鱼攻击邮件,输入了个人的邮箱的账号和登录密码,导致了其电子邮箱被秘密控制,之后该APT组织定期的远程登录了王某的电子邮箱,取得了其邮箱内的一些文件资料,然后再横向向他的同事、下级单位发送了数百封的木马钓鱼邮件,导致了十几个人点点击了下载的木马程序,导致了相关人员计算机就被控制了,造成的后果是非常恶劣和严重的,因为已经涉及到国家安全的一些泄露的问题。所以在全民国家安全教育日提倡的几大防御举措之一,就有一条叫加强对计算机、电子邮箱的安全防护。除了这个以外,实际上是整个互联网的安全形势,所有的电子政务实际上安全是一票否决的。
最近公安部、工信部、国家保密局对电子邮件的整治跟治理工作是一直抓得非常紧。包括之前有一个工信安20181606号文件里,其中明确提出,党政机关、事业单位和国有企业互联网电子邮件系统,要求去过等级保护,以及一些迁移的指南等等。我等下就会花点时间跟大家介绍跟电子邮件相关的等保的一些工作。
另外从2016年开始每一年我们国家都开展护网行动演练,并逐年进行扩大。这个实际上也是会给我们CIO们、网络建设者们造成了一些压力,但同时也帮助大家去完善系统的安全的一些漏洞,因为其实安全是点攻面防,实际上不是因为你的长板有多长,往往是短板有多短才决定的,而电子邮件是很容易成为被攻击的短板。
实际上首先电子邮件它是一个公网的应用系统,所以它很容易成为渗透攻击的关键入口,同时电子邮件它本身它是一个传输的通道,所以只要是攻击方或者黑客或者间谍方,他攻进了电子邮件系统了以后,他可以蔓延,这个是它的威胁会进一步的加大的原因。据统计就以2018年为例,全国遭到篡改的政府网站就达到了216个,2019年政府行业企业级的用户平均每个月大概要收发约728.7万各方的各类的垃圾邮件,占比达到了72%。这说明了电子邮件已经是政企事业单位的一个很重要的组成部分,也是它的安全构造的一个非常重要的关键点,也是容易变成被忽视的点。
接下来我介绍等保2.0的邮件系统的一些解决方案,以及coremail论客是怎么解决这件事的。因为我们在电子邮件安全上还是做了比较多的工作,主要的用户群也是党政机关、事业单位、央企这个方向。等保是经过了等保1.0等保2.0。我们Coremail 论客的产品是根据等保的相关规范体系,来构建整个安全产品体系,包括终端的安全、应用的安全、数据的安全三大块。终端安全上我们会构建一些认证的机制,比如可能邮件系统它本身很安全,但是你用手机收发邮件的时候,你的手机的移动客户端你就不能保证,比如说你用PC,你用一个某某的客户端,你来收发邮件,然后这端的本身它很容易出问题,所以在终端的安全实际上是特别容易忽视的,如果大家用一个网页,或则一些免费的邮件客户端、来收发、电子邮件,这里是很容易被忽视的一个环节。我们在这个方向上是有专用的一些客户端,以及它对应的一些私有协议以及相关的认证机制。
另一个是应用安全,应用上它有各种各样的系统在用,我们核心是要抓身份的鉴别、安全的审计。比如说设备的绑定,你使用的账号,可以对使用者的PC,手机可以在后端进行绑定,以避免被黑客攻破账号密码,黑客在使用的时候,因为设备不对,它会被系统拒绝。另外就双因子认证,邮件安全里针对设置简单密码的用户,又是在重要机构的客户,他需要用两层的验证,比如说加入一个手机的验证,这样在一些重要的动作的时候需要加一个像短信验证等等。还有包括一些反垃圾邮件、反病毒等等一些安全审计的方向来对应用安全进行保障。
最关键的还是数据安全。保证数据的完整性以及保密,另外就是万一系统出问题了,怎么样去恢复跟备份?所以我们主要的核心是进行加密的传输跟加密的存储,这样可以避免黑客攻进来的时候,拿不走或者拿出拿走了,他看不懂,打不开,这样子来保证数据的安全。等保现在主要是要求二级等保跟三级等保。我们在二级等保跟三级等保都会提供相应的解决方案。比如说二级人保的要求,一些必选的产品,一些加密证书备份了等保服务包等等,另外我们也会有一个专用的安全管理中心。等保的规范里头有一个很重要的组成部分,就是安全管理中心。三级等保的要求更高一点,比如会有一些安全审核、传输链路的加密等等。在安全管理中心里提出了一个很重要的改变,它核心的要求实际上是可以监控、可以管理、可以控制,同时也可视化。核心的应用,就是可以快速帮助IT管理员或者CIO分析邮件系统日志。
另外就是IT运维人员对安全的情况的快速了解有困难,每个月都要对上个月的运维的情况做汇报,比如说弱密码的数量、自动转发的设置了等等,以及有没有一些僵尸一样的用户,很长时间都没有登陆了,这样子情况的知晓都是有点困难的。这个就是经常的需求场景。
我们在做安全管理中心的方案的时候,经常就是便利处理用户的设置问题,让用户能够一键设置跟处理。有一部分的客户,设置它的后台的控制,比如说它的一些黑白名单,一些防病毒反垃圾的设置,二次验证等等,可以通过管理员的后端统一设置,这样的方便了客户的使用。
还有就是用户的安全设置,安全客户永远都是后知后觉的,所以对CIO来说,实际上是蛮辛苦的一个事情,它需要统一的集中的控制跟设置,然后来掌控这件事情,以免在事情没有进一步的恶化之前,他能够控制这个事。因此整个安全管理中心,我们的核心是分成安全监控中心、安全审计中心、安全行为管理中心三个模块,这样来做到更快的发现一些安全的威胁,更全面的去查看安全的事件,更加深入的管理、安全的设置,来对整个系统的安全事件做到综合的全方位的管理问题,包括我们应用的一些方法论,比如说一些大数据的安全态势感知,这是基本上都应用了一些人工智能的算法,对它的一些数据挖掘、画像分析、可自信度、行为惯性来等做一些分析、定位跟感知。
监控跟告警,这个也是非常重要的一个环节。包括一些暴力破解的监控,这个也是很常见的,因为现在的计算机计算能力太强。一些异常行为,比如说攻击的 IP总是跟用户的常见的使用IP肯定是不同的,这个时候要尽快的第一时间报警,包括一些安全规则的触发了以后的告警。另外系统整体的风险面临的巡检的情况,还有一条可能也是要注意的,一个单位可能有几千几万,甚至有几十万用户,但是他重点的那些用户,比如说科研单位了,比如说财务部门了,比如说研究或者研发部门以及高层领导了,这个时候它是需要重点的去关注跟保护的。这个时候也是需要用到重点用户监控的功能,把这些重点用户的使用行为,然后更深层次的保护起来。当有异常情况出现时,CIO能够第一时间知道他的情况,包括一些安全的审计,比如说一些查询它的收发记录,直接去看到它最终跟收件人的情况,以一些敏感词的审计,因为这个也是全面非常常见的应用场景,因为邮件的传发的能力是很强的,所以它就像病毒一样,它是可以迅速的蔓延的。因此我们会有敏感词的词库,这对政府单位来说还是很重要的功能,对一些新的敏感词能够迅速的更新,这样对一些违禁的词汇或者说新的敏感词能够迅速批量的审计,就是应付行为的。
在日常的情况,也发现了一些盗号的时候,它能够迅速的就看到用户的行为,比如说他看到哪些邮件,他载了什么文件,能够确认它是不是有信息泄露的风险?是不是被账号作为发动一些恶意的钓鱼邮件等等,都能够迅速的掌握情况,所以我们更加细致的去分类这些用户的行为,以及更加详细的了解用户的情况,最后能够快速的导出结果汇报给高层领导。另外对一些用户的安全的配置可以主动干预,比如说绑定的一些手机,二次验证的设置、管理、自动转发的设置,然后黑白名单的配置等等。
Coremail论客是等保1.0、2.0的示范单位,我们是无论是产品还是自身的使用情况,都是有足够的经验来对有电子邮件的等保做一些支持。同时我们还有除了产外的一些配合的这种协助服务,因为等保整改有的时候不完全是产品的问题,会有一些管理规范等,所以我们会有一些等保协助的配合,包括一些等保整改等保测评,会议的文档的提供等等,来配合用户单位来做等保的安全服务。
还有一个实际上是政府行业比较关注的内容,就是重大活动的保全。也是对很多CIO来说都是很头痛的行为,我们也提供重保服务,包括安全的预警、加固、关怀。比如在某个重大活动之前,提前进行巡检排查,进行实战演练。模拟黑客给用户发一些钓鱼邮件,看看是谁在中招了,这样来反复演练,让我们的用户更好的提升安全意识。同时也要做修复方案的评估,对一些死角,进行修复跟加固。另外如果用户本身的技术实力有点欠缺的话,我们也提供一些驻场跟应急的服务,来保证用户的安全防护。
最后是国产化,因为现在国产化的趋势跟要求已经越来越高了,我们在这个方向上也是做了大量的工作,包括支持华为鲲鹏系列的服务器,、龙芯的芯片的系列的服务器、中标麒麟的操作系统、达梦数据库、高斯数据库了等等这样的一些匹配,还有加密算法,也会支持各种各样的第三方国产的加密机以及加密的算法,sm3、sm4的等等,这些我们的产品也是可以兼容的。
我的分享就到这,谢谢大家。