近日，美国信息安全新媒体“安在”在发布的报告中指出，美国为了谋求网络空间霸权，多次利用网络攻击持续对全球互联网用户实施无差别数据窃密。这些被“偷窥”及收集的情报包括了通信行业存储的大量个人信息及行业关键数据，导致大量网民的公民身份、财产、家庭住址甚至通话录音等隐私数据面临着恶意采集、非法滥用、跨境流出的严重威胁。在所有被窃密的重点威胁国中，其中排在首位的是中国。数据泄露威胁最大的领域是中国境内的政府、金融、科研院所、军工、航空航天等行业，占比重较大的是高科技领域。

在所有的情报收集手段中，都指向了美国的量子攻击平台，美国利用这一平台对世界各国访问美国社交媒体的互联网用户发起网络攻击，中国社交软件也是其攻击目标。在30天内，这一平台远程窃取了970亿条全球互联网数据和1240亿条电话记录。

对此，外交部发言人汪文斌称：“这意味着无论你是谁，无论你在世界的哪个角落，只要你使用网络社交平台，背后就都可能有个‘老大’在盯着你。”直指美国对中国社交软件的监控。

TAO的架构，图源：《揭秘TAO：美国国家安全局APT-C-40黑客组织幕后黑手》报告

一．社交软件渐成数据泄露源头

掌握用户信息泄露的越多，数据价值密度越高，对于攻击者来说越容易发动精准攻击。因为，拥有这些敏感信息的攻击者们，可发动更加难以分辨的网络钓鱼与社会工程攻击，甚至将身份盗用。

那么，具有以上特征的攻击对象是什么呢？毫无疑问，互联网社交软件天然具有这些特征。据公开的数据显示，中国已经拥有超过12亿以上的手机用户和超过10亿以上的即时通讯应用。而这些10亿以上的即时通讯应用中，占比超过80%的是微信、QQ、钉钉等普通社交软件。随着社交软件的广泛应用，微信、QQ、钉钉等社交软件也成为了普通企业办公的工具，在微信、钉钉上出现了大量的工作群，他们与老乡群、兴趣群、同学群，混杂在一起，成为了数据泄露的源头。

为此，国家保密局自2021开始，利用其主管的《保密观》公众号，连续发表了《看看这些真实案例，微信办公一定要注意保密》，《快自查，微信公众号爆出这些泄密案》等多篇文章，披露出微信办公泄密的典型案例，揭露了微信办公的不安全性，引发了全行业对于微信办公的高度警惕和重视。

总体来说，社交软件办公存在以下安全隐患：

隐患一：数据的开放

社交软件的属性本身就是开放的，传输分享的内容也是公开的，如果涉密信息在这些公共社交软件上使用，就如同公开发布，如果盲目传存数据，会引起敏感数据泄露。

隐患二：管理的缺失

单位对社交软件没有统一的管理手段，而内部员工泄密、公私数据及信息混用、个人隐私无保障、操作不当都有可能导致机密数据泄露。社交软件中第三方应用小程序功能也增加了安全风险。作为生态提供方，微信等社交软件对第三方应用小程序管理并不严格，容易造成小程序使用后数据泄密及隐私保护不当。

对于个人来说，社交软件还存在个人隐私泄露的风险。主要是：

1. 数据泄露风险

所以聊天内容会被存储在第三方服务器，包括个人信息、钱财交易、密码、照片等。第三方服务器托管在机房，存在巨大的数据泄露风险。2021年，阿里云数据泄露，最后指向了服务器运维管理人员利用职务之便窃取了数据，造成数据泄露。

2.被截图和留存的风险

很多人都有截图聊天内容、保存图片的习惯，并且也不会征求你的意见。毫不知情的被截图增加了聊天中的风险。

此外，聊天后的数据将被存于聊天服务器中，在本地手机中没有任何加密措施，一旦手机丢失，就会增加个人信息、密码等内容泄密的风险。

二．用信源密信构建即时通讯安全

除了以上总结的数据泄露给国家安全和个人隐私造成重大威胁之外，在数字化转型过程中，企事业单位也面临诸多网络和安全问题，如场景复杂、信息传输不畅、数据丢失等。办公即时通讯行业在功能、安全、互联互通、部署等方面还需要凝聚多方共识，以形成行业标准，从而助力行业高质量发展。如何构建即时通讯安全成为数字化转型过程中安全的核心话题。

为了能够解决以上问题，作为中国信息安全终端龙头企业的北信源，在中国信通院统一领导下，与其它 20 余家头部科技企业，提出了"铸基计划——办公即时通信软件安全系列标准 "，现已逐步完成系列标准的编制。

北信源提出的即时通讯解决方案历经近10年时间和近12亿的开发费用，已经形成一款面向党政军、国企央企、高校科研单位和所有需要数据安全通讯的即时通讯产品。这款名叫“信源密信”的即时通讯产品把安全放在首位，注重工作秘密和商业秘密的安全风险，把安全通讯中台、安全消息总线能力、单位内各业务入口的聚合能力提升到系统高度进行规划。在安全性上，具有以下主要特点：

数据本地化，信息安全可控

信源密信支持私有化部署，服务器和数据自主可控，实现数据本地化，可有效保证用户数据的安全；支持多种灵活部署方式，可选择单机部署、主备部署、集群部署等；可适应各种隔离网络及内外网混合网络，如军队、政府、公安、军工、能源、金融、企业等，对复杂网络可选择互联互通、跨网闸、VPN等。

三端加密，五维防护

信源密信具有三端加密，五维防护的特性。三端指客户端，传输端和服务端，信源密信在这三端对数据都进行了加密保护，对访问、通讯、存储、管理、使用进行五重防护。在客户端，信源密信采用整库加密的方式，对文件及数据进行加密处理；传输过程中，信源密信采用了HTTPS进行数据的加密传输，防止数据的泄密；在服务端，信源密信对文件，聊天信息都进行了加密存储，并对用户密码等关键信息进行了加密处理。

作为一款主打安全即时通讯核心功能的安全办公产品，截至目前，信源密信已经为包括政府机构、军队、军工、金融、能源等行业在内的数千家客户提供安全的即时通讯平台，服务于网信办、财政部、中国人民银行清算中心、公安部门等党政机关重要单位以及中国烟草、中国石油、国电投、曙光股份、航天等大型企业客户，信源密信还荣获了“2021年度航空航天信息化建设优秀产品”称号。

在这些成功案例中，信源密信扮演的不仅仅是即时通讯的角色，而是以即时通讯为根，通过平台的力量连接整个政企的信息化系统，实现人与人的沟通、人与系统的沟通、甚至系统与系统间的连接。

面向未来，信源密信将以安全即时通讯为核心能力，赋能更多智慧办公场景，逐步覆盖到智慧医疗、智慧交通、智慧旅游、智慧家居、智慧社区等各种智慧城市场景，提供基础的安全底座通讯能力，融入更多业务生态，满足政企客户、涉密单位，有数据安全要求的普通中小型企业的安全办公需求。