6月26日晚,大量用户反馈QQ号码被盗,被盗账号会自动给好友和群发不雅图片及赌博性内容。6月27日中午,腾讯QQ官方微博声明,该事件主要原因“系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被出黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。”
QQ被盗事件再次引发了大家对即时通讯产品安全的关注,融云政企研发总监大池和PMO苏东升由此事件展开,对不同组织在特殊环境下的企业通讯安全防护进行了一系列讨论。
融云政企研发总监大池表示,QQ被盗算是比较严重的恶性事件。因为ToC场景下的即时通讯产品,本身用户基数非常大,所以它在安全上出现一点点小的漏洞,都会波及全网。而ToB场景下的即时通讯产品,虽然用户基本都是企业,用户基数相对较小,但是它们传输的东西更机密,更关乎于企业的生存,所以数据重要性安全级别更高。
事实上,不同组织内部网络架构各有不同,网络安全防护需求不同,所需要的安全通讯保障也不同。
如何满足组织,在特定网络要求中的产品部署?
有一些用户要求产品实现内外网隔离与互通。如图1,在办公网环境中,PC端用户可接入内网服务,但移动端用户接入内网有难度。而随着智能手机的普及和5G、大数据等技术的发展,加上即时通讯产品可多端登录的特点,移动端用户可直接接入互联网,实现移动办公,提升办公效率。
图1 -内外网环境
比如,针对内部机要文件或信息,用户只能在内网环境通过PC端查阅及处理,因为移动端用户通过互联网查看或处理文件有潜在风险。但移动端用户可通过即时通讯产品的推送功能获悉该文件或信息的存在,然后登录内网PC端进行查阅或处理。
这样可以确保用户该看到的文件可以看到,但在不满足特定网络环境的情况下,不该看到的文件就不会看到。
另一些用户要求在专网部署产品,如军队和公安。
图2 -带网闸网络交互图
为满足此类用户对高安全性的需求,融云即时通讯产品选择通过网闸进行数据传导,提供特定的安全防护和敏感信息的过滤,可实现不同安全级别网络之间的安全距离,并提供适度可控的数据较短的软硬件系统。
但网闸的存在,直接影响即时通讯产品在即时性上的用户体验。标准的即时通讯产品,如传统的互联网或者B/S结构,基于HTTPS协议保证即时性。HTTPS协议是一种短连接,每一次请求都会建立一个连接,而收到应答以后就会销毁掉连接。
如OA或者新闻类网站,用户收到想要的数据以后,在本地进行浏览,这么做虽然减轻了服务端的资源消耗,但同时也会影响即时性,因为当连接断开以后,客户端和服务器之间就不存在任何关系了。
所以为满足即时性需求,当前市面上基本所有即时通讯产品底层都采用TCP长连接。所谓长连接就是当连接建立以后不再断开,和服务器一直保持联系。当消息需要传递给用户时,长连接就会在第一时间发送到用户客户端上。
但网闸的存在,对于TCP长连接是一个非常大的挑战,因为网闸会导致TCP连接受限。融云即时通讯产品会在网闸上部署相关安全模块,通过“反向代理服务”进来的需求,到网闸就会从TCP转化成HTTPS请求,再投递到内网服务器上。所以,通过优化协议转换模块,可以在保证安全性的基础上,兼顾TCP长连接的即时性。
还有一些用户,针对防火墙、VPN、加密机等有特殊需求。针对VPN,融云一般提供两种解决方案。一种方案是在系统或手机上安装VPN软件拨号,建立和打通安全隧道以后,再启动应用进行安全通讯。
但这种方式有两个问题,第一是操作比较繁琐,第二是用户等待时间相对较长。对于即时通讯产品而言,用户体验稍差。
另一种方案是把VPN的SDK嵌入到即时通讯应用里,用户收到通知可直接点开应用软件查看消息。当软件启动时,VPN隧道会自动建立。即便VPN建立会消耗一定的时间,但它是一个无缝衔接的过程,用户体验较好,一般来说我们建议用户把VPN的SDK集成进来。融云的即时通讯产品为这些VPN的SDK集成预留了相关接口,可通过简单的替换进行不同厂商的VPN SDK封装。
即时通讯产品,传输链路安全性如何保证?
即时通讯产品通过基于TLS的HTTPS协议来保证HTTP链路层面的安全性,TLS是国际通用的算法标准。
图3 - TLS-over-TCP
在TCP长连接层面,融云产品集成了标准的TLS,确保链路传输的安全性。但是在混合用户场景下,比如除了内部用户,即时通讯产品也用于外部互联网客户时,因为要保证互联网用户数据回传到私有部署的数据中心链路安全,就无法使用VPN方案。
在这种情况下,在数据或标准应用层面,通过HTTPS确保安全性,而在TCP层面则通过TLS-over-TCP协议确保达到同一安全标准。
在信创环境下,如何确保即时通讯产品安全性?
信创整体诉求主要集中于系统安全、网络安全和业务安全,甚至还有国家安全。所以为了满足上述安全需求,融云即时通讯产品结合了信创工委会相关标准,并支持国密算法。另外,在整体架构和在网络层面,融云有国密代理或者密码机。密码机基于国密,对链路层面进行加解密。
具体到业务层面,以视频会议场景为例。
图4 -视频会议场景概念图
在加密层面,融云视频会议系统有一个加密机的角色,同时通过密管和身份认证系统的后台,去管理业务过程中产生的密钥,并使用密管生成的密钥搭建支持国密的加密通道。因为融云视频会议基于WEB RTC的基础实现,所以流传输采用UDP(无连接的传输协议)。在UDP层面,视频会议采用自定义加密对流进行国密的加密。
而密钥交换在融云视频会议系统内部进行,以确保发起方对流的加密在接收方能够进行正常解密,确保还原画面声音等一整套视频会议业务场景正常进行。
音视频信令控制主要采用TCP,当然也支持国密。也就是说融云视频会议整套系统,在HTTPS、TCP和UDP层面都达到了国密的要求。与此同时,经过不断的优化,融云视频会议系统将音视频的延迟和卡顿影响降到最低。
可以分享一些融云经典案例吗?
先看一个政府项目案例。它主要体现在国产化私有部署的信创环境。在整体实施过程中,对桌面端台式机、笔记本和服务端进行了相关适配,在服务层面、链路层面进行了安全优化,以符合信创需求。
图5 -私有化部署示例图
另一个案例是公安执法监督管理平台。受疫情影响,不光是日常办公日趋线上化,在公安执法法院审讯等场景中,部分业务也被迁移到了线上。这对音视频产品提出了很高的安全要求。尤其是像公安有网闸的网络环境中,我们对其执法监督管理平台进行了相应适配,或者说对进行了一些优化调整。确保在有网闸的网络环境下,用户体验与标准产品无异。
图6 -公安执法监督管理平台示例图
第三个案例是证券行业客户,存在内部用户和外部用户进行沟通交流的场景。为此,融云部署了链路传输安全相关模块,以确保内外部员工通讯安全。
图7 -内外网隔离与互通示例图
融云即时通讯产品,始终强调安全至关重要。融云有能力也有信心,满足政企组织数字化转型过程中的各种高安全性需求,守好即时通讯“安全”这道门,并将进一步强化研发实力,发挥赋能政企数字化转型“安全推手”作用,促进政企组织高质量发展。
关注【融云 RongCloud】,了解更多即时通讯安全解决方案。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )