世道越來越艱辛，覓食都要以“團伙”為單位。連恐怖分子搞暴恐襲擊都玩多點協(xié)同。

從某業(yè)內(nèi)段子手的吐槽來看，主打團隊之間協(xié)作的企業(yè)聊天協(xié)作工具在2015年大火是有理可循的。釘釘、今目標、紛享銷客、iWork365等等類似平臺都在以各自的姿勢強勢插入這個領域。不過，有人的地方就有秘密；特別是人多的地方，秘密總是多到無處容身。

其實只要不在其中宣布出柜，這種“性冷淡”的內(nèi)部協(xié)作平臺是沒有什么“你懂的”秘密的。不過換一個角度來看：身處組織，最重要的秘密大概就是滿載真金白銀的“組織機密”，泄露組織機密一向是為我黨所不容的。

講真，如果使用協(xié)作平臺的大公司組織架構(gòu)圖和高管聊天內(nèi)容這些敏感的信息全部被某黑客竊取，那么他發(fā)家致富一定不是夢，出任CEO，迎娶白富美，香艷的人生即將起航。各大平臺的安全負責人的主要職責就是不讓上述事件發(fā)生。那么這些知名的協(xié)作平臺在“保密工作”方面都用上了哪些“黑科技”呢？

【iWork365中被打上水印的通知】

對付“豬隊友”的黑科技

發(fā)出“宏愿”讓員工365天都愛工作的“iWork365”是建立在微信企業(yè)號平臺之上的，所以在安全方面天生標配了騰訊的諸多黑科技。iWork365的CTO楊明給了雷鋒網(wǎng)展示了這張截圖，員工無論是瀏覽本公司組織架構(gòu)，還是查看聊天記錄或公告，機主的用戶名都會顯眼地“亂入”在背景中。這樣一來，“手癢”想截屏分享的童鞋就會心頭一顫、若有所悟。這就是他們對付“截屏黨”的殺手锏之一。阿里巴巴旗下釘釘團隊的安全負責人迦盧告訴雷鋒網(wǎng)，在最新版本的釘釘中，同樣引入了人名水印功能?？磥磉@個黑科技有成為行業(yè)標配的潛力。

當然，人心叵測。從科學的角度上講，要想阻止一個人把他的所見分享給第三者，是不可能實現(xiàn)的。這種“把泄密者拉下水”的做法只是提高了泄密的成本。

【坊間流傳阿里的童鞋用釘釘?shù)摹霸杼媚Ｊ健背龉瘛?/strong>

為了進一步防“豬隊友”，今年早些時候，有來往團隊背景的釘釘搞出了一個“脫光衣服”聊天的激進功能——澡堂模式。其實如此驚悚的名字背后，就是一個閱后即焚的功能。這個在約X軟件中常用的功能為什么會被引入商務平臺呢？迦盧闡述了一個邏輯：“比如投標報價、或者商務談判的重要信息，往往不想讓對方留下證據(jù)，這種情況下就可以在澡堂模式中溝通?！痹谠杼媚Ｊ街袑υ掚p方幻化為紅藍兩方，周遭氤氳著各類馬賽克。在澡堂模式中，信息不可復制而且是閱后即焚的。如果你說的話是重要機密，例如你的出柜宣言，那么對方很難把你說過這話的證據(jù)留存下來。當然，如果對方截圖之后再用PS把馬賽克“修復”成你的頭像，或者對方直接拿一臺攝像機對準自己的手機，那么。。。。他贏了。紛享銷客CTO林松介紹，紛享銷客也做了類似的功能，只不過沒有閱后即焚這么激進，而是允許用戶進行撤回、刪除消息等操作。

無論如何，上述廠商的做法還是在一定程度上增大了泄密的難度，因為大部分聊天參與者的信息泄露是沒有計劃性的，而且很多敏感消息被擴散僅僅是無心之舉。只不過在實際應用中有究竟有多少人會選擇線上溝通如此敏感的信息，還沒有具體的數(shù)據(jù)支持。楊明表示，iWork365的團隊就覺得在企業(yè)內(nèi)部平臺上加載閱后即焚比較怪異。不過這顯然是從產(chǎn)品格調(diào)的角度考量。而今目標副總裁霍文旌表示，他們在內(nèi)部討論，認為這項功能還是有必要的，只是目前還沒有開發(fā)計劃。

鑒于以上兩種方法都沒辦法徹底杜絕信息的泄露，那么只能使出殺手锏了——根本不讓無關(guān)的人看到“敏感”的信息。比如每個人的聯(lián)系電話，在釘釘中就是可以被設置隱藏的。但是釘釘卻仍然允許用戶通過運營商網(wǎng)絡給同事打電話。為了隱匿掉對方的電話號，這種通話請求采取了一種回撥的技術(shù)：

比如A想打電話給B，會接到一個回撥電話，通過接聽這個回撥電話實現(xiàn)和對方的通話。在這樣一個過程中，A的電話會暴露給B，而B的電話會向A隱藏。也就是說，即使你有權(quán)限給公司大BOSS打電話，你也是無法知道他的電話號碼的。

同樣，組織架構(gòu)其實也是企業(yè)的重大“秘密”。比如研發(fā)部、董事會的人員設置。這樣的情況，有一種比較簡單的解，那就是組織架構(gòu)可以設置對一般員工部分隱身。管理員可以通過設置實現(xiàn)，只有少數(shù)高管可以看到完整的企業(yè)架構(gòu)。而一般的員工只能看到和自己有業(yè)務聯(lián)系的部門。即使是使用搜索頁無法搜到公司里的“隱身人”，除非有人介紹你和“隱身人”認識，并且通過釘釘把他的名片發(fā)送給你，才可以建立好友關(guān)系。

如何對付職業(yè)“海盜”

當然，偷竊企業(yè)信息最大的可能性來自于商業(yè)對手，或可以從商業(yè)對手那里獲得好處的機構(gòu)。他們需要盜取核心的數(shù)據(jù)，例如董事會討論戰(zhàn)略部署的內(nèi)容、經(jīng)理對下屬部署投標報價，還有董事長叫美女秘書來辦公室述職的命令。。。這些信息本來就是非常私密的交流，通過買通普通員工并沒有辦法獲得這類聊天記錄。于是利用黑客技術(shù)潛入服務器系統(tǒng)是一種最為理智的選擇。所以，接下來的戰(zhàn)場轉(zhuǎn)移到了技術(shù)攻防。

IM系統(tǒng)的安全防護有簡單的地方，是因為聊天記錄以靜態(tài)的形式存儲。對于靜態(tài)資料，國際上有一種通用的成熟解決方案，那就是密文存儲。通過密碼學的方式把數(shù)據(jù)加密，再把破譯密文的密鑰存儲到安全的地方。理論上在得不到密鑰的情況下， 對數(shù)據(jù)進行暴力破解，即使破解成功也是“山無棱天地合”的時代了。

【密文存儲邏輯示意圖】

密文存儲、傳輸鏈路加密目前看來已經(jīng)成為了主流企業(yè)辦公平臺的標配。但是整個系統(tǒng)仍然存在一個巨大的短板。以釘釘為例：對于密文，是沒有辦法實現(xiàn)搜索和好友推薦等功能的，所以釘釘對于存儲在服務器上的企業(yè)通訊錄和聊天記錄是存在解密狀態(tài)的。而這個解密狀態(tài)，恰恰是數(shù)據(jù)最脆弱的時候。

這時數(shù)據(jù)面臨的黑客威脅會陡然增加。由于釘釘身處阿里云之上，所以有關(guān)阿里云的所有安全防護固然是全部加身。這個時候，阿里云的安全性，就等同于釘釘?shù)陌踩粤恕榱顺桨⒗镌频耐ㄓ冒踩墑e，迦盧在云盾等通用防護的基礎上增加了專有防護。釘釘安全團隊正是在維護這個專有防護體系。

我們根據(jù)用戶的行為來分析請求是否合法。比如一個用戶在短時間內(nèi)進行了大量的訪問通訊錄的請求，那么這一定是異常的。

然而，迦盧說釘釘運行以來并沒有發(fā)現(xiàn)惡意的進攻，他承認“關(guān)鍵是無利可圖?！笨梢圆聹y：根據(jù)目前釘釘?shù)陌l(fā)展狀態(tài)，也許黑客還不認為上面的公司有被攻擊的價值。對于迦盧來說，沒人進攻也許不是好事。因為他得不到進攻的行為模式，進而改進自身的防護策略。不過，他表示針對正常的訪問行為做研究，也是可以讓防御策略進步的。況且團隊內(nèi)部經(jīng)常玩一種自己對自己做攻擊實驗，除此之外阿里巴巴集團的安全部也會兇殘地對釘釘進行不預先通知的攻擊?！斑€好目前為止沒有發(fā)現(xiàn)大的漏洞，小的問題是會出現(xiàn)的。”他說。

最大的敵人是“自己”

自證清白可能是世界上最燒腦的事情之一了。所有此類SaaS平臺都要面對一個終極問題，那就是如何說服用戶：“我們通過嚴格的內(nèi)控制度，保證自身不會碰客戶的數(shù)據(jù)資產(chǎn)”

【今目標的特色功能】

霍文旌向雷鋒網(wǎng)介紹，今目標由于使用了分布式存儲系統(tǒng)，因此理論上運維人員并不能直接從IDC機房獲取到用戶的原始數(shù)據(jù)?！岸鴮τ谡虾蟮臄?shù)據(jù)，工作人員需要得到授權(quán)，并且層層審批，才能得到指定的部分數(shù)據(jù)?！倍斸敳扇×酥幸?guī)中矩，但是頗有成效的方法——第三方認證。這里的第三方認證就是ISO27001標準。這是國際認可的信息安全管理標準，大意是從人員管理流程和工作流程方面規(guī)范數(shù)據(jù)的利用。業(yè)內(nèi)人士透露，騰訊企業(yè)號平臺同樣采用了第三方認證的方式，不過騰訊官方從未對外公布。iWork365能夠拿下一些要求嚴苛的大企業(yè)，和第三方認證的背書是分不開的。

無論是否申請第三方認證，幾大平臺均向雷鋒網(wǎng)拍胸脯保證他們擁有嚴格的內(nèi)控制度。紛享銷客的CTO林松說：

紛享銷客對于線上用戶數(shù)據(jù)的保密是非?？粗氐摹Ｆ胀ㄑ邪l(fā)人員是沒有權(quán)限訪問的。對線上數(shù)據(jù)的訪問會根據(jù)原因，例如客戶提出的需求，經(jīng)過嚴格的審批由專人操作。

除此之外，還有一個讓安全團隊最為“頭疼”的問題。那就是接入平臺的第三方服務。

無論是今目標還是釘釘，都在以可以接入第三方的“財務系統(tǒng)”“辦公系統(tǒng)”為賣點。這種三方服務以ISV（獨立軟件開發(fā)商）的形式接入平臺，利用平臺提供的接口進行數(shù)據(jù)交流。平臺對于接入的服務有一些基本的安全策略，例如紛享銷客會對應用調(diào)用的接口進行安全認證，對調(diào)用發(fā)起IP和頻次進行限制等。并且提供了一個完整的開發(fā)平臺，在很大程度上對開發(fā)者的開發(fā)流程做了規(guī)定。

不過對于釘釘來說，主打開放平臺的初衷讓他們并不想對第三方服務做出過多的限制。所以第三方服務本身的存儲、傳輸、用戶數(shù)據(jù)保護等一系列工作，平臺是無法深度干預的。從這一點上來說，接口是容易失控的。迦盧的一番話反映出了釘釘在安全性上的究極痛點：

我不可能讓所有的開發(fā)商都在我提供的構(gòu)架上開發(fā)，那樣的話就失去了開放的價值。但是同時，我還要盡可能地保證它們的安全。

他的話道盡了所有友商的辛酸。所有有關(guān)安全的策略最后都會面臨同一個問題，那就是足夠安全和足夠方便。當然平臺可以根據(jù)自身的經(jīng)驗給開發(fā)者提供建議，比如釘釘會建議開發(fā)者使用阿里云盾。但是，強勢的“東家”一定會喪失好佃戶。無論是店大欺客還是客大欺店，都是妥協(xié)，所有人都試圖在其中找到精妙的平衡。用情懷者的話來說，每個好的產(chǎn)品本質(zhì)上都是一個好的妥協(xié)。

尾聲

雖說企業(yè)協(xié)作平臺在幕后拼了命研發(fā)“黑科技”來提高安全防護水平，但同時這些大牛們也同時承認：這個世界上不存在絕對的安全。如果對方用巨大的能量來偷窺，那么防御的力量無疑也要增大。說到底，在大量真金白銀的信息財富聚集到平臺之前，一切攻防戰(zhàn)爭都是假想。目前來看，在通用安全的狀況下，一個聊天App能做的也許只有這么多。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。