说说盛大百度禁用QQ背后的故事
2012-04-25
最近IT界发生的一个不大不小的事件是“盛大担心腾讯窃取资料,全面禁止使用腾讯产品”,虽盛大方面后来表示从未发出过类似通知,但又有消息称“李彦宏曾当面对马化腾说百度内部禁用QQ”,这被多数网民解读为:如果腾讯这种规模的公司都不被信任,那么整个中国的互联网企业是不是已经陷入了严重的信任危机了呢?
许多非技术出生的网民往往会将企业内部禁用QQ视为对QQ的不信任,其实这里面有过分解读之嫌。像盛大腾讯禁用QQ根本就不应成为新闻,一直以来,笔者接触的很多企业不仅仅是限制QQ使用,而是限制公司员工尤其是研发部门的员工的一切上网行为,企业内网与互联网是完全隔离。一边是互联网带给员工工作所需的丰富的知识信息,一边是企业信息安全需要得到保障,在两者不能兼顾时,更多的企业采取了全面禁网的措施,实属无奈之举。
企业的这种看似极端甚至有些自残的做法并不是杞人忧天,如果允许员工随便访问互联网,可能会给企业带来的信息安全漏洞到底有多大呢?下面我们来稍微分析一下。注意下文中提到的所有泄密途径只是从技术上加于分析,并不代表说这些软件就一定会导致企业信息泄密,这里只是指出了存在泄密的潜在可能性。
如果企业内网与互联网完全相通,即员工的计算机即可以访问内网又可以直接访问互联网,那么根据员工使用的软件的不同,大致可分为下列两种情况: 一:桌面软件(C/S架构) 现在几乎所有的桌面软件都会或多或少的通过互联网向外发送信息,具体又有两种情况: 1:一种是软件本身的服务就是C/S架构的,类似于QQ,一个不连接服务器的QQ客户端是完全没意义的。这种情况下,所有的用户数据都会提交到服务提供商的服务器上,因此这种客户数据的安全性完全依赖于这些软件服务商的自律,而这需要建立在用户对服务商完全信任的基础上。一般的小公司大多会信任大公司的产品,这里面小公司也存在一个侥幸心理:大公司估计不会关注到我们这种小公司吧。但是如果是两个同样量级的竞争对手,让他们还能够彼此完全信任,这就不大现实了,这也是大家认为盛大,百度这类公司内部禁用腾讯QQ是为了防止其截取机密的一个直接原因。
说来也怪,比起国内企业的软件服务,更多的企业更愿意信任Google这类国际大公司的产品,笔者接触到不少国内创业公司都在用Google Calendar,Gmail等服务,有些甚至将整个公司的业务信息都上到Google网络上了,如果你问他们是否担心Google会偷取他们的数据,他们一定会说不会怀疑Google会这样做。
2:另一种情况是软件本身的功能并不依赖于外部服务器,但是这类软件会有如下几个正当的理由来告诉使用者它需要向外部发送信息,这些信息包括:自动升级检测,软件崩溃报告,旨在改善用户体验的使用数据,卸载报告等;但是这些软件是否会进一步收集用户的数据呢?这个就很难说,因为这些软件向外部发送到数据并不能很好的被监控和分析。因为很多数据并不走明文,就更难监控这些软件的行为了,而有些共享软件本身就是靠这个活的。
现在越来越多的软件厂家意识到占领用户桌面的重要性,从输入法,杀毒软件,即时通讯工具,播放器,网盘客户端等种类繁多的桌面软件就看得出来这方面的竞争有多激烈。但是,如果这些软件都不提供联网功能,大家可能就不会觉得这类桌面软件有多重要了,这里面软件提供商除了可以得到一个广告渠道外,能够收集到大量的用户数据(当然不一定都是隐私数据)也是一个重要因素。
二:外部网站(B/S架构) 相对于C/S架构的软件,B/S架构的外部网站的服务是通过浏览器提供的,则相对来说安全性要更有保障一些,至少从根本上杜绝了软件扫描整个客户计算机以窃取隐私信息的可能性。同样这里有两种情况: 1:员工访问网站知识为了获取信息而几乎不会存储任何信息,例如员工访问google或baidu以获取某个技术问题的解答,或者员工通过一些论坛,博客获取到一些与业务相关的研发知识,这类访问相对来说要安全些,但是也同样存在一些泄密的可能。笔者就知道曾经有家公司就发生过因为员工将机密文档上传到外部网站而导致泄密的事件。
2:有些公司的员工使用互联网服务提供商提供的SAAS服务来存储公司的业务信息。现在越来越多的“云服务”提供商为企业提供各种各样的服务,这些“云服务”商如果不能解决用户信任问题,又有哪个公司愿意将自己的所有机密信息(特别是公司的产品研发数据)放到这些外部服务器上呢?这也是目前SAAS的服务对象主要还是面向中小型企业和团队的一个重要原因。
中国的有些互联网服务提供商并没有把用户信息安全当回事,这一点就不得不提一下前段时间发生的某些知名网站用户密码泄漏问题:将用户的密码以明文的方式存入到系统中本身就是不尊重用户信息安全的行为,并且这种做法的真实动机很让人怀疑,任何WEB系统都应该从设计上保证用户的密码只有用户本人知道,任何其它人(包括网站的系统管理员)即时获取到整个用户数据库都无法通过技术手段解析出用户的密码明文。那些存储用户密码明文的系统我想只有两个理由:低劣的开发人员的恶心设计;服务提供商不怀好意的有意为之。即使出了这么严重的大面积用户密码泄漏事件,你仍然可以发现国内目前还有一些网站继续这么干,笔者前几天正好使用了一个网站的密码找回功能,结果它直接往我的注册邮箱中发送了一个我的密码明文,找回这个明文密码并没有让我有一丝高兴,反而觉得恶心之极,这个网站还是一个政府主导的大型市民服务网站,怎么会有如此恶心的设计。
笔者所在的公司方向正好是为企业提供研发协作平台解决方案的,有客户以为我们的系统是基于SAAS的,这时就会问一个问题:我所有的研发数据都放到你们的系统中,如何保证这些数据的安全性。当知道Topo尽管是一个B/S架构的服务器软件,但是并不是基于SAAS的,系统是安装到他们公司自己内部的,这时才能完全打消他们的顾虑。如果是SAAS服务的话,还真不知道如何解释才能够让他们完全信任。这里还有一个能够反映企业对数据(尤其是研发类敏感数据)的安全性非常重视的例子:当用户反馈Topo系统问题时,为了定位这些问题,希望用户能够提供服务器运行的log数据,这时我们会明确告诉用户说你提供给我们的log数据是全文本可读的,用户可以逐个检查一下这些log文件的确没包含任何用户数据信息后再发给我们,从而从根本上取得用户对我们的信任。要取得用户的信任,首先你要值得用户对你信任,目前有些软件动不动就向外部服务器发送一大堆不可阅读的二进制内容,你让用户如何完全信任你?
诚信是任何社会中最普遍、最基本的伦理价值需要。诚信的基础在现今中国社会受到了动摇的同时,互联网企业的信任危机也越来越严重,更何况互联网上太多的截取用户隐私的流氓应用,前不久的3Q大战,刚刚平息的知名网站用户信息泄漏事件,这些都让广大中国网民伤不起。任何公司要想取得用户的信任,首先必须是值得大家信任,在这方面,中国的互联网公司的确还有不少的事情值得去做。
尽管本文分析了公司员工访问外网可能存在的诸多信息泄密可能漏洞,需要指出的是,与担心服务提供商非法窃取商业信息相比,大量公司给员工断网的更大原因还在于防范员工主动泄密。为了达到防范员工的目的,断网还不算狠的,更狠的是封USB口,锁主机,甚至禁用有拍照功能的手机等,说到底,企业为了保护自己的商业秘密,做任何措施都不为过。
相信看到这里时,你不会还觉得盛大百度内部禁用QQ有啥好奇怪的了,相反,如果你所在的公司内部还能任意访问互联网,你应该感到庆幸,也许明天你的老板看到这篇文章后就决定断网了?
本文由国内领先的研发协作系统提供商CLOUDTOPO供稿,欢迎转载。
