这两起事件让我想起了前段时间在朋友圈刷到的视频,说是有个国企内部开会,因为下属单位设备不行,工作人员就顺手用了自己手机里的民用软件连上了会议。这下可好了,外面的人趁机混进来,把一部分保密的东西给偷走了。还有一家中央企业,本来是要给海外的分公司传文件,结果没走专用的保密线路,直接用了互联网上的视频会议系统。虽然主持人反复强调不准录音录像,但最后还是被人家用技术手段给偷录下来了,整理成稿子发到了境外网站上,弄得影响特别坏。这事儿出来以后,相关责任人都被严肃处理了。 仔细想想这些漏洞,说到底就是技术防护不行加上管理上出了岔子。有的视频会议系统加密做得太简单,只有在用户和服务器之间那条路上搞了加密,数据到了服务器那边一解密就没了防护,一旦服务器被黑客攻破,所有的东西都得露馅。还有的平台为了方便大家上传文件存到云端,只搞了个简单密码锁就不管了,这要是密码被人猜出来或者管理不严,敏感资料肯定保不住。最让人不放心的是那些为了增加功能加进去的第三方插件,比如做文字识别或者智能辅助的工具,它们经常会偷偷把会议数据传出去。如果插件供应商那边本身的安全措施跟不上,这些看似便捷的小工具就成了泄露数据的“后门”。 人为操作上的风险也不小。有些组织者安全意识太差,开会连密码都不设、身份验证也不做,随便就把会议链接发给一堆人,这让坏人很容易就冒充进去了。有些参会的人保密纪律松懈,私自截图、录屏,甚至用没经过检测的私人电脑或手机来开会,这无形中就把风险的口子给拉大了。 那该怎么给这些视频会议,尤其是涉密的会议弄个安全屏障呢?大家都觉得得把技术和管理这两方面的工作都做起来。像党政机关还有国企这些单位,第一要务就是挑个靠谱的技术平台用。要挑那种全程端到端加密、还支持身份验证、用国产密码算法的系统,这样才能保证数据从产生到传输再到存储的整个过程都有人看着。同时必须得把全流程的保密管理制度立起来。比如得定好标准和要求,不准用不达标的设备;定期给大家上课培训一下红线意识;还要建立定期检查的机制。 对于那些具体的会议组织者和参会人员来说,规范得落到实处才行。开会前得弄个高强度的一次性密码和ID出来,谁能进来谁不能进来得卡死了。会议当中主持人要管好权限,一发现问题就赶紧把会议锁死了。根据密级的高低来决定开不开文件传输或者屏幕共享这些高风险功能。特别注意的是凡是涉及国家秘密的会议,一定要按国家保密法的要求办,只能在符合条件的地方用经过认证的设备和网络来搞,坚决不能通过互联网或者其他公共网络传涉密的信息。 信息化的大潮是挡不住的,以后视频会议肯定会用得越来越多。最近发生的这些事儿告诉咱们一个理儿:方便跟安全并不是没法共存的事儿,关键得看咱们有没有高度的责任感和严谨的态度。这不光是为了保护企业的商业秘密或者市场秩序的问题了更是为了守住国家安全的底线。咱们各方都得吸取教训举一反三把保密的要求刻进技术选型的骨子里固化到制度流程里还得在日常操作上严上加严这样咱们在享受科技便利的同时才能保证党和国家的秘密绝对安全不丢。