惊！“性冷淡”的企业聊天工具，暗藏的秘密比陌陌还多？

证优客 | 2017-01-22

• ISO9001
• ISO45001
• 微型计算机3C认证

 现在不少企业是用企业聊天协作工具辅助办公的，比如说钉钉、纷享销客、iWork365等。

一旦涉及到工作，就有不少信息、甚至工作内容是涉及到企业机密的。那么，这些知名的写作平台又会采取什么手段来做保密工作呢？

首先，偷窃企业信息最大的可能性来自于商业对手，或可以从商业对手那里获得好处的机构。他们需要盗取核心的数据，例如董事会讨论战略部署的内容、经理对下属部署投标报价，还有董事长叫美女秘书来办公室述职的命令。这些信息本来就是非常私密的交流，通过买通普通员工并没有办法获得这类聊天记录。于是利用黑客技术潜入服务器系统是一种最为理智的选择。所以，接下来的战场转移到了技术攻防。

IM系统的安全防护有简单的地方，是因为聊天记录以静态的形式存储。对于静态资料，国际上有一种通用的成熟解决方案，那就是密文存储。通过密码学的方式把数据加密，再把破译密文的密钥存储到安全的地方。理论上在得不到密钥的情况下， 对数据进行暴力破解，即使破解成功也是“山无棱天地合”的时代了。

密文存储、传输链路加密目前已经成为了主流企业办公平台的标配。但是整个系统仍然存在一个巨大的短板。以钉钉为例：对于密文，是没有办法实现搜索和好友推荐等功能的，所以钉钉对于存储在服务器上的企业通讯录和聊天记录是存在解密状态的。而这个解密状态，恰恰是数据最脆弱的时候。

这时数据面临的黑客威胁会陡然增加。由于钉钉身处阿里云之上，所以有关阿里云的所有安全防护固然是全部加身。这个时候，阿里云的安全性，就等同于钉钉的安全性了。为了超越阿里云的通用安全级别，迦卢在云盾等通用防护的基础上增加了专有防护。钉钉安全团队正是在维护这个专有防护体系。

然而，迦卢说钉钉运行以来并没有发现恶意的进攻，他承认“关键是无利可图。”可以猜测：根据目前钉钉的发展状态，也许黑客还不认为上面的公司有被攻击的价值。对于迦卢来说，没人进攻也许不是好事。因为他得不到进攻的行为模式，进而改进自身的防护策略。不过，他表示针对正常的访问行为做研究，也是可以让防御策略进步的。况且团队内部经常玩一种自己对自己做攻击实验，除此之外阿里巴巴集团的安全部也会凶残地对钉钉进行不预先通知的攻击。“还好目前为止没有发现大的漏洞，小的问题是会出现的。”他说。

自证清白可能是世界上最烧脑的事情之一了。所有此类SaaS平台都要面对一个终极问题，那就是如何说服用户：“我们通过严格的内控制度，保证自身不会碰客户的数据资产”

钉钉采取了中规中矩，但是颇有成效的方法——第三方认证。这里的第三方认证就是ISO27001标准。这是国际认可的信息安全管理标准，大意是从人员管理流程和工作流程方面规范数据的利用。业内人士透露，腾讯企业号平台同样采用了第三方认证的方式，不过腾讯官方从未对外公布。iWork365能够拿下一些要求严苛的大企业，和第三方认证的背书是分不开的。

很多做软件服务类的企业，在自己的领域算是了解的，但是对于申请认证却是一知半解，因此，申请ISO27001、ISO20000这样的适用于IT和服务行业的认证，委托第三方认证咨询公司进行操作，是最方便快捷省事的，证优客——一站式企业认证服务管理平台，是大咖和中小企业共同的选择，目前还有500万认证补贴发放，在此时做认证，是真正明智的选择。