又现信息泄露事 融云通讯安全守护之道
6 月 26 日晚,大量用户反馈 QQ 号码被盗,被盗账号会自动给好友和群发不雅图片及赌博性内容。6 月 27 日中午,腾讯 QQ 官方微博声明,该事件主要原因“系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被出黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。” 关注【融云 RongCloud】,了解协同办公平台更多干货。
QQ 被盗事件再次引发了大家对即时通讯产品安全的关注,融云政企研发总监大池和 PMO 苏东升由此事件展开,对不同组织在特殊环境下的企业通讯安全防护进行了一系列讨论。
融云政企研发总监大池表示,QQ 被盗算是比较严重的恶性事件。因为 ToC 场景下的即时通讯产品,本身用户基数非常大,所以它在安全上出现一点点小的漏洞,都会波及全网。而 ToB 场景下的即时通讯产品,虽然用户基本都是企业,用户基数相对较小,但是它们传输的东西更机密,更关乎于企业的生存,所以数据重要性安全级别更高。事实上,不同组织内部网络架构各有不同,网络安全防护需求不同,所需要的安全通讯保障也不同。
如何满足组织在特定网络要求中的产品部署?
有一些用户要求产品实现内外网隔离与互通。如图 1,在办公网环境中,PC 端用户可接入内网服务,但移动端用户接入内网有难度。而随着智能手机的普及和 5G、大数据等技术的发展,加上即时通讯产品可多端登录的特点,移动端用户可直接接入互联网,实现移动办公,提升办公效率。
比如,针对内部机要文件或信息,用户只能在内网环境通过 PC 端查阅及处理,因为移动端用户通过互联网查看或处理文件有潜在风险。但移动端用户可通过即时通讯产品的推送功能获悉该文件或信息的存在,然后登录内网 PC 端进行查阅或处理。
这样可以确保用户该看到的文件可以看到,但在不满足特定网络环境的情况下,不该看到的文件就不会看到。
另一些用户要求在专网部署产品,如军队和公安
为满足此类用户对高安全性的需求,融云即时通讯产品选择通过网闸进行数据传导,提供特定的安全防护和敏感信息的过滤,可实现不同安全级别网络之间的安全距离,并提供适度可控的数据较短的软硬件系统。但网闸的存在,直接影响即时通讯产品在即时性上的用户体验。标准的即时通讯产品,如传统的互联网或者 B/S 结构,基于 HTTPS 协议保证即时性。HTTPS 协议是一种短连接,每一次请求都会建立一个连接,而收到应答以后就会销毁掉连接。
如 OA 或者新闻类网站,用户收到想要的数据以后,在本地进行浏览,这么做虽然减轻了服务端的资源消耗,但同时也会影响即时性,因为当连接断开以后,客户端和服务器之间就不存在任何关系了。所以为满足即时性需求,当前市面上基本所有即时通讯产品底层都采用 TCP 长连接。所谓长连接就是当连接建立以后不再断开,和服务器一直保持联系。当消息需要传递给用户时,长连接就会在第一时间发送到用户客户端上。
但网闸的存在,对于 TCP 长连接是一个非常大的挑战,因为网闸会导致 TCP 连接受限。融云即时通讯产品会在网闸上部署相关安全模块,通过“反向代理服务”进来的需求,到网闸就会从 TCP 转化成 HTTPS 请求,再投递到内网服务器上。所以,通过优化协议转换模块,可以在保证安全性的基础上,兼顾 TCP 长连接的即时性。
还有一些用户,针对防火墙、VPN、加密机等有特殊需求。针对 VPN,融云一般提供两种解决方案。 一种方案是在系统或手机上安装 VPN 软件拨号,建立和打通安全隧道以后,再启动应用进行安全通讯。**但这种方式有两个问题,第一是操作比较繁琐,第二是用户等待时间相对较长。对于即时通讯产品而言,用户体验稍差。
另一种方案是把 VPN 的 SDK 嵌入到即时通讯应用里,用户收到通知可直接点开应用软件查看消息。 当软件启动时,VPN 隧道会自动建立。即便 VPN 建立会消耗一定的时间,但它是一个无缝衔接的过程,用户体验较好,一般来说我们建议用户把 VPN 的SDK 集成进来。融云的即时通讯产品为这些 VPN 的 SDK集成预留了相关接口,可通过简单的替换进行不同厂商的 VPN SDK封装。
即时通讯产品传输链路安全性如何保证?
即时通讯产品通过基于 TLS 的 HTTPS 协议来保证 HTTP 链路层面的安全性,TLS 是国际通用的算法标准。
在 TCP 长连接层面,融云产品集成了标准的 TLS,确保链路传输的安全性。但是在混合用户场景下,比如除了内部用户,即时通讯产品也用于外部互联网客户时,因为要保证互联网用户数据回传到私有部署的数据中心链路安全,就无法使用 VPN 方案。
在这种情况下,在数据或标准应用层面,通过 HTTPS 确保安全性,而在 TCP 层面则通过 TLS-over-TCP 协议确保达到同一安全标准。
在信创环境下,如何确保即时通讯产品安全性?
信创整体诉求主要集中于系统安全、网络安全和业务安全,甚至还有国家安全。 所以为了满足上述安全需求,融云即时通讯产品结合了信创工委会相关标准,并支持国密算法。另外,在整体架构和在网络层面,融云有国密代理或者密码机。密码机基于国密,对链路层面进行加解密。
具体到业务层面,以视频会议场景为例。
在加密层面,融云视频会议系统有一个加密机的角色,同时通过密管和身份认证系统的后台,去管理业务过程中产生的密钥,并使用密管生成的密钥搭建支持国密的加密通道。因为融云视频会议基于 WEB RTC的基础实现,所以流传输采用 UDP(无连接的传输协议)。在 UDP 层面,视频会议采用自定义加密对流进行国密的加密。而密钥交换在融云视频会议系统内部进行,以确保发起方对流的加密在接收方能够进行正常解密,确保还原画面声音等一整套视频会议业务场景正常进行。
音视频信令控制主要采用 TCP,当然也支持国密。也就是说融云视频会议整套系统,在 HTTPS、TCP 和UDP 层面都达到了国密的要求。与此同时,经过不断的优化,融云视频会议系统将音视频的延迟和卡顿影响降到最低。
可以分享一些融云经典案例吗?
先看一个政府项目案例。它主要体现在国产化私有部署的信创环境。在整体实施过程中,对桌面端台式机、笔记本和服务端进行了相关适配,在服务层面、链路层面进行了安全优化,以符合信创需求。
另一个案例是公安执法监督管理平台。受疫情影响,不光是日常办公日趋线上化,在公安执法法院审讯等场景中,部分业务也被迁移到了线上。这对音视频产品提出了很高的安全要求。尤其是像公安有网闸的网络环境中,我们对其执法监督管理平台进行了相应适配,或者说对进行了一些优化调整。确保在有网闸的网络环境下,用户体验与标准产品无异。
第三个案例是证券行业客 户,存在内部用户和外部用户进行沟通交流的场景。为此,融云部署了链路传输安全相关模块,以确保内外部员工通讯安全。
融云即时通讯产品,始终强调安全至关重要。融云有能力也有信心,满足政企组织数字化转型过程中的各种高安全性需求,守好即时通讯“安全”这道门,并将进一步强化研发实力,发挥赋能政企数字化转型“安全推手”作用,促进政企组织高质量发展。
网络安全入门学习路线
其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。
1.网络安全法和了解电脑基础
其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...
别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图: 学到http和https抓包后能读懂它在说什么就行。
2.网络基础和编程语言
3.入手Web安全
web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。
最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。
等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。
这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。
学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。
其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。
4.安全体系
不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
尾言
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦! 网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
又现信息泄露事 融云通讯安全守护之道相关推荐
- 又现信息泄露事件!融云揭秘通讯安全守护之道
6 月 26 日晚,大量用户反馈 QQ 号码被盗,被盗账号会自动给好友和群发不雅图片及赌博性内容.6 月 27 日中午,腾讯 QQ 官方微博声明,该事件主要原因"系用户扫描过不法分子伪造的游 ...
- android读信息会话,在融云 IMkit 会话界面基础上添加消息已读未读.
在融云 IMkit 会话界面基础上添加消息已读未读. 使用过融云的同学们可能知道. 融云 IMkit 的会话界面, 发送玩消息后, 如果对方已读, 发送端则会显示小对号的图片. 但是更具需求要把小对号 ...
- 即时通讯(四)---初始化融云
1.获取Token 功能描述 生成用户在融云的唯一身份标识 Token,客户端在使用融云通讯能力前必须获取 Token,融云 SDK 每次连接服务器时,都需要向融云服务器提供 Token,以便验证身份 ...
- android 融云浏览大图,融云 Android sdk kit 头像昵称更新机制
先申明笔者的实现方式不是唯一 也不一定是最优化的方案 如果您看到此篇博文 有不同看法 或者 更好的优化 更高的效率 欢迎在评论发表意见 融云官网点我 融云头像机制相关视频详解 首先跟大家说一下 kit ...
- ios 融云 重写对话列表_iOS集成融云SDK part 1 小记
之前虽然稍微了解过即时通讯方面的内容,但是一直没有怎么去做过聊天部分的.这次是刚刚使用融云,做一下记录. 关于融云SDK集成的具体步骤,我都是参考以下这些文章(很多图片都是直接从这些地方拿的,我真是太 ...
- 一个“Internal”牵扯出的代码泄露,阿里云独家回应
近日,阿里云云效平台被曝出现源代码泄露企业,涉及40家企业共200余项目,甚至波及用户隐私敏感数据.晚些时候,阿里云就此事作出回应,并在网站醒目标识并给出告警. 今天,一篇题为<独家 | 阿里云 ...
- 华为正式出售荣耀;圆通回应内鬼致 40 万条个人信息泄露;Spring Boot 2.3.6 发布|极客头条...
整理 | 郑丽媛 头图 | CSDN 下载自东方 IC 快来收听极客头条音频版吧,智能播报由出门问问「魔音工坊」提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「 ...
- APICloud平台的融云2.0集成
融云2.0的官方文档地址:http://docs.apicloud.com/端API/开放SDK/rongCloud2 项目需要IM模块,最后还是选择了融云.在iOS原生开发中,融云sdk集成了聊天界 ...
- 安卓融云SDK的使用,会话列表,1v1发起单聊
安卓融云SDK的使用,会话列表,1v1发起单聊 1v1发起单聊 继承ConversationFragment 前提把融云该导入的SDK和UI包都导入一下,这个不多说,按照官方文档即可 不管是会话列表还 ...
最新文章
- C++ Primer 5th笔记(chap 13 拷贝控制)三五法则
- java excel sheet页_Java导出Excel Sheet页
- 【拨云见日】全面云化时代,如何选择适合自己的“云”?
- ghost mysql 乱码,ghost安装之mysql
- 【架构】大型网站优化技术思路
- Android--Handler
- PHP根据开始、结束时间:计算开始、结束时间占当月总天数的百分比
- js 弹出提示信息,并跳转指定页面代码分享
- 光纤跳线接口_一篇文章读懂光纤接头、尾纤、耦合器、终端盒的作用与接法!...
- jdbc sql拼接字符串
- phpStudy + JspStudy 2014.10.02 下载
- Mycat生产实践---分表分库案例
- 什么时候线程会进入Waitting状态?
- mysql auto reconnect_Mysql5的auto Reconnect异常
- 关于NetSuite中需求计划的几个理解
- could not resolve dependency: npm err! peer react@“^16.8.0 || ^17.0.0“ from @material-ui/core@4.12.4
- MySQL银行绩效面试题
- layui 数据表格的搜索分页功能的实现
- Kafka实践(八):Kafka的控制器controller
- python利用itchat接口和pyecharts包进行数据可视化