6 月 26 日晚，大量用户反馈 QQ 号码被盗，被盗账号会自动给好友和群发不雅图片及赌博性内容。6 月 27 日中午，腾讯 QQ 官方微博声明，该事件主要原因“系用户扫描过不法分子伪造的游戏登录二维码并授权登录，该登录行为被出黑产团伙劫持并记录，随后被不法分子利用发送不良图片广告。” 关注【融云 RongCloud】，了解协同办公平台更多干货。

QQ 被盗事件再次引发了大家对即时通讯产品安全的关注，融云政企研发总监大池和 PMO 苏东升由此事件展开，对不同组织在特殊环境下的企业通讯安全防护进行了一系列讨论。

融云政企研发总监大池表示，QQ 被盗算是比较严重的恶性事件。因为 ToC 场景下的即时通讯产品，本身用户基数非常大，所以它在安全上出现一点点小的漏洞，都会波及全网。而 ToB 场景下的即时通讯产品，虽然用户基本都是企业，用户基数相对较小，但是它们传输的东西更机密，更关乎于企业的生存，所以数据重要性安全级别更高。

事实上，不同组织内部网络架构各有不同，网络安全防护需求不同，所需要的安全通讯保障也不同。

---

如何满足组织在特定网络要求中的产品部署？

有一些用户要求产品实现内外网隔离与互通。如图 1，在办公网环境中，PC 端用户可接入内网服务，但移动端用户接入内网有难度。而随着智能手机的普及和 5G、大数据等技术的发展，加上即时通讯产品可多端登录的特点，移动端用户可直接接入互联网，实现移动办公，提升办公效率。

图 1 - 内外网环境

比如，针对内部机要文件或信息，用户只能在内网环境通过 PC 端查阅及处理，因为移动端用户通过互联网查看或处理文件有潜在风险。但移动端用户可通过即时通讯产品的推送功能获悉该文件或信息的存在，然后登录内网 PC 端进行查阅或处理。这样可以确保用户该看到的文件可以看到，但在不满足特定网络环境的情况下，不该看到的文件就不会看到。

另一些用户要求在专网部署产品，如军队和公安。

图 2 - 带网闸网络交互图

为满足此类用户对高安全性的需求，融云即时通讯产品选择通过网闸进行数据传导，提供特定的安全防护和敏感信息的过滤，可实现不同安全级别网络之间的安全距离，并提供适度可控的数据较短的软硬件系统。但网闸的存在，直接影响即时通讯产品在即时性上的用户体验。标准的即时通讯产品，如传统的互联网或者 B/S 结构，基于 HTTPS 协议保证即时性。HTTPS 协议是一种短连接，每一次请求都会建立一个连接，而收到应答以后就会销毁掉连接。

如 OA 或者新闻类网站，用户收到想要的数据以后，在本地进行浏览，这么做虽然减轻了服务端的资源消耗，但同时也会影响即时性，因为当连接断开以后，客户端和服务器之间就不存在任何关系了。所以为满足即时性需求，当前市面上基本所有即时通讯产品底层都采用 TCP 长连接。所谓长连接就是当连接建立以后不再断开，和服务器一直保持联系。当消息需要传递给用户时，长连接就会在第一时间发送到用户客户端上。

但网闸的存在，对于 TCP 长连接是一个非常大的挑战，因为网闸会导致 TCP 连接受限。融云即时通讯产品会在网闸上部署相关安全模块，通过“反向代理服务”进来的需求，到网闸就会从 TCP 转化成 HTTPS 请求，再投递到内网服务器上。所以，通过优化协议转换模块，可以在保证安全性的基础上，兼顾 TCP 长连接的即时性。

还有一些用户，针对防火墙、VPN、加密机等有特殊需求。针对 VPN，融云一般提供两种解决方案。一种方案是在系统或手机上安装 VPN 软件拨号，建立和打通安全隧道以后，再启动应用进行安全通讯。

但这种方式有两个问题，第一是操作比较繁琐，第二是用户等待时间相对较长。对于即时通讯产品而言，用户体验稍差。

另一种方案是把 VPN 的 SDK 嵌入到即时通讯应用里，用户收到通知可直接点开应用软件查看消息。当软件启动时，VPN 隧道会自动建立。即便 VPN 建立会消耗一定的时间，但它是一个无缝衔接的过程，用户体验较好，一般来说我们建议用户把 VPN 的SDK 集成进来。融云的即时通讯产品为这些 VPN 的 SDK集成预留了相关接口，可通过简单的替换进行不同厂商的 VPN SDK封装。

---

即时通讯产品传输链路安全性如何保证？

即时通讯产品通过基于 TLS 的 HTTPS 协议来保证 HTTP 链路层面的安全性，TLS 是国际通用的算法标准。

图 3 -  TLS-over-TCP

在 TCP 长连接层面，融云产品集成了标准的 TLS，确保链路传输的安全性。但是在混合用户场景下，比如除了内部用户，即时通讯产品也用于外部互联网客户时，因为要保证互联网用户数据回传到私有部署的数据中心链路安全，就无法使用 VPN 方案。

在这种情况下，在数据或标准应用层面，通过 HTTPS 确保安全性，而在 TCP 层面则通过 TLS-over-TCP 协议确保达到同一安全标准。

---

在信创环境下，如何确保即时通讯产品安全性？

信创整体诉求主要集中于系统安全、网络安全和业务安全，甚至还有国家安全。所以为了满足上述安全需求，融云即时通讯产品结合了信创工委会相关标准，并支持国密算法。另外，在整体架构和在网络层面，融云有国密代理或者密码机。密码机基于国密，对链路层面进行加解密。

具体到业务层面，以视频会议场景为例。

图 4 - 视频会议场景概念图

在加密层面，融云视频会议系统有一个加密机的角色，同时通过密管和身份认证系统的后台，去管理业务过程中产生的密钥，并使用密管生成的密钥搭建支持国密的加密通道。因为融云视频会议基于 WEB RTC的基础实现，所以流传输采用 UDP（无连接的传输协议）。在 UDP 层面，视频会议采用自定义加密对流进行国密的加密。而密钥交换在融云视频会议系统内部进行，以确保发起方对流的加密在接收方能够进行正常解密，确保还原画面声音等一整套视频会议业务场景正常进行。

音视频信令控制主要采用 TCP，当然也支持国密。也就是说融云视频会议整套系统，在 HTTPS、TCP 和UDP 层面都达到了国密的要求。与此同时，经过不断的优化，融云视频会议系统将音视频的延迟和卡顿影响降到最低。

可以分享一些融云经典案例吗？

先看一个政府项目案例。它主要体现在国产化私有部署的信创环境。在整体实施过程中，对桌面端台式机、笔记本和服务端进行了相关适配，在服务层面、链路层面进行了安全优化，以符合信创需求。

图 5 - 私有化部署示例图

另一个案例是公安执法监督管理平台。受疫情影响，不光是日常办公日趋线上化，在公安执法法院审讯等场景中，部分业务也被迁移到了线上。这对音视频产品提出了很高的安全要求。尤其是像公安有网闸的网络环境中，我们对其执法监督管理平台进行了相应适配，或者说对进行了一些优化调整。确保在有网闸的网络环境下，用户体验与标准产品无异。

图 6 - 公安执法监督管理平台示例图

第三个案例是证券行业客户，存在内部用户和外部用户进行沟通交流的场景。为此，融云部署了链路传输安全相关模块，以确保内外部员工通讯安全。

图 7 - 内外网隔离与互通示例图

---

融云即时通讯产品，始终强调安全至关重要。融云有能力也有信心，满足政企组织数字化转型过程中的各种高安全性需求，守好即时通讯“安全”这道门，并将进一步强化研发实力，发挥赋能政企数字化转型“安全推手”作用，促进政企组织高质量发展。

又现信息泄露事件！融云揭秘通讯安全守护之道相关推荐

1. 又现信息泄露事 融云通讯安全守护之道

   6 月 26 日晚,大量用户反馈 QQ 号码被盗,被盗账号会自动给好友和群发不雅图片及赌博性内容.6 月 27 日中午,腾讯 QQ 官方微博声明,该事件主要原因"系用户扫描过不法分子伪造的游 ...

2. 在50亿信息泄露事件面前，Struts 2 漏洞和CIA泄密都是小事 | 宅客周刊

   1.一份数据告诉你,被万年漏洞王 Struts2 坑了的网站有哪些 pache Struts2 作为世界上最流行的 Java Web 服务器框架之一,3 月 7 日带来了本年度第一个高危漏洞--CVE ...

3. SCA连载GDPR罚单之保加利亚国家税务局（NRA）信息泄露事件

   2018年8月29日,保加利亚个人数据保护委员会根据本国个人数据保护法第87条第3款的规定,由时任保加利亚税个人数据保护委员会主席Ventsislav Karadjov先生向NRA(保加利亚国家税务局 ...

4. 从携程信用卡信息泄露事件谈网上支付安全

   最近携程被爆信用卡信息泄露事件,事件内容:http://www.wooyun.org/bugs/wooyun-2010-054302 携程声明:http://pages.ctrip.com/comme ...

5. iOS开发融云即时通讯集成详细步骤

   1.融云即时通讯iOS SDK下载地址   http://rongcloud.cn/downloads  选择iOS   SDK下载 2.进行应用开发之前,需要先在融云开发者平台创建应用,如果您已经注 ...

6. 融云即时通讯SDK集成 – 定制UI(二) ——添加自定义表情库

   融云即时通讯SDK集成 – 定制UI(二) --添加自定义表情库 背景: 最近公司新上的app要加上即时通讯的功能, 自己快速实现一个当然是不可能的了(项目deadline也顶不住哇).就从各家成熟的 ...

7. 融云即时通讯云平台获北京六局委新技术新产品认证

   近日,融云即时通讯云平台成功入选第七批北京市新技术新产品(服务)认证,成为本批次中即时通讯行业唯一入选企业.该证书是由北京市科学技术委员会.北京市发展改革委员会.北京市经济和信息化委员会.北京市住房和 ...

8. 信息泄露事件频发，下一个会是谁？

   如果你每天手机接不停 一会儿贷款 一会儿投资 -- 数量远远超过正常电话时 不要怀疑自己,你的个人信息 就是 被!泄!露!了 大数据时代,社会信息化和网络化的发展导致数据爆炸式增长,大数据技术,悄然渗 ...

9. 在信息泄露事件后 雅虎关闭邮件自动转发功能

   10月11日消息 据国外媒体报道,本月初雅虎已暂时禁用电子邮件自动转发功能,过去已设置自动转发功能的邮箱用户并不会受到影响,雅虎此举被认为是防止用户的迁移. 在雅虎最近被爆出用户账户遭黑客窃取和数据监 ...

最新文章

1. linux @webserviceclient 访问超时_Linux系统调优
2. 计算机视觉行业迎来大发展，多角度解读未来前景
3. Sasha and Sticks
4. 1010 一元多项式求导 (25 分)(c语言)
5. FPGA串口（UART）通信协议制定与设计思路详解示例
6. python opencv立体测距 立体匹配BM算法
7. R和RStudio下载安装详细步骤
8. 【转】拷贝构造函数的参数类型必须是引用
9. HTTP 错误 500.19 Internal Server Error的解决方法
10. bool类型数组转换成一个整数_Python如何处理数据？如何把数据转换成我们想要的？三种处理方法...
11. iBATIS In Action：iBATIS的安装和配置
12. 读《疯狂的站长》- 回顾反思我的个人站长路
13. limeSurvey资料
14. ArcGIS Engine基础（7）之栅格数据集常用操作
15. 动手学强化学习（一）：多臂老虎机 Multi-armed Bandit
16. 吃饭 睡觉 打豆豆游戏
17. Windows10 SVG转PDF
18. 点滴：python数据集的文本标签转换成数值
19. python的append是什么意思_append在python里是什么意思
20. 多摄像机标定和去畸变

热门文章

1. 10分钟学会 SQL 语言核心知识点！
2. pytorch实现 wgan
3. Matlab学习笔记（1）——imshow函数的使用
4. 数据库三级模式两层映射
5. python反恐精英代码类似的编程_敲代码学Python：CS188之实现深度优先搜索
6. Hadoop_HDFS_Shell
7. python偏最小二乘法回归分析_偏最小二乘回归（PLSR）- 2 标准算法（NIPALS）
8. Docker入门指南：基于 docker 搭建机器学习/深度学习开发环境
9. 点积和叉积在计算机图形学的应用
10. Json.Net之Linq To JSON