如今���,郵件幾乎成了工作場(chǎng)景中不可替代的工具。即便是在個(gè)人微信�、QQ���,或是阿里釘釘�、騰訊TIM����、企業(yè)微信等在線即時(shí)通訊工具繁多的當(dāng)下,郵件仍然是日常辦公中必不可少的溝通方式�。從某種意義上來(lái)說(shuō)�,它更像是一個(gè)“官方文書(shū)”����,更具有“公信力”。
正因如此���,郵件系統(tǒng)中往往存儲(chǔ)著企業(yè)及機(jī)構(gòu)的大量敏感信息,一旦泄露將造成重大的安全事故�。當(dāng)年令業(yè)界嘩然的「希拉里郵件門(mén)」就是非常典型的事件之一�。
即便近幾年來(lái)郵件安全已經(jīng)得到越來(lái)越廣泛的關(guān)注�,但如360董事長(zhǎng)周鴻祎所說(shuō),沒(méi)有網(wǎng)絡(luò)是無(wú)法被攻破的����。隨著技術(shù)的快速發(fā)展����,網(wǎng)絡(luò)與系統(tǒng)變得越來(lái)越復(fù)雜�,其中的漏洞也會(huì)越來(lái)越多�。網(wǎng)絡(luò)世界的“攻與防”、軟件系統(tǒng)的查缺補(bǔ)漏���,已經(jīng)變成“程序猿”的日常。
Coremail郵件安全事件回顧
最近,在郵件領(lǐng)域就有一個(gè)安全事件備受關(guān)注�。今年3月�,國(guó)內(nèi)電子郵件企業(yè)Coremail的安全中心監(jiān)測(cè)到了其郵件系統(tǒng)中的3個(gè)高危漏洞����,隨即向客戶進(jìn)行了“自曝”。在進(jìn)行小范圍測(cè)試及危害性驗(yàn)證后���,Coremail立即發(fā)布了相關(guān)漏洞補(bǔ)丁并進(jìn)行了版本更新和兼容性驗(yàn)證,對(duì)于波及對(duì)客戶�,陸續(xù)協(xié)助進(jìn)行實(shí)際部署驗(yàn)證和安全加固等工作����。
不過(guò)���,這一安全漏洞問(wèn)題卻在網(wǎng)上經(jīng)歷了一段時(shí)間的持續(xù)發(fā)酵����,一時(shí)間謠言四起。根據(jù)官方公告披露�,該漏洞存在于Coremail的Web服務(wù)端口�,攻擊者可以通過(guò)訪問(wèn)apiws���、mailsms����、wmsvr接口和模塊獲取郵件服務(wù)配置信息(如:數(shù)據(jù)庫(kù)連接賬號(hào)密碼),通過(guò)泄露的信息,從而進(jìn)一步進(jìn)行越權(quán)訪問(wèn)�。
對(duì)此����,Coremail論客CEO陳磊華日前接受了至頂網(wǎng)記者采訪���,并就此事進(jìn)行了回顧����。他透露,在Coremail自查發(fā)現(xiàn)問(wèn)題后����,網(wǎng)絡(luò)中的幾位“技術(shù)發(fā)燒友”對(duì)這些漏洞進(jìn)行了反編譯和研究����,試圖攻破安全防護(hù)���。“經(jīng)過(guò)追查����,我們已經(jīng)找到了這個(gè)團(tuán)隊(duì),他們大多還是在校學(xué)生,所以發(fā)現(xiàn)漏洞對(duì)他們來(lái)說(shuō)就像發(fā)現(xiàn)了寶藏一樣�。”陳磊華說(shuō)����。
此外����,陳磊華還坦言,由于漏洞是常規(guī)自查發(fā)現(xiàn),同時(shí)基于客戶協(xié)議�,為了避免給客戶業(yè)務(wù)帶來(lái)負(fù)面影響�,Coremail并未在互聯(lián)網(wǎng)上公布這一漏洞���。這樣的舉措使得部分用戶并未對(duì)漏洞給予足夠重視及時(shí)打補(bǔ)丁���,給了攻擊者可乘之機(jī)���。當(dāng)然���,他也聲明稱����,雖然沒(méi)有公之于眾�,但在發(fā)現(xiàn)漏洞的第一時(shí)間,Coremail就與波及客戶進(jìn)行了通報(bào)和一對(duì)一對(duì)接�,并在收到用戶反饋后立即將相關(guān)信息上報(bào)CNVD平臺(tái)����,進(jìn)行了全網(wǎng)公開(kāi)�。
Coremail論客CEO陳磊華
“從某種意義上來(lái)說(shuō),我們應(yīng)該感謝這個(gè)黑客團(tuán)隊(duì)����,他們讓我們發(fā)現(xiàn)自己的更多缺陷和問(wèn)題�,并及時(shí)采取應(yīng)對(duì)措施���。”陳磊華強(qiáng)調(diào)����。
強(qiáng)調(diào)郵件安全至上
正因如此,Coremail再次明確了“網(wǎng)絡(luò)安全第一”的核心戰(zhàn)略方向�,并對(duì)內(nèi)部的工作方式和工作流程等進(jìn)行了全面調(diào)整���。
一直以來(lái)���,Coremail堅(jiān)持的都是原廠服務(wù)����,所有業(yè)務(wù)均不外包����。對(duì)于用戶而言,這是一種可靠的保障����。而對(duì)于安全漏洞更是如此�,為了避免黑客借打補(bǔ)丁和修復(fù)之名對(duì)用戶進(jìn)行非法攻擊����,從3月份開(kāi)始,Coremail技術(shù)團(tuán)隊(duì)就開(kāi)始7x24小時(shí)待命�,為用戶系統(tǒng)進(jìn)行加固升級(jí)�,主動(dòng)聯(lián)系����、主動(dòng)維護(hù)。
當(dāng)然���,不可避免地,這可能帶來(lái)另一個(gè)問(wèn)題���,就是修復(fù)時(shí)間的拉長(zhǎng)。沒(méi)有第三方的介入���,每一個(gè)客戶的單子都由Coremail一一做排期,一一對(duì)接執(zhí)行���,這對(duì)于其技術(shù)團(tuán)隊(duì)來(lái)說(shuō)壓力是非常大的。
雖然業(yè)界普遍認(rèn)為網(wǎng)絡(luò)漏洞的黃金修復(fù)時(shí)間是48小時(shí)����,但在國(guó)內(nèi)市場(chǎng)���,基本要半年左右才能完成全部的修復(fù)工作。“事實(shí)上�,這與企業(yè)用戶自身的重視程度和打補(bǔ)丁的速度有密切的關(guān)系���。安全是一個(gè)系統(tǒng)工程���,對(duì)于郵件安全����,我國(guó)目前大部分人還沒(méi)有普遍的安全防護(hù)意識(shí)���,在日常的操作規(guī)范����,以及遇到問(wèn)題后的反應(yīng)速度等方面仍有所缺失。”陳磊華表示���,“對(duì)此,我們一方面明確了將‘客戶郵件作為我們的頭等大事’,在自己的產(chǎn)品上進(jìn)行不斷升級(jí)�;另一方面也會(huì)不斷教育市場(chǎng)����,提高用戶的認(rèn)知���。對(duì)于企業(yè)來(lái)說(shuō)�,郵件安全就像是一個(gè)‘橋頭堡’,是必須守住的一道重要防線���。”
據(jù)他介紹,Coremail不僅從內(nèi)部管理上建立了安全防御體系����,在安全漏洞����、釣魚(yú)郵件的應(yīng)對(duì)及服務(wù)上保護(hù)用戶隱私���,并持續(xù)自查自糾����。同時(shí)���,還會(huì)與黑客團(tuán)隊(duì)及與安全專家合作進(jìn)行攻防演練,其中就包括上文安全事件中的黑客團(tuán)隊(duì)。
推動(dòng)技術(shù)自主可控
從國(guó)家層面來(lái)看�,時(shí)至今日�,我國(guó)對(duì)網(wǎng)絡(luò)安全的重視已經(jīng)到了空前的高度���。而由于Coremail的客戶不僅涵蓋美的集團(tuán)���、華潤(rùn)集團(tuán)這樣的大型集團(tuán)企業(yè)�,以及人民銀行、建設(shè)銀行、交通銀行等金融機(jī)構(gòu)����,同時(shí)還包括國(guó)家科技部�、財(cái)政部����、中科院等政府機(jī)構(gòu)和學(xué)術(shù)研究機(jī)構(gòu),他們對(duì)網(wǎng)絡(luò)的安全性和系統(tǒng)的自主可控有著極高的要求�。因此�,Coremail非常重視在郵件安全領(lǐng)域的持續(xù)投入���,包括成立云安全服務(wù)中心���,堅(jiān)持24小時(shí)不間斷服務(wù)�,堅(jiān)持自主研發(fā)等等�。
據(jù)陳磊華透露,今年年初Coremail與華為達(dá)成生態(tài)合作���,將在華為云上部署Coremail企業(yè)郵箱產(chǎn)品,這讓Coremail成為了國(guó)內(nèi)首家適配華為T(mén)aiShan服務(wù)器的郵箱品牌����。
經(jīng)過(guò)幾個(gè)月的對(duì)接���,目前Coremail與華為在技術(shù)層面已經(jīng)基本完成了對(duì)接���,并計(jì)劃于7月正式進(jìn)行戰(zhàn)略發(fā)布�。
“在這其中����,我們付出了很多時(shí)間,不僅要確認(rèn)合作的細(xì)節(jié)����,還要進(jìn)行嚴(yán)謹(jǐn)?shù)募夹g(shù)測(cè)試�,這是工程師之間的對(duì)話����,非常復(fù)雜。我們也是一個(gè)個(gè)難關(guān)地過(guò)�,一個(gè)個(gè)節(jié)點(diǎn)去對(duì)接�。”陳磊華對(duì)至頂網(wǎng)記者說(shuō)���。
在自主可控方面���,類似于與華為這樣的合作還有不少���,包括麒麟�、永中等眾多國(guó)內(nèi)知名企業(yè)都支持Coremail郵件系統(tǒng)����。陳磊華表示:“我們一直在主動(dòng)尋求生態(tài)合作伙伴,希望能夠打通從CPU到操作系統(tǒng)到上層的生態(tài)體系���,從而為客戶提供更好的自主可控的技術(shù)和產(chǎn)品。”
聚焦用戶體驗(yàn)
作為20多年的郵件企業(yè)�,Coremail見(jiàn)證了工作場(chǎng)景發(fā)生的一點(diǎn)一滴的變化�。除了郵件安全���,用戶對(duì)于郵件處理效率要求越來(lái)越高����、對(duì)于郵件使用的便捷性體驗(yàn)要求越來(lái)越顯性化了、郵件與其它系統(tǒng)的結(jié)合也越來(lái)越緊密了……總結(jié)成兩點(diǎn),一是郵件安全,二是投遞品質(zhì)。
因此����,基于協(xié)同辦公場(chǎng)景���,Coremail仍在不斷豐富自己的產(chǎn)品功能和服務(wù)����,以郵件系統(tǒng)為起點(diǎn)在垂直領(lǐng)域進(jìn)行產(chǎn)品研發(fā)。如今���,Coremail的產(chǎn)品涵蓋了郵件系統(tǒng)、企業(yè)郵箱�、郵件歸檔系統(tǒng)����、郵件投遞系統(tǒng)����、海外云鏡像加速�、企業(yè)協(xié)同工具等,用戶量超過(guò)了10億�。
陳磊華介紹����,Coremail能夠獲得今天的成就�,主要源于兩方面:第一,能夠針對(duì)不同行業(yè)客戶的具體應(yīng)用場(chǎng)景定制化相應(yīng)的解決方案。比如����,在學(xué)校中大量新生數(shù)據(jù)如何快速批量導(dǎo)入���、畢業(yè)生如何轉(zhuǎn)變?yōu)樾S焉矸?��,在集團(tuán)企業(yè)中如何做到統(tǒng)一的管控和部署等等���,都需要不同的方案來(lái)支持����。第二�,云服務(wù)中心的自助服務(wù)和原廠人工服務(wù)的搭配。
“我們非??粗赝哆f品質(zhì)���,這跟快遞服務(wù)是一樣的���。因此����,在專利和技術(shù)方面我們也在做持續(xù)的投入���,從而保證用戶的體驗(yàn)���。”陳磊華表示���,“其中就包括與人工智能�、機(jī)器學(xué)習(xí)等新興技術(shù)等結(jié)合�。”
為此,Coremail還在去年年底成立了論客α實(shí)驗(yàn)室���。當(dāng)前,實(shí)驗(yàn)室聚焦基于郵件的數(shù)據(jù)智能、數(shù)據(jù)安全�、網(wǎng)絡(luò)安全三個(gè)方向的落地研究���,以產(chǎn)學(xué)研合作方式切入����,與清華大學(xué)深圳研究生院�、中山大學(xué)、南京大學(xué)、華南理工大學(xué)�、廣州中科院軟件所等高校���、科研院所進(jìn)行聯(lián)合���,開(kāi)展了三個(gè)領(lǐng)域中與郵件業(yè)務(wù)相關(guān)的關(guān)鍵技術(shù)研發(fā)與產(chǎn)品原型開(kāi)發(fā)���,并對(duì)相關(guān)項(xiàng)目進(jìn)行孵化�,把合適的成果導(dǎo)入企業(yè)進(jìn)行產(chǎn)業(yè)化轉(zhuǎn)換。
僅僅半年時(shí)間,論客α實(shí)驗(yàn)室已經(jīng)有不少項(xiàng)目被孵化����。比如����,通過(guò)對(duì)網(wǎng)絡(luò)攻擊���、安全事件等進(jìn)行系統(tǒng)整理與可視化呈現(xiàn)���,向相關(guān)的管理歸口進(jìn)行安全實(shí)時(shí)預(yù)警和策略響應(yīng)�,全面保障電子郵件安全����;比如,在電子取證�、多模態(tài)惡意垃圾郵件識(shí)別���、企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)等方面與科研機(jī)構(gòu)和高校合作進(jìn)行研究和聯(lián)合技術(shù)開(kāi)發(fā)等等�。對(duì)于Coremail來(lái)說(shuō)���,這既是生態(tài)合作的延展���,同時(shí)也將成為其產(chǎn)品不斷升級(jí)和創(chuàng)新的重要方式���。“我們會(huì)不遺余力地在這方面進(jìn)行投入�,確保用戶的體驗(yàn),這是我們的優(yōu)勢(shì)和核心�。”陳磊華說(shuō)����。
