同樣是九年義務教育，爲什麼這個 Office 比你家的優秀

同樣是九年義務教育

爲什麼這個 Office 比你家的優秀

文 | 史中

今天的故事，是由兩個奇案引起的。

過年的時候，中哥聽二叔講了一段年輕時候的往事。

70年代，他才18歲。年輕力壯，人又機靈，被村子的生產隊選做糧倉管理員。沒成想有一天貪玩，和幾個小夥伴去河溝游泳，晚上回到家一摸口袋才發現倉庫鑰匙不見了。等第二天他跟生產隊承認錯誤的時候，所有人都驚呆了。大夥辛苦刨出來的花生少了二百斤。。。

在“誓奪糧食更高產”的路上，二叔成了絆腳石。

雖然最後大家相信了他不是監守自盜，但他“糧倉倉長”的職位反正是被擼了。奇怪的是，直到最後，這個案子也沒破。

世界上的事兒就是這麼巧。兩天後中哥跟一個記者朋友海哥吃火鍋，聽到了一個同樣神奇的故事。

海哥在一家新聞網站工作，去年，他辛辛苦苦採訪到了一位行業大佬，寫了一個獨家稿件存在後臺。一切安排妥當，準備週一發佈。結果，一家競爭對手網站在前一天，也就是週日，發佈了幾乎一模一樣的稿件。。。

他知道，如果週一他再發出這份報道，那就等於自己抄襲了別人。這簡直比竇娥還要冤啊。

“只有一種可能，有人提前看到了我的文章。”他很肯定地說。

作爲專業的網絡安全業餘選手，聽完他的“供詞”，中哥分析出幾種可能：

1、他曾經把稿件存成了 Word，分享在了全員工作的微信羣裏。如果公司有內鬼，那麼稿件就會被傳到公司以外的人手裏。

2、他曾經在自己的手機上存儲了這個稿件。如果手機被黑客植入了惡意軟件，對方就有可能偷走這篇文章。

3、他們網站後臺使用的系統是自己開發的，安全保護機制並不嚴格。黑客有可能通過釣魚郵件黑掉了他的電腦，然後拿到了後臺密碼。

可能性都在這，然並卵。由於他們網站沒有一個完整的信息流轉系統——微信是騰訊的民用社交軟件，手機又是沒啥防護的個人手機，網站後臺功能很簡單——所有信息泄露的關鍵節點都沒有被監控，看來這隻能成爲千古疑案了。。。

看着火鍋升騰的氤氳霧氣，我突然有一種穿越時空的感覺。

“海哥丟稿子”和“二叔丟花生”，從本質上講不是一碼事麼？屬於集體的寶貴成果被盜，但是苦於沒有一套安全系統，最終只能成爲懸案。

四十多年過去了，我們好像也沒什麼進步嘛。。。

轉念一想，這樣想未免太悲觀了。中哥撩過很多網絡安全大牛，他們研究的技術都是解決企業安全問題的神器。但是問題在於他們的武器有點像重裝火炮，買回來總有一種高射炮打蚊子的感覺，又貴又重。有沒有那種買來就能用，而且還不會感覺累贅的靈丹妙藥呢？

我問了一位安全大佬，他聽完海哥的故事，沉思片刻神祕地說，我可以介紹你和幾位微軟的大牛聊聊。

我心裏升騰起十個納尼，微軟和信息安全有啥關係？這靠譜嗎？

然鵝，想想在苦海里掙扎的海哥，我還是歷盡千辛萬苦來到了中關村，坐在微軟中國的辦公室裏。

拍了一張微軟大廈

（這藍天是北京，你敢信？）

（0）城市套路深

提到微軟，很多童鞋想到的肯定是“老三樣兒”：Windows、Office、Xbox。當然，碼農們還會想到剛剛被微軟收購的開發者網站 GitHub。

其實，現在的微軟還有個更重要的身份，那就是雲計算服務提供商。

大名鼎鼎的 Azure，就是微軟的雲計算品牌。而且，無論是 Windows 還是 Office，現在很多服務都跑在雲端。（比如中哥特別愛用的 OneDrive——微軟的雲盤——就是個標準的雲存儲服務）

我見到一位大叔，名叫劉楓，他是微軟的技術專家，人稱“黑帶選手”。這不是說他一言不合就動手削人，意思就是別人搞不定的技術難題對他來說輕鬆加愉快。

言歸正傳，今天來，我的目的很明確，就是爲了尋找“海哥稿件被盜事件”的解藥。我把海哥的故事講給他，劉楓微微一笑：“Microsoft 365 正好能解決這個問題。”

突然感覺自己孤陋寡聞。中哥還真沒聽過 Microsoft 365 這個東西。

劉楓趕緊替我掃了一下盲。微軟有三朵雲，分別是：Azure、Microsoft 365、Dynamic 365。

Azure 是底層的雲計算服務，

Microsoft 365 是企業辦公套件，

Dynamic 365 是企業業務套件。

他們三個的關係是：Azure 是另外兩朵雲的底層基礎。打個比方，如果說 Azure 是麪粉的話，那麼 Microsoft 365 和 Dynamic 365 就分別是油條和麻花。

雖然是三朵雲，但時間有限，中哥來不及發三輛車了，這次我們就上Microsoft 365這一輛車。

爲了好理解，先庖丁解牛一下。簡單來說，Microsoft 365 就是個 Office 套裝，它分三個部分：Office 365+Windows 10+微軟 EMS

Office 365，這個很多人聽說過，它是客戶端應用+雲端服務的模式，就是你熟悉的 Word、Excel、PowerPoint 等等客戶端組件，加上 Teams（協作平臺）、SharePoint Online（企業門戶）, Exchange Online（企業郵件），OneDrive for Business （企業網盤）等等在雲端提供的企業團隊應用。

Windows 10，這個更多人聽說過，就是操作系統 Windows 10。

微軟 EMS，這個有點陌生，它的全稱是 Enterprise Mobility + Security，是微軟的一整套企業移動管理和安全套件，整合了企業辦公和移動安全管理領域的一些能力。

一句話，企業可以搞一套 Microsoft 365，操作系統、辦公軟件、協作軟件、文件管理、安全防禦等等日常工作所需的軟件就全搞定了。

說到這，劉楓給我講了一個很有意思的洞見：信息安全不是一招制敵的降龍十八掌，而是一整套現代化工作模式涌現出來的一個特性。

這咋理解呢？舉個例子吧。

大明王朝抵禦清軍，所有精銳都集中在山海關，這就叫單點防禦。吳三桂一旦不靠譜，就會讓清軍長驅直入，直接兵臨北京。事實證明這確實發生了。。。

保衛一個國家和保衛一幢大廈是一樣的道理。只是在大門外掛一把鎖，一旦這道鎖被小偷幹掉，那他進入整個大樓都如入無人之境。

所以，一幢現代化辦公樓，不僅要有大門的鎖，還要有巡邏保安、監控系統、工牌機制、權限分級電梯、獨立辦公室門禁、自動報警系統等等。這些共同構成了安全體系。

從數學上說，一套體系肯定比一把堅固的鎖安全。你看，有時候開門鎖都不用鑰匙。

說回具體的企業辦公系統，啥是“現代化工作模式”呢？

劉楓說了四個基本要素：

1、釋放員工創造力的工具。（比如 Word、Excel、即時翻譯等等工具。）

2、賦能團隊協作的工具。（比如 Outlook、Teams 等等工具。）

3、集成並簡化的流程。（比如協作需要怎樣的管理策略和流程，讓每一步操作都有據可循。）

4、智能安全的能力。（當所有工作的信息都被採集、彙總，輸送到安全引擎，自然就可以識別很多有風險的操作。）

聽到這，我似乎明白了。

安全不是你想買，想買就能買。你得首先有這麼一整套“城會玩”的企業辦公套件，然後安全就是順理成章自然而然瓜熟蒂落水到渠成了。

原因是：你會發現這些免費廠商的發展速度，業務方向都不相同，他們之間的協作會越發需要人爲參與，越來越繁瑣。更重要的是，這些免費軟件的安全理念和架構也不盡相同，缺少企業級安全經驗。

一般到了這個時候，公司纔會着急，去選用大型成熟的辦公套件。

劉楓說。

“這不就是海哥他們麼。。。”我心裏默想。

既然微軟把這件事想得這麼明白，那麼今天的硬核科普就可以開始了：一套完整的辦公套件，例如 Microsoft 365，究竟會從哪些方面保護用戶的安全呢？

（1）第一道防線——權限管理

“權限”兩個字看上去輕如鴻毛，實際上卻重如泰山。權限其實是這個世界（在和平狀態下）運行的底層邏輯。

議會，擁有決定國家政策的權限。你想要影響一個民族，得先合法獲得議會的席位；

金錢，擁有調動商業資源的權限。你要改變自己和別人的生活，得先合法獲得金錢。

政治、經濟兩大領域尚且如此，其他一切都是它的變體。

在《紅樓夢》裏，有這麼一段小事，恰恰說明了權限的重要性。

鳳姐生病，讓探春代爲管家。原文說“探春精細處不讓鳳姐”，但是苦於探春和王熙鳳的“權限”不同，下人們各種推諉，直到王熙鳳派平兒給他們開了“思想動員大會”，明確賦權給探春，下人們才接受了這個配置，賈府的財務工作重新僅僅有條。

“海哥丟稿子”的故事，很可能就是一個典型的“身份和訪問管理”問題。它的問題出在“越權查看”。

你還記得海哥曾經把自己的文章發在了公司的大羣裏嗎？裏面不僅有編輯，還有後勤、技術、前臺等等其他角色。顯然，他們的權限中不應該包括查看未發佈的稿件。

這裏海哥的行爲，其實是破壞了權限。但是，由於微信並沒有設計“分級查看”的功能，所有人都可以無差別地查看。於是風險就發生了。

微信是個人聊天工具，不會顯示羣裏多少人查看了文件，是誰查看了文件。

“二叔丟花生”的故事，也同樣是一個典型的“身份和訪問管理”問題。它的問題出在“身份冒用”。

小偷拿着二叔的鑰匙站在糧倉門口，就等於一個黑客盜取了管理員的密碼試圖登錄。但事實上，種種蛛絲馬跡會暴露“開鎖人不是二叔”這個事實。

例如，開鎖這個人的體態和動作習慣和之前那個人不同；這個人對於鎖孔的位置不熟悉，找了半天才找到；這個人擰鑰匙的力度也和之前不同。

如果這把鎖是合格的安全系統，探測到這些異常之後，它應該彈出一個強制身份驗證框，讓開鎖人進行指紋或者人臉驗證。

事實上，身份管理不到位是企業信息泄露最主要的原因沒有之一。

劉楓告訴我，在商業領域，2018年“身份攻擊”比上一年增加了三倍。只要權限不亂，基本可以杜絕企業中 90% 的安全問題。

他給我舉了幾個栗子：

一家公司，每天會產生很多文檔和數據。這些文檔就像美國電影一樣，有的可以允許所有人觀看，有的應該允許13歲以上的觀衆觀看，有的只能允許17歲以上的觀衆觀看。所以，Microsoft 365 所做的就是給不同的文件“分級”，然後給所有的員工“分級”。保證不同級別的員工只可以查看對應級別的文件，正如孫楠唱的，”不必煩惱，是你的想跑也跑不了，不是你的想得也得不到。“

美國電影分級制度

一家公司，經常有人入職有人離職，也有人突然被老闆抓去做一個需要高權限的特殊任務。這些都意味着每個員工的權限是實時變化的。Microsoft 365 的後臺，就有一套自動化的系統，可以根據人事部門的數據自動爲員工增減權限，完全不用人管。如果想要爲一個員工臨時賦予查看某類文件的權利，也可以設定時長，例如一小時之後，權限自動收回。

在電影《集結號》裏，王金存就被穀子地“臨時賦權”了。

一家公司，很可能不會只使用微軟一家的產品，它們會使用很多第三方的雲應用。這時，Microsoft 365 會對第三方應用做一個風險評估，給出你是不是要繼續使用的建議，以及還要做哪些安全防護的建議。

（2）第二道防線——信息保護

權限保護系統，就像一幢大樓的門禁系統，它的作用是：保證正確的人在正確的時間接觸到正確的信息。但這套系統並不是滴水不漏。

例如，像007這樣的神人，總是可以掏出一張萬能門禁卡，在敵人的大廈裏出入平安。

例如，如果有數據訪問權限的人接受了賄賂，也會主動把信息拿出來泄露。

所以，一個合格的安全系統，除了“對人的把控”，還要有“對信息的把控”。

在《微微一笑很傾城》的第25集裏有這麼一個情節。

肖奈的公司開發了一款遊戲，但是競爭對手用威脅的方式策反了肖奈公司的一位主管阿爽。接下來有趣的一幕發生了：阿爽試圖把遊戲完整地偷出去，卻發現代碼被加密，他完全破解不了。

你看，人沒把控住，但是把控住了信息，一樣好使。這說明，肖奈不僅長得帥，腦子也是夠用的。起碼在“信息保護”這方面，已經達到了 Microsoft 365 的水準。

當然，要想全面理解“信息保護”，還得聽專家的。劉楓給我列舉了一些標準姿勢。

一家公司，只靠人對數據做分級，可能會存在疏漏。如果你是一家互聯網公司，員工的電腦上可能存儲了一些用戶的姓名和信用卡號。這些信息實際上很敏感，絕不可以丟失。

Microsoft 365 會自動在你的電腦上掃描，如果發現含有信用卡號、身份證號這一類信息的文件，就自動標爲敏感數據，禁止隨意複製和傳出外網。如下圖：

一家公司，不幸混入一些內鬼也是難免的。內鬼的重要職責就是把企業信息盜取出去。所以，Microsoft 365 會盯緊每一個敏感數據，無論是誰想用電子郵件、USB、三方軟件傳出去，都會觸發數據保護機制，管理員會馬上接到警報。如下圖：

一家公司，員工們很可能會在手機上登錄工作應用，很多重要信息都是通過移動端泄露的。Microsoft 365 對於用戶在移動端的行爲也可以進行特別具體的管理，一言不合就能擦除設備，相當冷酷。

（3）生死看淡不服就幹——威脅防護

攻擊一幢房子，可以從內部瓦解，也可以從外部強攻。

“權限管理”和“數據保護”都是防止數據從內部泄露，如果內部泄露的渠道都被堵死，接下來想要獲得企業機密信息，就只剩“外部強攻”這一條路了。這時，就需要“威脅防護”系統了。

外部進攻也是有套路的：

90% 的外部攻擊，都是用“釣魚郵件”傳進來一個惡意軟件，然後在48小時之內，黑客就基本上能獲得一個網絡的控制權。

說到“海哥丟稿子”這件事，之前我還提到了另外一種可能，那就是：根本沒有內鬼泄密，而是黑客從外部入侵了他們的後臺系統。而他或同事很可能點擊了一封“釣魚郵件”，才被偷走後臺密碼的。這就是典型的外部攻擊。

你看，這實際上是個假的亞馬遜郵件，是個釣魚郵件

劉楓告訴我，一個完整的辦公套件，要集成很多攻擊防護系統。

一家公司，成百上千的員工，每天要收數以萬計的郵件。究竟哪個是正常郵件，哪個是含有病毒的釣魚郵件，只靠每個人根據經驗判斷肯定是不夠的。所以 Microsoft 365 裏面有一個“安全郵件網關”，可以自動檢查每封郵件，有問題就直接報警處理。

一家公司，即使有“安全郵件網關”，也難免放進來少量的惡意軟件。這時，就需要終端殺毒軟件，一旦病毒在本機落地，就要馬上查殺。用過Windows 的童鞋都見過的 Windows Defender——微軟的殺毒軟件——就是做這個用的。當然在 Microsoft 365 上，還有更加厲害的終端防護軟件。

一家公司，即使有“安全郵件網關”和“終端殺毒軟件”，還是有少量黑客可以突破進來。這時，就輪到“入侵檢測系統”和“入侵防禦系統”施展拳腳了。一旦發現內網訪問異常和流量異常，這些專業系統都會立刻發出警報。

你看這張圖，本來應該在日本登錄的系統，卻有了兩次在新加坡的登錄記錄，管理員瞬間就能看到。

（4）一張作戰地圖——安全性管理

剛纔聽中哥說得這麼熱鬧，你可能會覺得，管理一個企業的安全好麻煩啊。。。

沒錯，安全就是一件麻煩事。但是劉楓對我說：“微軟麻煩，不等於使用者麻煩。”他掏出了 Microsoft 365 的最後一樣神器——安全性管理系統。

因爲辦公套件和安全套件都是微軟的，所以他們可以做到用一個管理系統就能看到所有安全數據的全貌，就像這樣：

看到全貌爲什麼這麼重要呢？

因爲如果看局部，你會覺得是浪漫的飛機離別。

如果看整體，那就是馬桶圈+顯示器。

你看，獲得全面信息多重要。

“很多企業有很多安全軟件，但是缺乏後端統一管理的系統，就會造成對安全態勢有種盲人摸象的感覺。”劉楓說。

如果老闆（或者安全管理員）可以隨時查看自己企業的所有安全報警，順着報警又可以追溯到是什麼人，在什麼時候，使用了哪些軟件，動了哪些文件，像“海哥丟稿子”這種事情恐怕就難以發生，即使發生了也可以查得水落石出。

展示完畢，劉楓順次關掉所有的網頁和 Office 內嵌軟件。到最後，只剩下一個乾淨的 Windows 界面。

這一瞬間我被莫名震動了。

同樣是九年義務教育，我面前的這個 Office 可比別的 Office 優秀多了。。。

從微軟大廈出來，正好海哥給我發微信，問我“解藥”求得如何。

我回復他：解藥既簡單又複雜，我還是寫一篇文章吧。

最後我還是想說說“體系”。

沒人把微軟當成一個安全廠商來看，但仔細回憶，從WindowsXP 時代就有了“Microsoft Anti Spyware”，這個軟件後來改版成爲大家都認識的“Windows Defender”。十幾年的時間裏，微軟一直在低調而堅持地發佈企業級的安全軟件，例如 ISA 防火牆、Forefront 等等。

這些能力，如今都成爲了 Microsoft 365 的一部分。

沒有一個偉大的系統，可以脫離安全而存在。它可能不被注意，不被提起，但它很可能是一種血液，一種性格。

在我看來，這是一種非常美式的體面。

充滿求生欲的鳴謝：感謝溫柔善良美麗大方的女票貢獻了《紅樓夢》和《微微一笑很傾城》的兩個例子。