同样是九年义务教育，为什么这个 Office 比你家的优秀

同样是九年义务教育

为什么这个 Office 比你家的优秀

文 | 史中

今天的故事，是由两个奇案引起的。

过年的时候，中哥听二叔讲了一段年轻时候的往事。

70年代，他才18岁。年轻力壮，人又机灵，被村子的生产队选做粮仓管理员。没成想有一天贪玩，和几个小伙伴去河沟游泳，晚上回到家一摸口袋才发现仓库钥匙不见了。等第二天他跟生产队承认错误的时候，所有人都惊呆了。大伙辛苦刨出来的花生少了二百斤。。。

在“誓夺粮食更高产”的路上，二叔成了绊脚石。

虽然最后大家相信了他不是监守自盗，但他“粮仓仓长”的职位反正是被撸了。奇怪的是，直到最后，这个案子也没破。

世界上的事儿就是这么巧。两天后中哥跟一个记者朋友海哥吃火锅，听到了一个同样神奇的故事。

海哥在一家新闻网站工作，去年，他辛辛苦苦采访到了一位行业大佬，写了一个独家稿件存在后台。一切安排妥当，准备周一发布。结果，一家竞争对手网站在前一天，也就是周日，发布了几乎一模一样的稿件。。。

他知道，如果周一他再发出这份报道，那就等于自己抄袭了别人。这简直比窦娥还要冤啊。

“只有一种可能，有人提前看到了我的文章。”他很肯定地说。

作为专业的网络安全业余选手，听完他的“供词”，中哥分析出几种可能：

1、他曾经把稿件存成了 Word，分享在了全员工作的微信群里。如果公司有内鬼，那么稿件就会被传到公司以外的人手里。

2、他曾经在自己的手机上存储了这个稿件。如果手机被黑客植入了恶意软件，对方就有可能偷走这篇文章。

3、他们网站后台使用的系统是自己开发的，安全保护机制并不严格。黑客有可能通过钓鱼邮件黑掉了他的电脑，然后拿到了后台密码。

可能性都在这，然并卵。由于他们网站没有一个完整的信息流转系统——微信是腾讯的民用社交软件，手机又是没啥防护的个人手机，网站后台功能很简单——所有信息泄露的关键节点都没有被监控，看来这只能成为千古疑案了。。。

看着火锅升腾的氤氲雾气，我突然有一种穿越时空的感觉。

“海哥丢稿子”和“二叔丢花生”，从本质上讲不是一码事么？属于集体的宝贵成果被盗，但是苦于没有一套安全系统，最终只能成为悬案。

四十多年过去了，我们好像也没什么进步嘛。。。

转念一想，这样想未免太悲观了。中哥撩过很多网络安全大牛，他们研究的技术都是解决企业安全问题的神器。但是问题在于他们的武器有点像重装火炮，买回来总有一种高射炮打蚊子的感觉，又贵又重。有没有那种买来就能用，而且还不会感觉累赘的灵丹妙药呢？

我问了一位安全大佬，他听完海哥的故事，沉思片刻神秘地说，我可以介绍你和几位微软的大牛聊聊。

我心里升腾起十个纳尼，微软和信息安全有啥关系？这靠谱吗？

然鹅，想想在苦海里挣扎的海哥，我还是历尽千辛万苦来到了中关村，坐在微软中国的办公室里。

拍了一张微软大厦

（这蓝天是北京，你敢信？）

（0）城市套路深

提到微软，很多童鞋想到的肯定是“老三样儿”：Windows、Office、Xbox。当然，码农们还会想到刚刚被微软收购的开发者网站 GitHub。

其实，现在的微软还有个更重要的身份，那就是云计算服务提供商。

大名鼎鼎的 Azure，就是微软的云计算品牌。而且，无论是 Windows 还是 Office，现在很多服务都跑在云端。（比如中哥特别爱用的 OneDrive——微软的云盘——就是个标准的云存储服务）

我见到一位大叔，名叫刘枫，他是微软的技术专家，人称“黑带选手”。这不是说他一言不合就动手削人，意思就是别人搞不定的技术难题对他来说轻松加愉快。

言归正传，今天来，我的目的很明确，就是为了寻找“海哥稿件被盗事件”的解药。我把海哥的故事讲给他，刘枫微微一笑：“Microsoft 365 正好能解决这个问题。”

突然感觉自己孤陋寡闻。中哥还真没听过 Microsoft 365 这个东西。

刘枫赶紧替我扫了一下盲。微软有三朵云，分别是：Azure、Microsoft 365、Dynamic 365。

Azure 是底层的云计算服务，

Microsoft 365 是企业办公套件，

Dynamic 365 是企业业务套件。

他们三个的关系是：Azure 是另外两朵云的底层基础。打个比方，如果说 Azure 是面粉的话，那么 Microsoft 365 和 Dynamic 365 就分别是油条和麻花。

虽然是三朵云，但时间有限，中哥来不及发三辆车了，这次我们就上Microsoft 365这一辆车。

为了好理解，先庖丁解牛一下。简单来说，Microsoft 365 就是个 Office 套装，它分三个部分：Office 365+Windows 10+微软 EMS

Office 365，这个很多人听说过，它是客户端应用+云端服务的模式，就是你熟悉的 Word、Excel、PowerPoint 等等客户端组件，加上 Teams（协作平台）、SharePoint Online（企业门户）, Exchange Online（企业邮件），OneDrive for Business （企业网盘）等等在云端提供的企业团队应用。

Windows 10，这个更多人听说过，就是操作系统 Windows 10。

微软 EMS，这个有点陌生，它的全称是 Enterprise Mobility + Security，是微软的一整套企业移动管理和安全套件，整合了企业办公和移动安全管理领域的一些能力。

一句话，企业可以搞一套 Microsoft 365，操作系统、办公软件、协作软件、文件管理、安全防御等等日常工作所需的软件就全搞定了。

说到这，刘枫给我讲了一个很有意思的洞见：信息安全不是一招制敌的降龙十八掌，而是一整套现代化工作模式涌现出来的一个特性。

这咋理解呢？举个例子吧。

大明王朝抵御清军，所有精锐都集中在山海关，这就叫单点防御。吴三桂一旦不靠谱，就会让清军长驱直入，直接兵临北京。事实证明这确实发生了。。。

保卫一个国家和保卫一幢大厦是一样的道理。只是在大门外挂一把锁，一旦这道锁被小偷干掉，那他进入整个大楼都如入无人之境。

所以，一幢现代化办公楼，不仅要有大门的锁，还要有巡逻保安、监控系统、工牌机制、权限分级电梯、独立办公室门禁、自动报警系统等等。这些共同构成了安全体系。

从数学上说，一套体系肯定比一把坚固的锁安全。你看，有时候开门锁都不用钥匙。

说回具体的企业办公系统，啥是“现代化工作模式”呢？

刘枫说了四个基本要素：

1、释放员工创造力的工具。（比如 Word、Excel、即时翻译等等工具。）

2、赋能团队协作的工具。（比如 Outlook、Teams 等等工具。）

3、集成并简化的流程。（比如协作需要怎样的管理策略和流程，让每一步操作都有据可循。）

4、智能安全的能力。（当所有工作的信息都被采集、汇总，输送到安全引擎，自然就可以识别很多有风险的操作。）

听到这，我似乎明白了。

安全不是你想买，想买就能买。你得首先有这么一整套“城会玩”的企业办公套件，然后安全就是顺理成章自然而然瓜熟蒂落水到渠成了。

原因是：你会发现这些免费厂商的发展速度，业务方向都不相同，他们之间的协作会越发需要人为参与，越来越繁琐。更重要的是，这些免费软件的安全理念和架构也不尽相同，缺少企业级安全经验。

一般到了这个时候，公司才会着急，去选用大型成熟的办公套件。

刘枫说。

“这不就是海哥他们么。。。”我心里默想。

既然微软把这件事想得这么明白，那么今天的硬核科普就可以开始了：一套完整的办公套件，例如 Microsoft 365，究竟会从哪些方面保护用户的安全呢？

（1）第一道防线——权限管理

“权限”两个字看上去轻如鸿毛，实际上却重如泰山。权限其实是这个世界（在和平状态下）运行的底层逻辑。

议会，拥有决定国家政策的权限。你想要影响一个民族，得先合法获得议会的席位；

金钱，拥有调动商业资源的权限。你要改变自己和别人的生活，得先合法获得金钱。

政治、经济两大领域尚且如此，其他一切都是它的变体。

在《红楼梦》里，有这么一段小事，恰恰说明了权限的重要性。

凤姐生病，让探春代为管家。原文说“探春精细处不让凤姐”，但是苦于探春和王熙凤的“权限”不同，下人们各种推诿，直到王熙凤派平儿给他们开了“思想动员大会”，明确赋权给探春，下人们才接受了这个配置，贾府的财务工作重新仅仅有条。

“海哥丢稿子”的故事，很可能就是一个典型的“身份和访问管理”问题。它的问题出在“越权查看”。

你还记得海哥曾经把自己的文章发在了公司的大群里吗？里面不仅有编辑，还有后勤、技术、前台等等其他角色。显然，他们的权限中不应该包括查看未发布的稿件。

这里海哥的行为，其实是破坏了权限。但是，由于微信并没有设计“分级查看”的功能，所有人都可以无差别地查看。于是风险就发生了。

微信是个人聊天工具，不会显示群里多少人查看了文件，是谁查看了文件。

“二叔丢花生”的故事，也同样是一个典型的“身份和访问管理”问题。它的问题出在“身份冒用”。

小偷拿着二叔的钥匙站在粮仓门口，就等于一个黑客盗取了管理员的密码试图登录。但事实上，种种蛛丝马迹会暴露“开锁人不是二叔”这个事实。

例如，开锁这个人的体态和动作习惯和之前那个人不同；这个人对于锁孔的位置不熟悉，找了半天才找到；这个人拧钥匙的力度也和之前不同。

如果这把锁是合格的安全系统，探测到这些异常之后，它应该弹出一个强制身份验证框，让开锁人进行指纹或者人脸验证。

事实上，身份管理不到位是企业信息泄露最主要的原因没有之一。

刘枫告诉我，在商业领域，2018年“身份攻击”比上一年增加了三倍。只要权限不乱，基本可以杜绝企业中 90% 的安全问题。

他给我举了几个栗子：

一家公司，每天会产生很多文档和数据。这些文档就像美国电影一样，有的可以允许所有人观看，有的应该允许13岁以上的观众观看，有的只能允许17岁以上的观众观看。所以，Microsoft 365 所做的就是给不同的文件“分级”，然后给所有的员工“分级”。保证不同级别的员工只可以查看对应级别的文件，正如孙楠唱的，”不必烦恼，是你的想跑也跑不了，不是你的想得也得不到。“

美国电影分级制度

一家公司，经常有人入职有人离职，也有人突然被老板抓去做一个需要高权限的特殊任务。这些都意味着每个员工的权限是实时变化的。Microsoft 365 的后台，就有一套自动化的系统，可以根据人事部门的数据自动为员工增减权限，完全不用人管。如果想要为一个员工临时赋予查看某类文件的权利，也可以设定时长，例如一小时之后，权限自动收回。

在电影《集结号》里，王金存就被谷子地“临时赋权”了。

一家公司，很可能不会只使用微软一家的产品，它们会使用很多第三方的云应用。这时，Microsoft 365 会对第三方应用做一个风险评估，给出你是不是要继续使用的建议，以及还要做哪些安全防护的建议。

（2）第二道防线——信息保护

权限保护系统，就像一幢大楼的门禁系统，它的作用是：保证正确的人在正确的时间接触到正确的信息。但这套系统并不是滴水不漏。

例如，像007这样的神人，总是可以掏出一张万能门禁卡，在敌人的大厦里出入平安。

例如，如果有数据访问权限的人接受了贿赂，也会主动把信息拿出来泄露。

所以，一个合格的安全系统，除了“对人的把控”，还要有“对信息的把控”。

在《微微一笑很倾城》的第25集里有这么一个情节。

肖奈的公司开发了一款游戏，但是竞争对手用威胁的方式策反了肖奈公司的一位主管阿爽。接下来有趣的一幕发生了：阿爽试图把游戏完整地偷出去，却发现代码被加密，他完全破解不了。

你看，人没把控住，但是把控住了信息，一样好使。这说明，肖奈不仅长得帅，脑子也是够用的。起码在“信息保护”这方面，已经达到了 Microsoft 365 的水准。

当然，要想全面理解“信息保护”，还得听专家的。刘枫给我列举了一些标准姿势。

一家公司，只靠人对数据做分级，可能会存在疏漏。如果你是一家互联网公司，员工的电脑上可能存储了一些用户的姓名和信用卡号。这些信息实际上很敏感，绝不可以丢失。

Microsoft 365 会自动在你的电脑上扫描，如果发现含有信用卡号、身份证号这一类信息的文件，就自动标为敏感数据，禁止随意复制和传出外网。如下图：

一家公司，不幸混入一些内鬼也是难免的。内鬼的重要职责就是把企业信息盗取出去。所以，Microsoft 365 会盯紧每一个敏感数据，无论是谁想用电子邮件、USB、三方软件传出去，都会触发数据保护机制，管理员会马上接到警报。如下图：

一家公司，员工们很可能会在手机上登录工作应用，很多重要信息都是通过移动端泄露的。Microsoft 365 对于用户在移动端的行为也可以进行特别具体的管理，一言不合就能擦除设备，相当冷酷。

（3）生死看淡不服就干——威胁防护

攻击一幢房子，可以从内部瓦解，也可以从外部强攻。

“权限管理”和“数据保护”都是防止数据从内部泄露，如果内部泄露的渠道都被堵死，接下来想要获得企业机密信息，就只剩“外部强攻”这一条路了。这时，就需要“威胁防护”系统了。

外部进攻也是有套路的：

90% 的外部攻击，都是用“钓鱼邮件”传进来一个恶意软件，然后在48小时之内，黑客就基本上能获得一个网络的控制权。

说到“海哥丢稿子”这件事，之前我还提到了另外一种可能，那就是：根本没有内鬼泄密，而是黑客从外部入侵了他们的后台系统。而他或同事很可能点击了一封“钓鱼邮件”，才被偷走后台密码的。这就是典型的外部攻击。

你看，这实际上是个假的亚马逊邮件，是个钓鱼邮件

刘枫告诉我，一个完整的办公套件，要集成很多攻击防护系统。

一家公司，成百上千的员工，每天要收数以万计的邮件。究竟哪个是正常邮件，哪个是含有病毒的钓鱼邮件，只靠每个人根据经验判断肯定是不够的。所以 Microsoft 365 里面有一个“安全邮件网关”，可以自动检查每封邮件，有问题就直接报警处理。

一家公司，即使有“安全邮件网关”，也难免放进来少量的恶意软件。这时，就需要终端杀毒软件，一旦病毒在本机落地，就要马上查杀。用过Windows 的童鞋都见过的 Windows Defender——微软的杀毒软件——就是做这个用的。当然在 Microsoft 365 上，还有更加厉害的终端防护软件。

一家公司，即使有“安全邮件网关”和“终端杀毒软件”，还是有少量黑客可以突破进来。这时，就轮到“入侵检测系统”和“入侵防御系统”施展拳脚了。一旦发现内网访问异常和流量异常，这些专业系统都会立刻发出警报。

你看这张图，本来应该在日本登录的系统，却有了两次在新加坡的登录记录，管理员瞬间就能看到。

（4）一张作战地图——安全性管理

刚才听中哥说得这么热闹，你可能会觉得，管理一个企业的安全好麻烦啊。。。

没错，安全就是一件麻烦事。但是刘枫对我说：“微软麻烦，不等于使用者麻烦。”他掏出了 Microsoft 365 的最后一样神器——安全性管理系统。

因为办公套件和安全套件都是微软的，所以他们可以做到用一个管理系统就能看到所有安全数据的全貌，就像这样：

看到全貌为什么这么重要呢？

因为如果看局部，你会觉得是浪漫的飞机离别。

如果看整体，那就是马桶圈+显示器。

你看，获得全面信息多重要。

“很多企业有很多安全软件，但是缺乏后端统一管理的系统，就会造成对安全态势有种盲人摸象的感觉。”刘枫说。

如果老板（或者安全管理员）可以随时查看自己企业的所有安全报警，顺着报警又可以追溯到是什么人，在什么时候，使用了哪些软件，动了哪些文件，像“海哥丢稿子”这种事情恐怕就难以发生，即使发生了也可以查得水落石出。

展示完毕，刘枫顺次关掉所有的网页和 Office 内嵌软件。到最后，只剩下一个干净的 Windows 界面。

这一瞬间我被莫名震动了。

同样是九年义务教育，我面前的这个 Office 可比别的 Office 优秀多了。。。

从微软大厦出来，正好海哥给我发微信，问我“解药”求得如何。

我回复他：解药既简单又复杂，我还是写一篇文章吧。

最后我还是想说说“体系”。

没人把微软当成一个安全厂商来看，但仔细回忆，从WindowsXP 时代就有了“Microsoft Anti Spyware”，这个软件后来改版成为大家都认识的“Windows Defender”。十几年的时间里，微软一直在低调而坚持地发布企业级的安全软件，例如 ISA 防火墙、Forefront 等等。

这些能力，如今都成为了 Microsoft 365 的一部分。

没有一个伟大的系统，可以脱离安全而存在。它可能不被注意，不被提起，但它很可能是一种血液，一种性格。

在我看来，这是一种非常美式的体面。

充满求生欲的鸣谢：感谢温柔善良美丽大方的女票贡献了《红楼梦》和《微微一笑很倾城》的两个例子。