近日,阿里巴巴釘釘發佈新版安全白皮書,宣佈公開全鏈路安全技術,這在國內屬於首例,標誌著釘釘在用戶數據和隱私安全方面已經形成全球超一流水準的全面保護體系。
據釘釘安全負責人羅鋒(花名迦盧)介紹,用戶數據安全和隱私保護是釘釘的生命線,此次安全白皮書公開全鏈路安全技術,一方面是向釘釘用戶進行全面安全技術披露,讓用戶深入了解釘釘的安全技術;另一方面,敢於公開全鏈路安全技術,這在國內屬於首家,源於釘釘對於安全方面一貫的超高標準和技術自信。
之前據媒體報道,今年4月份,在普華永道出具的SOC2Type1服務審計報告中,釘釘通過了安全性、保密性和隱私性三項原則的審計,而通過隱私性原則審計全世界範圍內不超過五家,釘釘在國內是第一家。
國內首家公佈全鏈路安全技術
簡單來説,全鏈路安全就是從用戶的手機或是PC端接觸到釘釘,到數據傳輸過程,再到數據應用和存儲,最後包括系統網路和物理環境,整個過程都得到高標準安全防護。
在用戶直接接觸的手機和PC端,釘釘通過應用完整性、環境可信性、數據機密性以及賬號安全風控等四個維度的強化加固,可有效保證用戶使用安全。
在數據傳輸鏈路,釘釘採用自主研發的私有安全協議LWS,實現釘釘端到端的通信鏈路加密、簽名,防止數據被竊聽、篡改,確保數據資訊的傳輸安全。
在應用和數據存儲端,釘釘積累了應用安全開發生命週期管理體系,通過軟體自主開發、定制等保障軟體供應鏈安全,確保釘釘應用、數據庫、中間件等産品和數據存儲安全。
在系統網路和物理環境等基礎設施方面,釘釘的物理環境通過國家認證三級等級保護,按照ISO27001:2013資訊安全管理體系標準建設實施,通過自主研發的流量清洗中心和系統安全産品為釘釘網路、系統安全提供安全保障。
數據全生命週期加密
據迦盧介紹,釘釘資訊加密是由兩道關加密組成:第一道關是國際標準密碼演算法的釘釘加密;第二道關是第三方加密。第三方加密演算法不僅支援行業標準的加密演算法,還支援國密演算法加密。在雙重加密保證之下,任何第三方包括釘釘官方都無法解讀。也就是説,使用該服務的企業和組織擁有唯一密匙。
除了消息加密,消息傳輸也進行加密。據了解,釘釘數據通信全經由SSL/TLS加密,採用密碼界世界領先的橢圓曲線演算法,達到銀行級別加密水準。據了解,這個方法是釘釘在業界最早一批使用,釘釘的聊天消息無法在企業的網關被破解。迦盧説,這樣的加密措施實現了數據從創建到銷毀全生命週期加密。
阿裏神盾局1000多名資深工程師重點保障
釘釘對於用戶數據安全和隱私保護的自信,源於阿裏神盾局(阿裏安全部)1000多名資深安全工程師為其做保障。據了解,憑藉十多年積累的安全防護經驗,阿裏安全體系集大數據風險防控和攻防研究于一體,包括反入侵基礎安全、數據安全、應用安全、業務安全、安全合規、紅藍對抗、線下專案打擊等,建立起全面的賬戶安全、資訊保護、反欺詐等管理機制,阻擋駭客、黑灰産對釘釘用戶數據的侵害。
另外,阿里巴巴建立的圖靈、獵戶座、雙子座、潘多拉、米諾斯、歸零、錢盾和螞蟻金服光年等八大安全實驗室,都是在以技術構築安全防護墻。
國內第一個安全資質“大滿貫”
據了解,除了前文提到的SOC2審計報告這一權威資質以外,作為國內企業級市場的領跑者,釘釘是中國首個通過國際資訊安全領域的ISO27001:2013認證的企業級社交産品,也獲得了ISO27018:2014(公有雲體系下的隱私保護)證書,而且,釘釘還通過了中國公安部的“資訊系統安全等級保護”三級認證。
獲得這四項權威安全資質,釘釘在國內是唯一一家,意味著釘釘已經拿到安全資質的“大滿貫”。
安全第一政府和公安系統是重度用戶
據了解,釘釘上現在已經有超過500萬家企業和組織,包括復星集團、大潤發、中國聯通、統一集團、中鐵四局、我愛我家、滴滴出行、遠大科技、西貝餐飲、分眾傳媒、中國石化管道儲運公司等在內的各行業眾多知名企業正在使用釘釘。
值得一提的是,釘釘已經成為各地政府、公安系統以及重要會議的“標配”。據了解,釘釘是2016年杭州G20峰會、2017年金磚國家廈門峰會安全保障的唯一溝通協同平臺,包括浙江省政府、公安部、深圳交警、武漢市公安局、內蒙古交警等很多單位現在都在使用釘釘。多地警方表示,安全是選擇釘釘的首要原因。
(責任編輯:沈曄)