時(shí)間：2018-05-25 09:45:11 點(diǎn)擊：次
來(lái)源：物流策劃 作者：物流策劃

條評(píng)論打印收藏

 近日，阿里巴巴釘釘發(fā)布新版安全白皮書(shū)，宣布公開(kāi)全鏈路安全技術(shù)，這在國(guó)內(nèi)屬于首例，標(biāo)志著釘釘在用戶(hù)數(shù)據(jù)和隱私安全方面已經(jīng)形成全球超一流水平的全面保護(hù)體系。

據(jù)釘釘安全負(fù)責(zé)人羅鋒(花名迦盧)介紹，用戶(hù)數(shù)據(jù)安全和隱私保護(hù)是釘釘?shù)纳€，此次安全白皮書(shū)公開(kāi)全鏈路安全技術(shù)，一方面是向釘釘用戶(hù)進(jìn)行全面安全技術(shù)披露，讓用戶(hù)深入了解釘釘?shù)陌踩夹g(shù);另一方面，敢于公開(kāi)全鏈路安全技術(shù)，這在國(guó)內(nèi)屬于首家，源于釘釘對(duì)于安全方面一貫的超高標(biāo)準(zhǔn)和技術(shù)自信。

之前據(jù)媒體報(bào)道，今年4月份，在普華永道出具的SOC2Type1服務(wù)審計(jì)報(bào)告中，釘釘通過(guò)了安全性，保密性和隱私性三項(xiàng)原則的審計(jì)，而通過(guò)隱私性原則審計(jì)，全世界范圍內(nèi)不超過(guò)五家，釘釘在國(guó)內(nèi)是第一家。

國(guó)內(nèi)首家公布全鏈路安全技術(shù)

簡(jiǎn)單來(lái)說(shuō)，全鏈路安全，就是從用戶(hù)的手機(jī)或是pc端接觸到釘釘，到數(shù)據(jù)傳輸過(guò)程，再到數(shù)據(jù)應(yīng)用和存儲(chǔ)，最后包括系統(tǒng)網(wǎng)絡(luò)和物理環(huán)境，整個(gè)過(guò)程都得到高標(biāo)準(zhǔn)安全防護(hù)。

在用戶(hù)直接接觸的手機(jī)和pc端，釘釘通過(guò)應(yīng)用完整性、環(huán)境可信性、數(shù)據(jù)機(jī)密性以及賬號(hào)安全風(fēng)控等四個(gè)維度的強(qiáng)化加固，有效保證用戶(hù)使用安全。

在數(shù)據(jù)傳輸鏈路，釘釘采用自主研發(fā)的私有安全協(xié)議LWS，實(shí)現(xiàn)釘釘端到端的通信鏈路加密、簽名，防止數(shù)據(jù)被竊聽(tīng)、篡改，確保數(shù)據(jù)信息的傳輸安全。

在應(yīng)用和數(shù)據(jù)存儲(chǔ)端，釘釘積累了應(yīng)用安全開(kāi)發(fā)生命周期管理體系，通過(guò)軟件自主開(kāi)發(fā)、定制等保障軟件供應(yīng)鏈安全，確保釘釘應(yīng)用、數(shù)據(jù)庫(kù)、中間件等產(chǎn)品和數(shù)據(jù)存儲(chǔ)安全。

在系統(tǒng)網(wǎng)絡(luò)和物理環(huán)境等基礎(chǔ)設(shè)施方面，釘釘?shù)奈锢憝h(huán)境通過(guò)國(guó)家認(rèn)證三級(jí)等級(jí)保護(hù)，按照ISO27001：2013信息安全管理體系標(biāo)準(zhǔn)建設(shè)實(shí)施，通過(guò)自主研發(fā)的流量清洗中心和系統(tǒng)安全產(chǎn)品為釘釘網(wǎng)絡(luò)、系統(tǒng)安全提供安全保障。

數(shù)據(jù)全生命周期加密

據(jù)迦盧介紹，釘釘信息加密是由兩道關(guān)加密組成：第一道關(guān)是國(guó)際標(biāo)準(zhǔn)密碼算法的釘釘加密;第二道關(guān)是第三方加密，第三方加密算法不僅支持行業(yè)標(biāo)準(zhǔn)的加密算法，還支持國(guó)密算法加密。在雙重加密保證之下，任何第三方包括釘釘官方都無(wú)法解讀。也就是說(shuō)，使用該服務(wù)的企業(yè)和組織擁有唯一密匙。

除了消息加密，消息傳輸也進(jìn)行加密。據(jù)了解，釘釘數(shù)據(jù)通信全經(jīng)由SSL/TLS 加密，采用密碼界世界領(lǐng)先的橢圓曲線算法，達(dá)到銀行級(jí)別加密水平。據(jù)了解，這個(gè)方法是釘釘在業(yè)界最早一批使用，釘釘?shù)牧奶煜⑹菬o(wú)法在企業(yè)的網(wǎng)關(guān)被破解。迦盧說(shuō)，這樣的加密措施，實(shí)現(xiàn)數(shù)據(jù)從創(chuàng)建到銷(xiāo)毀，全生命周期加密。

阿里神盾局1000多名資深工程師重點(diǎn)保障

釘釘對(duì)于用戶(hù)數(shù)據(jù)安全和隱私保護(hù)的自信，源于阿里神盾局(阿里安全部)1000多名資深安全工程師為其做保障。據(jù)了解，憑借十多年積累的安全防護(hù)經(jīng)驗(yàn)，阿里安全體系集大數(shù)據(jù)風(fēng)險(xiǎn)防控和攻防研究于一體，包括反入侵基礎(chǔ)安全、數(shù)據(jù)安全、應(yīng)用安全、業(yè)務(wù)安全、安全合規(guī)、紅藍(lán)對(duì)抗、線下專(zhuān)案打擊等，建立起全面的賬戶(hù)安全、信息保護(hù)、反欺詐等管理機(jī)制，阻擋黑客、黑灰產(chǎn)對(duì)釘釘用戶(hù)數(shù)據(jù)的侵害。

另外，阿里巴巴建立的圖靈、獵戶(hù)座、雙子座、潘多拉、米諾斯、歸零、錢(qián)盾和螞蟻金服光年等八大安全實(shí)驗(yàn)室，都是在以技術(shù)構(gòu)筑安全防護(hù)墻。

國(guó)內(nèi)第一個(gè)安全資質(zhì)“大滿(mǎn)貫”!

據(jù)了解，除了前文提到的SOC2審計(jì)報(bào)告這一權(quán)威資質(zhì)以外，作為國(guó)內(nèi)企業(yè)級(jí)市場(chǎng)的領(lǐng)跑者，釘釘是中國(guó)首個(gè)通過(guò)國(guó)際信息安全領(lǐng)域的ISO27001：2013認(rèn)證的企業(yè)級(jí)社交產(chǎn)品，也獲得了ISO27018：2014(公有云體系下的隱私保護(hù))證書(shū)，而且，釘釘還通過(guò)了中國(guó)公安部的“信息系統(tǒng)安全等級(jí)保護(hù)”三級(jí)認(rèn)證。

獲得這四項(xiàng)權(quán)威安全資質(zhì)，釘釘在國(guó)內(nèi)是唯一一家，意味著釘釘已經(jīng)拿到安全資質(zhì)的“大滿(mǎn)貫”。

安全第一!政府和公安系統(tǒng)是重度用戶(hù)

據(jù)了解，釘釘上現(xiàn)在已經(jīng)有超過(guò)500萬(wàn)家企業(yè)和組織，包括復(fù)星集團(tuán)、大潤(rùn)發(fā)、中國(guó)聯(lián)通、統(tǒng)一集團(tuán)、中鐵四局、我愛(ài)我家、滴滴出行、遠(yuǎn)大科技、西貝餐飲、分眾傳媒、中國(guó)石化管道儲(chǔ)運(yùn)公司等在內(nèi)的各行業(yè)眾多知名企業(yè)，正在使用釘釘。

值得一提的是，釘釘已經(jīng)成為各地政府、公安系統(tǒng)以及重要會(huì)議的“標(biāo)配”。據(jù)了解，釘釘是2016年杭州G20峰會(huì)、2017年金磚國(guó)家廈門(mén)峰會(huì)安全保障的唯一溝通協(xié)同平臺(tái)，包括浙江省政府、公安部、深圳交警、武漢市公安局、內(nèi)蒙古交警等很多單位現(xiàn)在都在使用釘釘。多地警方表示，安全，是選擇釘釘?shù)氖滓颉?span style="margin: 0px; padding: 0px; max-width: 100%; box-sizing: border-box !important; word-wrap: break-word !important; font-size: 18px;">