获得安全资质“大满贯”,阿里钉钉安全白皮书重磅发布
近日,阿里巴巴钉钉发布新版安全白皮书,宣布公开全链路安全技术,这在国内属于首例,标志着钉钉在用户数据和隐私安全方面已经形成全球超一流水平的全面保护体系。
据钉钉安全负责人罗锋(花名迦卢)介绍,用户数据安全和隐私保护是钉钉的生命线,此次安全白皮书公开全链路安全技术,一方面是向钉钉用户进行全面安全技术披露,让用户深入了解钉钉的安全技术;另一方面,敢于公开全链路安全技术,这在国内属于首家,源于钉钉对于安全方面一贯的超高标准和技术自信。
据之前媒体报道,今年4月份,在普华永道出具的SOC2Type1服务审计报告中,钉钉通过了安全性,保密性和隐私性三项原则的审计,而通过隐私性原则审计,全世界范围内不超过五家,钉钉在国内是第一家。
国内首家公布全链路安全技术
简单来说,全链路安全,就是从用户的手机或是pc端接触到钉钉,到数据传输过程,再到数据应用和存储,最后包括系统网络和物理环境,整个过程都得到高 标准安全防护。
在用户直接接触的手机和pc端,钉钉通过应用完整性、环境可信性、数据机密性以及账号安全风控等四个维度的强化加固,有效保证用户使用安全。
在数据传输链路,钉钉采用自主研发的私有安全协议LWS,实现钉钉端到端的通信链路加密、签名,防止数据被窃听、篡改,确保数据信息的传输安全。
在应用和数据存储端,钉钉积累了应用安全开发生命周期管理体系,通过软件 自主开发、定制等保障软件供应链安全,确保钉钉应用、数据库、中间件等产品和数据存储安全。
在系统网络和物理环境等基础设施方面,钉钉的物理环境通过国家认证三级等级保护,按照ISO27001:2013信息安全管理体系标准建设实施,通过自主研发的流量清洗中心和系统安全产品为钉钉网络、系统安全提供安全保障。
国内第一个安全资质“大满贯”!
据了解,除了前文提到的SOC2审计报告这一权威资质以外,作为国内企业级市场的领跑者,钉钉是中国首个通过国际信息安全领域的 ISO27001:2013 认证的企业级社交产品,也获得了ISO27018: 2014(公有云体系下的隐私保护)证书,而且,钉钉还通过了中国公安部的“信息系统安全等级保护”三级认证。
获得这四项权威安全资质,钉钉在国内是唯一一家,意味着钉钉已经拿到安全资质的“大满贯”。
数据全生命周期加密
据迦卢介绍,钉钉信息加密是由两道 关加密组成:第一道关是国际标准密码算法的钉钉加密;第二道关是第三方加密,第三方加密算法不仅支持行业标准的加密算法,还支持国密算法加密。在双重加密保证之下,任何第三方包括钉钉官方都无法解读。也就是说,使用该服务的企业和组织拥有唯一密匙。
除了消息加密,消息传输也进行加密。据了解,钉钉数据通信全经由SSL/ TLS加密,采用密码界世界领先的椭圆曲线算法,达到银行级别加密水平。据了解,这个方法是钉钉在业界最早一批使用,钉钉的聊天消息是无法在企业的网关被破解。迦卢说,这样的加密措施,实现数据从创建到销毁,全生命周期加密。
阿里神盾局1000多名资深工程师重点保障
钉钉对于用户数据安全和隐私保护的自信,源于阿里神盾局(阿里安全部) 1000多名资深安全工程师为其做保障。据了解,凭借十多年积累的安全防护经验,阿里安全体系集大数据风险防控和攻防研究于一体,包括反入侵基础安全、数据安全、应用安全、业务安全、安全合规、 红蓝对抗、线下专案打击等,建立起全面的账户安全、信息保护、反欺诈等管理机制,阻挡黑客、黑灰产对钉钉用户数据的侵害。
另外,阿里巴巴建立的图灵、猎户座、双子座、潘多拉、米诺斯、归零、钱盾和蚂蚁金服光年等八大安全实验室,都是在以技术构筑安全防护墙。
安全第一!政府和公安系统是重度用户
据了解,钉钉上现在已经有超过500万家企业和组织,包括复星集团、大润发、中国联通、统一集团、中铁四局、我爱我家、滴滴出行、远大科技、西贝餐饮、分众传媒、中国石化管道储运公司等在内的各行业众多知名企业,正在使用钉钉。
值得一提的是,钉钉已经成为各地政府、公安系统以及重要会议的“标配”。据了解,钉钉是2016年杭州G20峰会、2017年金砖国家厦门峰会安全保障的唯一沟通协同平台,包括浙江省政府、公安部、深圳交警、武汉市公安局、内蒙古交警等很多单位现在都在使用钉钉。多地警方表示,安全,是选择钉钉的首要原因。