日前,阿里釘釘發佈了新版安全白皮書,其中最大看點是阿里釘釘的全鏈路安全技術,公佈核心安全技術,阿里釘釘是國內第一個這麼做的互聯網平臺。
什麼是全鏈路安全技術?簡單來說,全鏈路安全,就是從用戶的手機或是pc端接觸到釘釘,到數據傳輸過程,再到數據應用和存儲,最後包括系統網絡和物理環境,整個過程都得到高標準安全防護。
據瞭解,國內企業級市場還沒有一家敢於公佈全鏈路安全技術,這回釘釘又做了"第一個吃螃蟹"的。釘釘安全負責人迦盧介紹,用戶數據安全和隱私保護是釘釘的生命線,此次安全白皮書公開全鏈路安全技術,一方面是向釘釘用戶進行全面安全技術披露,讓用戶深入瞭解釘釘的安全技術;另一方面,敢於公開全鏈路安全技術,這在國內屬於首家,源於釘釘對於安全方面一貫的超高標準和技術自信。
從白皮書看,在客戶端一側,釘釘通過應用完整性、環境可信性、數據機密性、賬號安全風控等四個維度的強化加固,有效保障客戶端安全。
信息出發之後,在傳輸的路上,釘釘研發構建了一套完整的私有安全通信協議 LWS。通過這種私有安全通信協議,實現釘釘端到端的通信鏈路加密、簽名,防止竊聽、篡改。
傳輸到到服務端,也就是數據應用和存儲端,其實可以說是最難的一段。面對每天千萬次量級的攻擊,釘釘基於每一次安全響應經驗的積累,沉澱了應用安全開發生命週期管理體系,實現軟件自主開發、定製化,通過軟件供應鏈體系保障釘釘應用、數據庫、中間件等產品和數據存儲安全。
四個維度端到端的安全保障:客戶端、數據傳輸、服務端和基礎設施四個層面,阿里釘釘都有各種細則來確保用戶數據和隱私安全,比如在數據傳輸鏈路上,就採取了自主研發的私有安全協議LWS,實現端到端的通信鏈路加密、簽名,防止數據被竊聽、篡改,以確保數據信息的傳輸安全。
怎麼理解呢?釘釘自建自研了流量清洗中心,比方說在釘釘前端應用層面,涉敏頁面全部數字水印處理,敏感信息已默認打點隱藏。而且這種加密是全生命週期的,極其難以破解。據瞭解,釘釘數據通信全經由SSL/TLS 加密,採用密碼界世界領先的橢圓曲線算法,達到銀行級別加密水平。這個方法是釘釘在業界最早一批使用。
阿里釘釘的全鏈路技術,不是普通的信息安全技術,是針對企業級服務市場在移動互聯網時代的特殊的信息安全需求而產生的安全解決方案。
企業社交軟件應該從產品、技術和管理維度來規避上述問題的發生,比如釘釘在產品上增加群聊水印、澡堂模式這樣的功能,再比如在管理上需要組織管理員同意才能註冊或認證。不過,這些做法解決的是明面的洩密,截圖、詐騙、誤傳、轉發都是相對容易規避的行為,但黑客的滲透式攻擊卻是十分隱秘的行為,防不勝防,當用戶知曉時往往已經是造成巨大的不可挽回損失的時候——比如Facebook數據門就是一個典型案例。
釘釘直接讓企業在公有云上享受私有網絡的安全。釘釘的第三方加密則解決了這一問題,它直接讓企業在公有云上享受私有網絡的安全。釘釘已經有超過1億註冊用戶,超過500萬家企業組織正在使用。所以你能說釘釘"處心積慮"做安全的功課沒意義嗎?
一
閱讀更多 互聯網記事本 的文章
