公布全链路安全技术阿里钉钉原来是一家安全

2019-05-15 00:12:42 来源: 莆田信息港

隐私保护是互联上经久不衰的话题,虽然许多气力一直都在想方设法来保护用户隐私,不过用户隐私泄漏问题却层见叠出,甚至有愈演愈烈之势,2018年规模的隐私泄露问题,就是Facebook的数据门,它让这个超级社交络股价重挫、CEO扎克伯格不得不在国会上接受质询,Facebook多年来积累的品牌荣誉也轰然倒下,Facebook前Uber等互联平台也发生过类似的信息泄露事件。

Facebook不是家出现大规模数据泄漏的互联平台,也不会是一家。道高一尺魔高一丈,但也可以说魔高一尺道高一丈,黑客在不断进化,互联平台也需要不断强化安全能力。企业级服务平台,更需要将安全技术放在核心的位置,对安全的重视程度一定要超过健壮性、稳定性、高性能。在这一点上,中国的企业社交平台阿里钉钉的做法,堪称行业标杆。

阿里钉钉秀肌肉

日前,阿里钉钉发布了新版安全白皮书,其中看点是阿里钉钉的全链路安全技术,公布核心安全技术,阿里钉钉是国内个这么做的互联平台。看了下白皮书,阿里钉钉的全链路安全技术可以用4+2来总结:

四个维度端到端的安全保障:客户端、数据传输、服务端和基础设施四个层面,阿里钉钉都有各种细则来确保用户数据和隐私安全,比如在数据传输链路上,就采取了自主研发的私有安全协议LWS,实现端到端的通讯链路加密、签名,防止数据被窃听、篡改,以确保数据信息的传输安全。

两道加密确保信息国密级保护:钉钉信息加密道关是AES256,把全球所有的计算资源放在一起,AES256被破解的时间远远大于宇宙寿命250亿年,这也是苹果和亚马逊都在用的加密算法。另外钉钉还多做了一步,也是钉钉独有的加密模式,引入第三方加密,简单地说就是密钥由第三方托管,任何第三方包括钉钉都无法解读用户消息,消息的秘钥属于使用服务的企业或组织。

阿里钉钉的全链路技术,不是普通的信息安全技术,在我看来,是针对企业级服务市场在移动互联时期的特殊的信息安全需求而产生的安全解决方案。

PC时期,人们常常会将信息安全问题与电脑病毒木马什么的联系在一起,因此当时的攻击主要是利用Windows操作系统漏洞,针对PC终端进行攻击,安全产业以提供杀毒服务为主,信息安全问题常常是类似于病毒攻击导致大面积停摆。

移动时代,智能上的病毒问题已经很少了,杀毒软件也纷纷转型,但是信息安全形势却变得更加严峻,一方面,黑客不再盯着终端,而是无孔不入地渗透,阿里钉钉全链路技术的四个维度,都被黑客盯上了,如果一个地方被攻破就全盘皆输,因此信息安全不能只重视一个环节,而是要面面俱到,确保没有死角;另一方面,移动互联时代信息安全问题,直接关系到个人隐私、财产甚至人身安全。

对于企业组织来讲,移动互联时代的信息安全挑战更严峻。在日常信息化办公中会有大量的信息交互、大量的终端运用、大量的数据传输,组织和个体在许多环节都有可能主动或被动地泄密,一旦出现泄密,对企业组织就意味着财务、数据、管理和战略安全,比电脑停摆问题严重数倍,阿里钉钉针对四个维度构建重重安全,正是由于移动时期企业级服务对信息安全要求发生了剧变。

阿里钉钉在信息加密上不只是有国密加密技术,还引入了第三方加密模式,做得比社交平台还多一步,则是由于作为企业社交平台的特殊性。今年初吉祥控股董事长李书福曾公然表示自己的一个担忧:马化腾肯定每天在看用户的,这样很容易暴露商业秘密。时间进行了回应,表示,尊重用户隐私一直是重要的原则之一,我们没有权限、也没有理由去看你的。自证清白是用腾讯品牌来背书,钉钉的加密方案则从技术层面让用户相信,它以及任何第三方组织没有能力查看用户信息,因为钉钉知道很多企业和个人都由李书福式焦虑,要消除这样的焦虑,只有通过技术在信息从产生到销毁的全生命周期,进行多重加密才是的解决方案。

可以看到,阿里钉钉在新版安全白皮书中公布全链路安全技术,实质上是在秀肌肉,在信息安全上,阿里钉钉不只是在社交应用上走得远,在企业级服务中同样堪称标杆。

利器为什么要示人?

公布全链路安全技术,对于钉钉来说,相当于将自己的防守布置清晰地暴露在潜在攻击者眼前,自己处于明处,敌人在暗处,就有了可乘之机。同时,友商也可以借鉴自己的安全防护手段,阿里钉钉将数据安全和隐私保护视作生命线,兵者,国之重器,不可不察也,不可轻易示人也,钉钉公布全链路安全技术,似乎不是明智之举。

对此,钉钉安全负责人罗峰(花名迦卢)表示:

安全白皮书公开全链路安全技术,一方面是向钉钉用户进行全面安全技术披露,让用户深入了解钉钉的安全技术;另一方面,敢于公开全链路安全技术,这在国内属于首家,源于钉钉对安全方面一贯的超高标准和技术自信。

如何理解呢?

一方面,阿里钉钉希望让用户了解到自己有能力来保障用户的信息安全,进而被更多用户更加放心大胆地应用。不只是消费级互联平台上,企业安全相干的信息安全泄漏事件近年来也屡见不鲜。

5月初,A股首例董秘群泄露公司重组重大内幕被深交所处罚在络上引发轩然大波,广州浪奇董秘王志刚在某个董秘群里误发了一份涉及公司重大资产重组信息的文件,因此被深交所公开点名处罚。此前还发生过徐小平群泄密事件、滴滴空姐事件协警泄露案发现场照片、公司财务被上的假老板命令转账诸多类似事件。

企业社交软件应该从产品、技术和管理维度来规避上述问题的发生,比如钉钉在产品上增加群聊水印、澡堂模式这样的功能,再比如在管理上需要组织管理员同意才能注册或认证。不过,这些做法解决的是明面的泄密,截图、诈骗、误传、转发都是相对容易规避的行为,但黑客的渗透式攻击却是十分隐蔽的行为,防不胜防,当用户知晓时往往已是造成巨大的不可挽回损失的时候比如Facebook数据门就是一个典型案例。

要避免暗地里的用户数据和隐私的泄漏,技术是关键的屏障,比如钉钉通过四个维度的安全防护、两道关卡的加密手段,完全消灭了各个环节出现信息泄漏的可能性,从技术层面封堵了每个漏洞。不言而喻,阿里钉钉的全链路安全技术,比承诺我们不会看用户数据更有说服力,可以赢得用户特别是企业的信赖。

另一方面,勇于公布全链路信息技术,也与阿里钉钉的技术自信有关系。

今年4月,遵守数据只属于用户且采取重重技术来确保这个原则的钉钉,获得了普华永道出具的隐私原则审计SOC2报告这一权威资质,钉钉是国内家通过这个审计的公司,在全球范围内也属于前五家。阿里钉钉也是中国通过国际信息安全领域的ISO27001:2013认证的企业级社交产品,也获得了ISO27018:2014(公有云体系下的隐私保护)证书,它还通过了中国公安部的信息系统安全等级保护三级认证。这四项权威安全资质,成了钉钉安全资质的大满贯,是钉钉安全技术实力的证明。

此外,包括浙江省等政务系统,公安部、深圳交警、武汉市公安局、内蒙古交警等警务部门,和2016年杭州G20峰会、2017年金砖国家厦门峰会等重大场合的协作都应用阿里钉钉,也是在给阿里钉钉的信息安全技术实力做背书政务、警务、会务的信息安全要求比企业的要高多了。

正是由于有技术自信,所以阿里钉钉勇于将全链路安全技术示人,不惧攻击者也不担心友商跟进。

钉钉的底气在哪里?

信息安全,要说有话语权的应该是360这样的专业安全公司,阿里钉钉在企业服务市场却成了一个安全的行业标杆,凭甚么呢?

,阿里安全体系提供的高起点。

BAT这样的超级互联巨头,不可能依赖第三方的信息安全技术,说白了,它们不会用雇佣军,而是不约而同地重视自己的国防力量的建设。

阿里巴巴有1000+人的安全团队,阿里安全体系集大数据风险防控和攻防研究于一体,包括反入侵基础安全、数据安全、运用安全、业务安全、安全合规、红蓝对抗、线下专案打击等,建立起全面的账户安全、信息保护、反欺诈等管理机制,阻挡黑客、黑灰产对钉钉用户数据的侵害。阿里还建立了图灵、猎户座、双子座、潘多拉、米诺斯、归零、钱盾和蚂蚁金服光年等八大安全实验室,储备基础安全技术。此外,阿里云、阿里钉钉、蚂蚁金服等业务条线也都有各自的安全团队,进行对应领域的安全技术研发,如阿里钉钉在加密技术上就具有优势。

可以说,阿里钉钉的安全技术不是从0到1的,而是有很高的出发点,基于阿里安全体系的基础安全基础,进行企业级服务特别是企业社交领域的垂直安全技术深耕,快速形成了优势。

第二,阿里钉钉对自主技术的重视。

要做到的信息安全,就要有的技术自主,因为每一个环节只要受制于人就有信息安全的隐患,正是因为此我国大力推进去IOE(IBM、Oracle、EMC)以及芯片、OS国产化。阿里钉钉很早就意想到这一点,将数据安全和隐私保护视作生命线,在技术上不断强调自主。阿里全链路安全技术显示,在数据传输链路上,钉钉采用自主研发的私有安全协议LWS;在服务端实现软件自主开发、定制化,通过软件供应链体系保障钉钉应用、数据库、中间件等产品和数据存储安全;在基础设施上也有自主研发的流量清洗中心和系统安全产品,自主研发大量出现在其技术体系中。

值得注意的是,自主研发的线路阿里走得愈来愈远,它具有自主研发的数据库系统(OceanBase等)、操作系统(AliOS)和飞天,今年收购CPU公司中天微和研发自主芯片:Ali-NPU,在核心技术研发上深入布局,阿里还成立了初期三年投资高达千亿的达摩院布局底层技术,安全技术包含其中。所有这些底层技术的布局也将给全链路安全能力提供坚实的基础。

第三,阿里钉钉的开放式实践思路。

许多人可能没有留意到,钉钉已经是阿里能力开放的一个窗口,比如阿里钉钉的智能人事功能就是对阿里多年来沉淀的管理能力的开放。同理,阿里钉钉也是阿里安全能力的开放,它现阶段做到全链路安全技术正是基于阿里大安全体系,未来阿里钉钉也会更多地将阿里安全能力封装起来开放给企业,不只是用于保护用户数据安全和隐私保护,也可以成为给企业提供的一种服务。

现在,复星集团、大润发、中国联通、银泰商业集团、滴滴出行等超过500万家企业客户正在使用钉钉,其中一些企业如联通对信息安全要求十分之高,它们运用钉钉证明了其信息安全实力,创新工场董事长李开复、药明康德董事长兼首席执行官李革等企业家更是直言用钉钉就是因为安全,这些企业在运用钉钉的过程中,会面临各种信息安全挑战,钉钉在解决的时候也在不断进化自己的全链路安全技术,这对钉钉安全能力是一种很好的锤炼。

看到这里,我相信你应该对钉钉的全链路安全技术有了一定的了解。如果我说阿里巴巴不只是一家互联公司,也是一家安全公司;阿里钉钉不只是一个企业社交平台,也是一家企业安全服务平台,我相信你也会认同我的观点。

经期小腹胀痛怎么办
经期小腹胀痛怎么调理
经前小腹胀痛如何治
本文标签: