獲得安全資質“大滿貫”，阿里釘釘安全白皮書重磅發(fā)布

近日，阿里巴巴釘釘發(fā)布新版安全白皮書，宣布公開全鏈路安全技術，這在國內屬于首例，標志著釘釘在用戶數據和隱私安全方面已經形成全球超一流水平的全面保護體系。

據釘釘安全負責人羅鋒（花名迦盧）介紹，用戶數據安全和隱私保護是釘釘的生命線，此次安全白皮書公開全鏈路安全技術，一方面是向釘釘用戶進行全面安全技術披露，讓用戶深入了解釘釘的安全技術；另一方面，敢于公開全鏈路安全技術，這在國內屬于首家，源于釘釘對于安全方面一貫的超高標準和技術自信。

據之前媒體報道，今年4月份，在普華永道出具的SOC2Type1服務審計報告中，釘釘通過了安全性，保密性和隱私性三項原則的審計，而通過隱私性原則審計，全世界范圍內不超過五家，釘釘在國內是第一家。

國內首家公布全鏈路安全技術

簡單來說，全鏈路安全，就是從用戶的手機或是pc端接觸到釘釘，到數據傳輸過程，再到數據應用和存儲，最后包括系統(tǒng)網絡和物理環(huán)境，整個過程都得到高標準安全防護。

在用戶直接接觸的手機和pc端，釘釘通過應用完整性、環(huán)境可信性、數據機密性以及賬號安全風控等四個維度的強化加固，有效保證用戶使用安全。

在數據傳輸鏈路，釘釘采用自主研發(fā)的私有安全協(xié)議LWS，實現釘釘端到端的通信鏈路加密、簽名，防止數據被竊聽、篡改，確保數據信息的傳輸安全。

在應用和數據存儲端，釘釘積累了應用安全開發(fā)生命周期管理體系，通過軟件自主開發(fā)、定制等保障軟件供應鏈安全，確保釘釘應用、數據庫、中間件等產品和數據存儲安全。

在系統(tǒng)網絡和物理環(huán)境等基礎設施方面，釘釘的物理環(huán)境通過國家認證三級等級保護，按照ISO27001：2013信息安全管理體系標準建設實施，通過自主研發(fā)的流量清洗中心和系統(tǒng)安全產品為釘釘網絡、系統(tǒng)安全提供安全保障。

國內第一個安全資質“大滿貫”！

據了解，除了前文提到的SOC2審計報告這一權威資質以外，作為國內企業(yè)級市場的領跑者，釘釘是中國首個通過國際信息安全領域的ISO27001：2013認證的企業(yè)級社交產品，也獲得了ISO27018：2014（公有云體系下的隱私保護）證書，而且，釘釘還通過了中國公安部的“信息系統(tǒng)安全等級保護”三級認證。

獲得這四項權威安全資質，釘釘在國內是唯一一家，意味著釘釘已經拿到安全資質的“大滿貫”。

數據全生命周期加密

據迦盧介紹，釘釘信息加密是由兩道關加密組成：第一道關是國際標準密碼算法的釘釘加密；第二道關是第三方加密，第三方加密算法不僅支持行業(yè)標準的加密算法，還支持國密算法加密。在雙重加密保證之下，任何第三方包括釘釘官方都無法解讀。也就是說，使用該服務的企業(yè)和組織擁有唯一密匙。

除了消息加密，消息傳輸也進行加密。據了解，釘釘數據通信全經由SSL/ TLS加密，采用密碼界世界領先的橢圓曲線算法，達到銀行級別加密水平。據了解，這個方法是釘釘在業(yè)界最早一批使用，釘釘的聊天消息是無法在企業(yè)的網關被破解。迦盧說，這樣的加密措施，實現數據從創(chuàng)建到銷毀，全生命周期加密。

阿里神盾局1000多名資深工程師重點保障

釘釘對于用戶數據安全和隱私保護的自信，源于阿里神盾局（阿里安全部）1000多名資深安全工程師為其做保障。據了解，憑借十多年積累的安全防護經驗，阿里安全體系集大數據風險防控和攻防研究于一體，包括反入侵基礎安全、數據安全、應用安全、業(yè)務安全、安全合規(guī)、紅藍對抗、線下專案打擊等，建立起全面的賬戶安全、信息保護、反欺詐等管理機制，阻擋黑客、黑灰產對釘釘用戶數據的侵害。

另外，阿里巴巴建立的圖靈、獵戶座、雙子座、潘多拉、米諾斯、歸零、錢盾和螞蟻金服光年等八大安全實驗室，都是在以技術構筑安全防護墻。

安全第一！政府和公安系統(tǒng)是重度用戶

據了解，釘釘上現在已經有超過500萬家企業(yè)和組織，包括復星集團、大潤發(fā)、中國聯(lián)通、統(tǒng)一集團、中鐵四局、我愛我家、滴滴出行、遠大科技、西貝餐飲、分眾傳媒、中國石化管道儲運公司等在內的各行業(yè)眾多知名企業(yè)，正在使用釘釘。

值得一提的是，釘釘已經成為各地政府、公安系統(tǒng)以及重要會議的“標配”。據了解，釘釘是2016年杭州G20峰會、2017年金磚國家廈門峰會安全保障的唯一溝通協(xié)同平臺，包括浙江省政府、公安部、深圳交警、武漢市公安局、內蒙古交警等很多單位現在都在使用釘釘。多地警方表示，安全，是選擇釘釘的首要原因。