近日，阿里巴巴釘釘發(fā)布新版安全白皮書，宣布公開全鏈路安全技術(shù)，這在國內(nèi)屬于首例，標志著釘釘在用戶數(shù)據(jù)和隱私安全方面已經(jīng)形成全球超一流水平的全面保護體系。

據(jù)釘釘安全負責人羅鋒（花名迦盧）介紹，用戶數(shù)據(jù)安全和隱私保護是釘釘?shù)纳€，此次安全白皮書公開全鏈路安全技術(shù)，一方面是向釘釘用戶進行全面安全技術(shù)披露，讓用戶深入了解釘釘?shù)陌踩夹g(shù)；另一方面，敢于公開全鏈路安全技術(shù)，這在國內(nèi)屬于首家，源于釘釘對于安全方面一貫的超高標準和技術(shù)自信。

之前據(jù)媒體報道，今年4月份，在普華永道出具的SOC2Type1服務(wù)審計報告中，釘釘通過了安全性、保密性和隱私性三項原則的審計，而通過隱私性原則審計全世界范圍內(nèi)不超過五家，釘釘在國內(nèi)是第一家。

國內(nèi)首家公布全鏈路安全技術(shù)

簡單來說，全鏈路安全就是從用戶的手機或是PC端接觸到釘釘，到數(shù)據(jù)傳輸過程，再到數(shù)據(jù)應用和存儲，最后包括系統(tǒng)網(wǎng)絡(luò)和物理環(huán)境，整個過程都得到高標準安全防護。

在用戶直接接觸的手機和PC端，釘釘通過應用完整性、環(huán)境可信性、數(shù)據(jù)機密性以及賬號安全風控等四個維度的強化加固，可有效保證用戶使用安全。

在數(shù)據(jù)傳輸鏈路，釘釘采用自主研發(fā)的私有安全協(xié)議LWS，實現(xiàn)釘釘端到端的通信鏈路加密、簽名，防止數(shù)據(jù)被竊聽、篡改，確保數(shù)據(jù)信息的傳輸安全。

在應用和數(shù)據(jù)存儲端，釘釘積累了應用安全開發(fā)生命周期管理體系，通過軟件自主開發(fā)、定制等保障軟件供應鏈安全，確保釘釘應用、數(shù)據(jù)庫、中間件等產(chǎn)品和數(shù)據(jù)存儲安全。

在系統(tǒng)網(wǎng)絡(luò)和物理環(huán)境等基礎(chǔ)設(shè)施方面，釘釘?shù)奈锢憝h(huán)境通過國家認證三級等級保護，按照ISO27001：2013信息安全管理體系標準建設(shè)實施，通過自主研發(fā)的流量清洗中心和系統(tǒng)安全產(chǎn)品為釘釘網(wǎng)絡(luò)、系統(tǒng)安全提供安全保障。

數(shù)據(jù)全生命周期加密

據(jù)迦盧介紹，釘釘信息加密是由兩道關(guān)加密組成：第一道關(guān)是國際標準密碼算法的釘釘加密；第二道關(guān)是第三方加密。第三方加密算法不僅支持行業(yè)標準的加密算法，還支持國密算法加密。在雙重加密保證之下，任何第三方包括釘釘官方都無法解讀。也就是說，使用該服務(wù)的企業(yè)和組織擁有唯一密匙。

除了消息加密，消息傳輸也進行加密。據(jù)了解，釘釘數(shù)據(jù)通信全經(jīng)由SSL/TLS加密，采用密碼界世界領(lǐng)先的橢圓曲線算法，達到銀行級別加密水平。據(jù)了解，這個方法是釘釘在業(yè)界最早一批使用，釘釘?shù)牧奶煜o法在企業(yè)的網(wǎng)關(guān)被破解。迦盧說，這樣的加密措施實現(xiàn)了數(shù)據(jù)從創(chuàng)建到銷毀全生命周期加密。

阿里神盾局1000多名資深工程師重點保障

釘釘對于用戶數(shù)據(jù)安全和隱私保護的自信，源于阿里神盾局（阿里安全部）1000多名資深安全工程師為其做保障。據(jù)了解，憑借十多年積累的安全防護經(jīng)驗，阿里安全體系集大數(shù)據(jù)風險防控和攻防研究于一體，包括反入侵基礎(chǔ)安全、數(shù)據(jù)安全、應用安全、業(yè)務(wù)安全、安全合規(guī)、紅藍對抗、線下專案打擊等，建立起全面的賬戶安全、信息保護、反欺詐等管理機制，阻擋黑客、黑灰產(chǎn)對釘釘用戶數(shù)據(jù)的侵害。

另外，阿里巴巴建立的圖靈、獵戶座、雙子座、潘多拉、米諾斯、歸零、錢盾和螞蟻金服光年等八大安全實驗室，都是在以技術(shù)構(gòu)筑安全防護墻。

國內(nèi)第一個安全資質(zhì)“大滿貫”

據(jù)了解，除了前文提到的SOC2審計報告這一權(quán)威資質(zhì)以外，作為國內(nèi)企業(yè)級市場的領(lǐng)跑者，釘釘是中國首個通過國際信息安全領(lǐng)域的ISO27001：2013認證的企業(yè)級社交產(chǎn)品，也獲得了ISO27018：2014（公有云體系下的隱私保護）證書，而且，釘釘還通過了中國公安部的“信息系統(tǒng)安全等級保護”三級認證。

獲得這四項權(quán)威安全資質(zhì)，釘釘在國內(nèi)是唯一一家，意味著釘釘已經(jīng)拿到安全資質(zhì)的“大滿貫”。

安全第一政府和公安系統(tǒng)是重度用戶

據(jù)了解，釘釘上現(xiàn)在已經(jīng)有超過500萬家企業(yè)和組織，包括復星集團、大潤發(fā)、中國聯(lián)通、統(tǒng)一集團、中鐵四局、我愛我家、滴滴出行、遠大科技、西貝餐飲、分眾傳媒、中國石化管道儲運公司等在內(nèi)的各行業(yè)眾多知名企業(yè)正在使用釘釘。

值得一提的是，釘釘已經(jīng)成為各地政府、公安系統(tǒng)以及重要會議的“標配”。據(jù)了解，釘釘是2016年杭州G20峰會、2017年金磚國家廈門峰會安全保障的唯一溝通協(xié)同平臺，包括浙江省政府、公安部、深圳交警、武漢市公安局、內(nèi)蒙古交警等很多單位現(xiàn)在都在使用釘釘。多地警方表示，安全是選擇釘釘?shù)氖滓颉?/p>