阿里巴巴釘釘安全白皮書v20

1、釘釘安全白皮書版本（V2.0）目錄1前言11.1術(shù)語定義12安全文化32.1安全組織32.2人才理念42.3社會責任53全鏈路安全防護53.1客戶端安全53.1.1 應(yīng)用完整性63.1.2 環(huán)境可行性63.1.3 數(shù)據(jù)機密性73.1.4 賬號安全風控73.2傳輸安全83.3服務(wù)端安全83.3.1 應(yīng)用安全83.3.2 數(shù)據(jù)庫安全93.3.3 中間件安全103.4基礎(chǔ)設(shè)施安全103.4.1 物理安全103.4.2 網(wǎng)絡(luò)安全113.4.3 主機安全123.5數(shù)據(jù)安全133.5.1 數(shù)據(jù)產(chǎn)生133.5.2 數(shù)據(jù)傳輸143.5.3 數(shù)據(jù)使用143.5.4 數(shù)據(jù)存儲143.5.5 數(shù)據(jù)共享153.5.6

2、 數(shù)據(jù)銷毀153.5.7 數(shù)據(jù)安全審計153.6安全運營163.6.1 反入侵163.6.2 紅藍對抗163.6.3 應(yīng)急響應(yīng)174生態(tài)安全184.1生態(tài)閉環(huán)184.2安全賦能184.3應(yīng)用監(jiān)管195安全合規(guī)195.1體系建設(shè)195.2擁抱監(jiān)管205.3內(nèi)控審計215.4廉正合規(guī)216總結(jié)221 前言隨著移動互聯(lián)網(wǎng)的普及, 即時通信軟件的應(yīng)用場景越來越多，技術(shù)創(chuàng)新為我們生活、工作帶來便利的同時，也帶來了敏感信息泄露、無用信息干擾、消息傳 遞不及時等諸多問題和隱患。釘釘自 2015 年面市以來，作為中國領(lǐng)先的智能移動辦公平臺，其以淘寶、天貓、支付寶等積累的多年安全經(jīng)驗為前提，經(jīng)過三年的沉淀創(chuàng)新以

3、及阿里巴巴經(jīng)濟體 6 萬多名員工的使用錘煉，目前已建立強大的移動辦公生態(tài)保障體系，為4300 萬中小企業(yè)提供“簡單、高效、安全”的服務(wù)。為加強 4300 萬中小企業(yè)對釘釘安全的認知，本文檔重點從安全文化、全鏈路安全防護、生態(tài)安全、安全合規(guī)四個維度，全面闡述了釘釘安全技術(shù)工作思路和實踐方法，旨在向社會公眾披露釘釘努力抵御互聯(lián)網(wǎng)各類攻擊，防范用戶信息泄露，保護企業(yè)和公民個人合法權(quán)益的決心。1.1術(shù)語定義全鏈路：從用戶端到服務(wù)端的數(shù)據(jù)交互全路徑。ASRC：阿里巴巴集團安全應(yīng)急響應(yīng)中心。ECDH （Curve25519）：基于 ECC（Elliptic Curve Cryptosystems，橢圓曲線

4、密碼體制）的 DH（ Diffie-Hellman）密鑰交換算法，交換雙方可以在不共享任何秘密的情況下協(xié)商出一個密鑰，其中 Curve25519 為算法的參數(shù)。SDL：Security Development Lifecycle 的簡稱，安全開發(fā)生命周期。LWS：釘釘自主研發(fā)的私有安全通訊協(xié)議，采用 TLS1.3 加密，密鑰協(xié)商采用橢圓曲線算法 ECDH （Curve25519），對稱加密算法采用：AES-256-GCM/Chacha20。AES-256-GCM：AES 對稱加密算法，256 是對稱加密算法強度，GCM ( Galois/Counter Mode) 指的是該對稱加密采用 Cou

5、nter 模式并帶有 GMAC 消息認證碼。ChaCha20：CHACHA20-POLY1305 的加密方法，是一種新式加密算法， 性能強大。2FA: 雙因子驗證，是一種安全密碼驗證方式。Alisql: MySQL 官方版本的一個分支，應(yīng)用于阿里巴巴集團業(yè)務(wù)以及阿里云數(shù)據(jù)庫服務(wù)，該版本在社區(qū)版的基礎(chǔ)上做了大量的性能與功能的優(yōu)化改進。iDB: 阿里巴巴自主研發(fā)的數(shù)據(jù)管理、結(jié)構(gòu)管理、診斷優(yōu)化、實時監(jiān)控和系統(tǒng)管理于一體的數(shù)據(jù)庫管理產(chǎn)品。CloudDBA：阿里巴巴自主研發(fā)的智能數(shù)據(jù)庫診斷優(yōu)化產(chǎn)品，提供自助化DSMM:阿里巴巴牽頭制訂的數(shù)據(jù)安全成熟度模型（Data Security2 安全文化2.1安全

6、組織釘釘自成立以來，充分認識到信息安全在業(yè)務(wù)發(fā)展中的戰(zhàn)略地位和對業(yè)務(wù)的支撐作用，在阿里巴巴集團 CRO 領(lǐng)導下，建立了規(guī)范的信息安全管理組織架構(gòu)， 設(shè)立安全管理委員會，下分安全產(chǎn)品團隊和安全運營團隊。其中安全產(chǎn)品團隊主要來自集團安全部，全面負責釘釘業(yè)務(wù)客戶端、傳輸通信以及服務(wù)端的防御產(chǎn)品研發(fā)、接入、監(jiān)控、加固和風險識別、評估、處置等工 作。安全運營團隊由集團安全部以及釘釘各產(chǎn)品線相關(guān)人員組成，主要負責安全技術(shù)運營以及業(yè)務(wù)合規(guī)檢測和審計，通過各類異常信息計算、分析、建模、預警， 快速響應(yīng)業(yè)務(wù)系統(tǒng)潛在的網(wǎng)絡(luò)運行風險，并在不斷對抗中，推動優(yōu)化各項安全措施，全面提升釘釘整體安全水位。此外，為快速響應(yīng)業(yè)

7、務(wù)，釘釘事業(yè)部建立了靈活的 Scrum 小組，按需與集團安全部經(jīng)過多年沉淀的安全技術(shù)、安全業(yè)務(wù)、安全生態(tài)以及數(shù)據(jù)安全等安全能力無縫對接，快速復用集團全鏈路的動態(tài)防御體系，全力保障釘釘業(yè)務(wù)安全穩(wěn)定運行。同時，針對特殊時期以及業(yè)務(wù)需要，建立各種各樣的工作小組，如安全架構(gòu)評審小組、數(shù)據(jù)隱私治理小組、應(yīng)用安全專項攻關(guān)小組，docker 安全小組，加強跨團隊協(xié)調(diào)溝通，快速響應(yīng)釘釘各種業(yè)務(wù)需求。2.2人才理念為支撐組織的安全運營，阿里巴巴為全體員工建立“客戶第一、團隊合作、擁抱變化、誠信、激情、敬業(yè)”的價值觀和“聰明、樂觀、皮實、自省”的人才理念，這種價值觀和人才理念的影響已經(jīng)以顯而易見的方式滲透至釘釘員

8、工招聘、員工入職、員工持續(xù)教育以及離職審計活動中，確保釘釘?shù)膯T工安全管理符合集團安全策略要求。其中在員工招聘錄用時，用人團隊主管通過電話面試、現(xiàn)場面試等方式對候選人的技術(shù)能力進行仔細考察，確保候選人符合崗位職責要求。技術(shù)面試通過后， 還必須經(jīng)過 HR 面和背景調(diào)查，確保應(yīng)聘人員品行性格、職業(yè)道德符合要求。員工入職時，首先必須簽署勞動合同和保密協(xié)議，關(guān)鍵崗位人員視接觸信息的敏感程度還需單獨簽署專項保密協(xié)議。然后參加商業(yè)行為準則培訓，明確 我們作出的、為客戶提供公平公正、安全可靠的承諾。同時還會開展數(shù)據(jù)權(quán)限安全、員工行為紀律、安全紅線等相關(guān)培訓，明確組織對于安全管理的要求和規(guī)定，了解個人在日常工作

9、中所承擔的義務(wù)以及違反相關(guān)安全管理要求時面臨的懲戒措施。日常工作過程中，釘釘員工通過線上學習平臺和線下專題分享的方式自主選擇參加感興趣的技能培訓，同時定期接受組織的強制性安全意識培訓和考試，考試成績和認證通過情況在平臺上進行留存和管理。員工調(diào)崗離職時，HR 和部門主管共同確定崗位應(yīng)回收的信息資產(chǎn)、關(guān)閉應(yīng)用權(quán)限，對于關(guān)鍵崗位員工還需視情況簽署競業(yè)協(xié)議并開展離職審計；對于違反安全管理要求的員工，依據(jù)員工紀律條款和約定進行處理。2.3社會責任中國有 4300 萬中小企業(yè)組織，目前市場上的軟件服務(wù)企業(yè)只為大約 10 萬家大型企業(yè)服務(wù)，而小型企業(yè)分散，平均生存周期約 2 年，社會資源為一家中小企業(yè)服務(wù)的

10、投入往往是沒有性價比的，因此如果能聚合廣大中小企業(yè)的共性需求， 打造一個公平，透明，高效的生態(tài)共享平臺，那么所有企業(yè)將在社會資源利用、 企業(yè)辦公協(xié)同等多個維度都在同一條起跑線上出發(fā)。為實現(xiàn)大企業(yè)和中小企業(yè)之間社會資源平等，秉承阿里巴巴服務(wù)中小企業(yè)， 讓天下沒有難做的生意的使命，釘釘通過“簡單、高效、安全、快樂”的方式為中小企業(yè)提供企業(yè)協(xié)同辦公服務(wù)，這也是釘釘?shù)漠a(chǎn)品初衷和社會責任。3 全鏈路安全防護在阿里巴巴集團安全部“輕管控、重檢測、快響應(yīng)”的九字方針的指導下， 釘釘在客戶端，包括 PC 端和移動端以及傳輸管道、服務(wù)端等多個維度完整復制了阿里巴巴集團各項成熟的、經(jīng)過多年驗證的安全控制措施，建立

11、了完整的事前動態(tài)管控、事中實時防御、事后快速響應(yīng)的縱深防御體系，確保釘釘用戶使用安全。3.1客戶端安全釘釘通過應(yīng)用完整性、環(huán)境可信性、數(shù)據(jù)機密性以及賬號安全風控等四個維度的強化加固，有效保障了釘釘客戶端安全。3.1.1 應(yīng)用完整性釘釘 APP 基于阿里聚安全的核心技術(shù)，在應(yīng)用發(fā)布前，通過重新編譯、加殼保護、修改指令調(diào)用順序等安全加固措施以及自主研發(fā)的安全組件接入，快速復制了淘寶、支付寶等超級 APP 的移動安全保護能力，極大保障了釘釘客戶端安全。3.1.2 環(huán)境可信性釘釘 APP 通過模擬器檢測、越獄和 ROOT 檢測、防惡意調(diào)試及進程注入檢測等安全措施對應(yīng)用運行環(huán)境提供了安全保障。模擬器運行

12、檢測：釘釘 APP 在每次程序喚醒時可檢測應(yīng)用是否運行在模擬器中。越獄和 ROOT 檢測：釘釘 APP 每次程序喚醒時可檢測終端操作系統(tǒng)是否已經(jīng)被 ROOT。終端進程注入檢測：釘釘 APP 運行時，對用戶終端運行環(huán)境是否有異常進程加載進行動態(tài)監(jiān)測。提供應(yīng)用沙箱環(huán)境：釘釘 APP 的進程空間和數(shù)據(jù)存儲空間均在安全沙箱內(nèi)完成數(shù)據(jù)加密和解密。病毒檢測：釘釘 APP 提供錢盾病毒查殺功能，用戶可選擇進行病毒檢測和查殺。3.1.3 數(shù)據(jù)機密性釘釘 APP 對緩存在客戶端的數(shù)據(jù)信息，采用安全沙箱和安全加密方案，保障用戶數(shù)據(jù)信息的安全性。針對信息安全要求較高的企業(yè)，提供三方加密服務(wù)， 實現(xiàn)數(shù)據(jù)信息二次加密。

13、安全加密：釘釘 APP 在客戶端加解密過程中使用隨機生成的密鑰，并與設(shè)備綁定。破解者即使拿到了用戶手機上的加密數(shù)據(jù)，在自己的手機上也無法完成解密操作，極大的保證了存儲在客戶端本地的數(shù)據(jù)安全。安全沙箱：釘釘 APP 在客戶端的整個加解密過程均在安全沙箱中完成，對外不暴露任何密鑰和加密算法。安全簽名：基于 HMAC_SHA1 算法和指定密鑰對數(shù)據(jù)進行加簽，在傳輸數(shù)據(jù)時，可以利用加簽的結(jié)果對傳輸數(shù)據(jù)進行安全校驗。3.1.4 賬號安全風控釘釘通過阿里巴巴自建的賬號安全風控體系，實現(xiàn)賬號和設(shè)備風險打標，一旦檢測到非可信設(shè)備登陸立即觸發(fā)雙因子驗證。同時，通過賬號監(jiān)測平臺，對同設(shè)備批量登錄等異常行為進行檢測

14、、告警，并通過一鍵配置黑名單實現(xiàn)迅速處理。除已有的賬號安全風控體系外，釘釘還提供其他擴展的賬號安全控制措施， 如雙因子驗證(2FA)、生物特征識別、同事關(guān)系識別等方式，為用戶賬號提供更 多維度的安全保障。3.2傳輸安全基于 SSL/TLS 協(xié)議，釘釘構(gòu)建了一套完整的私有安全通信協(xié)議 LWS。通過這種私有安全通信協(xié)議，實現(xiàn)釘釘端到端的通信鏈路加密、簽名，防止竊聽、篡改，以確保數(shù)據(jù)信息的傳輸安全。3.3服務(wù)端安全3.3.1 應(yīng)用安全阿里巴巴面向互聯(lián)網(wǎng)的應(yīng)用每天至少面臨數(shù)百萬次攻擊，基于每一次安全響應(yīng)經(jīng)驗的積累，參考業(yè)界 SDL 實踐經(jīng)驗，阿里巴巴安全部已形成一套規(guī)范的應(yīng)用安全開發(fā)生命周期管理體系，

15、并全面覆蓋釘釘所有業(yè)務(wù)。釘釘 SDL 流程圖在人員培訓環(huán)節(jié)，安全工程師通過線上平臺和線下安全課堂的方式，為開發(fā)人員提供安全開發(fā)規(guī)范、安全技能培訓，提高開發(fā)人員的安全意識；在安全需分環(huán)節(jié)，根據(jù)功能需求文檔進行安全需求分析，針對業(yè)務(wù)場景、業(yè)務(wù)流程、技術(shù)框架進行溝通，形成安全需求分析建議；在安全開發(fā)環(huán)節(jié)，開發(fā)工程師必須安裝阿里巴巴自研的 IDEA 插件，實現(xiàn)編碼規(guī)范性和安全性實時檢測和提醒，確保代碼編寫符合阿里巴巴 Java 開發(fā)手冊和相關(guān)安全編碼規(guī)約要求；在安全測試環(huán)節(jié)，通過自主研發(fā)的掃描工具進行黑白盒掃描，并結(jié)合人工審核評估代碼缺陷和漏洞，降低各個階段來自人員知識技能、業(yè)務(wù)場景邏輯所帶來的安全風

16、險；在項目發(fā)布環(huán)節(jié)，安全工程師必須對應(yīng)用系統(tǒng)進行一系列的上線前安全檢查， 包括代碼 review，黑白盒測試，檢查相關(guān)的測試結(jié)果并確保發(fā)現(xiàn)的問題都被處理完畢之后才可上線。在安全運營與應(yīng)急響應(yīng)階段，安全工程師通過 SOC 安全運營平臺實現(xiàn)安全事件分析、處置、復盤和跟蹤。另外，基于 SDL 各階段數(shù)據(jù)沉淀，釘釘建立了應(yīng)用安全量化分析模型和監(jiān)控體系，形成各條產(chǎn)品線的安全開發(fā)度量地圖和基于項目組、項目成員在每個階段的行為畫像，一旦發(fā)現(xiàn)異常行為（如未執(zhí)行白盒掃描、違規(guī)帶高危 bug 發(fā)布、未通過安全培訓上崗編碼等），及時告警從而監(jiān)督相關(guān)人員進行整改，最終實現(xiàn)需求人員理解安全、開發(fā)人員知道安全、測試人員懂

17、得安全、安全人員可以管理安全的目標，從而提高業(yè)務(wù)系統(tǒng)安全編碼質(zhì)量，保障應(yīng)用安全穩(wěn)定運行。3.3.2 數(shù)據(jù)庫安全阿里巴巴通過對 mysql 的定制優(yōu)化形成 Alisql，在大幅提高性能的同時，還按需進行功能定制和服務(wù)裁剪，為釘釘?shù)臄?shù)據(jù)庫穩(wěn)定運行提高了強大的支持。同時，為安全便捷的對數(shù)據(jù)庫進行統(tǒng)一操作管理，阿里巴巴自主研發(fā)了一套數(shù)據(jù)庫管理平臺 iDB，實現(xiàn)數(shù)據(jù)庫統(tǒng)一認證、權(quán)限管理、數(shù)據(jù)變更、庫表同步以及操作安全審核，確保每一條 SQL 語句都符安全要求和性能規(guī)范。此外，阿里巴巴自主研發(fā)的 CloudDBA 產(chǎn)品為釘釘提供系統(tǒng)化、專業(yè)化的數(shù)據(jù)庫診斷優(yōu)化能力，可輕松對數(shù)據(jù)庫實例進行一鍵全面診斷，包括資

18、源使用、慢 SQL、會話/事務(wù)，鎖，空間，配置，安全等，并給出詳細診斷報告和優(yōu)化建議。3.3.3 中間件安全釘釘服務(wù)端使用的中間件，采用分布式權(quán)限系統(tǒng)進行身份識別和訪問控制， 有效保護數(shù)據(jù)源、消息等敏感信息的保密性。3.4基礎(chǔ)設(shè)施安全3.4.1 物理安全在物理環(huán)境管理方面，溫度、濕度、電力、消防等物理環(huán)境安全是數(shù)據(jù)中心安全可靠運行的必要前提。因此釘釘業(yè)務(wù)所在數(shù)據(jù)中心嚴格按照電子計算機機房設(shè)計規(guī)范（GB50174）、電信專用房屋設(shè)計規(guī)范（YD5003-2014）的A 類要求進行選址、建設(shè)或租賃，確?？照{(diào)、電力和消防等系統(tǒng)均采用智能化、高穩(wěn)定性、全冗余設(shè)計，在任意單點設(shè)備故障或異常事件情況下，均能

19、自動觸發(fā)告警并進行快速響應(yīng)。在訪問控制管理方面，進入數(shù)據(jù)中心必須提出申請，并提供個人身份信息證明，經(jīng)過授權(quán)后方可進入機房，進入前需由安保人員查驗證件和登記，且值班人員全程陪同。數(shù)據(jù)中心內(nèi)部根據(jù)業(yè)務(wù)重要性和功能劃分不同安全區(qū)域，不同區(qū)域之間擁有獨立的門禁系統(tǒng)，重要區(qū)域采用指紋等雙因素認證，特定區(qū)域采用鐵籠進行物理隔離。在物理監(jiān)控巡檢層面，阿里巴巴設(shè)立 GOC (Global Operations Center)， 實時監(jiān)控數(shù)據(jù)中心物理環(huán)境、設(shè)備運行、流量分布等狀態(tài)，實現(xiàn)運營指標數(shù)字化、運營流程自動化，運營響應(yīng)智能化，打造高效準確的故障處置能力。此外還采用專業(yè)團隊 7*24 小時值班，線上業(yè)務(wù)定時

20、自動巡檢和定期人工檢查,有效發(fā)現(xiàn)異常報警信息，及時、準確地通知處理人，跟蹤處理進度，并定期 進行復盤總結(jié)，直到最后解決。在運營安全管理層面，IDC 管理團隊為數(shù)據(jù)中心建立物理安全指引和操作安全管理規(guī)程，梳理物理安全檢查基線和資產(chǎn)安全檢查基線，定期開展安全審計， 及時盤點現(xiàn)有管理措施的合理性、執(zhí)行的有效性，并持續(xù)改進。3.4.2 網(wǎng)絡(luò)安全阿里巴巴集團整體網(wǎng)絡(luò)主要分為 ABTN 和 ACTN，其中 ABTN 由各地數(shù)據(jù)中心出口路由器與各大運營商互聯(lián)，并通過 BGP 協(xié)議建立冗余、擴展的廣域網(wǎng)絡(luò)；ACTN 是阿里巴巴集團為各地數(shù)據(jù)中心運營管理、數(shù)據(jù)同步交互而建立的內(nèi)部網(wǎng)絡(luò)。互聯(lián)網(wǎng)用戶訪問請求流經(jīng)外部

21、骨干網(wǎng)，經(jīng)過異常流量清洗平臺監(jiān)測管控，實現(xiàn)四層到七層的 DDOS 防御、機器行為和 Web 攻擊流量的清洗后，訪問數(shù)據(jù)流到達目標服務(wù)器，從而提高業(yè)務(wù)訪問的可靠性和純凈度。在每個數(shù)據(jù)中心內(nèi)部，建立統(tǒng)一標準化的網(wǎng)絡(luò)拓撲，并劃分不同安全區(qū)域， 依據(jù)每個區(qū)域承載業(yè)務(wù)的重要程度，又劃分多個安全級別，不同級別區(qū)域之間部署嚴格的訪問控制和路由策略，同時通過流量分光鏡像和 flow 采樣，實現(xiàn)流量DPI/DFI 分析和監(jiān)控，有效識別異常行為。3.4.3 主機安全為加強釘釘業(yè)務(wù)主機系統(tǒng)安全管理，遵循阿里巴巴集團“九字方針”要求， 在管控機制上，阿里巴巴集團定制優(yōu)化 docker、Nginx 等系統(tǒng)組件，裁剪不必

22、要的服務(wù)、最小化開啟業(yè)務(wù)所需的服務(wù)和端口，統(tǒng)一配置模板，從源頭加強自主管控，降低漏洞發(fā)生的可能性。在訪問管理時，通過 SSO 集成 AD 域和阿里安全客戶端的 OTP 實現(xiàn)主機登錄雙因素驗證鑒權(quán)，同時利用網(wǎng)絡(luò)層訪問控制策略和虛擬安全訪問組實現(xiàn)基于 IP 地址和端口的安全控制，并通過自動化的訪問控制策略 review 工具每天檢查策略合規(guī)情況，一旦發(fā)現(xiàn)違規(guī)開放端口信息，立即通過短信、郵件、釘釘消息進行告警，確保相關(guān)人員迅速處理。在事中檢測機制上，通過主機部署入侵檢測 agent，實現(xiàn)系統(tǒng)異常進程、主動外連、后門程序、暴力破解、系統(tǒng)權(quán)限提升等異常行為的風險監(jiān)測；操作通過堡壘機的運維監(jiān)控以及目標主機

23、日志審計，實現(xiàn)多粒度的安全分析，及時發(fā)現(xiàn)可能存在的風險；另外定期通過鏡像漏洞掃描工具直接掃描軟件倉庫，確保系統(tǒng)組件安全穩(wěn)定；每天通過基線掃描工具，自動化實現(xiàn)系統(tǒng)服務(wù)、端口進程、軟件包、流量等基線指紋探測識別，及時發(fā)現(xiàn)可能存在的異常行為。同時在 APT 對抗上， 自研 agent 覆蓋辦公終端和生產(chǎn)服務(wù)器等服務(wù)深度集成，保證全天候、無死角的異常行為收集，并通過云端多款國際領(lǐng)先的殺毒軟件，結(jié)合業(yè)務(wù)場景和多監(jiān)測引擎的綜合評分機制，有效降低漏報誤報，提供業(yè)內(nèi)領(lǐng)先的 APT 檢測服務(wù)。在事后響應(yīng)機制上，利用不斷迭代的安全算法模型，計算釘釘業(yè)務(wù)云、管、端的異常行為分布以及入侵特征，反哺優(yōu)化防御策略，實現(xiàn)已

24、知漏洞一鍵止血、未知漏洞快速響應(yīng)、惡意文件云端查殺、系統(tǒng)補丁使用 ksplice 實現(xiàn)快速灰度驗證和更新。3.5數(shù)據(jù)安全釘釘以數(shù)據(jù)安全為愿景，嚴格遵循 DSMM 的各項安全要求，在數(shù)據(jù)生命周期各階段如數(shù)據(jù)產(chǎn)生、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)傳輸、數(shù)據(jù)共享、數(shù)據(jù)銷毀等 都無縫嵌入阿里巴巴集團各項成熟的安全控制措施，確保用戶數(shù)據(jù)的機密性、完整性、可靠性。3.5.1 數(shù)據(jù)產(chǎn)生釘釘制定數(shù)據(jù)安全策略規(guī)范，按照數(shù)據(jù)類型、敏感程度、數(shù)據(jù)價值等相關(guān)屬性明確數(shù)據(jù)分類分級標準。在數(shù)據(jù)產(chǎn)生時，統(tǒng)一對數(shù)據(jù)進行分類分級打標，確保業(yè)務(wù)流轉(zhuǎn)過程中，所有數(shù)據(jù)按照策略規(guī)范要求實施分類管控、分級授權(quán)。3.5.2 數(shù)據(jù)傳輸釘釘面向互聯(lián)網(wǎng)

25、的應(yīng)用，必須接入統(tǒng)一應(yīng)用網(wǎng)關(guān)，實現(xiàn) TLS 加密以及證書統(tǒng)一管理，保障全站 https 安全訪問；面向內(nèi)部涉及簽名認證或加密類業(yè)務(wù)，必須統(tǒng)一接入加密機，數(shù)據(jù)交互通過加密機 API 實現(xiàn)不同應(yīng)用的簽名、認證和加密，避免密鑰離開加密機的同時，保障數(shù)據(jù)機密性、完整性、可用性和不可否認性。3.5.3 數(shù)據(jù)使用在釘釘前端應(yīng)用層面，涉敏頁面全部數(shù)字水印處理，敏感信息已默認打點隱藏；在服務(wù)端應(yīng)用層面，必須統(tǒng)一接入權(quán)限管理系統(tǒng)，訪問主體必須根據(jù)權(quán)限、角色和風險級別按需申請，并詳細說明訪問內(nèi)容、訪問理由、訪問時長等相關(guān)信息，獲得的訪問權(quán)限定期復核，離職轉(zhuǎn)崗后權(quán)限自動關(guān)閉；在數(shù)據(jù)庫操作層面， 增刪改查的操作命令全

26、程監(jiān)控，操作日志集中存儲，操作流量實時分析，一旦發(fā)現(xiàn)高危 sql 語句、批量違規(guī)操作、危險時段異常操作等違背安全管理要求的行為， 及時告警并可實時在線攔截。3.5.4 數(shù)據(jù)存儲客戶端，用戶聊天信息（包括消息文本、圖片、音視頻和其他文件）采用高強度的對稱密鑰算法 AES-256-GCM 實施整庫加密保護，并根據(jù)用戶可信設(shè)備信息生成唯一的密鑰，保護存儲在客戶端的敏感數(shù)據(jù)不被攻擊者非法獲取，同時企業(yè)可按需設(shè)置用戶聊天信息自動銷毀，確保本地數(shù)據(jù)的機密性。服務(wù)端每個應(yīng)用采用獨立密鑰，通過高強度對稱密鑰算法 AES-256-GCM 加密數(shù)據(jù)，且每個企業(yè)密鑰各不相同，由硬件加密系統(tǒng)統(tǒng)一管理，保證了服務(wù)端數(shù)據(jù)

27、存儲的安全性。3.5.5 數(shù)據(jù)共享在對外數(shù)據(jù)開放共享方面，釘釘嚴格遵循網(wǎng)絡(luò)安全法要求，以用戶隱私信息保護為首要前提，制定對外數(shù)據(jù)披露細則，明確要求所有對外數(shù)據(jù)輸出必須遵循以下原則：保護用戶隱私：涉及用戶隱私數(shù)據(jù)未經(jīng)客戶的充分授權(quán)，不得收集、分析或向任何第三方輸出。必要性和最小化：對外數(shù)據(jù)輸出時必須將數(shù)據(jù)的范圍、數(shù)量及知情者控制在最小范圍內(nèi)，因法律法規(guī)要求需向公眾公平公開輸出數(shù)據(jù)的情況除外。合規(guī)性：對外數(shù)據(jù)合作必須遵循適用于阿里巴巴集團的法律、法規(guī)、政策、行業(yè)標準等要求。3.5.6 數(shù)據(jù)銷毀釘釘使用的信息處理設(shè)施，存儲介質(zhì)出數(shù)據(jù)中心前遵照 DoD 5220.22-M、NIST 800-88 標準

28、進行清除數(shù)據(jù)、磁盤消磁以及物理銷毀，避免數(shù)據(jù)泄露風險。3.5.7 數(shù)據(jù)安全審計在數(shù)據(jù)生命周期，釘釘建立了全鏈路風險檢測感知體系，通過語境分析、行為過濾和專家運營，實時檢測分析異常數(shù)據(jù)訪問記錄。如登錄失敗、權(quán)限升級、非法訪問、敏感數(shù)據(jù)下載等，一旦發(fā)現(xiàn)異常行為及時告警，確保違規(guī)操作有跡可循。3.6安全運營3.6.1 反入侵釘釘業(yè)務(wù)每天都產(chǎn)生海量的日志數(shù)據(jù)，包括終端行為日志、網(wǎng)絡(luò)安全日志、系統(tǒng)運行及入侵檢測日志、WAF 防護日志以及網(wǎng)絡(luò)流量、基線檢查等信息?；谶@些日志，阿里巴巴通過大數(shù)據(jù)安全分析平臺，借助模式匹配、沙盒分析、機器學習、專家經(jīng)驗等規(guī)則，有的放矢提取情境數(shù)據(jù)，建立用戶行為畫像，實現(xiàn)異常

29、行為數(shù)據(jù)的自動識別、分析和關(guān)聯(lián)，還原攻擊路徑并進行全鏈路風險打標和綜合評分，精準有效感知業(yè)務(wù)系統(tǒng)可能存在的風險隱患以及特定的 APT 攻擊，同時與異常流量清洗平臺聯(lián)動，實現(xiàn)一鍵處置，保障業(yè)務(wù)系統(tǒng)的安全性和客戶數(shù)據(jù)的隱私性。3.6.2 紅藍對抗阿里巴巴安全部組建獨立的攻防演練團隊，以攻擊者視角全面梳理攻擊途徑， 有計劃性進行滲透測試工作；同時建立攻防演練平臺，內(nèi)置歷史攻擊數(shù)據(jù)、漏洞庫、基礎(chǔ)資產(chǎn)信息和專家經(jīng)驗，每日開展攻防一練、每月開展全鏈路演練；另外定期邀請 ASRC 白帽子開展安全眾測。在持續(xù)對抗中，快速、高效、全面的發(fā)現(xiàn)阿里巴巴各類業(yè)務(wù)系統(tǒng)的（包括釘釘）安全漏洞，推進業(yè)務(wù)整改的同時，沉淀攻擊

30、特征，優(yōu)化安全檢測和防護管控策略，保障業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行。3.6.3 應(yīng)急響應(yīng)阿里巴巴集團通過統(tǒng)一的安全事件應(yīng)急管理平臺，實現(xiàn)安全事件發(fā)現(xiàn)、處置、溯源、復盤等閉環(huán)管理并持續(xù)運營，全面提升突發(fā)安全事件的應(yīng)急管理水平，確保業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行。在安全事件發(fā)現(xiàn)階段，該平臺通過 OpenAPI 與黑白盒掃描產(chǎn)品以及威脅情報系統(tǒng)、ASRC 等平臺打通，并與資產(chǎn)管理系統(tǒng)進行關(guān)聯(lián)，實時收集安全事件相關(guān)域名、IP 信息，根據(jù)這些信息自動將事件詳情流轉(zhuǎn)至相關(guān)安全應(yīng)急響應(yīng)專家。在安全事件處置階段，安全應(yīng)急響應(yīng)專家 7x24 小時實時響應(yīng)，一旦收到短信、郵件、釘釘消息提醒后，在規(guī)定時間內(nèi)，確認安全事件是否誤報、影

31、響范圍、風險等級等信息。如確認誤報，終止流程；如確認是已知類型安全事件，關(guān)聯(lián)已 有解決方案并將流程轉(zhuǎn)至事件受影響業(yè)務(wù)的開發(fā)和運維工程師。如確認是未知類型安全事件，安全應(yīng)急響應(yīng)專家協(xié)調(diào)安全研究、產(chǎn)品防御、攻防對抗人員提取事件特征，制定臨時止血措施，同時加強流量和行為監(jiān)控，明確安全解決方案，并 協(xié)助業(yè)務(wù)方進行整改。在安全事件溯源階段，溯源取證團隊將按需收集受影響的業(yè)務(wù)端、管、云的活動日志，并進行綜合分析，全面還原安全事件發(fā)生過程，并進行針對性的整改加固，如有需要還將配合公檢法部門進行立案處理。在安全事件復盤階段，安全事件應(yīng)急管理平臺運營人員根據(jù)事件類型、事件排名、業(yè)務(wù)分布等信息，定期組織人員進行復

32、盤，總結(jié)分析事件根本原因，以針對性提升事前管控、事中檢測機制和流程。4 生態(tài)安全4.1生態(tài)閉環(huán)釘釘通過安全端容器、私有安全加密通道、安全云容器、為 ISV 提供高效、彈性、安全的一體化解決方案，在保障訪問速度的同時，大幅提高微應(yīng)用穩(wěn)定性， 并有效防止劫持。釘釘微應(yīng)用業(yè)務(wù)拓撲圖同時針對應(yīng)用市場存在的高危業(yè)務(wù)風險，如數(shù)據(jù)泄漏、暴力下線等，釘釘通過專項治理和持續(xù)監(jiān)測審計，不斷健全端、管、云的安全方案，持續(xù)加強 ISV 的安全管控，保障用戶數(shù)據(jù)不被泄漏以及 ISV 提供的應(yīng)用安全、穩(wěn)定、高效。4.2安全賦能釘釘生態(tài)安全建立了第三方應(yīng)用上線審核流程及標準，通過發(fā)布 ISV 準入要求以及 PHP、JAVA

33、、H5 等安全開發(fā)規(guī)范，以共建合作的方式為第三方 ISV 以及企業(yè)開發(fā)者建立和培養(yǎng)安全梯隊，為釘釘應(yīng)用市場開發(fā)者及企業(yè)提供安全保障能力。4.3應(yīng)用監(jiān)管微應(yīng)用在應(yīng)用市場上線前，開發(fā)者需提交安全測試報告，經(jīng)過釘釘安全專家審核并驗收通過后，才允許應(yīng)用上架。微應(yīng)用上架后，開發(fā)者按照釘釘?shù)囊?guī)范要求，授權(quán)釘釘安全專家進行安全評估，符合規(guī)范要求的微應(yīng)用將在釘釘應(yīng)用市場獲得安全認證的標簽。此外，針對第三方開發(fā)者上線的微應(yīng)用，釘釘通過應(yīng)用市場異常監(jiān)控和安全掃描，及時發(fā)現(xiàn)可能存在安全漏洞、違規(guī)違禁的微應(yīng)用，打造一個綠色、可信的釘釘開放平臺。5 安全合規(guī)5.1體系建設(shè)根據(jù)中華人民共和國網(wǎng)絡(luò)安全法要求，參考 ISO2

34、7001、ISO27018、PCIDSS、SOC 2/3、GDPR、TrustE 以及信息安全等級保護等國內(nèi)外標準和最佳實踐，結(jié)合阿里巴巴集團多年互聯(lián)網(wǎng)安全工作經(jīng)驗，釘釘建立了覆蓋安全策略方針、組織及人員安全、研發(fā)安全、運行安全、外包安全以及信息安全的業(yè)務(wù)連 續(xù)性和合規(guī)審計等十四個控制域的安全體系。每個控制域建立了規(guī)范的四級文檔架構(gòu)和可配置的度量體系，所有安全流程基本實現(xiàn)線上化，過程數(shù)據(jù)指標化，運營度量平臺化，全面覆蓋釘釘各項安全控制措施，有效保障釘釘安全、穩(wěn)定、合 規(guī)。5.2擁抱監(jiān)管在阿里巴巴集團安全部的“九字方針”指導下，釘釘積極開展安全合規(guī)認證工作，截止目前，先后獲得并通過如下認證審核:信息安全等級保護：信息安全等級保護是由公安部監(jiān)制，由屬地公安機關(guān)認 可并頒發(fā)的國家級信息系統(tǒng)等級認證。在 2016 年度，公安部組織多支國家隊伍對釘釘信息系統(tǒng)進行等級測評、風險評估和滲透測試，評估結(jié)果在經(jīng)過多位院士和行業(yè)安全專家評審后，確定釘釘信息系統(tǒng)安全等級為“三級”，釘釘安全控制 措施符合國家要求。ISO/IEC 27001: ISO27001:2013 信息安全管理體系是世界應(yīng)用最廣泛的信息