隐私保护是互联网上经久不衰的话题,虽然许多力量一直都在想方设法来保护用户隐私,不过用户隐私泄露问题却层出不穷,甚至有愈演愈烈之势,2018年最大规模的隐私泄露问题,就是facebook的“数据门”,它让这个超级社交网络股价重挫、ceo扎克伯格不得不在国会上接受质询,facebook多年来积累的品牌声誉也轰然倒下,facebook前uber等互联网平台也发生过类似的信息泄露事件。
facebook不是第一家出现大规模数据泄露的互联网平台,也不会是最后一家。道高一尺魔高一丈,但也可以说魔高一尺道高一丈,黑客在不断进化,互联网平台也需要不断强化安全能力。企业级服务平台,更需要将安全技术放在最核心的位置,对安全的重视程度一定要超过健壮性、稳定性、高性能。在这一点上,中国最大的企业社交平台阿里钉钉的做法,堪称行业标杆。
阿里钉钉秀肌肉
日前,阿里钉钉发布了新版安全白皮书,其中最大看点是阿里钉钉的全链路安全技术,公布核心安全技术,阿里钉钉是国内第一个这么做的互联网平台。看了下白皮书,阿里钉钉的全链路安全技术可以用“4+2”来总结:
四个维度端到端的安全保障:客户端、数据传输、服务端和基础设施四个层面,阿里钉钉都有各种细则来确保用户数据和隐私安全,比如在数据传输链路上,就采取了自主研发的私有安全协议lws,实现端到端的通信链路加密、签名,防止数据被窃听、篡改,以确保数据信息的传输安全。
两道加密确保信息国密级保护:钉钉信息加密第一道关是aes256,把全球所有的计算资源放在一起,aes256被破解的时间远远大于宇宙寿命250亿年,这也是苹果和亚马逊都在用的加密算法。此外钉钉还多做了一步,也是钉钉独有的加密模式,引入第三方加密,简单地说就是密钥由第三方托管,任何第三方包括钉钉都无法解读用户消息,消息的唯一秘钥属于使用服务的企业或组织。
阿里钉钉的全链路技术,不是普通的信息安全技术,在我看来,是针对企业级服务市场在移动互联网时代的特殊的信息安全需求而产生的安全解决方案。
pc时代,人们往往会将信息安全问题与电脑病毒木马什么的联系在一起,因此当时的攻击主要是利用windows操作系统漏洞,针对pc终端进行攻击,安全产业以提供杀毒服务为主,信息安全问题往往是类似于“病毒攻击导致大面积停摆”。
移动时代,智能手机上的病毒问题已经很少了,杀毒软件也纷纷转型,然而信息安全形势却变得更加严峻,一方面,黑客不再盯着终端,而是无孔不入地渗透,阿里钉钉全链路技术的四个维度,都被黑客盯上了,如果一个地方被攻破就全盘皆输,因此信息安全不能只重视一个环节,而是要面面俱到,确保没有死角;另一方面,移动互联网时代信息安全问题,直接关系到个人隐私、财产甚至人身安全。
对于企业组织来说,移动互联网时代的信息安全挑战更严峻。在日常信息化办公中会有大量的信息交互、大量的终端应用、大量的数据传输,组织和个体在许多环节都有可能主动或者被动地泄密,一旦出现泄密,对企业组织就意味着财务、数据、管理和战略安全,比电脑停摆问题严重数倍,阿里钉钉针对四个维度构建重重安全,正是因为移动时代企业级服务对信息安全要求发生了剧变。
阿里钉钉在信息加密上不只是有国密加密技术,还引入了第三方加密模式,做得比社交平台还多一步,则是因为作为企业社交平台的特殊性。今年初吉利控股董事长李书福曾公开表示自己的一个担忧:“马化腾肯定天天在看用户的微信,这样很容易暴露商业秘密。”微信第一时间进行了回应,表示,“尊重用户隐私一直是微信最重要的原则之一,我们没有权限、也没有理由去’看你的微信’。”微信自证清白是用腾讯品牌来背书,钉钉的加密方案则从技术层面让用户相信,它以及任何第三方组织没有能力查看用户信息,因为钉钉知道很多企业和个人都由李书福式焦虑,要消除这样的焦虑,只有通过技术在信息从产生到销毁的全生命周期,进行多重加密才是最好的解决方案。
可以看到,阿里钉钉在新版安全白皮书中公布全链路安全技术,实质上是在秀肌肉,在信息安全上,阿里钉钉不只是在社交应用上走得最远,在企业级服务中同样堪称标杆。
利器为何要示人?
公布全链路安全技术,对于钉钉来说,相当于将自己的防守布置清晰地暴露在潜在攻击者面前,自己处于明处,敌人在暗处,就有了可乘之机。同时,友商也可以借鉴自己的安全防护手段,阿里钉钉将数据安全和隐私保护视作生命线,“兵者,国之重器,不可不察也,不可轻易示人也”,钉钉公布全链路安全技术,似乎不是明智之举。
对此,钉钉安全负责人罗峰(花名迦卢)表示:
“安全白皮书公开全链路安全技术,一方面是向钉钉用户进行全面安全技术披露,让用户深入了解钉钉的安全技术;另一方面,敢于公开全链路安全技术,这在国内属于首家,源于钉钉对于安全方面一贯的超高标准和技术自信。”
如何理解呢?
一方面,阿里钉钉希望让用户了解到自己有能力来保障用户的信息安全,进而被更多用户更加放心大胆地应用。不只是消费级互联网平台上,企业安全相关的信息安全泄露事件近年来也屡见不鲜。
5月初,a股首例“董秘微信群泄露公司重组重大内幕被深交所处罚”在网络上引发轩然大波,广州浪奇董秘王志刚在某个“董秘微信群”里误发了一份涉及公司重大资产重组信息的文件,因此被深交所公开点名处罚。此前还发生过徐小平微信群泄密事件、滴滴空姐事件协警泄露案发现场照片、公司财务被微信上的“假老板”命令转账诸多类似事件。
企业社交软件应该从产品、技术和管理维度来规避上述问题的发生,比如钉钉在产品上增加群聊水印、澡堂模式这样的功能,再比如在管理上需要组织管理员同意才能注册或认证。不过,这些做法解决的是明面的泄密,截图、诈骗、误传、转发都是相对容易规避的行为,但黑客的渗透式攻击却是十分隐秘的行为,防不胜防,当用户知晓时往往已经是造成巨大的不可挽回损失的时候——比如facebook数据门就是一个典型案例。
要避免“暗地里”的用户数据和隐私的泄露,技术是最关键的屏障,比如钉钉通过四个维度的安全防护、两道关卡的加密手段,彻底消灭了各个环节出现信息泄露的可能性,从技术层面封堵了每一个漏洞。显而易见,阿里钉钉的全链路安全技术,比承诺“我们不会看用户数据”更有说服力,可以赢得用户特别是企业的信赖。
另一方面,敢于公布全链路信息技术,也与阿里钉钉的技术自信有关系。
今年4月,遵循“数据只属于用户”且采取重重技术来确保这个原则的钉钉,获得了普华永道出具的隐私原则审计soc2报告这一权威资质,钉钉是国内第一家通过这个审计的公司,在全球范围内也属于前五家。阿里钉钉也是中国首个通过国际信息安全领域的iso27001:2013认证的企业级社交产品,也获得了iso27018:2014(公有云体系下的隐私保护)证书,它还通过了中国公安部的“信息系统安全等级保护”三级认证。这四项权威安全资质,成了钉钉安全资质的“大满贯”,是钉钉安全技术实力的证明。
此外,包括浙江省等政务系统,公安部、深圳交警、武汉市公安局、内蒙古交警等警务部门,以及2016年杭州g20峰会、2017年金砖国家厦门峰会等重大场合的协作都应用阿里钉钉,也是在给阿里钉钉的信息安全技术实力做背书——政务、警务、会务的信息安全要求比企业的要高多了。
正是因为有技术自信,所以阿里钉钉敢于将全链路安全技术示人,不惧攻击者也不担心友商跟进。
钉钉的底气在哪里?
信息安全,要说最有话语权的应该是360这样的专业安全公司,阿里钉钉在企业服务市场却成了一个安全的行业标杆,凭什么呢?
第一,阿里安全体系提供的高起点。
bat这样的超级互联网巨头,不可能依赖第三方的信息安全技术,说白了,它们不会用雇佣军,而是不约而同地重视自己的国防力量的建设。
阿里巴巴有1000+人的安全团队,阿里安全体系集大数据风险防控和攻防研究于一体,包括反入侵基础安全、数据安全、应用安全、业务安全、安全合规、红蓝对抗、线下专案打击等,建立起全面的账户安全、信息保护、反欺诈等管理机制,阻挡黑客、黑灰产对钉钉用户数据的侵害。阿里还建立了图灵、猎户座、双子座、潘多拉、米诺斯、归零、钱盾和蚂蚁金服光年等八大安全实验室,储备基础安全技术。此外,阿里云、阿里钉钉、蚂蚁金服等业务条线也都有各自的安全团队,进行对应领域的安全技术研发,如阿里钉钉在加密技术上就具有优势。
可以说,阿里钉钉的安全技术不是从0到1的,而是有很高的起点,基于阿里安全体系的基础安全基础,进行企业级服务特别是企业社交领域的垂直安全技术深耕,快速形成了优势。
第二,阿里钉钉对自主技术的重视。
要做到绝对的信息安全,就要有绝对的技术自主,因为每一个环节只要受制于人就有信息安全的隐患,正是因为此我国大力推进去ioe(ibm、oracle、emc)以及芯片、os国产化。阿里钉钉很早就意识到这一点,将数据安全和隐私保护视作生命线,在技术上不断强调自主。阿里全链路安全技术显示,在数据传输链路上,钉钉采用自主研发的私有安全协议lws;在服务端实现软件自主开发、定制化,通过软件供应链体系保障钉钉应用、数据库、中间件等产品和数据存储安全;在基础设施上也有自主研发的流量清洗中心和系统安全产品,“自主研发”大量出现在其技术体系中。
值得注意的是,自主研发的路线阿里走得越来越远,它拥有自主研发的数据库系统(oceanbase等)、操作系统(alios)和飞天,今年收购cpu公司中天微和研发自主芯片:ali-npu,在核心技术研发上深入布局,阿里还成立了初期三年投资高达千亿的达摩院布局底层技术,安全技术包含其中。所有这些底层技术的布局也将给全链路安全能力提供坚实的基础。
第三,阿里钉钉的开放式实践思路。
许多人可能没有留意到,钉钉已经是阿里能力开放的一个窗口,比如阿里钉钉的智能人事功能就是对阿里多年来沉淀的管理能力的开放。同理,阿里钉钉也是阿里安全能力的开放,它现阶段做到全链路安全技术正是基于阿里大安全体系,未来阿里钉钉也会更多地将阿里安全能力封装起来开放给企业,不只是用于保护用户数据安全和隐私保护,也可以成为给企业提供的一种服务。
现在,复星集团、大润发、中国联通、银泰商业集团、滴滴出行等超过500万家企业客户正在使用钉钉,其中一些企业如联通对于信息安全要求十分之高,它们应用钉钉证明了其信息安全实力,创新工场董事长李开复、药明康德董事长兼首席执行官李革等企业家更是直言用钉钉就是因为安全,这些企业在应用钉钉的过程中,会面临各种信息安全挑战,钉钉在解决的时候也在不断进化自己的全链路安全技术,这对钉钉安全能力是一种很好的锤炼。
看到这里,我相信你应该对钉钉的全链路安全技术有了一定的了解。如果我说阿里巴巴不只是一家互联网公司,也是一家安全公司;阿里钉钉不只是一个企业社交平台,也是一家企业安全服务平台,我相信你也会认同我的观点。