编辑: 麒麟兔爷 | 2019-07-04 |
阿里巴巴提供机密报告机制以确保员工可以匿名报告 任何违反安全政策、商业道德的事件. 四. 数据安全 信息安全主要目标之一是保护业务系统和应用程序的基础数据安全.依据数据安全生命周期, 钉钉从数据创建、存储、使用、共享、归档至销毁,使用了数据分级、数据加密等措施,保障了数 据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性. 4.1 数据分级 钉钉对所有用户和企业数据提供存储安全保护;
根据存储与使用的数据, 实施数据等级保护策略, 按照数据价值和敏感度对数据进行等级划分,根据数据安全分级,有对应的保护策略和要求,对用 户和企业数据进行安全存储与保护. 钉钉安全白皮书 V1.1 -
5 - 4.2 数据安全与加密方案 钉钉凭借以数据为中心的安全愿景, 通过数据分类分级、 数据加密和密钥管理为敏感数据提供 可持续的信息保护,实现数据的灵活性、可靠性和可管理性;
借助密钥管理中心和加解密产品实现 数据安全保护和控制,将安全技术嵌入至整个数据安全生命周期中,以保障数据安全属性. 4.3 密钥管理中心 密匙管理中心(KeyCenter)是阿里巴巴集团内部唯一的密钥管理系统,为众多核心业务提供密 匙管理服务.其主要负责密钥的存储、使用、分发、更新等,并提供数据加解密及业务级别敏感数 据保护.它的设计与管理满足行业合规性及审计要求. 4.4 数据访问及用户授权第三方应用访问其敏感信息 钉钉为用户和企业数据提供访问控制保障. 所有产品使用的数据, 用户隐私或机密数据严格控 制权限申请,数据加密存储;
第三方应用访问与使用用户或企业数据,必需经过企业、用户可感知 的授权. 4.5 数据使用与防爬 钉钉根据用户和企业数据进行了等级保护,对用户使用和应用展示进行了严格控制,禁止展示 机密信息及未脱敏信息,同时对于需要展示信息的场景,使用了防爬安全产品,阻断对敏感信息的 爬取. 4.6 数据安全审计 安全审计覆盖所有数据活动的详细跟踪记录,并进行实时的语境分析和行为过滤,从而实现对 用户访问行为的主动控制,生成审计员所需要的信息.生成的结果报表使所有数据活动详细可见, 如登录失败、权限升级、计划变更、非法访问、敏感数据访问等,这些行为是否合规一览无余并做 到所有用户操作有踪可寻. 钉钉安全白皮书 V1.1 -
6 - 4.7 数据销毁管理 所有存储数据的存储介质(如硬盘等),如若需要维修必需先进行卸载;
需要报废或移出数据中 心的网络设备及存储设备,依据 DoD 5220.22-M、NIST 800-88 标准进行清除数据、磁盘消磁以 及物理销毁. 五.应用安全 5.1 钉钉 SDL 钉钉产品在项目开发流程中引入了 SDL,借鉴了微软推广 SDL 的经验,并结合企业级安全需求 以及钉钉自身的项目开发流程,控制项目整体的安全风险.SDL 如下图
1 图1SDL 流程图 安全开发流程参照软件安全开发周期(SecurityDevelopmentLifecycle)建立: (1) 人员培训环节:安全工程师给开发人员进行安全开发规范、安全意识培训等,提高其安全意 识;
(2)安全需分环节:根据功能需求文档进行安全需求分析,针对业务内容、业务流程、技术框架 进行沟通,形成《安全需求分析建议》;
(3)安全开发环节: 根据不同的开发框架, 开发安全包、 提供安全编码规范及安全框架配置规范, 避免开发人员写出不安全的代码;