阿里巴巴釘釘安全白皮書v20

1、釘釘安全白皮書版本（V2.0）目錄1前言11.1術(shù)語定義12安全文化32.1安全組織32.2人才理念42.3社會責(zé)任53全鏈路安全防護(hù)53.1客戶端安全53.1.1 應(yīng)用完整性63.1.2 環(huán)境可行性63.1.3 數(shù)據(jù)機(jī)密性73.1.4 賬號安全風(fēng)控73.2傳輸安全83.3服務(wù)端安全83.3.1 應(yīng)用安全83.3.2 數(shù)據(jù)庫安全93.3.3 中間件安全103.4基礎(chǔ)設(shè)施安全103.4.1 物理安全103.4.2 網(wǎng)絡(luò)安全113.4.3 主機(jī)安全123.5數(shù)據(jù)安全133.5.1 數(shù)據(jù)產(chǎn)生133.5.2 數(shù)據(jù)傳輸143.5.3 數(shù)據(jù)使用143.5.4 數(shù)據(jù)存儲143.5.5 數(shù)據(jù)共享153.5.6

2、 數(shù)據(jù)銷毀153.5.7 數(shù)據(jù)安全審計(jì)153.6安全運(yùn)營163.6.1 反入侵163.6.2 紅藍(lán)對抗163.6.3 應(yīng)急響應(yīng)174生態(tài)安全184.1生態(tài)閉環(huán)184.2安全賦能184.3應(yīng)用監(jiān)管195安全合規(guī)195.1體系建設(shè)195.2擁抱監(jiān)管205.3內(nèi)控審計(jì)215.4廉正合規(guī)216總結(jié)221 前言隨著移動互聯(lián)網(wǎng)的普及, 即時(shí)通信軟件的應(yīng)用場景越來越多，技術(shù)創(chuàng)新為我們生活、工作帶來便利的同時(shí)，也帶來了敏感信息泄露、無用信息干擾、消息傳 遞不及時(shí)等諸多問題和隱患。釘釘自 2015 年面市以來，作為中國領(lǐng)先的智能移動辦公平臺，其以淘寶、天貓、支付寶等積累的多年安全經(jīng)驗(yàn)為前提，經(jīng)過三年的沉淀創(chuàng)新以

3、及阿里巴巴經(jīng)濟(jì)體 6 萬多名員工的使用錘煉，目前已建立強(qiáng)大的移動辦公生態(tài)保障體系，為4300 萬中小企業(yè)提供“簡單、高效、安全”的服務(wù)。為加強(qiáng) 4300 萬中小企業(yè)對釘釘安全的認(rèn)知，本文檔重點(diǎn)從安全文化、全鏈路安全防護(hù)、生態(tài)安全、安全合規(guī)四個(gè)維度，全面闡述了釘釘安全技術(shù)工作思路和實(shí)踐方法，旨在向社會公眾披露釘釘努力抵御互聯(lián)網(wǎng)各類攻擊，防范用戶信息泄露，保護(hù)企業(yè)和公民個(gè)人合法權(quán)益的決心。1.1術(shù)語定義全鏈路：從用戶端到服務(wù)端的數(shù)據(jù)交互全路徑。ASRC：阿里巴巴集團(tuán)安全應(yīng)急響應(yīng)中心。ECDH （Curve25519）：基于 ECC（Elliptic Curve Cryptosystems，橢圓曲線

4、密碼體制）的 DH（ Diffie-Hellman）密鑰交換算法，交換雙方可以在不共享任何秘密的情況下協(xié)商出一個(gè)密鑰，其中 Curve25519 為算法的參數(shù)。SDL：Security Development Lifecycle 的簡稱，安全開發(fā)生命周期。LWS：釘釘自主研發(fā)的私有安全通訊協(xié)議，采用 TLS1.3 加密，密鑰協(xié)商采用橢圓曲線算法 ECDH （Curve25519），對稱加密算法采用：AES-256-GCM/Chacha20。AES-256-GCM：AES 對稱加密算法，256 是對稱加密算法強(qiáng)度，GCM ( Galois/Counter Mode) 指的是該對稱加密采用 Cou

5、nter 模式并帶有 GMAC 消息認(rèn)證碼。ChaCha20：CHACHA20-POLY1305 的加密方法，是一種新式加密算法， 性能強(qiáng)大。2FA: 雙因子驗(yàn)證，是一種安全密碼驗(yàn)證方式。Alisql: MySQL 官方版本的一個(gè)分支，應(yīng)用于阿里巴巴集團(tuán)業(yè)務(wù)以及阿里云數(shù)據(jù)庫服務(wù)，該版本在社區(qū)版的基礎(chǔ)上做了大量的性能與功能的優(yōu)化改進(jìn)。iDB: 阿里巴巴自主研發(fā)的數(shù)據(jù)管理、結(jié)構(gòu)管理、診斷優(yōu)化、實(shí)時(shí)監(jiān)控和系統(tǒng)管理于一體的數(shù)據(jù)庫管理產(chǎn)品。CloudDBA：阿里巴巴自主研發(fā)的智能數(shù)據(jù)庫診斷優(yōu)化產(chǎn)品，提供自助化DSMM:阿里巴巴牽頭制訂的數(shù)據(jù)安全成熟度模型（Data Security2 安全文化2.1安全

6、組織釘釘自成立以來，充分認(rèn)識到信息安全在業(yè)務(wù)發(fā)展中的戰(zhàn)略地位和對業(yè)務(wù)的支撐作用，在阿里巴巴集團(tuán) CRO 領(lǐng)導(dǎo)下，建立了規(guī)范的信息安全管理組織架構(gòu)， 設(shè)立安全管理委員會，下分安全產(chǎn)品團(tuán)隊(duì)和安全運(yùn)營團(tuán)隊(duì)。其中安全產(chǎn)品團(tuán)隊(duì)主要來自集團(tuán)安全部，全面負(fù)責(zé)釘釘業(yè)務(wù)客戶端、傳輸通信以及服務(wù)端的防御產(chǎn)品研發(fā)、接入、監(jiān)控、加固和風(fēng)險(xiǎn)識別、評估、處置等工 作。安全運(yùn)營團(tuán)隊(duì)由集團(tuán)安全部以及釘釘各產(chǎn)品線相關(guān)人員組成，主要負(fù)責(zé)安全技術(shù)運(yùn)營以及業(yè)務(wù)合規(guī)檢測和審計(jì)，通過各類異常信息計(jì)算、分析、建模、預(yù)警， 快速響應(yīng)業(yè)務(wù)系統(tǒng)潛在的網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)，并在不斷對抗中，推動優(yōu)化各項(xiàng)安全措施，全面提升釘釘整體安全水位。此外，為快速響應(yīng)業(yè)

7、務(wù)，釘釘事業(yè)部建立了靈活的 Scrum 小組，按需與集團(tuán)安全部經(jīng)過多年沉淀的安全技術(shù)、安全業(yè)務(wù)、安全生態(tài)以及數(shù)據(jù)安全等安全能力無縫對接，快速復(fù)用集團(tuán)全鏈路的動態(tài)防御體系，全力保障釘釘業(yè)務(wù)安全穩(wěn)定運(yùn)行。同時(shí)，針對特殊時(shí)期以及業(yè)務(wù)需要，建立各種各樣的工作小組，如安全架構(gòu)評審小組、數(shù)據(jù)隱私治理小組、應(yīng)用安全專項(xiàng)攻關(guān)小組，docker 安全小組，加強(qiáng)跨團(tuán)隊(duì)協(xié)調(diào)溝通，快速響應(yīng)釘釘各種業(yè)務(wù)需求。2.2人才理念為支撐組織的安全運(yùn)營，阿里巴巴為全體員工建立“客戶第一、團(tuán)隊(duì)合作、擁抱變化、誠信、激情、敬業(yè)”的價(jià)值觀和“聰明、樂觀、皮實(shí)、自省”的人才理念，這種價(jià)值觀和人才理念的影響已經(jīng)以顯而易見的方式滲透至釘釘員

8、工招聘、員工入職、員工持續(xù)教育以及離職審計(jì)活動中，確保釘釘?shù)膯T工安全管理符合集團(tuán)安全策略要求。其中在員工招聘錄用時(shí)，用人團(tuán)隊(duì)主管通過電話面試、現(xiàn)場面試等方式對候選人的技術(shù)能力進(jìn)行仔細(xì)考察，確保候選人符合崗位職責(zé)要求。技術(shù)面試通過后， 還必須經(jīng)過 HR 面和背景調(diào)查，確保應(yīng)聘人員品行性格、職業(yè)道德符合要求。員工入職時(shí)，首先必須簽署勞動合同和保密協(xié)議，關(guān)鍵崗位人員視接觸信息的敏感程度還需單獨(dú)簽署專項(xiàng)保密協(xié)議。然后參加商業(yè)行為準(zhǔn)則培訓(xùn)，明確 我們作出的、為客戶提供公平公正、安全可靠的承諾。同時(shí)還會開展數(shù)據(jù)權(quán)限安全、員工行為紀(jì)律、安全紅線等相關(guān)培訓(xùn)，明確組織對于安全管理的要求和規(guī)定，了解個(gè)人在日常工作

9、中所承擔(dān)的義務(wù)以及違反相關(guān)安全管理要求時(shí)面臨的懲戒措施。日常工作過程中，釘釘員工通過線上學(xué)習(xí)平臺和線下專題分享的方式自主選擇參加感興趣的技能培訓(xùn)，同時(shí)定期接受組織的強(qiáng)制性安全意識培訓(xùn)和考試，考試成績和認(rèn)證通過情況在平臺上進(jìn)行留存和管理。員工調(diào)崗離職時(shí)，HR 和部門主管共同確定崗位應(yīng)回收的信息資產(chǎn)、關(guān)閉應(yīng)用權(quán)限，對于關(guān)鍵崗位員工還需視情況簽署競業(yè)協(xié)議并開展離職審計(jì)；對于違反安全管理要求的員工，依據(jù)員工紀(jì)律條款和約定進(jìn)行處理。2.3社會責(zé)任中國有 4300 萬中小企業(yè)組織，目前市場上的軟件服務(wù)企業(yè)只為大約 10 萬家大型企業(yè)服務(wù)，而小型企業(yè)分散，平均生存周期約 2 年，社會資源為一家中小企業(yè)服務(wù)的

10、投入往往是沒有性價(jià)比的，因此如果能聚合廣大中小企業(yè)的共性需求， 打造一個(gè)公平，透明，高效的生態(tài)共享平臺，那么所有企業(yè)將在社會資源利用、 企業(yè)辦公協(xié)同等多個(gè)維度都在同一條起跑線上出發(fā)。為實(shí)現(xiàn)大企業(yè)和中小企業(yè)之間社會資源平等，秉承阿里巴巴服務(wù)中小企業(yè)， 讓天下沒有難做的生意的使命，釘釘通過“簡單、高效、安全、快樂”的方式為中小企業(yè)提供企業(yè)協(xié)同辦公服務(wù)，這也是釘釘?shù)漠a(chǎn)品初衷和社會責(zé)任。3 全鏈路安全防護(hù)在阿里巴巴集團(tuán)安全部“輕管控、重檢測、快響應(yīng)”的九字方針的指導(dǎo)下， 釘釘在客戶端，包括 PC 端和移動端以及傳輸管道、服務(wù)端等多個(gè)維度完整復(fù)制了阿里巴巴集團(tuán)各項(xiàng)成熟的、經(jīng)過多年驗(yàn)證的安全控制措施，建立

11、了完整的事前動態(tài)管控、事中實(shí)時(shí)防御、事后快速響應(yīng)的縱深防御體系，確保釘釘用戶使用安全。3.1客戶端安全釘釘通過應(yīng)用完整性、環(huán)境可信性、數(shù)據(jù)機(jī)密性以及賬號安全風(fēng)控等四個(gè)維度的強(qiáng)化加固，有效保障了釘釘客戶端安全。3.1.1 應(yīng)用完整性釘釘 APP 基于阿里聚安全的核心技術(shù)，在應(yīng)用發(fā)布前，通過重新編譯、加殼保護(hù)、修改指令調(diào)用順序等安全加固措施以及自主研發(fā)的安全組件接入，快速復(fù)制了淘寶、支付寶等超級 APP 的移動安全保護(hù)能力，極大保障了釘釘客戶端安全。3.1.2 環(huán)境可信性釘釘 APP 通過模擬器檢測、越獄和 ROOT 檢測、防惡意調(diào)試及進(jìn)程注入檢測等安全措施對應(yīng)用運(yùn)行環(huán)境提供了安全保障。模擬器運(yùn)行

12、檢測：釘釘 APP 在每次程序喚醒時(shí)可檢測應(yīng)用是否運(yùn)行在模擬器中。越獄和 ROOT 檢測：釘釘 APP 每次程序喚醒時(shí)可檢測終端操作系統(tǒng)是否已經(jīng)被 ROOT。終端進(jìn)程注入檢測：釘釘 APP 運(yùn)行時(shí)，對用戶終端運(yùn)行環(huán)境是否有異常進(jìn)程加載進(jìn)行動態(tài)監(jiān)測。提供應(yīng)用沙箱環(huán)境：釘釘 APP 的進(jìn)程空間和數(shù)據(jù)存儲空間均在安全沙箱內(nèi)完成數(shù)據(jù)加密和解密。病毒檢測：釘釘 APP 提供錢盾病毒查殺功能，用戶可選擇進(jìn)行病毒檢測和查殺。3.1.3 數(shù)據(jù)機(jī)密性釘釘 APP 對緩存在客戶端的數(shù)據(jù)信息，采用安全沙箱和安全加密方案，保障用戶數(shù)據(jù)信息的安全性。針對信息安全要求較高的企業(yè)，提供三方加密服務(wù)， 實(shí)現(xiàn)數(shù)據(jù)信息二次加密。

13、安全加密：釘釘 APP 在客戶端加解密過程中使用隨機(jī)生成的密鑰，并與設(shè)備綁定。破解者即使拿到了用戶手機(jī)上的加密數(shù)據(jù)，在自己的手機(jī)上也無法完成解密操作，極大的保證了存儲在客戶端本地的數(shù)據(jù)安全。安全沙箱：釘釘 APP 在客戶端的整個(gè)加解密過程均在安全沙箱中完成，對外不暴露任何密鑰和加密算法。安全簽名：基于 HMAC_SHA1 算法和指定密鑰對數(shù)據(jù)進(jìn)行加簽，在傳輸數(shù)據(jù)時(shí)，可以利用加簽的結(jié)果對傳輸數(shù)據(jù)進(jìn)行安全校驗(yàn)。3.1.4 賬號安全風(fēng)控釘釘通過阿里巴巴自建的賬號安全風(fēng)控體系，實(shí)現(xiàn)賬號和設(shè)備風(fēng)險(xiǎn)打標(biāo)，一旦檢測到非可信設(shè)備登陸立即觸發(fā)雙因子驗(yàn)證。同時(shí)，通過賬號監(jiān)測平臺，對同設(shè)備批量登錄等異常行為進(jìn)行檢測

14、、告警，并通過一鍵配置黑名單實(shí)現(xiàn)迅速處理。除已有的賬號安全風(fēng)控體系外，釘釘還提供其他擴(kuò)展的賬號安全控制措施， 如雙因子驗(yàn)證(2FA)、生物特征識別、同事關(guān)系識別等方式，為用戶賬號提供更 多維度的安全保障。3.2傳輸安全基于 SSL/TLS 協(xié)議，釘釘構(gòu)建了一套完整的私有安全通信協(xié)議 LWS。通過這種私有安全通信協(xié)議，實(shí)現(xiàn)釘釘端到端的通信鏈路加密、簽名，防止竊聽、篡改，以確保數(shù)據(jù)信息的傳輸安全。3.3服務(wù)端安全3.3.1 應(yīng)用安全阿里巴巴面向互聯(lián)網(wǎng)的應(yīng)用每天至少面臨數(shù)百萬次攻擊，基于每一次安全響應(yīng)經(jīng)驗(yàn)的積累，參考業(yè)界 SDL 實(shí)踐經(jīng)驗(yàn)，阿里巴巴安全部已形成一套規(guī)范的應(yīng)用安全開發(fā)生命周期管理體系，

15、并全面覆蓋釘釘所有業(yè)務(wù)。釘釘 SDL 流程圖在人員培訓(xùn)環(huán)節(jié)，安全工程師通過線上平臺和線下安全課堂的方式，為開發(fā)人員提供安全開發(fā)規(guī)范、安全技能培訓(xùn)，提高開發(fā)人員的安全意識；在安全需分環(huán)節(jié)，根據(jù)功能需求文檔進(jìn)行安全需求分析，針對業(yè)務(wù)場景、業(yè)務(wù)流程、技術(shù)框架進(jìn)行溝通，形成安全需求分析建議；在安全開發(fā)環(huán)節(jié)，開發(fā)工程師必須安裝阿里巴巴自研的 IDEA 插件，實(shí)現(xiàn)編碼規(guī)范性和安全性實(shí)時(shí)檢測和提醒，確保代碼編寫符合阿里巴巴 Java 開發(fā)手冊和相關(guān)安全編碼規(guī)約要求；在安全測試環(huán)節(jié)，通過自主研發(fā)的掃描工具進(jìn)行黑白盒掃描，并結(jié)合人工審核評估代碼缺陷和漏洞，降低各個(gè)階段來自人員知識技能、業(yè)務(wù)場景邏輯所帶來的安全風(fēng)

16、險(xiǎn)；在項(xiàng)目發(fā)布環(huán)節(jié)，安全工程師必須對應(yīng)用系統(tǒng)進(jìn)行一系列的上線前安全檢查， 包括代碼 review，黑白盒測試，檢查相關(guān)的測試結(jié)果并確保發(fā)現(xiàn)的問題都被處理完畢之后才可上線。在安全運(yùn)營與應(yīng)急響應(yīng)階段，安全工程師通過 SOC 安全運(yùn)營平臺實(shí)現(xiàn)安全事件分析、處置、復(fù)盤和跟蹤。另外，基于 SDL 各階段數(shù)據(jù)沉淀，釘釘建立了應(yīng)用安全量化分析模型和監(jiān)控體系，形成各條產(chǎn)品線的安全開發(fā)度量地圖和基于項(xiàng)目組、項(xiàng)目成員在每個(gè)階段的行為畫像，一旦發(fā)現(xiàn)異常行為（如未執(zhí)行白盒掃描、違規(guī)帶高危 bug 發(fā)布、未通過安全培訓(xùn)上崗編碼等），及時(shí)告警從而監(jiān)督相關(guān)人員進(jìn)行整改，最終實(shí)現(xiàn)需求人員理解安全、開發(fā)人員知道安全、測試人員懂

17、得安全、安全人員可以管理安全的目標(biāo)，從而提高業(yè)務(wù)系統(tǒng)安全編碼質(zhì)量，保障應(yīng)用安全穩(wěn)定運(yùn)行。3.3.2 數(shù)據(jù)庫安全阿里巴巴通過對 mysql 的定制優(yōu)化形成 Alisql，在大幅提高性能的同時(shí)，還按需進(jìn)行功能定制和服務(wù)裁剪，為釘釘?shù)臄?shù)據(jù)庫穩(wěn)定運(yùn)行提高了強(qiáng)大的支持。同時(shí)，為安全便捷的對數(shù)據(jù)庫進(jìn)行統(tǒng)一操作管理，阿里巴巴自主研發(fā)了一套數(shù)據(jù)庫管理平臺 iDB，實(shí)現(xiàn)數(shù)據(jù)庫統(tǒng)一認(rèn)證、權(quán)限管理、數(shù)據(jù)變更、庫表同步以及操作安全審核，確保每一條 SQL 語句都符安全要求和性能規(guī)范。此外，阿里巴巴自主研發(fā)的 CloudDBA 產(chǎn)品為釘釘提供系統(tǒng)化、專業(yè)化的數(shù)據(jù)庫診斷優(yōu)化能力，可輕松對數(shù)據(jù)庫實(shí)例進(jìn)行一鍵全面診斷，包括資

18、源使用、慢 SQL、會話/事務(wù)，鎖，空間，配置，安全等，并給出詳細(xì)診斷報(bào)告和優(yōu)化建議。3.3.3 中間件安全釘釘服務(wù)端使用的中間件，采用分布式權(quán)限系統(tǒng)進(jìn)行身份識別和訪問控制， 有效保護(hù)數(shù)據(jù)源、消息等敏感信息的保密性。3.4基礎(chǔ)設(shè)施安全3.4.1 物理安全在物理環(huán)境管理方面，溫度、濕度、電力、消防等物理環(huán)境安全是數(shù)據(jù)中心安全可靠運(yùn)行的必要前提。因此釘釘業(yè)務(wù)所在數(shù)據(jù)中心嚴(yán)格按照電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范（GB50174）、電信專用房屋設(shè)計(jì)規(guī)范（YD5003-2014）的A 類要求進(jìn)行選址、建設(shè)或租賃，確?？照{(diào)、電力和消防等系統(tǒng)均采用智能化、高穩(wěn)定性、全冗余設(shè)計(jì)，在任意單點(diǎn)設(shè)備故障或異常事件情況下，均能

19、自動觸發(fā)告警并進(jìn)行快速響應(yīng)。在訪問控制管理方面，進(jìn)入數(shù)據(jù)中心必須提出申請，并提供個(gè)人身份信息證明，經(jīng)過授權(quán)后方可進(jìn)入機(jī)房，進(jìn)入前需由安保人員查驗(yàn)證件和登記，且值班人員全程陪同。數(shù)據(jù)中心內(nèi)部根據(jù)業(yè)務(wù)重要性和功能劃分不同安全區(qū)域，不同區(qū)域之間擁有獨(dú)立的門禁系統(tǒng)，重要區(qū)域采用指紋等雙因素認(rèn)證，特定區(qū)域采用鐵籠進(jìn)行物理隔離。在物理監(jiān)控巡檢層面，阿里巴巴設(shè)立 GOC (Global Operations Center)， 實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)中心物理環(huán)境、設(shè)備運(yùn)行、流量分布等狀態(tài)，實(shí)現(xiàn)運(yùn)營指標(biāo)數(shù)字化、運(yùn)營流程自動化，運(yùn)營響應(yīng)智能化，打造高效準(zhǔn)確的故障處置能力。此外還采用專業(yè)團(tuán)隊(duì) 7*24 小時(shí)值班，線上業(yè)務(wù)定時(shí)

20、自動巡檢和定期人工檢查,有效發(fā)現(xiàn)異常報(bào)警信息，及時(shí)、準(zhǔn)確地通知處理人，跟蹤處理進(jìn)度，并定期 進(jìn)行復(fù)盤總結(jié)，直到最后解決。在運(yùn)營安全管理層面，IDC 管理團(tuán)隊(duì)為數(shù)據(jù)中心建立物理安全指引和操作安全管理規(guī)程，梳理物理安全檢查基線和資產(chǎn)安全檢查基線，定期開展安全審計(jì)， 及時(shí)盤點(diǎn)現(xiàn)有管理措施的合理性、執(zhí)行的有效性，并持續(xù)改進(jìn)。3.4.2 網(wǎng)絡(luò)安全阿里巴巴集團(tuán)整體網(wǎng)絡(luò)主要分為 ABTN 和 ACTN，其中 ABTN 由各地?cái)?shù)據(jù)中心出口路由器與各大運(yùn)營商互聯(lián)，并通過 BGP 協(xié)議建立冗余、擴(kuò)展的廣域網(wǎng)絡(luò)；ACTN 是阿里巴巴集團(tuán)為各地?cái)?shù)據(jù)中心運(yùn)營管理、數(shù)據(jù)同步交互而建立的內(nèi)部網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)用戶訪問請求流經(jīng)外部

21、骨干網(wǎng)，經(jīng)過異常流量清洗平臺監(jiān)測管控，實(shí)現(xiàn)四層到七層的 DDOS 防御、機(jī)器行為和 Web 攻擊流量的清洗后，訪問數(shù)據(jù)流到達(dá)目標(biāo)服務(wù)器，從而提高業(yè)務(wù)訪問的可靠性和純凈度。在每個(gè)數(shù)據(jù)中心內(nèi)部，建立統(tǒng)一標(biāo)準(zhǔn)化的網(wǎng)絡(luò)拓?fù)洌澐植煌踩珔^(qū)域， 依據(jù)每個(gè)區(qū)域承載業(yè)務(wù)的重要程度，又劃分多個(gè)安全級別，不同級別區(qū)域之間部署嚴(yán)格的訪問控制和路由策略，同時(shí)通過流量分光鏡像和 flow 采樣，實(shí)現(xiàn)流量DPI/DFI 分析和監(jiān)控，有效識別異常行為。3.4.3 主機(jī)安全為加強(qiáng)釘釘業(yè)務(wù)主機(jī)系統(tǒng)安全管理，遵循阿里巴巴集團(tuán)“九字方針”要求， 在管控機(jī)制上，阿里巴巴集團(tuán)定制優(yōu)化 docker、Nginx 等系統(tǒng)組件，裁剪不必

22、要的服務(wù)、最小化開啟業(yè)務(wù)所需的服務(wù)和端口，統(tǒng)一配置模板，從源頭加強(qiáng)自主管控，降低漏洞發(fā)生的可能性。在訪問管理時(shí)，通過 SSO 集成 AD 域和阿里安全客戶端的 OTP 實(shí)現(xiàn)主機(jī)登錄雙因素驗(yàn)證鑒權(quán)，同時(shí)利用網(wǎng)絡(luò)層訪問控制策略和虛擬安全訪問組實(shí)現(xiàn)基于 IP 地址和端口的安全控制，并通過自動化的訪問控制策略 review 工具每天檢查策略合規(guī)情況，一旦發(fā)現(xiàn)違規(guī)開放端口信息，立即通過短信、郵件、釘釘消息進(jìn)行告警，確保相關(guān)人員迅速處理。在事中檢測機(jī)制上，通過主機(jī)部署入侵檢測 agent，實(shí)現(xiàn)系統(tǒng)異常進(jìn)程、主動外連、后門程序、暴力破解、系統(tǒng)權(quán)限提升等異常行為的風(fēng)險(xiǎn)監(jiān)測；操作通過堡壘機(jī)的運(yùn)維監(jiān)控以及目標(biāo)主機(jī)

23、日志審計(jì)，實(shí)現(xiàn)多粒度的安全分析，及時(shí)發(fā)現(xiàn)可能存在的風(fēng)險(xiǎn)；另外定期通過鏡像漏洞掃描工具直接掃描軟件倉庫，確保系統(tǒng)組件安全穩(wěn)定；每天通過基線掃描工具，自動化實(shí)現(xiàn)系統(tǒng)服務(wù)、端口進(jìn)程、軟件包、流量等基線指紋探測識別，及時(shí)發(fā)現(xiàn)可能存在的異常行為。同時(shí)在 APT 對抗上， 自研 agent 覆蓋辦公終端和生產(chǎn)服務(wù)器等服務(wù)深度集成，保證全天候、無死角的異常行為收集，并通過云端多款國際領(lǐng)先的殺毒軟件，結(jié)合業(yè)務(wù)場景和多監(jiān)測引擎的綜合評分機(jī)制，有效降低漏報(bào)誤報(bào)，提供業(yè)內(nèi)領(lǐng)先的 APT 檢測服務(wù)。在事后響應(yīng)機(jī)制上，利用不斷迭代的安全算法模型，計(jì)算釘釘業(yè)務(wù)云、管、端的異常行為分布以及入侵特征，反哺優(yōu)化防御策略，實(shí)現(xiàn)已

24、知漏洞一鍵止血、未知漏洞快速響應(yīng)、惡意文件云端查殺、系統(tǒng)補(bǔ)丁使用 ksplice 實(shí)現(xiàn)快速灰度驗(yàn)證和更新。3.5數(shù)據(jù)安全釘釘以數(shù)據(jù)安全為愿景，嚴(yán)格遵循 DSMM 的各項(xiàng)安全要求，在數(shù)據(jù)生命周期各階段如數(shù)據(jù)產(chǎn)生、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)傳輸、數(shù)據(jù)共享、數(shù)據(jù)銷毀等 都無縫嵌入阿里巴巴集團(tuán)各項(xiàng)成熟的安全控制措施，確保用戶數(shù)據(jù)的機(jī)密性、完整性、可靠性。3.5.1 數(shù)據(jù)產(chǎn)生釘釘制定數(shù)據(jù)安全策略規(guī)范，按照數(shù)據(jù)類型、敏感程度、數(shù)據(jù)價(jià)值等相關(guān)屬性明確數(shù)據(jù)分類分級標(biāo)準(zhǔn)。在數(shù)據(jù)產(chǎn)生時(shí)，統(tǒng)一對數(shù)據(jù)進(jìn)行分類分級打標(biāo)，確保業(yè)務(wù)流轉(zhuǎn)過程中，所有數(shù)據(jù)按照策略規(guī)范要求實(shí)施分類管控、分級授權(quán)。3.5.2 數(shù)據(jù)傳輸釘釘面向互聯(lián)網(wǎng)

25、的應(yīng)用，必須接入統(tǒng)一應(yīng)用網(wǎng)關(guān)，實(shí)現(xiàn) TLS 加密以及證書統(tǒng)一管理，保障全站 https 安全訪問；面向內(nèi)部涉及簽名認(rèn)證或加密類業(yè)務(wù)，必須統(tǒng)一接入加密機(jī)，數(shù)據(jù)交互通過加密機(jī) API 實(shí)現(xiàn)不同應(yīng)用的簽名、認(rèn)證和加密，避免密鑰離開加密機(jī)的同時(shí)，保障數(shù)據(jù)機(jī)密性、完整性、可用性和不可否認(rèn)性。3.5.3 數(shù)據(jù)使用在釘釘前端應(yīng)用層面，涉敏頁面全部數(shù)字水印處理，敏感信息已默認(rèn)打點(diǎn)隱藏；在服務(wù)端應(yīng)用層面，必須統(tǒng)一接入權(quán)限管理系統(tǒng)，訪問主體必須根據(jù)權(quán)限、角色和風(fēng)險(xiǎn)級別按需申請，并詳細(xì)說明訪問內(nèi)容、訪問理由、訪問時(shí)長等相關(guān)信息，獲得的訪問權(quán)限定期復(fù)核，離職轉(zhuǎn)崗后權(quán)限自動關(guān)閉；在數(shù)據(jù)庫操作層面， 增刪改查的操作命令全

26、程監(jiān)控，操作日志集中存儲，操作流量實(shí)時(shí)分析，一旦發(fā)現(xiàn)高危 sql 語句、批量違規(guī)操作、危險(xiǎn)時(shí)段異常操作等違背安全管理要求的行為， 及時(shí)告警并可實(shí)時(shí)在線攔截。3.5.4 數(shù)據(jù)存儲客戶端，用戶聊天信息（包括消息文本、圖片、音視頻和其他文件）采用高強(qiáng)度的對稱密鑰算法 AES-256-GCM 實(shí)施整庫加密保護(hù)，并根據(jù)用戶可信設(shè)備信息生成唯一的密鑰，保護(hù)存儲在客戶端的敏感數(shù)據(jù)不被攻擊者非法獲取，同時(shí)企業(yè)可按需設(shè)置用戶聊天信息自動銷毀，確保本地?cái)?shù)據(jù)的機(jī)密性。服務(wù)端每個(gè)應(yīng)用采用獨(dú)立密鑰，通過高強(qiáng)度對稱密鑰算法 AES-256-GCM 加密數(shù)據(jù)，且每個(gè)企業(yè)密鑰各不相同，由硬件加密系統(tǒng)統(tǒng)一管理，保證了服務(wù)端數(shù)據(jù)

27、存儲的安全性。3.5.5 數(shù)據(jù)共享在對外數(shù)據(jù)開放共享方面，釘釘嚴(yán)格遵循網(wǎng)絡(luò)安全法要求，以用戶隱私信息保護(hù)為首要前提，制定對外數(shù)據(jù)披露細(xì)則，明確要求所有對外數(shù)據(jù)輸出必須遵循以下原則：保護(hù)用戶隱私：涉及用戶隱私數(shù)據(jù)未經(jīng)客戶的充分授權(quán)，不得收集、分析或向任何第三方輸出。必要性和最小化：對外數(shù)據(jù)輸出時(shí)必須將數(shù)據(jù)的范圍、數(shù)量及知情者控制在最小范圍內(nèi)，因法律法規(guī)要求需向公眾公平公開輸出數(shù)據(jù)的情況除外。合規(guī)性：對外數(shù)據(jù)合作必須遵循適用于阿里巴巴集團(tuán)的法律、法規(guī)、政策、行業(yè)標(biāo)準(zhǔn)等要求。3.5.6 數(shù)據(jù)銷毀釘釘使用的信息處理設(shè)施，存儲介質(zhì)出數(shù)據(jù)中心前遵照 DoD 5220.22-M、NIST 800-88 標(biāo)準(zhǔn)

28、進(jìn)行清除數(shù)據(jù)、磁盤消磁以及物理銷毀，避免數(shù)據(jù)泄露風(fēng)險(xiǎn)。3.5.7 數(shù)據(jù)安全審計(jì)在數(shù)據(jù)生命周期，釘釘建立了全鏈路風(fēng)險(xiǎn)檢測感知體系，通過語境分析、行為過濾和專家運(yùn)營，實(shí)時(shí)檢測分析異常數(shù)據(jù)訪問記錄。如登錄失敗、權(quán)限升級、非法訪問、敏感數(shù)據(jù)下載等，一旦發(fā)現(xiàn)異常行為及時(shí)告警，確保違規(guī)操作有跡可循。3.6安全運(yùn)營3.6.1 反入侵釘釘業(yè)務(wù)每天都產(chǎn)生海量的日志數(shù)據(jù)，包括終端行為日志、網(wǎng)絡(luò)安全日志、系統(tǒng)運(yùn)行及入侵檢測日志、WAF 防護(hù)日志以及網(wǎng)絡(luò)流量、基線檢查等信息。基于這些日志，阿里巴巴通過大數(shù)據(jù)安全分析平臺，借助模式匹配、沙盒分析、機(jī)器學(xué)習(xí)、專家經(jīng)驗(yàn)等規(guī)則，有的放矢提取情境數(shù)據(jù)，建立用戶行為畫像，實(shí)現(xiàn)異常

29、行為數(shù)據(jù)的自動識別、分析和關(guān)聯(lián)，還原攻擊路徑并進(jìn)行全鏈路風(fēng)險(xiǎn)打標(biāo)和綜合評分，精準(zhǔn)有效感知業(yè)務(wù)系統(tǒng)可能存在的風(fēng)險(xiǎn)隱患以及特定的 APT 攻擊，同時(shí)與異常流量清洗平臺聯(lián)動，實(shí)現(xiàn)一鍵處置，保障業(yè)務(wù)系統(tǒng)的安全性和客戶數(shù)據(jù)的隱私性。3.6.2 紅藍(lán)對抗阿里巴巴安全部組建獨(dú)立的攻防演練團(tuán)隊(duì)，以攻擊者視角全面梳理攻擊途徑， 有計(jì)劃性進(jìn)行滲透測試工作；同時(shí)建立攻防演練平臺，內(nèi)置歷史攻擊數(shù)據(jù)、漏洞庫、基礎(chǔ)資產(chǎn)信息和專家經(jīng)驗(yàn)，每日開展攻防一練、每月開展全鏈路演練；另外定期邀請 ASRC 白帽子開展安全眾測。在持續(xù)對抗中，快速、高效、全面的發(fā)現(xiàn)阿里巴巴各類業(yè)務(wù)系統(tǒng)的（包括釘釘）安全漏洞，推進(jìn)業(yè)務(wù)整改的同時(shí)，沉淀攻擊

30、特征，優(yōu)化安全檢測和防護(hù)管控策略，保障業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行。3.6.3 應(yīng)急響應(yīng)阿里巴巴集團(tuán)通過統(tǒng)一的安全事件應(yīng)急管理平臺，實(shí)現(xiàn)安全事件發(fā)現(xiàn)、處置、溯源、復(fù)盤等閉環(huán)管理并持續(xù)運(yùn)營，全面提升突發(fā)安全事件的應(yīng)急管理水平，確保業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行。在安全事件發(fā)現(xiàn)階段，該平臺通過 OpenAPI 與黑白盒掃描產(chǎn)品以及威脅情報(bào)系統(tǒng)、ASRC 等平臺打通，并與資產(chǎn)管理系統(tǒng)進(jìn)行關(guān)聯(lián)，實(shí)時(shí)收集安全事件相關(guān)域名、IP 信息，根據(jù)這些信息自動將事件詳情流轉(zhuǎn)至相關(guān)安全應(yīng)急響應(yīng)專家。在安全事件處置階段，安全應(yīng)急響應(yīng)專家 7x24 小時(shí)實(shí)時(shí)響應(yīng)，一旦收到短信、郵件、釘釘消息提醒后，在規(guī)定時(shí)間內(nèi)，確認(rèn)安全事件是否誤報(bào)、影

31、響范圍、風(fēng)險(xiǎn)等級等信息。如確認(rèn)誤報(bào)，終止流程；如確認(rèn)是已知類型安全事件，關(guān)聯(lián)已 有解決方案并將流程轉(zhuǎn)至事件受影響業(yè)務(wù)的開發(fā)和運(yùn)維工程師。如確認(rèn)是未知類型安全事件，安全應(yīng)急響應(yīng)專家協(xié)調(diào)安全研究、產(chǎn)品防御、攻防對抗人員提取事件特征，制定臨時(shí)止血措施，同時(shí)加強(qiáng)流量和行為監(jiān)控，明確安全解決方案，并 協(xié)助業(yè)務(wù)方進(jìn)行整改。在安全事件溯源階段，溯源取證團(tuán)隊(duì)將按需收集受影響的業(yè)務(wù)端、管、云的活動日志，并進(jìn)行綜合分析，全面還原安全事件發(fā)生過程，并進(jìn)行針對性的整改加固，如有需要還將配合公檢法部門進(jìn)行立案處理。在安全事件復(fù)盤階段，安全事件應(yīng)急管理平臺運(yùn)營人員根據(jù)事件類型、事件排名、業(yè)務(wù)分布等信息，定期組織人員進(jìn)行復(fù)

32、盤，總結(jié)分析事件根本原因，以針對性提升事前管控、事中檢測機(jī)制和流程。4 生態(tài)安全4.1生態(tài)閉環(huán)釘釘通過安全端容器、私有安全加密通道、安全云容器、為 ISV 提供高效、彈性、安全的一體化解決方案，在保障訪問速度的同時(shí)，大幅提高微應(yīng)用穩(wěn)定性， 并有效防止劫持。釘釘微應(yīng)用業(yè)務(wù)拓?fù)鋱D同時(shí)針對應(yīng)用市場存在的高危業(yè)務(wù)風(fēng)險(xiǎn)，如數(shù)據(jù)泄漏、暴力下線等，釘釘通過專項(xiàng)治理和持續(xù)監(jiān)測審計(jì)，不斷健全端、管、云的安全方案，持續(xù)加強(qiáng) ISV 的安全管控，保障用戶數(shù)據(jù)不被泄漏以及 ISV 提供的應(yīng)用安全、穩(wěn)定、高效。4.2安全賦能釘釘生態(tài)安全建立了第三方應(yīng)用上線審核流程及標(biāo)準(zhǔn)，通過發(fā)布 ISV 準(zhǔn)入要求以及 PHP、JAVA

33、、H5 等安全開發(fā)規(guī)范，以共建合作的方式為第三方 ISV 以及企業(yè)開發(fā)者建立和培養(yǎng)安全梯隊(duì)，為釘釘應(yīng)用市場開發(fā)者及企業(yè)提供安全保障能力。4.3應(yīng)用監(jiān)管微應(yīng)用在應(yīng)用市場上線前，開發(fā)者需提交安全測試報(bào)告，經(jīng)過釘釘安全專家審核并驗(yàn)收通過后，才允許應(yīng)用上架。微應(yīng)用上架后，開發(fā)者按照釘釘?shù)囊?guī)范要求，授權(quán)釘釘安全專家進(jìn)行安全評估，符合規(guī)范要求的微應(yīng)用將在釘釘應(yīng)用市場獲得安全認(rèn)證的標(biāo)簽。此外，針對第三方開發(fā)者上線的微應(yīng)用，釘釘通過應(yīng)用市場異常監(jiān)控和安全掃描，及時(shí)發(fā)現(xiàn)可能存在安全漏洞、違規(guī)違禁的微應(yīng)用，打造一個(gè)綠色、可信的釘釘開放平臺。5 安全合規(guī)5.1體系建設(shè)根據(jù)中華人民共和國網(wǎng)絡(luò)安全法要求，參考 ISO2

34、7001、ISO27018、PCIDSS、SOC 2/3、GDPR、TrustE 以及信息安全等級保護(hù)等國內(nèi)外標(biāo)準(zhǔn)和最佳實(shí)踐，結(jié)合阿里巴巴集團(tuán)多年互聯(lián)網(wǎng)安全工作經(jīng)驗(yàn)，釘釘建立了覆蓋安全策略方針、組織及人員安全、研發(fā)安全、運(yùn)行安全、外包安全以及信息安全的業(yè)務(wù)連 續(xù)性和合規(guī)審計(jì)等十四個(gè)控制域的安全體系。每個(gè)控制域建立了規(guī)范的四級文檔架構(gòu)和可配置的度量體系，所有安全流程基本實(shí)現(xiàn)線上化，過程數(shù)據(jù)指標(biāo)化，運(yùn)營度量平臺化，全面覆蓋釘釘各項(xiàng)安全控制措施，有效保障釘釘安全、穩(wěn)定、合 規(guī)。5.2擁抱監(jiān)管在阿里巴巴集團(tuán)安全部的“九字方針”指導(dǎo)下，釘釘積極開展安全合規(guī)認(rèn)證工作，截止目前，先后獲得并通過如下認(rèn)證審核:信息安全等級保護(hù)：信息安全等級保護(hù)是由公安部監(jiān)制，由屬地公安機(jī)關(guān)認(rèn) 可并頒發(fā)的國家級信息系統(tǒng)等級認(rèn)證。在 2016 年度，公安部組織多支國家隊(duì)伍對釘釘信息系統(tǒng)進(jìn)行等級測評、風(fēng)險(xiǎn)評估和滲透測試，評估結(jié)果在經(jīng)過多位院士和行業(yè)安全專家評審后，確定釘釘信息系統(tǒng)安全等級為“三級”，釘釘安全控制 措施符合國家要求。ISO/IEC 27001: ISO27001:2013 信息安全管理體系是世界應(yīng)用最廣泛的信息