PDF《阿里巴巴钉钉安全白皮书 V1.1》

阿里巴巴钉钉安全白皮书 V1.

1 钉钉安全白皮书 V1.1 - I - 目录 前言

1 术语定义.1 一. 组织安全.2 1.1 安全管理委员会.2 1.2 信息安全团队.2 1.3 安全审计团队.3 1.4 物理安全团队.3 二. 合规安全.3 2.1 安全体系.3 2.2 政策合规.3 三. 人员安全.4 3.1 尽职调查.4 3.2 安全生产.4 四. 数据安全.4 4.1 数据分级.4 4.2 数据安全与加密方案.5 4.3 密钥管理中心.5 4.4 数据访问及用户授权第三方应用访问其敏感信息

5 4.5 数据使用与防爬.5 4.6 数据安全审计.5 4.7 数据销毁管理.6 五.应用安全.6 5.1 钉钉 SDL.6 5.2 业务安全.7 5.2.1 账号安全

7 5.2.2 暴力破解&

撞库.7 5.3 钉钉基础与特色安全.7 5.3.1 协议安全

7 5.3.2 企业通讯录

7 5.3.3 企业云盘

8 5.3.4 企业云邮箱

8 5.3.5 特色安全功能

10 六.系统&

网络安全.11 6.1 系统安全.11 6.1.1 系统软件安全配置标准.11 钉钉安全白皮书 V1.1 - II - 6.1.2 系统登录授权访问.11 6.1.3 系统安全检测防御产品.11 6.2 网络安全.12 6.2.1 安全域划分

12 6.2.2 网络访问控制

12 6.2.3 流量劫持

12 6.2.4 DDoS 安全防御.12 七.物理与环境安全.13 7.1. 物理安全.13 7.2. 环境控制.14 八. 灾难恢复与业务连续性.14 8.1 应急与灾备技术.15 8.2 应急与灾难恢复管理.15 钉钉安全白皮书 V1.1 -

1 - 前言 钉钉是阿里巴巴集团自主创新,面向企业级的 SAAS 平台,基于阿里巴巴集团十多年安全技术 研究积累的成果,打造了业界一流的安全保障体系、高可靠的系统实现机制,为企业信息安全提供 全方位的安全保障! 术语定义 SDL:Security Development Lifecycle 的简称,安全开发生命周期;

撞库:撞库是黑客通过收集互联网已泄露的账户和密码信息,生成对应的字典表,尝试批量登陆 网站后,得到一系列可以登录的账户;

DDOS 攻击:分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于 C/S 技术,将多 个计算机联合起来作为攻击平台, 对一个或多个目标发动流量攻击, 造成目标的业务系统无法提供 服务;

钉钉安全白皮书 V1.1 -

2 - 一. 组织安全 钉钉安全团队由安全管理委员会、信息安全、安全审计、物理安全团队组成,通过高效、协同 的工作给广大用户提供稳定、健康、安全的工作环境. 1.1 安全管理委员会 安全管理委员会成员由集团 CRO、安全团队负责人、产品负责人及技术负责人组成,监督并 决策信息安全体系的建设,对钉钉业务整体安全负责. 1.2 信息安全团队 信息安全团队由应用安全、系统&

网络安全、安全开发专家组成,信息安全团队负责产品安全 架构及安全运营工作,是钉钉信息安全体系的建设者,在安全策略、安全开发流程设计、落实及执 行中扮演重要的角色. 1)设计、开发和运营入侵检测、攻击防护产品,提供 7*24 小时安全监控,动态联动防攻击 产品.如: Aliguard DDOS 防御系统、漏洞扫描与检测等;

2)依据数据类别及安全等级,设计访问控制策略,通过技术手段制定隔离措施和访问控制管理 流程;

3) 依据业务系统访问逻辑,审核访问请求,自动化监控可疑活动(例如:数据的非授权访问及 操作)并实时审计,定期复查其执行情况;

4)通过安全解决方案流程,在产品设计阶段,对功能需求进行安全评审,在产品发布前,进 行安全测试以及产品发布后,进行安全回归测试,以保障钉钉业务的安全运营;