厦门法网球迷讨论群

即便背靠阿里,钉钉还在为谁处心积虑寻寻觅觅

新沃集团2020-04-27 20:44:15

最近又有一家著名的、很牛的一线投资机构的年轻高层,因为微信聊业务走火涉及私密,且劲爆聊天截图流出,搞成了不小的风波。有趣的是,讲真,两个人对话最开始确实在聊工作,只不过年轻投资人后来跑题了。

 

几个朋友听到这个消息,第一个反应就是后悔没用钉钉说业务吧”?这种情况就用密聊啊!顺带科普,密聊是钉钉的一个比较新的功能,消息已读后会自动销毁,而且头像名字打马赛克,主要就是为了防止截图泄露,可以不留痕迹地高隐私聊天

 

朋友们这么一说就会发现,钉钉产品思路还是很细致的。不过我没想过的就是,看起来钉钉更上心的不止产品,而是另一件事情,可以说是处心积虑”“锲而不舍”——



 最近钉钉发布了成了国内第一家公开全链路安全技术的公司没错,钉钉看起来确实非常看重数据和隐私安全,花了不少精力来做这种看不见的工作,真的可以说为了用户数据安全处心积虑

 

什么是全链路安全技术

 

这次钉钉发布的白皮书公布了用户端服务端数据交互全路径包含从客户端数据传输再到服务端,最后到基础设施整个链路安全技术披露

 

什么要公开这个?钉钉安全负责人罗峰(花名迦卢)自己解释用户数据安全和隐私保护是钉钉的生命线,此次安全白皮书公开全链路安全技术,一方面是向钉钉用户进行全面安全技术披露,让用户深入了解钉钉的安全技术;另一方面,敢于公开全链路安全技术,这在国内属于首家,源于钉钉对于安全方面一贯的超高标准技术自信



标准高不高、有没有资本自信,我们来拆解一下。

 

从白皮书看,在客户端一侧,钉钉通过完整性环境可信性数据机密性账号安全风控等四个维度的强化加固,有效保障客户端安全。

 

信息出发之后,在传输的路上,钉钉研发构建了一套完整的私有安全通信协议 LWS。通过这种私有安全通信协议,实现钉钉端到端的通信链路加密、签名,防止窃听、篡改

 

传输到到服务端也就是数据应用和存储端,其实可以说是最难的一段。面对每天千万次量级的攻击,钉钉基于每一次安全响应经验的积累,沉淀了应用安全开发生命周期管理体系,实现软件自主开发、定制化,通过软件供应链体系保障钉钉应用、数据库、中间件等产品和数据存储安全

 

而这一切都离不开基础设施安全既包括物理安全、网络安全还包括主机安全。说一千道一万,最重要的目的还是数据安全。

 

钉钉在数据生命周期各阶段,如数据产生、数据存储、数据使用、数据传输、数据共享、数据销毁等都无缝嵌入阿里各项成熟的安全控制措施,确保用户数据的机密性、完整性、可靠性。

 

怎么理解呢?钉钉自建自研流量清洗中心比方说在钉钉前端应用层面,涉敏页面全部数字水印处理,敏感信息已默认打点隐藏。而且这种加密是全生命周期的,极其难以破解。据了解,钉钉数据通信全经由SSL/TLS 加密,采用密码界世界领先的椭圆曲线算法,达到银行级别加密水平。这个方法是钉钉在业界最早一批使用



要做到这些离不开阿里安全团队的支撑,钉钉可谓先天条件得天独厚。要说互联网平台安全,我想在中国很难找到比阿里安全部更千锤百炼的了。可以想象做这多年电商,支付宝每天、双11每年那么大的交易量,不得不对战羊毛党、打黑灰产、反欺诈,技术完全是实战练出来的。

 

另一个钉钉非常不一样的点,大概要数拥抱监督的积极态度。不知不觉钉钉已经拿下了安全证书的大满贯。

 

默默拿下大满贯

 

我之前就曾经分析过这个事情。一个企业级社交软件为什么要费心思去拿资质认证呢?并不是说没有拿到资质的其他社交平台都是不安全的。

 

它说明:


第一,这是表明平台的技术自信,没有拿资质的很多确实是因为技术原因;


第二,说明钉钉承诺的都经过了权威第三方double check,所言不虚,之后就不需要无谓的口水仗,毕竟这个资质报告有审计效果;


第三,表明钉钉对用户数据和隐私安全的重视,很多平台可能只在危机公关会想到这个点吧。

 

钉钉的大满贯是什么样的呢?

 

一个是我之前说过的soc2隐私性原则审计可以说是隐私保护权威资质,钉钉是国内首家拿到的据说全世界不超过5


第二个是ISO270012013认证钉钉是国内首家通过的企业级社交产品。ISO27001:2013 信息安全管理体系是世界应用最广泛的信息安全管理标准。通过这个认证建立的钉钉信息安全管理体系覆盖了产品研发、业务运营、安全保障、营销推广等全生命周期,实现钉钉信息安全管理的每一位责任人按照明确的规范、遵守标准的流程并输出有效的过程记录表单


第三个就是ISO/IEC27018:2014是国际标准化协会制定的首个云端隐私保护标准这个标准重点关注数据收集、使用、存储等必须获得用户授权,且用户对其存储的数据具备完全的控制权和合理的透明度等。


第四个是信息系统安全等级保护三级认证三级是国家对非银行机构的最高级认证,属于十分严格据介绍,这个认证、检查,认证需要测评内容涵盖等级保护安全技术要求5个层面和安全管理要求的5个层面,主要包含信息保护、安全审计、通信保密等在内的300项要求共涉及测评分类73


(深圳交警展示钉钉移动警务平台的手机界面)

图片来源自:驱动中国《有警情DING一下,钉钉移动警务平台成全国公安标配》

 

可以说,无论哪一个都不轻松。能拿下大满贯跟钉钉的数据安全双重加密独门绝技是分不开的。

 

一方面钉钉加密国密级。据迦卢介绍,钉钉信息加密是由两道关加密组成,第一道关是AES256以现在的计算能力,把全球所有的计算资源放在一起,AES256破解的时间远远大于宇宙寿命250亿年,也就是说等宇宙结束了,消息也破解不出。现在苹果和亚马逊都是用的这个加密算法。

 


另一方面,钉钉可以第三方加密这意味着再加一把锁,企业和组织拥有唯一密匙钉钉和第三方双重加密

 

业内安全方面专家分析,以前为了保密,比较通用的做法是进行私有化部署。私有化部署看起来安全,但其实隐患很大,一旦设备被物理破坏进入内部网络,安全保障则形同虚设。钉钉的第三方加密则解决了这一问题直接让企业在公有云上享受私有网络的安全

 

一点感慨


不得不说,拿到这四个认证的,确实只有钉钉一家。有人可能会说,钉钉有必要这么做吗?性价比高不高?

 

我觉得一方面用户数据安全是个企业价值观问题,本来就不是讲性价比的地方。看看Facebook扎克伯格今天的困窘就知道了,一旦碰到这个红线,损失不可估量。另一方面,随着钉钉看重安全、看重隐私这件事情深入人心、占据用户心智,品牌价值等等回报是无价的。比方说密聊这种功能,从朋友们的反应来看,看重隐私的设置确实是有用户黏性的。安全技术和安全认证都是个长期回报的战略投入

 

我记得钉钉官方数据称,钉钉已经有超过1亿注册用户,超过500万家企业组织正在使用所以你能说钉钉处心积虑做安全的功课没意义吗?


来源:科技唆麻


版权归原作者所有,我们尊重原作者的知识成果。如有版权异议,可联系本平台,我们会立即处理,欢迎建议、意见、合作、投稿至管理员微信:xujiawen99

本文仅代表作者个人观点,不构成投资意见,并不代表本平台立场。





是一家以综合性金融服务为核心的产业集团公司。注册资本5亿元人民币,下设金融、投资、实业三大业务板块和八家全资平台公司,控股新沃基金等多家金融机构,同时参股数十家企业。投资领域包括金融以及大健康、大消费、TMT等多个实业领域。截至目前,新沃集团投资管理规模270亿元。


·诚信    ·专业    ·合作    ·超越

http://www.sinvocapital.com