去年,某電商企業(yè)通過短信向客戶發(fā)送訂單更新、促銷活動和安全驗證信息。由于缺乏有效的數(shù)據(jù)安全措施,該企業(yè)遭受了一次重大的數(shù)據(jù)泄露事件。攻擊者利用安全漏洞,竊取了大量客戶的個人信息和交易數(shù)據(jù)。這次事件不僅導致企業(yè)面臨巨額罰款和法律訴訟,還嚴重損害了用戶信任,導致股價和品牌聲譽均遭受重創(chuàng)。
數(shù)字化時代,數(shù)據(jù)安全已成為企業(yè)的生命線。尤其對于依賴短信服務(wù)進行用戶觸達和會員運營的企業(yè)來說,任何數(shù)據(jù)泄露事件都可能導致災(zāi)難性的后果。
為了應(yīng)對短信服務(wù)的數(shù)據(jù)安全挑戰(zhàn),為客戶提供安全可信的通信服務(wù),阿里云通信將阿里云的數(shù)據(jù)安全能力、日常與“黑灰產(chǎn)”對抗過程中的經(jīng)驗充分結(jié)合,制定了多項舉措。
01 依托阿里云強大技術(shù)能力,覆蓋客戶數(shù)據(jù)的整個生命周期
用戶的云上數(shù)據(jù)安全,是用戶的生命線,也是云上安全能力的一個最重要具象表現(xiàn)。早在 2015 年 7 月,阿里云就發(fā)起了中國云計算服務(wù)商“數(shù)據(jù)保護倡議”。阿里云數(shù)據(jù)安全能力能夠幫助用戶防止數(shù)據(jù)泄露,并滿足個人信息保護、等級保護 2.0 等合規(guī)要求。阿里云通信對客戶數(shù)據(jù)的整個生命周期管理有嚴格的要求,并配合先進的技術(shù)手段以保障客戶數(shù)據(jù)的安全。
1.數(shù)據(jù)采集安全
數(shù)據(jù)采集安全指的是在數(shù)據(jù)創(chuàng)建的源頭就保障數(shù)據(jù)的識別和分類分級在第一時間能夠完成,這樣才能保證后續(xù)對云上數(shù)據(jù)的保護做到有的放矢。良好的數(shù)據(jù)分類分級能夠保障后續(xù)的安全保護準確性和效率。
其中:
第一步是對數(shù)據(jù)中的敏感信息,如個人驗證信息(PII),進行發(fā)現(xiàn)和檢測。
第二步是針對數(shù)據(jù)中的敏感信息,根據(jù)用戶的使用場景,合規(guī)需求和安全要求,對數(shù)據(jù)進行分類分級,從而達到自知數(shù)據(jù)資產(chǎn),并后續(xù)進行針對性保護的作用。
2.數(shù)據(jù)傳輸安全
數(shù)據(jù)傳輸安全是通過數(shù)據(jù)傳輸鏈路加密來保障的。傳輸加密是指云產(chǎn)品為用戶訪問(包括讀取和上傳)數(shù)據(jù)提供了 SSL/TLS 協(xié)議來保證數(shù)據(jù)傳輸?shù)陌踩?/p>
同時,阿里云的網(wǎng)關(guān)產(chǎn)品也提供傳輸鏈路的加密功能。VPN 網(wǎng)關(guān)(VPN Gateway)服務(wù),可通過傳輸鏈路加密通道將企業(yè)本地 IDC 和阿里云 VPC 安全可靠的連接起來。阿里云的證書服務(wù)(Alibaba Cloud Certificates Service),可以在云上簽發(fā)第三方知名 CA 證書頒發(fā)機構(gòu)的 SSL 證書,幫助用戶實現(xiàn)其網(wǎng)站 HTTPS 化,使網(wǎng)站可信,防劫持、防篡改、防監(jiān)聽。
3.數(shù)據(jù)存儲安全
數(shù)據(jù)存儲安全主要是通過數(shù)據(jù)落盤加密來保障的。阿里云提供云產(chǎn)品落盤存儲加密能力給用戶,并統(tǒng)一使用阿里云密鑰管理服務(wù)(Key Management Service,簡稱 KMS)進行密鑰管理。阿里云的存儲加密提供 256 位密鑰的存儲加密強度(AES256),滿足敏感數(shù)據(jù)的加密存儲需求。
4.數(shù)據(jù)處理安全
數(shù)據(jù)處理安全主要體現(xiàn)在數(shù)據(jù)在使用中需要進行有效的隔離保護。隔離手段可以是用戶側(cè)通過使用加密計算環(huán)境實現(xiàn)隔離,可以通過各個產(chǎn)品中的權(quán)限管控等隔離手段實現(xiàn),也可以通過在數(shù)據(jù)分類分級基礎(chǔ)上的對數(shù)據(jù)脫敏使得未授權(quán)用戶不得獲取相關(guān)敏感信息來實現(xiàn)數(shù)據(jù)的隔離保護需求。
5.數(shù)據(jù)銷毀安全
阿里云在終止為云服務(wù)客戶提供服務(wù)時,會及時刪除云服務(wù)客戶數(shù)據(jù)資產(chǎn)或根據(jù)相關(guān)協(xié)議要求返還其數(shù)據(jù)資產(chǎn)。阿里云數(shù)據(jù)清除技術(shù)滿足行業(yè)標準,清除操作留有完整記錄,確??蛻魯?shù)據(jù)不被未授權(quán)訪問。
02 阿里云通信保障短信服務(wù)數(shù)據(jù)安全
針對短信服務(wù)的數(shù)據(jù)安全風險,阿里云通信作為先進可信的全球云通信服務(wù)商,在安全通信網(wǎng)絡(luò)、通信傳輸安全、內(nèi)容數(shù)據(jù)完整性和內(nèi)容數(shù)據(jù)保密4個層面具備了較強的技術(shù)優(yōu)勢,以從底層保障。同時,根據(jù)多年的業(yè)務(wù)經(jīng)驗積累,加強供應(yīng)鏈管理。
1)安全通信網(wǎng)絡(luò)
阿里云通信系統(tǒng)部署在公共云基礎(chǔ)服務(wù)平臺上,采用IaaS服務(wù)模式,其通信傳輸、安全防護等能力通過云平臺提供相關(guān)設(shè)備及服務(wù)實現(xiàn)。云平臺的網(wǎng)絡(luò)出口使用移動、聯(lián)通和電信三條線路接入互聯(lián)網(wǎng),網(wǎng)絡(luò)鏈路帶寬高峰期使用率滿足業(yè)務(wù)需求;網(wǎng)絡(luò)內(nèi)部通過VPC進行了區(qū)域劃分,并在VPC內(nèi)為網(wǎng)絡(luò)分配IP地址;網(wǎng)絡(luò)架構(gòu)整體采用冗余技術(shù)設(shè)計,關(guān)鍵節(jié)點設(shè)備及通訊鏈路采用冗余的方式部署。
2)通信傳輸安全
在數(shù)據(jù)通信過程中,外部通信各站點業(yè)務(wù)數(shù)據(jù)提供專線和IPSec VPN連接,內(nèi)部通信使用SSL方式保證數(shù)據(jù)的完整性和保密性,客戶使用云通信API發(fā)送短信選擇HTTPS方式調(diào)用
3)內(nèi)容數(shù)據(jù)完整性
系統(tǒng)使用HTTPS及TLS2.0進行通信,采用Etag標簽做完整性校驗,保證了重要業(yè)務(wù)數(shù)據(jù)和重要個人信息在傳輸和存儲過程中的完整性。
4)內(nèi)容數(shù)據(jù)保密
系統(tǒng)使用HTTPS及TLS2.0進行通信,使用SM4、AES密碼技術(shù)對重要數(shù)據(jù)進行加密存儲,保證了重要業(yè)務(wù)數(shù)據(jù)和重要個人信息在傳輸和存儲過程中的保密性。
5)供應(yīng)鏈管理
阿里云通信對供應(yīng)商的要求極為嚴格,總計50余項數(shù)據(jù)系統(tǒng)安全,檢查通過才能正式通過。同時,我們會定期對全鏈數(shù)據(jù)系統(tǒng)安全進行系統(tǒng)+人工巡查,如發(fā)現(xiàn)問題,要求供應(yīng)商整改完成后才能重新使用,最大力度保證數(shù)據(jù)安全。
短信服務(wù)的普及和便捷性使其成為信息傳遞的關(guān)鍵渠道,但同時也使企業(yè)面臨著日益復雜的安全威脅。黑客攻擊、惡意軟件、不合規(guī)的數(shù)據(jù)實踐等都可能成為數(shù)據(jù)泄露的源頭,不僅威脅到客戶的隱私,還可能對企業(yè)的聲譽造成嚴重損害。
未來,阿里云通信將持續(xù)投入,與客戶一同對抗“黑灰產(chǎn)”,守護數(shù)據(jù)安全。
轉(zhuǎn)自:中國網(wǎng)
【版權(quán)及免責聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個人觀點,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀