去年,某電商企業(yè)通過(guò)短信向客戶發(fā)送訂單更新�����、促銷活動(dòng)和安全驗(yàn)證信息�����。由于缺乏有效的數(shù)據(jù)安全措施,該企業(yè)遭受了一次重大的數(shù)據(jù)泄露事件��。攻擊者利用安全漏洞,竊取了大量客戶的個(gè)人信息和交易數(shù)據(jù)����。這次事件不僅導(dǎo)致企業(yè)面臨巨額罰款和法律訴訟,還嚴(yán)重?fù)p害了用戶信任,導(dǎo)致股價(jià)和品牌聲譽(yù)均遭受重創(chuàng)�����。
數(shù)字化時(shí)代,數(shù)據(jù)安全已成為企業(yè)的生命線。尤其對(duì)于依賴短信服務(wù)進(jìn)行用戶觸達(dá)和會(huì)員運(yùn)營(yíng)的企業(yè)來(lái)說(shuō),任何數(shù)據(jù)泄露事件都可能導(dǎo)致災(zāi)難性的后果�。
為了應(yīng)對(duì)短信服務(wù)的數(shù)據(jù)安全挑戰(zhàn),為客戶提供安全可信的通信服務(wù),阿里云通信將阿里云的數(shù)據(jù)安全能力、日常與“黑灰產(chǎn)”對(duì)抗過(guò)程中的經(jīng)驗(yàn)充分結(jié)合,制定了多項(xiàng)舉措����。
01 依托阿里云強(qiáng)大技術(shù)能力,覆蓋客戶數(shù)據(jù)的整個(gè)生命周期
用戶的云上數(shù)據(jù)安全,是用戶的生命線,也是云上安全能力的一個(gè)最重要具象表現(xiàn)。早在 2015 年 7 月,阿里云就發(fā)起了中國(guó)云計(jì)算服務(wù)商“數(shù)據(jù)保護(hù)倡議”��。阿里云數(shù)據(jù)安全能力能夠幫助用戶防止數(shù)據(jù)泄露,并滿足個(gè)人信息保護(hù)�、等級(jí)保護(hù) 2.0 等合規(guī)要求。阿里云通信對(duì)客戶數(shù)據(jù)的整個(gè)生命周期管理有嚴(yán)格的要求,并配合先進(jìn)的技術(shù)手段以保障客戶數(shù)據(jù)的安全�����。
1.數(shù)據(jù)采集安全
數(shù)據(jù)采集安全指的是在數(shù)據(jù)創(chuàng)建的源頭就保障數(shù)據(jù)的識(shí)別和分類分級(jí)在第一時(shí)間能夠完成,這樣才能保證后續(xù)對(duì)云上數(shù)據(jù)的保護(hù)做到有的放矢�。良好的數(shù)據(jù)分類分級(jí)能夠保障后續(xù)的安全保護(hù)準(zhǔn)確性和效率。
其中:
第一步是對(duì)數(shù)據(jù)中的敏感信息,如個(gè)人驗(yàn)證信息(PII),進(jìn)行發(fā)現(xiàn)和檢測(cè)�����。
第二步是針對(duì)數(shù)據(jù)中的敏感信息,根據(jù)用戶的使用場(chǎng)景,合規(guī)需求和安全要求,對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),從而達(dá)到自知數(shù)據(jù)資產(chǎn),并后續(xù)進(jìn)行針對(duì)性保護(hù)的作用�。
2.數(shù)據(jù)傳輸安全
數(shù)據(jù)傳輸安全是通過(guò)數(shù)據(jù)傳輸鏈路加密來(lái)保障的。傳輸加密是指云產(chǎn)品為用戶訪問(wèn)(包括讀取和上傳)數(shù)據(jù)提供了 SSL/TLS 協(xié)議來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?/p>
同時(shí),阿里云的網(wǎng)關(guān)產(chǎn)品也提供傳輸鏈路的加密功能��。VPN 網(wǎng)關(guān)(VPN Gateway)服務(wù),可通過(guò)傳輸鏈路加密通道將企業(yè)本地 IDC 和阿里云 VPC 安全可靠的連接起來(lái)���。阿里云的證書服務(wù)(Alibaba Cloud Certificates Service),可以在云上簽發(fā)第三方知名 CA 證書頒發(fā)機(jī)構(gòu)的 SSL 證書,幫助用戶實(shí)現(xiàn)其網(wǎng)站 HTTPS 化,使網(wǎng)站可信,防劫持����、防篡改、防監(jiān)聽����。
3.數(shù)據(jù)存儲(chǔ)安全
數(shù)據(jù)存儲(chǔ)安全主要是通過(guò)數(shù)據(jù)落盤加密來(lái)保障的。阿里云提供云產(chǎn)品落盤存儲(chǔ)加密能力給用戶,并統(tǒng)一使用阿里云密鑰管理服務(wù)(Key Management Service,簡(jiǎn)稱 KMS)進(jìn)行密鑰管理����。阿里云的存儲(chǔ)加密提供 256 位密鑰的存儲(chǔ)加密強(qiáng)度(AES256),滿足敏感數(shù)據(jù)的加密存儲(chǔ)需求。
4.數(shù)據(jù)處理安全
數(shù)據(jù)處理安全主要體現(xiàn)在數(shù)據(jù)在使用中需要進(jìn)行有效的隔離保護(hù)����。隔離手段可以是用戶側(cè)通過(guò)使用加密計(jì)算環(huán)境實(shí)現(xiàn)隔離,可以通過(guò)各個(gè)產(chǎn)品中的權(quán)限管控等隔離手段實(shí)現(xiàn),也可以通過(guò)在數(shù)據(jù)分類分級(jí)基礎(chǔ)上的對(duì)數(shù)據(jù)脫敏使得未授權(quán)用戶不得獲取相關(guān)敏感信息來(lái)實(shí)現(xiàn)數(shù)據(jù)的隔離保護(hù)需求。
5.數(shù)據(jù)銷毀安全
阿里云在終止為云服務(wù)客戶提供服務(wù)時(shí),會(huì)及時(shí)刪除云服務(wù)客戶數(shù)據(jù)資產(chǎn)或根據(jù)相關(guān)協(xié)議要求返還其數(shù)據(jù)資產(chǎn)�。阿里云數(shù)據(jù)清除技術(shù)滿足行業(yè)標(biāo)準(zhǔn),清除操作留有完整記錄,確保客戶數(shù)據(jù)不被未授權(quán)訪問(wèn)���。
02 阿里云通信保障短信服務(wù)數(shù)據(jù)安全
針對(duì)短信服務(wù)的數(shù)據(jù)安全風(fēng)險(xiǎn),阿里云通信作為先進(jìn)可信的全球云通信服務(wù)商,在安全通信網(wǎng)絡(luò)、通信傳輸安全�����、內(nèi)容數(shù)據(jù)完整性和內(nèi)容數(shù)據(jù)保密4個(gè)層面具備了較強(qiáng)的技術(shù)優(yōu)勢(shì),以從底層保障。同時(shí),根據(jù)多年的業(yè)務(wù)經(jīng)驗(yàn)積累,加強(qiáng)供應(yīng)鏈管理�。
1)安全通信網(wǎng)絡(luò)
阿里云通信系統(tǒng)部署在公共云基礎(chǔ)服務(wù)平臺(tái)上,采用IaaS服務(wù)模式,其通信傳輸、安全防護(hù)等能力通過(guò)云平臺(tái)提供相關(guān)設(shè)備及服務(wù)實(shí)現(xiàn)�。云平臺(tái)的網(wǎng)絡(luò)出口使用移動(dòng)、聯(lián)通和電信三條線路接入互聯(lián)網(wǎng),網(wǎng)絡(luò)鏈路帶寬高峰期使用率滿足業(yè)務(wù)需求;網(wǎng)絡(luò)內(nèi)部通過(guò)VPC進(jìn)行了區(qū)域劃分,并在VPC內(nèi)為網(wǎng)絡(luò)分配IP地址;網(wǎng)絡(luò)架構(gòu)整體采用冗余技術(shù)設(shè)計(jì),關(guān)鍵節(jié)點(diǎn)設(shè)備及通訊鏈路采用冗余的方式部署�。
2)通信傳輸安全
在數(shù)據(jù)通信過(guò)程中,外部通信各站點(diǎn)業(yè)務(wù)數(shù)據(jù)提供專線和IPSec VPN連接,內(nèi)部通信使用SSL方式保證數(shù)據(jù)的完整性和保密性,客戶使用云通信API發(fā)送短信選擇HTTPS方式調(diào)用
3)內(nèi)容數(shù)據(jù)完整性
系統(tǒng)使用HTTPS及TLS2.0進(jìn)行通信,采用Etag標(biāo)簽做完整性校驗(yàn),保證了重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息在傳輸和存儲(chǔ)過(guò)程中的完整性。
4)內(nèi)容數(shù)據(jù)保密
系統(tǒng)使用HTTPS及TLS2.0進(jìn)行通信,使用SM4�、AES密碼技術(shù)對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ),保證了重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息在傳輸和存儲(chǔ)過(guò)程中的保密性。
5)供應(yīng)鏈管理
阿里云通信對(duì)供應(yīng)商的要求極為嚴(yán)格,總計(jì)50余項(xiàng)數(shù)據(jù)系統(tǒng)安全,檢查通過(guò)才能正式通過(guò)����。同時(shí),我們會(huì)定期對(duì)全鏈數(shù)據(jù)系統(tǒng)安全進(jìn)行系統(tǒng)+人工巡查,如發(fā)現(xiàn)問(wèn)題,要求供應(yīng)商整改完成后才能重新使用,最大力度保證數(shù)據(jù)安全。
短信服務(wù)的普及和便捷性使其成為信息傳遞的關(guān)鍵渠道,但同時(shí)也使企業(yè)面臨著日益復(fù)雜的安全威脅�。黑客攻擊、惡意軟件�����、不合規(guī)的數(shù)據(jù)實(shí)踐等都可能成為數(shù)據(jù)泄露的源頭,不僅威脅到客戶的隱私,還可能對(duì)企業(yè)的聲譽(yù)造成嚴(yán)重?fù)p害�����。
未來(lái),阿里云通信將持續(xù)投入,與客戶一同對(duì)抗“黑灰產(chǎn)”,守護(hù)數(shù)據(jù)安全��。
轉(zhuǎn)自:中國(guó)網(wǎng)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品�����,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力�����。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊��,僅代表作者個(gè)人觀點(diǎn)�����,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)�。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。
延伸閱讀
