2024-09-11
2024-09-11
2024-09-11
2024-09-09
2024-09-09
2024-09-09
2024-09-06
2024-09-06
2024-09-06
2024-09-06
去年,某电商企业通过短信向客户发送订单更新、促销活动和安全验证信息。由于缺乏有效的数据安全措施,该企业遭受了一次重大的数据泄露事件。攻击者利用安全漏洞,窃取了大量客户的个人信息和交易数据。这次事件不仅导致企业面临巨额罚款和法律诉讼,还严重损害了用户信任,导致股价和品牌声誉均遭受重创。
数字化时代,数据安全已成为企业的生命线。尤其对于依赖短信服务进行用户触达和会员运营的企业来说,任何数据泄露事件都可能导致灾难性的后果。
为了应对短信服务的数据安全挑战,为客户提供安全可信的通信服务,阿里云通信将阿里云的数据安全能力、日常与“黑灰产”对抗过程中的经验充分结合,制定了多项举措。
01 依托阿里云强大技术能力,覆盖客户数据的整个生命周期
用户的云上数据安全,是用户的生命线,也是云上安全能力的一个最重要具象表现。早在 2015 年 7 月,阿里云就发起了中国云计算服务商“数据保护倡议”。阿里云数据安全能力能够帮助用户防止数据泄露,并满足个人信息保护、等级保护 2.0 等合规要求。阿里云通信对客户数据的整个生命周期管理有严格的要求,并配合先进的技术手段以保障客户数据的安全。
1.数据采集安全
数据采集安全指的是在数据创建的源头就保障数据的识别和分类分级在第一时间能够完成,这样才能保证后续对云上数据的保护做到有的放矢。良好的数据分类分级能够保障后续的安全保护准确性和效率。
其中:
第一步是对数据中的敏感信息,如个人验证信息(PII),进行发现和检测。
第二步是针对数据中的敏感信息,根据用户的使用场景,合规需求和安全要求,对数据进行分类分级,从而达到自知数据资产,并后续进行针对性保护的作用。
2.数据传输安全
数据传输安全是通过数据传输链路加密来保障的。传输加密是指云产品为用户访问(包括读取和上传)数据提供了 SSL/TLS 协议来保证数据传输的安全。
同时,阿里云的网关产品也提供传输链路的加密功能。VPN 网关(VPN Gateway)服务,可通过传输链路加密通道将企业本地 IDC 和阿里云 VPC 安全可靠的连接起来。阿里云的证书服务(Alibaba Cloud Certificates Service),可以在云上签发第三方知名 CA 证书颁发机构的 SSL 证书,帮助用户实现其网站 HTTPS 化,使网站可信,防劫持、防篡改、防监听。
3.数据存储安全
数据存储安全主要是通过数据落盘加密来保障的。阿里云提供云产品落盘存储加密能力给用户,并统一使用阿里云密钥管理服务(Key Management Service,简称 KMS)进行密钥管理。阿里云的存储加密提供 256 位密钥的存储加密强度(AES256),满足敏感数据的加密存储需求。
4.数据处理安全
数据处理安全主要体现在数据在使用中需要进行有效的隔离保护。隔离手段可以是用户侧通过使用加密计算环境实现隔离,可以通过各个产品中的权限管控等隔离手段实现,也可以通过在数据分类分级基础上的对数据脱敏使得未授权用户不得获取相关敏感信息来实现数据的隔离保护需求。
5.数据销毁安全
阿里云在终止为云服务客户提供服务时,会及时删除云服务客户数据资产或根据相关协议要求返还其数据资产。阿里云数据清除技术满足行业标准,清除操作留有完整记录,确保客户数据不被未授权访问。
02 阿里云通信保障短信服务数据安全
针对短信服务的数据安全风险,阿里云通信作为先进可信的全球云通信服务商,在安全通信网络、通信传输安全、内容数据完整性和内容数据保密4个层面具备了较强的技术优势,以从底层保障。同时,根据多年的业务经验积累,加强供应链管理。
1)安全通信网络
阿里云通信系统部署在公共云基础服务平台上,采用IaaS服务模式,其通信传输、安全防护等能力通过云平台提供相关设备及服务实现。云平台的网络出口使用移动、联通和电信三条线路接入互联网,网络链路带宽高峰期使用率满足业务需求;网络内部通过VPC进行了区域划分,并在VPC内为网络分配IP地址;网络架构整体采用冗余技术设计,关键节点设备及通讯链路采用冗余的方式部署。
2)通信传输安全
在数据通信过程中,外部通信各站点业务数据提供专线和IPSec VPN连接,内部通信使用SSL方式保证数据的完整性和保密性,客户使用云通信API发送短信选择HTTPS方式调用
3)内容数据完整性
系统使用HTTPS及TLS2.0进行通信,采用Etag标签做完整性校验,保证了重要业务数据和重要个人信息在传输和存储过程中的完整性。
4)内容数据保密
系统使用HTTPS及TLS2.0进行通信,使用SM4、AES密码技术对重要数据进行加密存储,保证了重要业务数据和重要个人信息在传输和存储过程中的保密性。
5)供应链管理
阿里云通信对供应商的要求极为严格,总计50余项数据系统安全,检查通过才能正式通过。同时,我们会定期对全链数据系统安全进行系统+人工巡查,如发现问题,要求供应商整改完成后才能重新使用,最大力度保证数据安全。
短信服务的普及和便捷性使其成为信息传递的关键渠道,但同时也使企业面临着日益复杂的安全威胁。黑客攻击、恶意软件、不合规的数据实践等都可能成为数据泄露的源头,不仅威胁到客户的隐私,还可能对企业的声誉造成严重损害。
未来,阿里云通信将持续投入,与客户一同对抗“黑灰产”,守护数据安全。