云栖大会钉钉获评数据安全标杆:企业数据有双层“保险箱”

10月14日,在杭州举办的云栖大会进入第4天,《数据安全生态专场》举办的“数据经济 生态共建——数据安全可持续发展分论坛”引发关注。十多位国内顶尖的数据安全专家及法律专家到场,分享了最新的数据安全实践成果,并从国家政策、法律制度等多个角度,探讨全面提升国家及产业大数据安全水平的解决之道。阿里巴巴钉钉及南方电网被评为数据安全标杆企业。钉钉安全负责人罗锋(花名迦卢)参会,分享了钉钉在企业数据安全方面的解决方案。

阿里钉钉安全负责人罗锋在云栖大会分享企业数据安全解决方案

在企业服务市场,智能移动办公平台钉钉发展迅猛,用户已有数百万家企业组织。依托于阿里巴巴的数据安全能力,钉钉在企业信息安全及加密领域已达到国际领先水平。

当天,中国信息通信研究院基于DSMM(Data Security Maturity Model,数据安全成熟度模型)的测评,发布了一份《中国企业数据安全最佳实践报告》。

该报告认为,依据DSMM对一些目标企业机构的评估发现,目前国内组织机构的数据安全水位线普遍偏低。但其中,钉钉和南方电网的数据安全能力测评结果较好,也因此被评为数据安全标杆企业、亮相云栖大会现场。

DSMM是阿里根据多年数据安全实践经验提炼而成,围绕数据采集、存储、传输、处理、交换、销毁的六个数据生命周期,在数据安全组织建设、制度流程、技术工具、人员能力四大维度,至少30多个安全域进行全方位考核评估。

作为数据安全的标杆,钉钉安全负责人罗锋介绍,钉钉面市于2015年,作为企业级应用,钉钉一直把数据安全当作生命线。钉钉以淘宝、天猫、支付宝等积累的多年安全经验为前提,建立了强大的移动办公生态保障体系,为数百万家中小企业提供“简单、高效、安全”的服务。

“钉钉无缝嵌入了阿里巴巴集团各项成熟的、经过多年验证的安全控制措施,确保用户数据的机密性、完整性、可用性。”罗锋说。

钉钉数据安全系统的搭建,一起步就是遵循国际标准的高起点。2016年年初,钉钉在国际信息安全领域获得BSI(英国标准协会)颁发的ISO27001:2013认证,是中国首个通过该认证的企业级社交产品。

钉钉在国际信息安全领域获得BSI的ISO27001:2013认证

与此同时,钉钉还通过了中国公安部的“信息系统安全等级保护”三级认证,并成为2016年杭州G20峰会安全保障的唯一沟通协同平台,为这个举世瞩目的盛会保驾护航。

罗锋说,公安部不但给予了钉钉信息安全认证,他们本身也用起了钉钉。公安部依托钉钉建立的“团圆系统”,专用于打拐反拐,全国6000多打拐干警接入,自2016年上线,截至今年9月1日,共发布1918条寻人信息,帮助全国各地家长找回1847名儿童,找回率为96.30%,其中解救被拐卖儿童41名。该系统被誉为中国版的“安珀警报”。

据悉,“团圆系统”不但获得了全国公安机关改革创新大赛金奖,还作为科技助力社会治理的重要成果,亮相北京的“砥砺奋进的五年”大型成就展。

与此同时,在全国各地“互联网+智慧警务”改革中,钉钉几乎成为警务系统的标配。多地警方表示,安全,是选择钉钉的首要原因。

罗锋介绍,钉钉除了自身固有的分布式数据存储加密系统,还引入了一种独特的安全服务模式——第三方加密。“密钥由第三方托管,相当于给企业数据又加了一把锁,双重保险箱保障只有用户才能打开数据。”

一直以来有一种观点认为,企业数据私有化部署,也就是放在自家机房里更安全。罗锋对此并不认同,他对比了私有化部署和钉钉上的部署,“私有化部署貌似实现了网络物理隔绝,但缺点很多,譬如静态网络安全随着时间的推移安全性逐渐衰减,机房环境、服务器性能等,都有可能带来隐患。此外运维成本也非常高。”

罗锋说,企业数据在钉钉上部署,动态安全体系远胜静态安全体系,比物理隔绝更安全。此外钉钉还支持密钥服务器私有化部署,企业可以享受到运维成本几乎为0的国际顶级信息安全保障。

罗锋强调,钉钉是企业的钉钉,数据是属于用户企业的,既不属于阿里巴巴,也不属于钉钉,“我们始终保障,只有用户企业才能打开数据。”