去年,某電商企業通過短信向客戶發送訂單更新、促銷活動和安全驗證信息。由于缺乏有效的數據安全措施,該企業遭受了一次重大的數據泄露事件。攻擊者利用安全漏洞,竊取了大量客戶的個人信息和交易數據。這次事件不僅導致企業面臨巨額罰款和法律訴訟,還嚴重損害了用戶信任,導致股價和品牌聲譽均遭受重創。
數字化時代,數據安全已成為企業的生命線。尤其對于依賴短信服務進行用戶觸達和會員運營的企業來說,任何數據泄露事件都可能導致災難性的后果。
為了應對短信服務的數據安全挑戰,為客戶提供安全可信的通信服務,阿里云通信將阿里云的數據安全能力、日常與“黑灰產”對抗過程中的經驗充分結合,制定了多項舉措。
01 依托阿里云強大技術能力,覆蓋客戶數據的整個生命周期
用戶的云上數據安全,是用戶的生命線,也是云上安全能力的一個最重要具象表現。早在 2015 年 7 月,阿里云就發起了中國云計算服務商“數據保護倡議”。阿里云數據安全能力能夠幫助用戶防止數據泄露,并滿足個人信息保護、等級保護 2.0 等合規要求。阿里云通信對客戶數據的整個生命周期管理有嚴格的要求,并配合先進的技術手段以保障客戶數據的安全。
1.數據采集安全
數據采集安全指的是在數據創建的源頭就保障數據的識別和分類分級在第一時間能夠完成,這樣才能保證后續對云上數據的保護做到有的放矢。良好的數據分類分級能夠保障后續的安全保護準確性和效率。
其中:
第一步是對數據中的敏感信息,如個人驗證信息(PII),進行發現和檢測。
第二步是針對數據中的敏感信息,根據用戶的使用場景,合規需求和安全要求,對數據進行分類分級,從而達到自知數據資產,并后續進行針對性保護的作用。
2.數據傳輸安全
數據傳輸安全是通過數據傳輸鏈路加密來保障的。傳輸加密是指云產品為用戶訪問(包括讀取和上傳)數據提供了 SSL/TLS 協議來保證數據傳輸的安全。
同時,阿里云的網關產品也提供傳輸鏈路的加密功能。VPN 網關(VPN Gateway)服務,可通過傳輸鏈路加密通道將企業本地 IDC 和阿里云 VPC 安全可靠的連接起來。阿里云的證書服務(Alibaba Cloud Certificates Service),可以在云上簽發第三方知名 CA 證書頒發機構的 SSL 證書,幫助用戶實現其網站 HTTPS 化,使網站可信,防劫持、防篡改、防監聽。
3.數據存儲安全
數據存儲安全主要是通過數據落盤加密來保障的。阿里云提供云產品落盤存儲加密能力給用戶,并統一使用阿里云密鑰管理服務(Key Management Service,簡稱 KMS)進行密鑰管理。阿里云的存儲加密提供 256 位密鑰的存儲加密強度(AES256),滿足敏感數據的加密存儲需求。
4.數據處理安全
數據處理安全主要體現在數據在使用中需要進行有效的隔離保護。隔離手段可以是用戶側通過使用加密計算環境實現隔離,可以通過各個產品中的權限管控等隔離手段實現,也可以通過在數據分類分級基礎上的對數據脫敏使得未授權用戶不得獲取相關敏感信息來實現數據的隔離保護需求。
5.數據銷毀安全
阿里云在終止為云服務客戶提供服務時,會及時刪除云服務客戶數據資產或根據相關協議要求返還其數據資產。阿里云數據清除技術滿足行業標準,清除操作留有完整記錄,確保客戶數據不被未授權訪問。
02 阿里云通信保障短信服務數據安全
針對短信服務的數據安全風險,阿里云通信作為先進可信的全球云通信服務商,在安全通信網絡、通信傳輸安全、內容數據完整性和內容數據保密4個層面具備了較強的技術優勢,以從底層保障。同時,根據多年的業務經驗積累,加強供應鏈管理。
1)安全通信網絡
阿里云通信系統部署在公共云基礎服務平臺上,采用IaaS服務模式,其通信傳輸、安全防護等能力通過云平臺提供相關設備及服務實現。云平臺的網絡出口使用移動、聯通和電信三條線路接入互聯網,網絡鏈路帶寬高峰期使用率滿足業務需求;網絡內部通過VPC進行了區域劃分,并在VPC內為網絡分配IP地址;網絡架構整體采用冗余技術設計,關鍵節點設備及通訊鏈路采用冗余的方式部署。
2)通信傳輸安全
在數據通信過程中,外部通信各站點業務數據提供專線和IPSec VPN連接,內部通信使用SSL方式保證數據的完整性和保密性,客戶使用云通信API發送短信選擇HTTPS方式調用
3)內容數據完整性
系統使用HTTPS及TLS2.0進行通信,采用Etag標簽做完整性校驗,保證了重要業務數據和重要個人信息在傳輸和存儲過程中的完整性。
4)內容數據保密
系統使用HTTPS及TLS2.0進行通信,使用SM4、AES密碼技術對重要數據進行加密存儲,保證了重要業務數據和重要個人信息在傳輸和存儲過程中的保密性。
5)供應鏈管理
阿里云通信對供應商的要求極為嚴格,總計50余項數據系統安全,檢查通過才能正式通過。同時,我們會定期對全鏈數據系統安全進行系統+人工巡查,如發現問題,要求供應商整改完成后才能重新使用,最大力度保證數據安全。
短信服務的普及和便捷性使其成為信息傳遞的關鍵渠道,但同時也使企業面臨著日益復雜的安全威脅。黑客攻擊、惡意軟件、不合規的數據實踐等都可能成為數據泄露的源頭,不僅威脅到客戶的隱私,還可能對企業的聲譽造成嚴重損害。
未來,阿里云通信將持續投入,與客戶一同對抗“黑灰產”,守護數據安全。
