【聲明】
本安全白皮書著作權歸阿里巴巴云計算(北京)有限公司所有(以下簡稱阿里云云通信),未經阿里云云通信事先書面許可,任何主體不得以任何形式復制、修改、傳播全部或部分內容。
本白皮書僅供參考,對于本文檔中的信息,阿里云云通信不作明示、默示的保證。本白皮書基于現狀編寫。在白皮書內的信息和意見,包括網址和其他互聯網網站參考,均有可能會改變,您理解相關內容發生變動時,阿里云云通信不再另行通知,相關風險由使用人自行承擔。
本安全白皮書未授予您任何阿里云云通信及其關聯公司產品的任何知識產權的法律權利。
1. 概述
阿里云云通信長久以來致力于為客戶提供穩定可靠、安全可信、合法合規的通信服務,利用先進技術、建立產品體系、嚴格管理人員等不同手段以保護客戶及合作伙伴數據的機密性、完整性、可用性,以數據安全、用戶隱私保護作為阿里云云通信的最高準則。
本白皮書介紹了阿里云云通信短信服務產品相關安全體系、產品能力和運作機制,內容包括:安全責任共擔、安全合規、安全架構。安全架構從阿里云云通信產品架構、 網絡安全、主機(含容器)安全、數據安全、應用安全、業務安全、內容安全、賬戶安全、安全監控與運營9個方面詳細描述。
2.安全責任共擔
基于相關法律法規及阿里云云通信云平臺對客戶提供的相關應用及服務,在整個業務鏈路中其安全責任由相關方承擔:阿里云云通信確保云服務平臺的安全性;客戶負責基于阿里云云通信提供的服務構建的應用系統、產生的數據、所從事業務的安全等;合作伙伴負責其為阿里云云通信提供服務及平臺的安全性。
1)阿里云云通信安全責任
阿里云云通信負責其所提供云服務及產品的應用安全、主機安全、網絡安全、數據安全、業務安全等,并為客戶提供保護云端應用及數據的技術手段,同時負責平臺內部身份及訪問控制,發現風險的平臺安全監控和處理風險時的安全運營等。
建立健全安全管理相關崗位、管理制度、事件應急處置及培訓等。
保障阿里云云通信短信服務平臺數據中心物理安全。
保障阿里云云通信云平臺硬件、軟件和網絡安全,如操作系統及數據庫的補丁管理、網絡訪問控制、DDoS防護、災難恢復等。
及時發現阿里云云通信云平臺的安全漏洞并修復,修復漏洞過程不影響客戶業務可用性。
通過與外部第三方獨立安全監管與審計機構合作,對通信云平臺進行安全合規與審計評估。
為客戶提供安全審計手段。
為客戶提供數據加密手段。
2)客戶安全責任
客戶基于阿里云云通信提供的短信服務進行生產通知、營銷,或構建自己的云端應用系統,需綜合運用相關安全產品,構建相關安全機制流程等保護自己的業務系統安全,同時需保障正確、規范使用阿里云云通信云產品及服務,需負責應用安全、業務安全、基礎安全、數據安全、賬號安全等。
客戶應保障其應用系統及其主機、網絡、數據等安全,并對阿里云安全中心的安全預警相關問題及時進行處理和修復。
客戶應保護其阿里云云通信云賬號,為每個運維管理人員分配獨立的RAM用戶賬號,授予完成運維管理工作需要的最小權限,通過群組授權實現職責分離。
客戶應使用阿里云操作審計服務(ActionTrail)記錄管理控制臺操作及OpenAPI調用日志。
客戶應保證其與阿里云云通信云平臺交互的數據、內容等安全及合規。
3)合作伙伴責任
阿里云云通信合作伙伴主要是指與阿里云云通信合作,將其軟件、服務承載在阿里云云通信平臺,向客戶提供服務的主體。阿里云云通信合作伙伴應遵循阿里云云通信相應的合作伙伴安全管理規范及標準,嚴格遵守國家相關法律、法規,保護用戶信息安全。
阿里云云通信合作伙伴應保障其所提供服務的基礎設施、物理設備、操作系統、服務產品等安全,及時發現系統的安全漏洞并修復,修復漏洞過程不影響客戶業務可用性。
阿里云云通信合作伙伴應按照適用數據保護法律要求和與阿里云云通信簽訂的協議要求,建立相對應的數據安全能力,落實必要的管理和技術措施,為合作過程中相關數據提供充分的安全保障,防止數據遭受未經授權的獲取、使用、泄漏、損毀、丟失等。同時應對保護技術和安全措施進行定期檢查,以確保這些措施持續提供適當的安全水平。
3. 安全合規
3.1 合規
阿里云云通信積極履行法律法規及貫徹相關政策,推動企業利用云計算技術加快數字化、網絡化、智能化轉型,按照《網絡安全法》、《個人信息保護法》、《數據安全法》等的相關要求,在產品/服務層面建立相關安全管理流程和制度,通過系統化的方式確保合規要求內部落地。
阿里云云通信在自身云平臺滿足監管合規要求外,致力于幫助客戶以更小成本、更快捷方式、更高安全防護能力達到監管合規要求。
3.2 能力認證
阿里云云通信產品(含短信服務)的安全流程機制已經得到國內外相關權威機構的認可,我們將基于互聯網安全威脅的長期對抗經驗融入到云平臺的安全防護中,將眾多的合規標準融入云平臺合規內控管理和產品設計中,同時廣泛參與各類云通信和云平臺服務相關的標準制定并貢獻最佳實踐,通過獨立的第三方驗證阿里云云通信產品如何符合標準。至目前為止,阿里云云通信先后通過了權威機構的認證和審計,獲得了3項認證資質。
范圍 | 資質 | 簡介 |
全球認可 | ISO27001 | 信息安全管理體系國際認證是被廣泛采用的全球安全標準,阿里云云通信產品作為國內審核通過此項認證的產品,從數據安全、網絡安全、通信安全、操作安全等各個方面證明云通信平臺履行的安全職責。 |
ISO20000 | 國際上首個公認的IT服務管理標準,阿里云云通信產品獲得了新版ISO/IEC20000-1:2011的認證,意味著阿里云云通信產品建立了標準的服務流程,并嚴格執行,云平臺服務規范化,提高效率并降低IT整體風險。 | |
ISO9001 | 質量管理體系用于證實組織具有提供滿足用戶要求和適用法規要求的產品能力的權威認證。 |
3.3 個人信息保護
長期以來,阿里云云通信服務致力于保護每個客戶和用戶的個人信息,保證客戶對提供給阿里云云通信的個人信息擁有所有權和控制權。與此同時,阿里云云通信產品積極響應國家監管部門對企業承擔個人信息保護責任的號召,持續完善內部的個人信息管理保護體系,在客戶和用戶權益保障方面持續優化,建立了內部整體的數據安全管理體系,落地數據安全保護的核心技術,為用戶個人信息提供安全可靠的保護能力。
3.4 透明度
阿里云云通信長期致力于通過多種渠道向客戶透明服務相關情況。客戶一般可通過阿里云官網提出對阿里云云通信相關資質、服務使用情況、產品說明等信息,我們將 7×24 小時不間斷處理來自您的建議與咨詢。對于客戶合理的要求,阿里云云通信服務團隊均會及時響應客戶的需求。同時,阿里云云通信也在探索更多增加透明度的方式,如對公郵箱、線上查詢接口、釘釘服務客戶群等。
4.安全架構
4.1 阿里云云通信產品架構
阿里云云通信產品依賴阿里云計算操作系統作為底座提供高可用性、高穩定性的計算、存儲、安全等產品能力;依靠阿里云安全產品提供全數據生命周期的安全防護能力;依賴阿里云安全團隊提供專業的運營、審計能力,構建起一套高效、安全的保護屏障。
阿里云云通信產品架構圖 :
4.2 網絡安全
阿里云內部網絡與外部網絡之間,存在強制的安全管控策略;內部網絡根據業務劃分為生產、測試、辦公等不同安全域,不同安全域之間默認保持隔離;不同應用之間使用VPC技術進行網絡隔離,不同VPC默認情況不可打通;內部和外部網絡、跨安全域、跨VPC之間的網絡打通,都由安全工程師審核,并提供安全的通信方案以及匹配的安全組進行強力管控,通過白名單防護和上下游運營商的通信安全;跨安全域之間的通信,受云防火墻的保護。
阿里云云安全對所有網絡資產進行ACL巡檢掃描,通過識別高危服務端口以及高危服務指紋,發現邊界開放的非預期安全風險,并且下發工單進行安全治理。
4.3 主機(含容器)安全
阿里云云安全中心提供完整的入侵檢測、病毒檢測反入侵能力,可以完成:異常登錄檢測網站后門查殺(WebShell)、主機異常行為檢測(進程異常行為和異常網絡連接檢測)、主機系統及應用的關鍵文件篡改檢測和異常賬號檢測,并且對主流勒索、挖礦、DDoS木馬等病毒的實時攔截能力;并且已支持檢測主流Windows系統漏洞、Linux軟件漏洞、Web-CMS漏洞、應用漏洞,同時還能提供針對網絡上突然出現的緊急漏洞的應急檢測和修復服務。
阿里云主機(含容器)使用自研的Aliyun Linux 2 OS操作系統,已經經過國際第三方Cyber Internet Security(CIS)組織認證的OS Benchmark。自身提供完整的安全加固能力。
阿里云安全提供7×24小時的反入侵應急響應能力,保證主機(含容器)級別的安全,為云通信保駕護航。
4.4 數據安全
用戶的云上數據安全,是用戶的生命線,也是云上安全能力的一個最重要具象表現。早在2015年7月,阿里云就發起了中國云計算服務商“數據保護倡議”。阿里云數據安全能力能夠幫助用戶防止數據泄露,并滿足個人信息保護、等級保護2.0等合規要求。阿里云云通信對客戶數據的整個生命周期管理有嚴格的要求,并配合先進的技術手段以保障客戶數據的安全。
1)數據采集安全
數據采集安全指的是在數據創建的源頭就保障數據的識別和分類分級,這樣才能保證后續對云上數據的保護做到有的放矢。良好的數據分類分級能夠保障后續的安全保護準確性和效率。其中,第一步是對數據中的敏感信息,如個人驗證信息 (PII),進行發現和檢測。第二步是針對數據中的敏感信息,根據用戶的使用場景,合規需求和安全要求,對數據進行分類分級,從而達到自知數據資產,并后續進行針對性保護的作用。
阿里云的敏感數據保護(Sensitive Data Discovery and Protection, 簡稱 SDDP)產品可在得到云上用戶授權后,自動掃描和發現授權范圍內的新增實例/庫/表/列、對象存儲文件桶/文件對象等不同級別數據信息。通過關鍵字、規則、機器學習模型算法,精確識別云環境內的敏感數據。SDDP 根據敏感數據識別結果,可實現云上數據基于業務內容的分類以及基于敏感程度的分級,以供后續根據敏感分類分級結果在云上系統中對用戶數據實現相關的保護機制。
2)數據傳輸安全
數據傳輸安全是通過數據傳輸鏈路加密來保障的。傳輸加密是指云產品為用戶訪問(包括讀取和上傳)數據提供了 SSL/TLS 協議來保證數據傳輸的安全。
同時,阿里云的網關產品也提供傳輸鏈路的加密功能。VPN網關(VPN Gateway)服務,可通過傳輸鏈路加密通道將企業本地 IDC 和阿里云 VPC 安全可靠的連接起來。阿里云的證書服務 (Alibaba Cloud Certificates Service),可以在云上簽發第三方知名CA 證書頒發機構的 SSL 證書,幫助用戶實現其網站 HTTPS 化,使網站可信,防劫持、防篡改、防監聽。
3)數據存儲安全
數據存儲安全主要是通過數據落盤加密來保障的。阿里云提供云產品落盤存儲加密能力給用戶,并統一使用阿里云密鑰管理服務(Key Management Service, 簡稱 KMS)進行密鑰管理。阿里云的存儲加密提供 256 位密鑰的存儲加密強度(AES256),滿足敏感數據的加密存儲需求。
4)數據處理安全
數據處理安全主要體現在數據在使用中需要進行有效的隔離保護。隔離手段可以是用戶側通過使用加密計算環境實現隔離,可以通過各個產品中的權限管控等隔離手段實現,也可以通過在數據分類分級基礎上的對數據脫敏使得未授權用戶不得獲取相關敏感信息來實現數據的隔離保護需求。
5)數據銷毀安全
阿里云在終止為云服務客戶提供服務時,會及時刪除云服務客戶數據資產或根據相關協議要求返還其數據資產。阿里云數據清除技術滿足行業標準,清除操作留有完整記錄,確保客戶數據不被未授權訪問。
4.5 應用安全
阿里云云通信產品和所有阿里云云產品一樣,使用阿里云內部云產品安全生命周期平臺進行內部安全風險管理。 云產品安全生命周期平臺提供包括漏洞運營、架構審核、代碼審計、滲透測試、安全解決方案等安全能力,在產品架構審核、開發、測試審核、應急響應的各個環節層層把關,拉通各個安全團隊,賦能云產品安全能力。
4.6 業務安全
1)服務申請
真實有效的用戶身份驗證既符合對登記法人或者個人合法權益的有效保護,也符合監管對于短信服務使用者身份信息的甄別要求。
客戶申請服務時,阿里云云通信會對所有客戶進行實名制登記,再提供服務;針對風險場景、功能,還會對業務的安全性進行二次審核。所有實名制登記均需提供合法合規的書面證明文件;部分重要行業(如政府機構、事業單位)還會進行專人回訪,以防止信息被濫用、冒用。
2)運營規范
阿里云云通信不但擁有完整的產品技術體系提供業務保障,還有著與之配套的運營基礎,依托于嚴格的權限管理機制以及常年安全運營經驗沉淀,為用戶使用短信服務提供完善的內容審核,監管協查等多方面的支持與服務。
在智能化、精細化的運營管理思路下,阿里云云通信擁有獨立的運營管理中心,所有影響生產環境的操作均受到嚴格的權限控制和監控。各運營節點均部署有不同技能的專業素養人員,保證權限和信息的最小可用性隔離。每一個運營人員入職起就進入到完整的信息安全培訓體系以及業務技能培訓體系中,并對運營質量進行周期性的復檢,確保員工從入職之際開始,就能不斷獲得安全意識和運營能力的提升。
除內部的自我管理以外,阿里云云通信致力于為客戶提供全面的業務支持,并基于豐富的運營經驗和生產鏈路管理能力,當用戶在使用短信服務過程中面臨相關的監管協查時,安全運營將提供事件分析、處置建議、材料收集反饋等全流程的服務支持,并不斷致力于其合規、高效、可視的演進。
3)合作伙伴管理
為了給客戶提供更好的服務和體驗,阿里云云通信除了不斷增強自身能力外,集合各領域能力突出的合作伙伴一起打造更優的阿里云云通信短信服務。
阿里云云通信對合作伙伴制定明確的管理規范,約定合作伙伴違規情形和相關處罰,并明確合作伙伴的清退規則和流程。對不符合要求或違反合作條例的及時進行相應的處理,對于清退的合作伙伴確保相關賬號權限及時關閉,數據及時清理。
對于資質造假,嚴重違反誠信原則、或因違約而給阿里云云通信及其客戶造成重大損失或負面影響的合作伙伴,將視情節嚴重程度對其進行相應處罰或列為合作黑名單。
阿里云云通信在不同的場景對合作伙伴的安全能力有相應的要求,同時鼓勵合作伙伴申請ISO27001/ISO27002等信息安全管理資質,并將其作為合作伙伴安全能力評價的組成部分。
阿里云云通信對通信供應商準入進行安全評估,合作過程中的安全性及規范性進行管理,以保障客戶業務安全。
對于合作項目參與人員,在數據安全培訓與考試、安全軟件安裝與終端安全配置、權限申請與審批、數據傳輸與使用、數據安全審計與監控、合作結束后交接及數據清理等方面有嚴格的規范與要求。對于違反相關規定的依據情節嚴重程度對其進行相應處罰,如造成阿里云云通信信息泄露,或影響客戶及業務系統服務的,將依據雙方約定、受損程度追究合作方法律責任。
對于軟件供應商,阿里云云通信依據相關的法律法規對相關組件和軟件進行相應的安全掃描和安全檢測,存在中、高風險的禁止上線,如感知到風險事件或威脅,及時展開應急響應流程,快速降低風險事件/威脅對業務可能帶來的安全風險。
4)產品發布變更
當產品要在新的迭代中實現新業務/新需求的時候,需要結合具體業務功能和業務場景,對其技術實現方案進行安全評估,以保障業務的合法合規性、提前發現漏洞,減少/杜絕業務邏輯漏洞,有效控制業務風險等。
阿里云云通信在以下場景進行產品發布變更安全評審:
當業務新建應用,或新增業務場景時,會進行線上及線下安全評審,對代碼及業務流程進行審核。
當老應用進行日常迭代優化需求評審時,對diff內容進行安全審核。
當涉及敏感信息、會員登錄管理、業務權限設計與管理、資金收賬轉賬、交易流程更改等敏感業務功能時,會進行線下專家評審。
產品發布變更主要的安全管控措施如下:
安全培訓:阿里云云通信研發、測試等人員固定時間點、周期內接受應用安全標準/規范、社會工程等方面的安全意識培訓,并完成相應內容考試。
需求分析階段,涉及安全相關或不確定性風險需求時,需求負責人主動發起風險評估,安全團隊介入進行需求評審,識別風險并制定安全解決方案。
架構設計階段:網絡環境存在重大變更時,進行系統網絡架構安全評審;業務存在重大變更時,進行應用級別安全評審。
開發階段:應用研發過程中,遵循相應的應用安全開發規范和安全團隊的編碼建議方案,主動使用安全產品發現問題,上線前完成代碼審計。
測試階段:應用測試過程中,按照相關規范進行測試,根據安全部門要求進行安全測試,在上線前及時發現風險并進行處理。
發布迭代階段:應用發布主動接入安全發布平臺,接入安全檢測能力,并建立相應的審核流程,當變更符合安全發布要求時,才可對外發布。
上線運行階段:應用及功能上線后,部署線上安全產品防御線上風險。對于安全產品告警的風險,技術進行風險確認及修復。
4.7 內容安全
阿里云云通信基于多年的風險防控對抗經驗、豐富的黑灰產數據積累及大數據分析建模能力,在內容安全領域沉淀了可用、可信、可靠的產品能力,以保障阿里云云通信云平臺和客戶業務安全穩定運行。阿里云云通信內容安全產品在短信服務的各個環節進行保護,將阿里云云通信在自然語言識別、大數據實時計算、大數據行為分析等多種技術全面結合,保障風險發現的準確性、全面性、及時性。
阿里云云通信積累了千萬級風險畫像標簽和幾百個不同場景風險庫,同時積累了大量模型算法能力用于識別內容風險。無論是幾個字的簽名,還是幾十個字的模板、短信內容等,阿里云云通信利用豐富的風險對抗經驗及強大的機器學習能力,能夠實現情報的準確搜集、異常行為的快速發現、黑灰產行為場景的高效識別等,為客戶提供穩定、安全的服務。主要覆蓋的風險識別場景有:涉詐、涉賭、涉黃、禁止行業、限制行業、低俗、惡意行為等。
對用戶內容安全的保障,從數據能力積累上主要涉及的模型有四類:
變異還原類模型:該類模型通過將不同的形近字、音近字、圖標、符號、拼音、外文等變異信息或干擾信息進行還原,以識別黑灰產團伙真實要表達的內容。
語義識別類模型:通過對文本內容的語義進行建模分析,識別黑灰產在文本內容中表達的真實意圖、場景等。
特征抽取類模型:通過對文本內容的要素進行建模分析,識別黑灰產在文本內容中表達的關鍵特征。
風險識別類模型:通過對文本內容的場景進行建模分析,識別黑灰產在文本內容表達中可能存在的潛在風險。
對用戶內容安全保障從驅動機制上分為主動檢測、被動防御兩種模式。
被動防御主要是基于阿里云云通信自身的業務場景及平臺沉淀,在用戶使用平臺業務過程中及時識別產生的風險,并結合關聯信息進行實時或者離線分析識別后進行處置。
主動檢測主要是通過情報中心主動搜集外部違法違規風險信息,提取內容風險特征及場景,識別潛在威脅主動提升應對能力。
被動防御和主動檢測互為補充,前者作為業務開展過程中發現安全事件必要采取的措施,后者補充提升被動發現的滯后性不足,并引入更廣泛的風險特征和場景定義,提升風險預警的精準性,二者結合形成全面、及時和有效的安全識別能力。
對用戶內容安全保障從業務環節上分為事前、事中、事后三個重要階段進行防控和治理。
事前通過主動防御體系中的情報中心,及時引入安全變形和關聯風險事件,針對時事熱點事件可能引發的風險進行布防。
在短信發送過程中,通過三層過濾體系進行風險防控。首先,通過數據中心和風險識別模塊在策略中心組裝形成實時規則進行風險攔截。其次,依據風險分級分類規則將識別結果分流到系統處置模塊,結合人工審核流程形成二次識別判斷。最后校驗結果直接觸發處罰中心對風險實體對象進行處置,包括權限限制、業務關停等,同時對相似內容進行傳播識別和干預。
短信發送后,阿里云云通信依舊會對離線數據、模型結果進行風險聚類分析,同時結合情報中心不斷收集的外部情報,對可能漏出的風險或潛在新型風險進行追溯處置。
4.8 賬戶安全
阿里云云通信賬號管理基于阿里云賬號安全管理系統,為客戶提供了多種工具和功能,用來幫助客戶在各種情況下授權資源的使用權限,其中為客戶提供RAM資源訪問控制服務,用于用戶身份管理與資源訪問控制,并支持多因素認證,強密碼策略、自定義API權限策略、支持多種限制條件(IP白名單、安全訪問SSL/TLS)等。
4.9 安全監控與運營
阿里云云通信的安全監控,主要目的是及時發現平臺自身的應用、主機、網絡等資源被攻擊的安全事件,并在發現安全事件后,觸發內部應急流程進行處置,及時消除影響。
安全監控主要分為日志收集、異常分析檢測、告警、處置。日志收集主要是將平臺側的主機日志、網絡日志、應用日志進行收集,并采用實時計算、離線計算方式通過安全風控算法模型,對日志進行處理和分析,進而完成風險的發現與監控。一旦發現異常安全事件,會在內部的安全監控平臺上進行告警,并通過釘釘、短信、電話、郵件等方式觸發安全應急一號位及時進行處置。
阿里云云通信應急響應是指對云通信內部監控發現和外部上報的漏洞、風險事件做出應急處置。外部上報的途徑包括外部開源三方組件、三方威脅情報、內部漏洞系統。一旦發現安全事件或漏洞立即觸發應急響應流程,并按照標準流程處置。同時為了保障安全生產成立專門團隊不定期的進行演練,以確保安全應急流程的有效性。