第十三章 阿里巴巴钉钉安全白皮书 V1.0.pdf

阿里巴巴钉钉安全白皮书 V1.0 钉钉安全白皮书 V1.0 目录 前言 1 术语定义 1 一. 组织安全 2 1.1 安全管理委员会 2 1.2 信息安全团队 2 1.3 安全审计团队 3 1.4 物理安全团队 3 二. 合规安全 3 2.1 安全体系 3 2.2 政策合规 3 三. 人员安全 4 3.1 尽职调查 4 3.2 安全生产 4 四. 数据安全 4 4.1 数据分级 4 4.2 数据安全与加密方案 5 4.3 密钥管理中心 5 4.4 数据访问及用户授权第三方应用访问其敏感信息 5 4.5 数据使用与防爬 5 4.6 数据安全审计 5 4.7 数据销毁管理 6 五．应用安全 6 5.1 钉钉 SDL 6 5.2 业务安全 7 5.2.1 账号安全 7 5.2.2 暴力破解撞库 7 5.3 钉钉基础与特色安全 7 5.3.1 协议安全 7 5.3.2 企业通讯录 7 5.3.3 企业云盘 8 5.3.4 企业云邮箱 8 5.3.5 特色安全功能 10 六．系统 网络安全 11 6.1 系统安全 11 6.1.1 系统软件安全配置标准 11 - I - 钉钉安全白皮书 V1.0 6.1.2 系统登录授权访问 11 6.1.3 系统安全检测防御产品 11 6.2 网络安全 12 6.2.1 安全域划分 12 6.2.2 网络访问控制 12 6.2.3 流量劫持 12 6.2.4 DDoS 安全防御 12 七．物理与环境安全 13 7.1. 物理安全 13 7.2. 环境控制 14 八. 灾难恢复与业务连续性 14 8.1 应急与灾备技术 15 8.2 应急与灾难恢复管理 15 - II - 钉钉安全白皮书 V1.0 前言 钉钉是阿里巴巴集团自主创新,面向企业级的 SAAS 平台，基于阿里巴巴集团十多年安全技术 研究积累的成果，打造了业界一流的安全保障体系、高可靠的系统实现机制，为企业信息安全供 全方位的安全保障！ 术语定义 SDL：Security Development Lifecycle 的简称，安全开发生命周期； 撞库：撞库是黑客通过收集互联网已泄露的账户和密码信息，生成对应的字典表，尝试批量登陆 网站后，得到一系列可以登录的账户； DDOS 攻击：分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于 C/S 技术，将 多个计算机联合起来作为攻击平台，对一个或多个目标发动流量攻击，造成目标的业务系统无法 供服务；