【声明】
本安全白皮书著作权归阿里巴巴云计算(北京)有限公司所有(以下简称阿里云云通信),未经阿里云云通信事先书面许可,任何主体不得以任何形式复制、修改、传播全部或部分内容。
本白皮书仅供参考,对于本文档中的信息,阿里云云通信不作明示、默示的保证。本白皮书基于现状编写。在白皮书内的信息和意见,包括网址和其他互联网网站参考,均有可能会改变,您理解相关内容发生变动时,阿里云云通信不再另行通知,相关风险由使用人自行承担。
本安全白皮书未授予您任何阿里云云通信及其关联公司产品的任何知识产权的法律权利。
1. 概述
阿里云云通信长久以来致力于为客户提供稳定可靠、安全可信、合法合规的通信服务,利用先进技术、建立产品体系、严格管理人员等不同手段以保护客户及合作伙伴数据的机密性、完整性、可用性,以数据安全、用户隐私保护作为阿里云云通信的最高准则。
本白皮书介绍了阿里云云通信短信服务产品相关安全体系、产品能力和运作机制,内容包括:安全责任共担、安全合规、安全架构。安全架构从阿里云云通信产品架构、 网络安全、主机(含容器)安全、数据安全、应用安全、业务安全、内容安全、账户安全、安全监控与运营9个方面详细描述。
2.安全责任共担
基于相关法律法规及阿里云云通信云平台对客户提供的相关应用及服务,在整个业务链路中其安全责任由相关方承担:阿里云云通信确保云服务平台的安全性;客户负责基于阿里云云通信提供的服务构建的应用系统、产生的数据、所从事业务的安全等;合作伙伴负责其为阿里云云通信提供服务及平台的安全性。
1)阿里云云通信安全责任
阿里云云通信负责其所提供云服务及产品的应用安全、主机安全、网络安全、数据安全、业务安全等,并为客户提供保护云端应用及数据的技术手段,同时负责平台内部身份及访问控制,发现风险的平台安全监控和处理风险时的安全运营等。
建立健全安全管理相关岗位、管理制度、事件应急处置及培训等。
保障阿里云云通信短信服务平台数据中心物理安全。
保障阿里云云通信云平台硬件、软件和网络安全,如操作系统及数据库的补丁管理、网络访问控制、DDoS防护、灾难恢复等。
及时发现阿里云云通信云平台的安全漏洞并修复,修复漏洞过程不影响客户业务可用性。
通过与外部第三方独立安全监管与审计机构合作,对通信云平台进行安全合规与审计评估。
为客户提供安全审计手段。
为客户提供数据加密手段。
2)客户安全责任
客户基于阿里云云通信提供的短信服务进行生产通知、营销,或构建自己的云端应用系统,需综合运用相关安全产品,构建相关安全机制流程等保护自己的业务系统安全,同时需保障正确、规范使用阿里云云通信云产品及服务,需负责应用安全、业务安全、基础安全、数据安全、账号安全等。
客户应保障其应用系统及其主机、网络、数据等安全,并对阿里云安全中心的安全预警相关问题及时进行处理和修复。
客户应保护其阿里云云通信云账号,为每个运维管理人员分配独立的RAM用户账号,授予完成运维管理工作需要的最小权限,通过群组授权实现职责分离。
客户应使用阿里云操作审计服务(ActionTrail)记录管理控制台操作及OpenAPI调用日志。
客户应保证其与阿里云云通信云平台交互的数据、内容等安全及合规。
3)合作伙伴责任
阿里云云通信合作伙伴主要是指与阿里云云通信合作,将其软件、服务承载在阿里云云通信平台,向客户提供服务的主体。阿里云云通信合作伙伴应遵循阿里云云通信相应的合作伙伴安全管理规范及标准,严格遵守国家相关法律、法规,保护用户信息安全。
阿里云云通信合作伙伴应保障其所提供服务的基础设施、物理设备、操作系统、服务产品等安全,及时发现系统的安全漏洞并修复,修复漏洞过程不影响客户业务可用性。
阿里云云通信合作伙伴应按照适用数据保护法律要求和与阿里云云通信签订的协议要求,建立相对应的数据安全能力,落实必要的管理和技术措施,为合作过程中相关数据提供充分的安全保障,防止数据遭受未经授权的获取、使用、泄漏、损毁、丢失等。同时应对保护技术和安全措施进行定期检查,以确保这些措施持续提供适当的安全水平。
3. 安全合规
3.1 合规
阿里云云通信积极履行法律法规及贯彻相关政策,推动企业利用云计算技术加快数字化、网络化、智能化转型,按照《网络安全法》、《个人信息保护法》、《数据安全法》等的相关要求,在产品/服务层面建立相关安全管理流程和制度,通过系统化的方式确保合规要求内部落地。
阿里云云通信在自身云平台满足监管合规要求外,致力于帮助客户以更小成本、更快捷方式、更高安全防护能力达到监管合规要求。
3.2 能力认证
阿里云云通信产品(含短信服务)的安全流程机制已经得到国内外相关权威机构的认可,我们将基于互联网安全威胁的长期对抗经验融入到云平台的安全防护中,将众多的合规标准融入云平台合规内控管理和产品设计中,同时广泛参与各类云通信和云平台服务相关的标准制定并贡献最佳实践,通过独立的第三方验证阿里云云通信产品如何符合标准。至目前为止,阿里云云通信先后通过了权威机构的认证和审计,获得了3项认证资质。
范围 | 资质 | 简介 |
全球认可 | ISO27001 | 信息安全管理体系国际认证是被广泛采用的全球安全标准,阿里云云通信产品作为国内审核通过此项认证的产品,从数据安全、网络安全、通信安全、操作安全等各个方面证明云通信平台履行的安全职责。 |
ISO20000 | 国际上首个公认的IT服务管理标准,阿里云云通信产品获得了新版ISO/IEC20000-1:2011的认证,意味着阿里云云通信产品建立了标准的服务流程,并严格执行,云平台服务规范化,提高效率并降低IT整体风险。 | |
ISO9001 | 质量管理体系用于证实组织具有提供满足用户要求和适用法规要求的产品能力的权威认证。 |
3.3 个人信息保护
长期以来,阿里云云通信服务致力于保护每个客户和用户的个人信息,保证客户对提供给阿里云云通信的个人信息拥有所有权和控制权。与此同时,阿里云云通信产品积极响应国家监管部门对企业承担个人信息保护责任的号召,持续完善内部的个人信息管理保护体系,在客户和用户权益保障方面持续优化,建立了内部整体的数据安全管理体系,落地数据安全保护的核心技术,为用户个人信息提供安全可靠的保护能力。
3.4 透明度
阿里云云通信长期致力于通过多种渠道向客户透明服务相关情况。客户一般可通过阿里云官网提出对阿里云云通信相关资质、服务使用情况、产品说明等信息,我们将 7×24 小时不间断处理来自您的建议与咨询。对于客户合理的要求,阿里云云通信服务团队均会及时响应客户的需求。同时,阿里云云通信也在探索更多增加透明度的方式,如对公邮箱、线上查询接口、钉钉服务客户群等。
4.安全架构
4.1 阿里云云通信产品架构
阿里云云通信产品依赖阿里云计算操作系统作为底座提供高可用性、高稳定性的计算、存储、安全等产品能力;依靠阿里云安全产品提供全数据生命周期的安全防护能力;依赖阿里云安全团队提供专业的运营、审计能力,构建起一套高效、安全的保护屏障。
阿里云云通信产品架构图 :
4.2 网络安全
阿里云内部网络与外部网络之间,存在强制的安全管控策略;内部网络根据业务划分为生产、测试、办公等不同安全域,不同安全域之间默认保持隔离;不同应用之间使用VPC技术进行网络隔离,不同VPC默认情况不可打通;内部和外部网络、跨安全域、跨VPC之间的网络打通,都由安全工程师审核,并提供安全的通信方案以及匹配的安全组进行强力管控,通过白名单防护和上下游运营商的通信安全;跨安全域之间的通信,受云防火墙的保护。
阿里云云安全对所有网络资产进行ACL巡检扫描,通过识别高危服务端口以及高危服务指纹,发现边界开放的非预期安全风险,并且下发工单进行安全治理。
4.3 主机(含容器)安全
阿里云云安全中心提供完整的入侵检测、病毒检测反入侵能力,可以完成:异常登录检测网站后门查杀(WebShell)、主机异常行为检测(进程异常行为和异常网络连接检测)、主机系统及应用的关键文件篡改检测和异常账号检测,并且对主流勒索、挖矿、DDoS木马等病毒的实时拦截能力;并且已支持检测主流Windows系统漏洞、Linux软件漏洞、Web-CMS漏洞、应用漏洞,同时还能提供针对网络上突然出现的紧急漏洞的应急检测和修复服务。
阿里云主机(含容器)使用自研的Aliyun Linux 2 OS操作系统,已经经过国际第三方Cyber Internet Security(CIS)组织认证的OS Benchmark。自身提供完整的安全加固能力。
阿里云安全提供7×24小时的反入侵应急响应能力,保证主机(含容器)级别的安全,为云通信保驾护航。
4.4 数据安全
用户的云上数据安全,是用户的生命线,也是云上安全能力的一个最重要具象表现。早在2015年7月,阿里云就发起了中国云计算服务商“数据保护倡议”。阿里云数据安全能力能够帮助用户防止数据泄露,并满足个人信息保护、等级保护2.0等合规要求。阿里云云通信对客户数据的整个生命周期管理有严格的要求,并配合先进的技术手段以保障客户数据的安全。
1)数据采集安全
数据采集安全指的是在数据创建的源头就保障数据的识别和分类分级,这样才能保证后续对云上数据的保护做到有的放矢。良好的数据分类分级能够保障后续的安全保护准确性和效率。其中,第一步是对数据中的敏感信息,如个人验证信息 (PII),进行发现和检测。第二步是针对数据中的敏感信息,根据用户的使用场景,合规需求和安全要求,对数据进行分类分级,从而达到自知数据资产,并后续进行针对性保护的作用。
阿里云的敏感数据保护(Sensitive Data Discovery and Protection, 简称 SDDP)产品可在得到云上用户授权后,自动扫描和发现授权范围内的新增实例/库/表/列、对象存储文件桶/文件对象等不同级别数据信息。通过关键字、规则、机器学习模型算法,精确识别云环境内的敏感数据。SDDP 根据敏感数据识别结果,可实现云上数据基于业务内容的分类以及基于敏感程度的分级,以供后续根据敏感分类分级结果在云上系统中对用户数据实现相关的保护机制。
2)数据传输安全
数据传输安全是通过数据传输链路加密来保障的。传输加密是指云产品为用户访问(包括读取和上传)数据提供了 SSL/TLS 协议来保证数据传输的安全。
同时,阿里云的网关产品也提供传输链路的加密功能。VPN网关(VPN Gateway)服务,可通过传输链路加密通道将企业本地 IDC 和阿里云 VPC 安全可靠的连接起来。阿里云的证书服务 (Alibaba Cloud Certificates Service),可以在云上签发第三方知名CA 证书颁发机构的 SSL 证书,帮助用户实现其网站 HTTPS 化,使网站可信,防劫持、防篡改、防监听。
3)数据存储安全
数据存储安全主要是通过数据落盘加密来保障的。阿里云提供云产品落盘存储加密能力给用户,并统一使用阿里云密钥管理服务(Key Management Service, 简称 KMS)进行密钥管理。阿里云的存储加密提供 256 位密钥的存储加密强度(AES256),满足敏感数据的加密存储需求。
4)数据处理安全
数据处理安全主要体现在数据在使用中需要进行有效的隔离保护。隔离手段可以是用户侧通过使用加密计算环境实现隔离,可以通过各个产品中的权限管控等隔离手段实现,也可以通过在数据分类分级基础上的对数据脱敏使得未授权用户不得获取相关敏感信息来实现数据的隔离保护需求。
5)数据销毁安全
阿里云在终止为云服务客户提供服务时,会及时删除云服务客户数据资产或根据相关协议要求返还其数据资产。阿里云数据清除技术满足行业标准,清除操作留有完整记录,确保客户数据不被未授权访问。
4.5 应用安全
阿里云云通信产品和所有阿里云云产品一样,使用阿里云内部云产品安全生命周期平台进行内部安全风险管理。 云产品安全生命周期平台提供包括漏洞运营、架构审核、代码审计、渗透测试、安全解决方案等安全能力,在产品架构审核、开发、测试审核、应急响应的各个环节层层把关,拉通各个安全团队,赋能云产品安全能力。
4.6 业务安全
1)服务申请
真实有效的用户身份验证既符合对登记法人或者个人合法权益的有效保护,也符合监管对于短信服务使用者身份信息的甄别要求。
客户申请服务时,阿里云云通信会对所有客户进行实名制登记,再提供服务;针对风险场景、功能,还会对业务的安全性进行二次审核。所有实名制登记均需提供合法合规的书面证明文件;部分重要行业(如政府机构、事业单位)还会进行专人回访,以防止信息被滥用、冒用。
2)运营规范
阿里云云通信不但拥有完整的产品技术体系提供业务保障,还有着与之配套的运营基础,依托于严格的权限管理机制以及常年安全运营经验沉淀,为用户使用短信服务提供完善的内容审核,监管协查等多方面的支持与服务。
在智能化、精细化的运营管理思路下,阿里云云通信拥有独立的运营管理中心,所有影响生产环境的操作均受到严格的权限控制和监控。各运营节点均部署有不同技能的专业素养人员,保证权限和信息的最小可用性隔离。每一个运营人员入职起就进入到完整的信息安全培训体系以及业务技能培训体系中,并对运营质量进行周期性的复检,确保员工从入职之际开始,就能不断获得安全意识和运营能力的提升。
除内部的自我管理以外,阿里云云通信致力于为客户提供全面的业务支持,并基于丰富的运营经验和生产链路管理能力,当用户在使用短信服务过程中面临相关的监管协查时,安全运营将提供事件分析、处置建议、材料收集反馈等全流程的服务支持,并不断致力于其合规、高效、可视的演进。
3)合作伙伴管理
为了给客户提供更好的服务和体验,阿里云云通信除了不断增强自身能力外,集合各领域能力突出的合作伙伴一起打造更优的阿里云云通信短信服务。
阿里云云通信对合作伙伴制定明确的管理规范,约定合作伙伴违规情形和相关处罚,并明确合作伙伴的清退规则和流程。对不符合要求或违反合作条例的及时进行相应的处理,对于清退的合作伙伴确保相关账号权限及时关闭,数据及时清理。
对于资质造假,严重违反诚信原则、或因违约而给阿里云云通信及其客户造成重大损失或负面影响的合作伙伴,将视情节严重程度对其进行相应处罚或列为合作黑名单。
阿里云云通信在不同的场景对合作伙伴的安全能力有相应的要求,同时鼓励合作伙伴申请ISO27001/ISO27002等信息安全管理资质,并将其作为合作伙伴安全能力评价的组成部分。
阿里云云通信对通信供应商准入进行安全评估,合作过程中的安全性及规范性进行管理,以保障客户业务安全。
对于合作项目参与人员,在数据安全培训与考试、安全软件安装与终端安全配置、权限申请与审批、数据传输与使用、数据安全审计与监控、合作结束后交接及数据清理等方面有严格的规范与要求。对于违反相关规定的依据情节严重程度对其进行相应处罚,如造成阿里云云通信信息泄露,或影响客户及业务系统服务的,将依据双方约定、受损程度追究合作方法律责任。
对于软件供应商,阿里云云通信依据相关的法律法规对相关组件和软件进行相应的安全扫描和安全检测,存在中、高风险的禁止上线,如感知到风险事件或威胁,及时展开应急响应流程,快速降低风险事件/威胁对业务可能带来的安全风险。
4)产品发布变更
当产品要在新的迭代中实现新业务/新需求的时候,需要结合具体业务功能和业务场景,对其技术实现方案进行安全评估,以保障业务的合法合规性、提前发现漏洞,减少/杜绝业务逻辑漏洞,有效控制业务风险等。
阿里云云通信在以下场景进行产品发布变更安全评审:
当业务新建应用,或新增业务场景时,会进行线上及线下安全评审,对代码及业务流程进行审核。
当老应用进行日常迭代优化需求评审时,对diff内容进行安全审核。
当涉及敏感信息、会员登录管理、业务权限设计与管理、资金收账转账、交易流程更改等敏感业务功能时,会进行线下专家评审。
产品发布变更主要的安全管控措施如下:
安全培训:阿里云云通信研发、测试等人员固定时间点、周期内接受应用安全标准/规范、社会工程等方面的安全意识培训,并完成相应内容考试。
需求分析阶段,涉及安全相关或不确定性风险需求时,需求负责人主动发起风险评估,安全团队介入进行需求评审,识别风险并制定安全解决方案。
架构设计阶段:网络环境存在重大变更时,进行系统网络架构安全评审;业务存在重大变更时,进行应用级别安全评审。
开发阶段:应用研发过程中,遵循相应的应用安全开发规范和安全团队的编码建议方案,主动使用安全产品发现问题,上线前完成代码审计。
测试阶段:应用测试过程中,按照相关规范进行测试,根据安全部门要求进行安全测试,在上线前及时发现风险并进行处理。
发布迭代阶段:应用发布主动接入安全发布平台,接入安全检测能力,并建立相应的审核流程,当变更符合安全发布要求时,才可对外发布。
上线运行阶段:应用及功能上线后,部署线上安全产品防御线上风险。对于安全产品告警的风险,技术进行风险确认及修复。
4.7 内容安全
阿里云云通信基于多年的风险防控对抗经验、丰富的黑灰产数据积累及大数据分析建模能力,在内容安全领域沉淀了可用、可信、可靠的产品能力,以保障阿里云云通信云平台和客户业务安全稳定运行。阿里云云通信内容安全产品在短信服务的各个环节进行保护,将阿里云云通信在自然语言识别、大数据实时计算、大数据行为分析等多种技术全面结合,保障风险发现的准确性、全面性、及时性。
阿里云云通信积累了千万级风险画像标签和几百个不同场景风险库,同时积累了大量模型算法能力用于识别内容风险。无论是几个字的签名,还是几十个字的模板、短信内容等,阿里云云通信利用丰富的风险对抗经验及强大的机器学习能力,能够实现情报的准确搜集、异常行为的快速发现、黑灰产行为场景的高效识别等,为客户提供稳定、安全的服务。主要覆盖的风险识别场景有:涉诈、涉赌、涉黄、禁止行业、限制行业、低俗、恶意行为等。
对用户内容安全的保障,从数据能力积累上主要涉及的模型有四类:
变异还原类模型:该类模型通过将不同的形近字、音近字、图标、符号、拼音、外文等变异信息或干扰信息进行还原,以识别黑灰产团伙真实要表达的内容。
语义识别类模型:通过对文本内容的语义进行建模分析,识别黑灰产在文本内容中表达的真实意图、场景等。
特征抽取类模型:通过对文本内容的要素进行建模分析,识别黑灰产在文本内容中表达的关键特征。
风险识别类模型:通过对文本内容的场景进行建模分析,识别黑灰产在文本内容表达中可能存在的潜在风险。
对用户内容安全保障从驱动机制上分为主动检测、被动防御两种模式。
被动防御主要是基于阿里云云通信自身的业务场景及平台沉淀,在用户使用平台业务过程中及时识别产生的风险,并结合关联信息进行实时或者离线分析识别后进行处置。
主动检测主要是通过情报中心主动搜集外部违法违规风险信息,提取内容风险特征及场景,识别潜在威胁主动提升应对能力。
被动防御和主动检测互为补充,前者作为业务开展过程中发现安全事件必要采取的措施,后者补充提升被动发现的滞后性不足,并引入更广泛的风险特征和场景定义,提升风险预警的精准性,二者结合形成全面、及时和有效的安全识别能力。
对用户内容安全保障从业务环节上分为事前、事中、事后三个重要阶段进行防控和治理。
事前通过主动防御体系中的情报中心,及时引入安全变形和关联风险事件,针对时事热点事件可能引发的风险进行布防。
在短信发送过程中,通过三层过滤体系进行风险防控。首先,通过数据中心和风险识别模块在策略中心组装形成实时规则进行风险拦截。其次,依据风险分级分类规则将识别结果分流到系统处置模块,结合人工审核流程形成二次识别判断。最后校验结果直接触发处罚中心对风险实体对象进行处置,包括权限限制、业务关停等,同时对相似内容进行传播识别和干预。
短信发送后,阿里云云通信依旧会对离线数据、模型结果进行风险聚类分析,同时结合情报中心不断收集的外部情报,对可能漏出的风险或潜在新型风险进行追溯处置。
4.8 账户安全
阿里云云通信账号管理基于阿里云账号安全管理系统,为客户提供了多种工具和功能,用来帮助客户在各种情况下授权资源的使用权限,其中为客户提供RAM资源访问控制服务,用于用户身份管理与资源访问控制,并支持多因素认证,强密码策略、自定义API权限策略、支持多种限制条件(IP白名单、安全访问SSL/TLS)等。
4.9 安全监控与运营
阿里云云通信的安全监控,主要目的是及时发现平台自身的应用、主机、网络等资源被攻击的安全事件,并在发现安全事件后,触发内部应急流程进行处置,及时消除影响。
安全监控主要分为日志收集、异常分析检测、告警、处置。日志收集主要是将平台侧的主机日志、网络日志、应用日志进行收集,并采用实时计算、离线计算方式通过安全风控算法模型,对日志进行处理和分析,进而完成风险的发现与监控。一旦发现异常安全事件,会在内部的安全监控平台上进行告警,并通过钉钉、短信、电话、邮件等方式触发安全应急一号位及时进行处置。
阿里云云通信应急响应是指对云通信内部监控发现和外部上报的漏洞、风险事件做出应急处置。外部上报的途径包括外部开源三方组件、三方威胁情报、内部漏洞系统。一旦发现安全事件或漏洞立即触发应急响应流程,并按照标准流程处置。同时为了保障安全生产成立专门团队不定期的进行演练,以确保安全应急流程的有效性。