最近互联网小巨头爆炸新闻不断,大家有没有想过战斗一线的业务人员用什么“通风报信”?据我了解,眼下大小巨头、金融机构等都不允许在个人社交软件聊重要工作,要用必须用企业IM(即时通讯)软件。
可见,To B的社交软件打到最后其实还是要看安全。国内很多To B的IT、AI公司这两年火起来跟斯诺登事件后,IT系统国产化有直接关系。所以流量也好、补贴也好,一切互联网思维都要让位于最根本而又原始的需求——数据安全和隐私保护。
之前我曾经聊过,2018新年后,企业服务市场很热闹,不少巨头有大动作。今日头条被传出内部孵化的企业IM产品Lark今年将正式对外推出,另外2017年底美团推出IM工具“大象”,2018年的企业服务市场势必加速洗牌。
这两天我发现,很多To B企业已经在安全方面有所动作。做得最引人关注的是钉钉。
钉钉刚刚宣布已经正式通过了两项安全方面的权威资质:SOC2Type1服务审计报告和ISO27018(公有云体系下的隐私保护)证书。
很多人可能没有听过这两个证书。我来解释一下它们有什么意义,以及,为什么钉钉先拿到了。
权威资质对社交平台意味着什么
这两个资质都是SAAS服务商梦寐以求、用来证明自己系统安全性的证书。例如,SOC2微软和亚马逊AWS都拿过。
SOC报告(Report on System and Organization Controls)
目前国际SAAS提供商普遍认可的具有审计效果的报告,这个报告为SAAS服务商客户提供系统安全方面的保证。报告的内容框架和格式由美国注册会计师协会(AICPA)制定。
SOC报告2011年才有,分为三种类别,其中SOC2标准正在成为金融场景下的重要评判标准。它包含了安全性(Security),可用性(Availability),处理完整性(Processing Integrity),保密性(Confidentiality)和隐私性(Privacy)五项原则。
在钉钉拿到的SOC2Type1报告中,钉钉通过了安全性,保密性和隐私性三项原则的审计。值得注意的是,通过隐私性原则审计的SaaS供应商还是比较少的,钉钉在国内是第一家。据报道,目前在全世界范围内,通过了隐私原则审计SOC2报告的公司也屈指可数,不超过五家。
根据美国注册会计师协会的定义,通过隐私原则审计意味着,个人信息的收集、使用、保存、披露都要符合隐私注意事项和美国注册会计师协会设定的原则。
说白一点,钉钉拿到SOC2的意义在于,用户可以确认平台按照标准的控制手段,保证数据安全。控制手段的标准是由美国注册会计师协会制定的,被认为是“级别最高”、“全球最严”。
2016年钉钉背靠的阿里云拿到SOC2数据安全审计报告,据说设计过程涉及阿里云内部产品、研发、安全、服务等团队日常流程机制中的核心控制点共217项。当时也是中国的云计算服务提供商首次通过这一堪称“全球最严”的数据安全审计。
ISO27018
一个主要针对保护云计算中个人数据安全、隐私保护的国际标准。如果回顾一下,2016年年初,钉钉是中国首个通过国际信息安全领域的ISO27001:2013认证的企业级社交产品。这次又拿到ISO27018证书,可以看出,钉钉对于数据安全和隐私保护一贯有严格标准。
其实,在中国判断一个产品的安全程度一点都不难——看政府部门特别是安全部门用不用,立马见分晓。
企业方面自不必说,现在已经有超过500万家企业和组织在用钉钉。政府尤其是公安场景可以说是关键指标。钉钉通过了中国公安部的“信息系统安全等级保护”三级认证,很多公安系统单位都在用。据说,安全是选择钉钉的首要原因。
比较典型的例子是公安部儿童失踪信息紧急发布平台,也是依托于钉钉平台建立的组织架构。钉钉还是2016年杭州G20峰会、2017年金砖国家厦门峰会安全保障的唯一沟通协同平台。这两次大会的安保水平我相信大家都记忆犹新,安保工作敢在钉钉上沟通协调,应当是非常放心了。
钉钉为什么可以做到
钉钉对于用户数据安全和隐私保护的自信,也源于背后有1000多人的阿里安全部做后盾。
要说互联网平台安全,我想在中国很难找到比阿里安全部更千锤百炼的了。做这多年电商、支付宝如此大的交易量,不得不对战羊毛党、打黑灰产、反欺诈,技术完全是实战练出来的。
除此之外更重要的是云。这些年很多用户数据泄露都发生在云端,例如Uber去年曝光的用户数据泄露事件、特斯拉AWS被黑。阿里云吃下了国内公有云基础设施层近一半的市场份额。公认的是,阿里云具备国内最丰富的攻防对抗数据和样本。
大家应该还记得,先知创新大会上,阿里潘多拉安全实验室负责人宋杨说,他们的团队已在iPhone X上越狱iOS 11.2,而且还是完美越狱。阿里的安全团队确实已经达到了世界超一流的水平。
钉钉背靠的阿里安全体系是怎么样的强大?它把大数据风险防控和攻防研究集于一体。我们能想到的安防场景它都有,包括反入侵基础安全、数据安全、应用安全、业务安全、安全合规、红蓝对抗、线下专案打击等。
不难想象,这些年通过对海量数据的加工、计算、分析和处理,阿里安全系统实战锤炼出立体纵深防御体系,建立了全面的账户安全、信息保护、反欺诈等管理机制,阻挡黑客、黑灰产对钉钉用户数据的侵害。
钉钉也确实有自己独到的安全系统逻辑。比方说,钉钉除了自身固有的分布式数据存储加密系统,还引入了一种独特的安全服务模式——第三方加密。这样,密钥就由第三方托管,相当于给企业数据又加了一把锁,双重保险箱保障之下,只有用户才能打开数据。
开头也说过,很多企业不允许在个人社交网站谈重要工作。企业对于商业机密和信息安全天然具有更高需求,这也是企业级软件比个人社交软件更安全的重要原因。个人社交软件抓取用户信息(例如设备号)是市面上比较普遍的做法,毕竟涉及到广告变现等商业化需求。这一点上,钉钉也并不需要担心。阿里一直自称对钉钉的投入不设上限,也并无变现压力。
钉钉安全负责人罗锋也承认,钉钉以淘宝、天猫、支付宝等积累的多年安全经验为前提,建立了强大的移动办公生态保障体系。而钉钉作为企业级应用,一直把数据安全视为生命线。
总之
一个企业级社交软件为什么要费心思去拿资质认证呢?当然,并不是说没有拿到资质的其他社交平台都是不安全的。
第一,这恰恰表明钉钉的技术自信,没有拿资质的很多确实是因为技术原因;
第二,说明钉钉承诺的都经过了权威第三方double check,所言不虚,之后就不需要无谓的口水仗,毕竟这个资质报告有审计效果;
第三,表明钉钉对用户数据和隐私安全的重视,而很多平台可能只在危机公关会想到这个点吧。