《阿里云云通信短信服务安全白皮书》——安全架构——六、 业务安全

简介: 《阿里云云通信短信服务安全白皮书》——安全架构——六、 业务安全

六、 业务安全

 

1. 服务申请

 

真实有效的用户身份验证既符合对登记法人或者个人合法权益的有效保护,也符合监管对于短信服务使用者身份信息的甄别要求。

 

客户申请服务时,阿里云云通信会对所有客户进行实名制登记,再提供服务;针对风险场景、功能,还会对业务的安全性进行二次审核。所有实名制登记均需提供合法合规的书面证明文件;部分重要行业(如政府机构、事业单位)还会进行专人回访,以防止信息被滥用、冒用。

 

2. 运营规范

 

阿里云云通信不但拥有完整的产品技术体系提供业务保障,还有着与之配套的运营基础,依托于严格的权限管理机制以及常年安全运营经验沉淀,为用户使用短信服务提供完善的内容审核,监管协查等多方面的支持与服务。

 

在智能化、精细化的运营管理思路下,阿里云云通信拥有独立的运营管理中心,所有影响生产环境的操作均受到严格的权限控制和监控。各运营节点均部署有不同技能的专业素养人员,保证权限和信息的最小可用性隔离。每一个运营人员入职起就进入到完整的信息安全培训体系以及业务技能培训体系中,并对运营质量进行周期性的复检,确保员工从入职之际开始,就能不断获得安全意识和运营能力的提升。

 

除内部的自我管理以外,阿里云云通信致力于为客户提供全面的业务支持,并基于丰富的运营经验和生产链路管理能力,当用户在使用短信服务过程中面临相关的监管协查时,安全运营将提供事件分析、处置建议、材料收集反馈等全流程的服务支持,并不断致力于其合规、高效、可视的演进。

 

3. 合作伙伴管理

 

为了给客户提供更好的服务和体验,阿里云云通信除了不断增强自身能力外,集合各领域能力突出的合作伙伴一起打造更优的阿里云云通信短信服务。

 

阿里云云通信对合作伙伴制定明确的管理规范,约定合作伙伴违规情形和相关处罚,并明确合作伙伴的清退规则和流程。对不符合要求或违反合作条例的及时进行相应的处理,对于清退的合作伙伴确保相关账号权限及时关闭,数据及时清理。

 

对于资质造假,严重违反诚信原则、或因违约而给阿里云云通信及其客户造成重大损失或负面影响的合作伙伴,将视情节严重程度对其进行相应处罚或列为合作黑名单。

 

阿里云云通信在不同的场景对合作伙伴的安全能力有相应的要求,同时鼓励合作伙伴申请ISO27001/ISO27002等信息安全管理资质,并将其作为合作伙伴安全能力评价的组成部分。

 

阿里云云通信对通信供应商准入进行安全评估,合作过程中的安全性及规范性进行管理,以保障客户业务安全。

 

对于合作项目参与人员,在数据安全培训与考试、安全软件安装与终端安全配置、权限申请与审批、数据传输与使用、数据安全审计与监控、合作结束后交接及数据清理等方面有严格的规范与要求。对于违反相关规定的依据情节严重程度对其进行相应处罚,如造成阿里云云通信信息泄露,或影响客户及业务系统服务的,将依据双方约定、受损程度追究合作方法律责任。

 

对于软件供应商,阿里云云通信依据相关的法律法规对相关组件和软件进行相应的安全扫描和安全检测,存在中、高风险的禁止上线,如感知到风险事件或威胁,第一时间展开应急响应流程,快速降低风险事件/威胁对业务可能带来的安全风险。

 

4. 产品发布变更

 

当产品要在新的迭代中实现新业务/新需求的时候,需要结合具体业务功能和业务场景,对其技术实现方案进行安全评估,以保障业务的合法合规性、提前发现漏洞,减少/杜绝业务逻辑漏洞,有效控制业务风险等。

 

1) 阿里云云通信在以下场景进行产品发布变更安全评审:

 

当业务新建应用,或新增业务场景时,会进行线上及线下安全评审,对代码及业务流程进行审核。

 

当老应用进行日常迭代优化需求评审时,对DIFF进行安全审核。

 

当涉及敏感信息、会员登录管理、业务权限设计与管理、资金收账转账、交易流程更改等敏感业务功能时,会进行线下专家评审。


2) 产品发布变更主要的安全管控措施如下:

 

安全培训阿里云云通信研发、测试等人员固定时间点、周期内接受应用安全标准/规范、社会工程等方面的安全意识培训,并完成相应内容考试。

 

需求分析阶段涉及安全相关或不确定性风险需求时,需求负责人主动发起风险评估,安全团队介入进行需求评审,识别风险并制定安全解决方案。

 

架构设计阶段网络环境存在重大变更时,进行系统网络架构安全评审;业务存在重大变更时,进行应用级别安全评审。

 

开发阶段应用研发过程中,遵循相应的应用安全开发规范和安全团队的编码建议方案,主动使用安全产品发现问题,上线前完成代码审计。

 

测试阶段应用测试过程中,按照相关规范进行测试,根据安全部门要求进行安全测试,在上线前及时发现风险并进行处理。

 

发布迭代阶段应用发布主动接入安全发布平台,接入安全检测能力,并建立相应的审核流程,当变更符合安全发布要求时,才可对外发布。

 

上线运行阶段:应用及功能上线后,部署线上安全产品防御线上风险。对于安全产品告警的风险,技术进行风险确认及修复。

目录
打赏
0
1
0
0
52
分享
相关文章
阿里云资深架构师经验分享——DevSecOps最佳实践
本文将分享阿里云在DevSecOps中设计环节的实践经验,希望能够让大家理解阿里云是如何保障产品安全水位,并希望这些经验能够帮助到正在尝试落地DevSecOps解决方案的企业。
556 167
阿里云资深架构师经验分享——DevSecOps最佳实践
阿里云SLB深度解析:从流量分发到架构优化的技术实践
本文深入探讨了阿里云负载均衡服务(SLB)的核心技术与应用场景,从流量分配到架构创新全面解析其价值。SLB不仅是简单的流量分发工具,更是支撑高并发、保障系统稳定性的智能中枢。文章涵盖四层与七层负载均衡原理、弹性伸缩引擎、智能DNS解析等核心技术,并结合电商大促、微服务灰度发布等实战场景提供实施指南。同时,针对性能调优与安全防护,分享连接复用优化、DDoS防御及零信任架构集成的实践经验,助力企业构建面向未来的弹性架构。
167 76
阿里云X86/ARM/GPU/裸金属/超算等五大服务器架构技术特点、场景适配与选型策略
在我们选购阿里云服务器的时候,云服务器架构有X86计算、ARM计算、GPU/FPGA/ASIC、弹性裸金属服务器、高性能计算可选,有的用户并不清楚他们之间有何区别。本文将深入解析这些架构的特点、优势及适用场景,帮助用户更好地根据实际需求做出选择。
云原生时代的应用架构演进:从微服务到 Serverless 的阿里云实践
云原生技术正重塑企业数字化转型路径。阿里云作为亚太领先云服务商,提供完整云原生产品矩阵:容器服务ACK优化启动速度与镜像分发效率;MSE微服务引擎保障高可用性;ASM服务网格降低资源消耗;函数计算FC突破冷启动瓶颈;SAE重新定义PaaS边界;PolarDB数据库实现存储计算分离;DataWorks简化数据湖构建;Flink实时计算助力风控系统。这些技术已在多行业落地,推动效率提升与商业模式创新,助力企业在数字化浪潮中占据先机。
105 12
阿里云通用算力型U1实例怎么样?u1实例技术架构、场景适配与优惠价格参考
阿里云服务器ECS 通用算力型u1实例2核4G,5M固定带宽,80G ESSD Entry盘,企业用户专享优惠价格199元1年,很多用户关心这个款云服务器怎么样?阿里云通用算力型U1实例自推出以来,凭借独特的"均衡算力+智能调度"设计理念,在IaaS市场开辟出差异化的竞争赛道。本文将通过技术架构解析、典型场景适配分析、全生命周期成本测算三个维度,全面解构这款热门云服务器实例的核心价值,以供参考和选择。
基于阿里云的开源应用智能管理架构设计与工程实践
本文以Websoft9技术方案为例,探讨企业级应用管理的范式。通过解析开源应用管理面临的部署复杂性、运维低效性和知识碎片化三大挑战,提出基于阿里云的三层架构:智能应用管理门户、核心功能层和基础设施层。文章详细阐述了应用编排标准化(IaC实践)、智能运维体系构建及知识资产数字化的技术实现路径,并结合金融与制造行业的案例,展示解决方案的实际效果。最后提供开发者资源与工具链支持,助力企业高效管理应用。
126 1
深度用云——释放企业潜能 | 网络先行——阿里云网络卓越架构白皮书正式发布
深度用云——释放企业潜能 | 网络先行——阿里云网络卓越架构白皮书正式发布
刷新世界纪录!阿里云PolarDB凭借创新的「三层解耦」架构刷新TPC-C基准测试世界纪录
刷新世界纪录!阿里云PolarDB凭借创新的「三层解耦」架构刷新TPC-C基准测试世界纪录
基于阿里云容器服务(ACK)的微服务架构设计与实践
本文介绍如何利用阿里云容器服务Kubernetes版(ACK)构建高可用、可扩展的微服务架构。通过电商平台案例,展示基于Java(Spring Boot)、Docker、Nacos等技术的开发、容器化、部署流程,涵盖服务注册、API网关、监控日志及性能优化实践,帮助企业实现云原生转型。
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等