腾讯企业邮箱

 近期，微信和WeChat相关产品及服务通过ISO27001:2013国际认证，认证的范围包括微信及WeChat客户端、微信支付，微信公众平台及企业常用的微信企业号等。

 

 

信息安全是企业规划与实施信息系统建设时重点考虑因素。此次认证意味着微信不仅为普通用户，更为企业应用提供全方位的安全保障服务。基于微信的总体安全策略，企业号在系统与机制、应用两个层面提供了更可靠的安全保障策略。

 

 

微信企业号的信息安全策略

 

 

 

1

系统与机制层面

 

如下图所示，在企业实施企业号的系统中，微信后台在云端部署，微信安装在用户的手机侧，企业IT系统部署在企业内网并通过防火墙接入互联网，实现与微信后台以及用户端微信的互通。

 

 

 

微信客户端、微信后台以及企业IT系统的三方通讯基于公网，微信采取了一系列的完善措施防止了通讯被监听、劫持和篡改，确保了通讯的安全。

 

微信客户端与后台的安全

1. 拥有完善的加密及防攻击措施，顺利通过ISO27001认证。

 

2. 企业号的通讯录加密存储，并采用自研的三机热备跨机房存储技术，确保了通讯录不泄露、不丢失。

 

通讯机制的安全

1. 通讯全部采取安全协议，全程加密，有效保障通信安全。

2. 微信后台调用企业IT系统，除https保障外，还使用企业自设的token对通信内容做AES加密。

 

企业IT系统的安全

企业IT系统的安全需要企业自身来保证。建议采用https协议，并防止DDOS、SQL/XSS注入等攻击。

微信侧也提供了如下机制，帮助企业加强安全。

 

1. 通过OAuth2接口可以获知访问用户的真实身份，拒绝非法访问。

 

2.当用户访问应用推送的消息，此时微信只是浏览器器，访问企业的应用系统，应用的数据及业务逻辑完全存储在企业侧，由企业掌控。

3. 拥有漏洞检测平台，可协助企业发现并修复漏洞。

 

2

应用层面

 

作为面向企业内部信息移动化的解决方案，微信企业号除了继承微信本身的安全机制外，还针对企业的需求和具体场景，提供了更多的应用层防护策略，以帮助企业更顺畅地实现内部系统与企业号的对接。

 

 

 

分级管理员

 

 

企业应用的复杂性，对管理人员的分级、分权限管理有着天然的要求。企业号的分级管理员方便的实现了对企业通讯录、企业应用及信息的分级分类管理。系统管理员可以创建不同的分级管理员并为他们分配相应的操作权限，以适应超大型集团企业的管理需求。

 

 

通讯录

 

用户注册企业号后，首先要在企业号管理平台中建立企业通讯录。

1.员工关注

只有企业通讯录里的成员才可以关注该企业号，从而杜绝企业号被外部人员关注的风险。

2.员工离职或调岗

当企业员工离职时，只需在企业号通讯录中删除该员工，该员工将无法再访问企业号。

当员工的工作岗位发生变动，只需更新该员工的成员信息，系统将会自动更新该员工的访问权限。

3.账号被盗或设备丢失

员工的微信被盗或者手机丢失，此时只需在管理后台“禁用”该员工，则该员工的微信将无法再访问企业号，直至员工状态恢复为正常态。

 

操作日志对通讯录中员工的状态变更有完善的记录，对于员工的关注、禁用、取消关注等动作都有迹可循。

 

 

消息安全

 

企业可以控制消息的发送对象，鉴别阅读消息的员工身份。

保密消息

对于定向发送不希望被传播的消息，企业可选择“保密消息”类型来进行发送，该消息发出后有如下特点：

1. 仅允许接收者访问该条消息，即便该消息进行转发，其他人也无权查看。

2. 该消息的展示页面会加上当前阅读者姓名的水印，降低阅读者截屏泄密风险。

 

OAuth2身份鉴权

当员工在微信中访问企业应用时，系统提供OAuth2身份鉴权机制，无需登录即可确定用户身份，防止非法访问。

 

 

第三方授权

 

通过第三方授权，企业可方便地使用第三方服务商提供的功能，从而节省自己开发的成本。在使用第三方的功能时，需要把通讯录、应用以及相应的接口授权给第三方。

 

在企业授权的安全方面，我们也提供了如下的权限等级机制：

授权成功后，企业号会将应用可见范围、通讯录范围作为通讯录授权给服务商。通讯录的授权有标识信息只读、全部信息只读、全部信息读写三级权限。标识信息只读时，以只读方式提供成员的userid、姓名、部门。

 

当企业不想再使用第三方应用时，可以取消授权。此后第三方不能访问企业的任何信息。

 

 

利用微信企业号建立与员工、上下游供应链与企业应用间的联系，让企业移动应用触手可及。