每刻报销安全白皮书 v1.0

2016年8月18日 前言 每刻报销是杭州每刻科技有限公司自主创新，面向企业的SAAS报销云平台，基于每刻科技多年安全技术研究积累的成果，打造了业界一流的安全保障体系、高可靠的系统实现机制，为企业在每刻报销云端的数据信息提供全方位的安全保障！ 术语定义 lSDL：Security Development Lifecycle的简称，安全开发生命周期；l撞库：撞库是黑客通过收集互联网已泄露的账户和密码信息，生成对应的字典表，尝试批量登陆网站后，得到一系列可以登录的账户；lDDOS攻击：分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于C/S技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动流量攻击，造成目标的业务系统无法提供服务； 1.组织安全 每刻报销安全团队由安全管理委员会、信息安全、安全审计团队组成，通过高效、协同的工作给广大企业用户提供稳定、健康、安全的使用环境。 1.1.安全管理委员会 安全管理委员会成员由安全团队负责人、产品负责人及技术负责人组成，监督并决策信息安全体系的建设，对每刻报销业务整体安全负责。 1.2.信息安全团队 信息安全团队由应用安全、系统&网络安全、安全开发专家组成，信息安全团队负责产品安全架构及安全运营工作，是每刻报销信息安全体系的建设者，在安全策略、安全开发流程设计、落实及执行中扮演重要的角色。 (一)开发和运营入侵检测、攻击防护产品，提供7*24小时安全监控，动态联动防攻击产品。如: DDOS防御系统、漏洞扫描与检测等；(二)依据数据类别及安全等级，设计访问控制策略,通过技术手段制定隔离措施和访问控制管理流程;(三)依据业务系统访问逻辑,审核访问请求，自动化监控可疑活动（例如：数据的非授权访问及操作）并实时审计，定期复查其执行情况;(四)通过安全解决方案流程，在产品设计阶段，对功能需求进行安全评审，在产品发布前，进行安全测试以及产品发布后，进行安全回归测试，以保障每刻报销业务的安全运营；(五)借助公司的人才资源及技术沉淀，定期对每刻报销内部和外部应用进行漏洞检测与扫描，及时发现安全漏洞，并在预期时间内完成漏洞修复；(六)遵循信息安全事件管理标准,依据数据安全性的危害程度定义安全事件类别和响应流程，提供全天候人工和系统的监控识别、分析和处理信息安全事件的能力；(七)定期进行攻防演练，评估安全策略可靠性和控制措施的适用性；(八)定期为每刻的员工提供安全意识培训,包括个人准则、信息保护、数据安全认证和安全开发等领域;(九)积极参予安全论坛与会议，吸取业界前沿的安全技术并保持与外部安全专家、白帽子 黑客的交流沟通; 1.3.安全审计团队 安全审计团队主要对每刻报销系统化的监测、控制、处理、独立审查，以验证是否满足信息安全体及标准，通过审计以满足合规性要求。 2.合规安全 2.1.安全体系 (一)推动信息安全体系(ISMS)建立与实施，采用以风险管理为核心的方法管理公司和用户信息，保障信息的保密性、完整性及可用性；安全审计团队依据该安全标准，审核每刻报销技术方案与技术框架内部信息安全管理同国际信息安全最佳实践接轨。 (二)等级保护基本要求：根据国家下发的《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》开展信息安全等级保护工作，主要是指对国家、法人和其他组织及公民的专有信息，公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应与处置。 2.2.政策合规 (一)每刻根据国家信息安全相关法律、法规要求，设置与信息安全监控机构之间的联络员，制定实施程序，以确保提供的每刻报销产品符合国家关于知识产权相关法律和法规要求。 (二)每刻同所有企业及开发者签署保密协议，并通过定期检查识别、记录、评审保密协议中数据安全的相关控制要求(如访问控制、防泄露及完整性要求)，防止不正当披露、篡改和破坏数据。 3.人员安全 3.1.尽职调查 在入职前,杭州每刻科技在国家法律法规允许的情况下,通过一系列背景调查手段来确保入职的员工符合公司的行为准则、保密规定、商业道德和信息安全政策,背景调查手段涉及刑事、职业履历和信息安全等方面,背景调查的程度取决于岗位需求。 3.2.安全生产 在入职后,所有的员工必须签署保密协议,确认收到并遵守杭州每刻科技的安全政策和保密要尤其关于客户信息和数据的机密性要求将在入职培训过程中被重点强调。此外,每刻员工的工作角色进行额外信息安全培训,确保员工管理的用户数据必须按照安全策略执行。最后，每刻通过企业价值观考核的方式检验每位员工是否以诚信、敬业的态度来管理每位客户的云端数据，保证其对客户、合作伙伴和竞争对手的尊重；，每刻提供机密报告机制以确保员工可以匿名报告任何违反安全政策、商业道德的事件。 4.数据安全 信息安全主要目标之一是保护业务系统和应用程序的基础数据安全。依据数据安全生命周期，每刻报销从数据创建、存储、使用、共享、归档至销毁，使用了数据分级、数据加密等措施，保障了数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。 4.1.数据分级 每刻报销对所有用户和企业数据提供存储安全保护；根据存储与使用的数据，实施数据等级保护策略，按照数据价值和敏感度对数据进行等级划分，根据数据安全分级，有对应的保护策略和要求，对用户和企业数据进行安全存储与保护。 4.2.数据加密 每刻凭借以数据为中心的安全愿景，通过数据分类分级、数据加密和密钥管理为敏感数据提供可持续的信息保护，实现数据的灵活性、可靠性和可管理性； 借助第三方独立SaaS云加密供应商的产品实现数据安全保护和控制，将安全技术嵌入至整个数据安全生命周期中，以保障数据安全属性。 4.3.密钥管理 通过与第三方独立SaaS云加密供应商的合作，每刻报销的企业用户可以享受独立的秘钥管理服务。加密平台负责为用户提供密钥的存储、使用、分发、更新等，并提供数据加解密及业务级别敏感数据保护。它的设计与管理满足行业合规性及审计要求。 4.4.数据访问 每刻报销为用户和企业数据提供访问控制保障。所有产品使用的数据，用户隐私或机密数据严格控制权限申请，数据加密存储；第三方应用访问与使用用户或企业数据，必需经过企业、用户可感知的授权。 4.5.数据使用与防爬 每刻报销根据用户和企业数据进行了等级保护，对用户使用和应用展示进行了严格控制，禁止展示机密信息及未脱敏信息，同时对于需要展示信息的场景,使用了防爬安全产品，阻断对敏感信息的爬取。 4.6.数据安全审计 安全审计覆盖所有数据活动的详细跟踪记录，并进行实时的语境分析和行为过滤，从而实现对用户访问行为的主动控制，生成审计员所需要的信息。生成的结果报表使所有数据活动详细可见，如登录失败、权限升级、计划变更、非法访问、敏感数据访问等，这些行为是否合规一览无余并做到所有用户操作有踪可寻。 5.业务安全 5.1.账号安全 账号安全体系依托口令策略和访问控制策略，禁用弱口令，监控非法登录尝试。对非常用设备的登陆，需用户进行密码+动态口令登录的双因素验证。同时，通过账号监测平台，对用户同设备批量尝试登录账号进行监控报警，发现攻击行为，可将该设备拉至黑名单。除已有的风控体系外，也会提供相应的安全辅助功能，如二次验证、双因素认证、指纹验证等方式，给用户账号安全保障提供更多维度的选择。 5.2.暴力破解与撞库 每刻报销账号基于可信设备判断是否进行二次验证，同时基于后端风控体系，实时监测账号破解、撞库与刷库等攻击行为，告警通知及处置恶意请求；账号依据信息安全风险库检测账号是否存在风险，发现存在风险的账号及时告知用户，进行账号密码的升级。 5.3.协议安全 基于SSL/TLS协议为应用程序提供数据保密性和完整性的基础上，每刻报销构建了一套完整的私有安全通信协议，通过加密用户在网络传输中的信息，防止窃听，以确保信息在网络中传输安全。 5.4.数据备份 每刻报销数据备份具备自动化、永远在线、热备份的特点。 5.5.客户端加密 每刻报销客户端的数据库进行了整库加密存储，根据用户设备信息通过加密算法生成的唯一密钥，保护用户客户端存储的敏感信息不被攻击者非法获取，保障用户的隐私数据不被泄露。 6.网络安全 6.1.访问控制 每刻报销的各类服务只有在经过安全团队审核之后，才能发布上线并对公众服务。高危端口和服务禁止对互联网开放。内部后台应用仅对办公网开放。安全团队定时地依据ACL规则进行白盒审计，依据端口扫描进行黑盒审计，用于主动及时发现访问控制中存在的安全问题。 6.2.流量劫持 针对http协议在网络传输过程中，可能会被篡改/窃听/截取，为了防止用户的隐私数据在传输过程中被窃听或者泄露，集团的重要业务都已经启用https协议来代替http协议。对于DNS劫持，每刻报销安全团队通过多种手段在全国范围内监控重要域名的解析结果，一旦发现有严重的DNS劫持，有专业的安全工程师快速响应。 6.3.DDos防御 每刻报销依托于阿里云平台，阿里云针对数据中心主骨网入口自建了流量清洗中心，DDoS清洗中心抵御各类基于网络层、传输层的DDoS攻击（包括SYN Flood、UDP Flood、UDP DNSQuery Flood、(M)Stream Flood、ICMP Flood等所有DDoS攻击方式），并通过安全运营后台实时掌握网络攻击趋势及防御状态。 6.4.七层攻击防御 每刻报销依托于阿里云平台，阿里云统一部署了阿里安全团队研发的应用层攻击防御产品(TMD)，主要用于检测与防护CC攻击,防御规则可根据业务自由定制，安全工程师通过安全运营后台实时掌握应攻击与防御情况。 7.灾难恢复与业务连续性 每刻报销依托于阿里云平台，能够应对线上各类风险，具有自动调整和快速反应的能力，保障每刻报销业务连续运转。 7.1.应急与灾备技术 阿里云建立了本地应急系统及容灾系统，本地应急系统、容灾系统与生产系统相互配合共同保证整体业务连续性。 灾备采用双机房互备，数据库主备库热备，通过自动化运维平台，实时故障检测，切换无需人工干预，保障核心应用不中断，系统恢复方便快捷，可进行自动伸缩扩容，在突发事件及自然灾害时，为每刻报销的服务可用性及可持续服务提供保障能力。 7.2.应急与灾难恢复管理 阿里云建立了完备的应急响应及灾难恢复流程。应急响应组由安全专家、业务专家、技术专家组成，制定了完备的应急响应制度及灾难恢复流程，并定期组织灾备演习和维护。