英飞·思想家作为一款云端在线可视化协作产品,企业往往会将生产数据等资料存储在英飞思想家上,因此数据安全尤为重要。本篇将介绍英飞·思想家是如何将安全稳定作为最高优先级目标,通过多重措施保障信息安全的。
一. 系统网络安全
1. 物理安全
英飞·思想家是部署在国内领先的阿里云,腾讯云平台上的,采用多云架构,多可用区设计异地容灾,多盘备份,服务容量可行弹性伸缩,确保服务可用性。
英飞·思想家系统也可以提供私有化部署方案,以满足更严苛级别的企业安全需求。
2. 网络安全
英飞·思想家系统网络安全架构基于领先的阿里云和腾讯云构建,所有的服务都处于多重安全防火墙的保护之下,保证数据安全。
2.1 DDos防护
英飞·思想家通过云盾产品实现对 DDoS 的防护,可以自动防御一定流量的攻击。此外对于大流量的攻击,英飞·思想家会在运维安排和技术手段两方面的应急预案, 保证服务的高可用性。
2.2 网络访问控制
所有生产环境服务器按照逻辑分组之间,使用安全组(防火墙)进行隔离,每个安全组之间的互访都定义了严格的流入和流出规则。所有生产环境服务器都需要通过防火墙才能访问。
2.3 数据传输加密
英飞·思想家的所有数据传输都通过 TLS/SSL 协议传输(详情请参考 RFC5246 及 RFC6176)),以此可确保企业在英飞·思想家上进行的任何信息资料的双向传输在链路上都是高强度加密传输的,是不可能被第三方非法篡改和窃取的,同时 HTTPS 证书保证了企业访问英飞·思想家时不会被中间人污染。
相比于没有采用 TLS/SSL 技术的服务,所有信息都是加密传播,第三方无法窃听,具有校验机制,一旦被篡改,通信双方会立刻发现,配备身份证书,防止身份被冒充。
3. 爬虫协议
爬虫协议处理:Robots 协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准〞(Robots Exclusion Protocol),网站通过 Robots 协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。英飞思想家只允许搜索引擎抓取用户开放共享的页面,用户相关的数据都不允许抓取。
二. 数据安全
1. 内容加密存储
存储在英飞·思想家的核心数据都经过加密处理,借助实施逻辑和物理安全控制来防止未经授权的访问,所有的密钥都会经过行业标准的 256 位强加密算法进行加密。
2. 数据可靠性保障
所有加密后的文件数据都会存储到物理磁盘上,每一个文件都会进行备份,保证拥有多重冗余。整个文件数据底层存储引擎的可靠性指标为行业数据存储的顶级水平 ,电信级别的保障,确保企业的文件落盘后不会损失。
3. SQL防注入
英飞·思想家系统自开发到系统上线全过程都做好了充足的接口安全测试,对所有接口请求参数和数据库执行语句都进行了预处理,确保数据库安全。
4. 高可用设计
英飞·思想家采用高可用系统设计,采用多机热备,保证当单个可用区出现问题时余下的可用区能够继续提供服务。所有数据相关服务都做了合理的规划,避免单点故障。
5. 用户权限和操作日志
英飞·思想家提供一套企业级的权限设计,可以为每个用户指定了角色和权限,同时记录了用户行为日志,便于用户发现自己的账号是否存在异常操作,确保用户的个人数据安全。
6. 修改记录与回滚
英飞·思想家会记录用户对文档的操作记录,以及会定时的为用户生成历史版本,可追溯到每条修改记录,并能够在需要的时候,还原到任意一个历史版本。
三. 运维安全
英飞·思想家非常注重运维安全,并一直在不断审视和优化运维工作流程,拥有一套切实可行的运维流程、以及应急灾难处理机制。
1. 资料权限控制
所有能够接触到生产环境服务器的人员,都进行了严格的分级,对于数据中心只有极少数的人员得到授权时才可以访问。对于所有数据访问操作都有操作日志,可以精确到时间(毫秒)、IP 地址和子用户。提供相应报警机制,对于异地登录、敏感数据异常访问等情况都能进行实时报警。
2. 服务器权限控制
英飞·思想家所有线上服务器均做了端口和来源 IP 的白名单,线上服务器使用了前置SLB 实现外网与内部环境的隔离和安全限制。
英飞·思想家员工需要登录内部服务器时,都必须采用密钥对登录,无法使用密码登录,这种登录授权方式,使得恶意攻击无法通过猜测服务器的用户名和密码来连接服务器。安全系统实现运维身份鉴别、账号管控、操作审计,整个过程满足如下法规要求:
● 《等级保护》系列文件中的技术审计要求
● 《ISO27000》系列文件中的技术审计要求
3. 应急制度
英飞·思想家有专门的「119危机应对小组」,由 CTO 直接负责,该组由各个组的核心负责人组成。运维部门 7X24 小时随时响应系统报警,对任何故障进行快速处理。应急预案包括了从收到报警、故障等级判定、事故处理、公告发布、信息同步到客户反馈等一整套详细的处理过程。
与此同时,研发内部会定期进行灾难演练。如对特定服务进行故障模拟,观察故障后其他关联服务是否会受到影响,以及影响范围。
4. 办公室网络隔离
办公、开发机和运营机网络隔离,进一步提升数据安全性,同时,开发环境与正式环境的隔离,可以有效防止开发人员直接接触用户数据。
四.数据安全资质
1. 国家信息安全等级保护三级认证
国家信息安全等级保护三级认证又被称为等保三级,是中国最权威的信息产品安全等级资格认证,由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。
其中三级是国家对非银行机构的最高级认证,属于 “监管级别”,由国家信息安全监管部门进行监督、检查,认证需要测评内容涵盖等级保护安全技术要求 5 个层面和安全管理要求的 5 个层面,主要包含信息保护、安全审计、通信保密等在内的近 300 项要求,共涉及测评分类 73 类,要求十分严格。
2. 信息安全管理体系认证
信息安全管理体系认证证书是针对企业信息安全管理体系的认证,是确认企业信息安全管理体系符合国际标准的证明。由经中国国家认证认可监督管理委员会批准的中标联合认证发放,认证中包含国际与国内两个标准,对于企业信息安全管理的审核严苛。
ISO 27001:信息技术 - 信息安全管理系统 - 要求,为信息安全管理体系(ISMS)的国际标准,是企业信息安全的最高标准。ISO 27001核心是通过一系列安全措施和流程来防止对信息的保密性、完整性和可用性发生风险。
GB/T 22080-2016是信息安全管理体系规范,是ISO 27001的中国本土标准,适用于国内企业的信息安全管理体系规划、建立、实施、监测、评审和改进。
3、产品兼容性认证
深圳英飞无限科技有限公司与飞腾信息技术有限公司(简称:飞腾)完成产品兼容性认证。测试结果表明,英飞·思想家能在飞腾腾锐D2000、飞腾腾云S2500两款处理器平台上顺利安装,运行稳定,兼容性良好。该认证意味着英飞·思想家产品可以满足用户在信创产品方面的需求,助力转型升级。
飞腾公司致力于国产高性能、低功耗通用计算微处理器的设计研发和产业化推广,同时联合众多国产软硬件生态厂商,提供基于国际主流技术标准、中国自主先进的全国生产信息系统整体解决方案,支撑国家信息安全和重要工业安全。
产品兼容性互认证是加速国产化生态建设、促进关键领域国产化的重要方式。一直以来,飞腾积极推动我国信息产业国产化发展的步伐,为关键信息基础设施行业的发展提供了新动能。
