纷享销客连接型CRM安全橙皮书(2024).docx

目录Ol纷享销客安全战略02组跳及人员安全21信息安全委员会2.2信息安全俣障团队2.2.1安全专家团队22.2安仝审计团队23安全人员管理03物理与环境安全31物理安全32环境控制04网叫安全41安全区域划分与隔离42网培访问控制4.3笑生机44网珞入侵险测4.5 则谢脚4.6 WAF(Web应用防火墙;05主机安全5.1安全基线52配管检测5.3主机入侵的测54ttte5.5洞洞萱理5.6系统加固06政据安全6.10据安全采集6.2数据加密传储6.3数据分圾与加密存性64敷招安全使用6.5理户间败枪陷烫66数Jg安全销毁6.7数据防劭索6.8个人数抿酷和保沪6.据安全审计07应用安全7.1安全开发生命周期SD1.)7.2应用安全扫描7.3代码安全宙核7.4安全港透测送7.5应用修端安全7.6用户务号安全lfe安全送雄运8.1粮号权限管理82运维接入安全83安全豕洞管理8.4安全事件管理8. 5业务逐统性管理与灾建恢复09安全合提认证9. 1ISO27001认证9.1 2«IaJK跳安全SMA定MMeP)93ISO9C01认证94ISO20000信息技术服务管理体系认证9.5 ISO27701:2019隐私值患管理体系认证证书9.6 SOC1&22023年审计报告纷享销客安全战略作为国内领先的CRMSaaS服务提供商，纷享锢客深知客户数据的安全性对于企业可持续发展的重要住,面对日益复杂的网络威胁和不断变化的合规要求，我们始终将“安全至上”作为企业战略的核心，我们的发展规划和运营管理都紧密围绕着这一感则，确保我们的安全措施能够与时俱进，不断地满足甚至超越客户的安全预期.酚享精客安*系2总体来看，纷享俏客的安全体系覆盖多个层面，包括物理安全,网络安全、应用安全、主机安全、数据安全以及人员安全，物理安全措施确保我们的设施具备稳定地对抗物理入侵的能力；网络安全措施包括先进的防火培、入侵检测系统和网络隔离技术，保降客户数据在传输和存储过程中的安全；应用安全层面，我们运用最新的代据审计和漏洞扫描技术，保证我们的软件产品能够抵御各种攻击；数抠安全层面，我们采用加容技术并采取了严格的数据访问控制策略，确保客户数据的机密性,完整性和可用性.此外，我们还对员工进行定期的安全培训和意识提升，确保每一位员工都能成为安全防线上的空要一员纷享销客严格遵循国内外信息安全标准与法规，我们取得了信息系统安全等级保护定级（三级）、ISO270014ISO27701,ISO20000、ISO9001、SOCITyPeI1.SOC2TypeIl等资质认证，确保全面的法律合规性，在未来的发展中，纷享销客将持续强化我们的安全战略.我们承诺在技术'管理和文化层面提升安全能力，为客户提供最安全的（KMSIwS服务，确保客户数据的安全，并携手客户实现安全、稳健、可持续的发展.组织及人员安全组织及人员安全是纷享辎客安全战略中的箪要蛆成部分，我们致力于确保姐织内部和员工的安全，井采取一系列措施来预防和应财安全威胁,我们将持续改进和更新安全措族.以适应不断变化的威胁环境，井确保蛆织和员工的安全意识和培训得到充分关注和支持.2.1值息安全委员会纷享销客组建了信息安全委员会，负责制定安全策珞、设计与执行安全开发流程、落实各项安全措施.以及指导安全审计工作执行与听取安全由计汇报并计对性改进安全搭楼.委员会由CTO接领导，成员组成包括安全架构师、应用安全专家,系统和网络安全专家、安全开发专家.各业务线的安全负责人等,各成员负费贯彻安全措施,通过定期沟通、检查、完善安全方面的工作，加强安全詈理，应对各种安全威胁,为客户提供检定、健康、安全的工作环境.CTOZ港息安全保障团队2.2.1安全专家团队安全专家团队由安全架构师、应用安全专家、系统和网络安全专冢、安全开发专家等专家团队组成，关注从设计到最终产品实施的整个开发、运管、维护过程，通过开发工具,优化流程、强化意识、安全培w.愧卑安全生产。主基职责包括I协同业界顶尖的安全技术供应商,针对入侵检测与攻击防护的需求,进行全面的产品设计与开发，并良责持续的运出维护。提供全天候（7*24小时）的安全监控隔务，执行定期的漏洞扫描与深度检测.2基于数据的更要性和敏感性，制定精细化的访问控制策略.运用先进的技术手段实施隔离措施，并构建一套完善的访问控制管理流程，确保数据的机密性、完整性和可用性.深入分析业务系统的访问逻精，严格审核所有访问请求，通过自动化工具实时监控可疑活动，如非授权的数据访问和操作，并进行实时审计。定期对安全策略的执行情况进行复查，确保其有效性。在产品设计阶段，引入安全评审机制，确保功能需求符合安全标准,产品发布前，进行全面的安全测试，确保无安全隐患.产品发布后，持续进行安全回归测试，确保业务安全稳定运行.结合公司内部的技术积累和外部专业安全机构的资源，定期对内部和外部应用进行深度漏洞幡测与扫描.一旦发现安全漏洞，立即启动应急响应机制，确保在预期时间内完成漏洞修复。避循国际信息安全事件管理标准，根据数据安全性的危古程度定义安全事件类别和响应流程。建立全天候的自动与人工结合的监控识别、分析和处理信息安全事件的转力，确保在安全事件发生时茂够迅速、有效地应对，定期组织安全演练，模拟真实场景下的安全威胁，评估安全策略的可靠性和控制措施的适用性。通过演练发现潜在的安全风险，并持续改进安全策略。针对员工开展定期的安全意识培训，涵盖个人信息安全准则、信息保护、数据安全认证和安全开发等领域。提高员工的安全意识，增强企业的整体安全防护能力。积极参与国内外安全论坛与会议，跟踪业界前沿的安全技术动态,与外部安全专家,白帽子极客保持紧宓的交流与合作，共享安全知识和经毅，共同提升整个行业的安全水平。2.2.2安全事计团队纷享销客为确保信息安全及合规性，特此设立了专门的安全审计团队.该团队将对公司产品进行全面的监测、控制与处理，同时展开独立审查，以验证产品是否达到既定的信息安全体系与标准.在此过程中,团队叁考并遵循包括G8/T22080-2016/ISO/IEC27001:2013,IS0IEC27701:2019以及£信息安全技术网络安全等级保护基本要求3(GB/T22239-2019)等在内的多项国际与国内标准，隔保公司业务的合规性.2. 3安全人员管理享销客为确保新入职员工符合公司的行为准则、保密规定、商业道便和信息安全政策,会在国家法律法规允许的病IS内，采取一系列背景调杳措施.同时，新员工入职时，必须按照公司规定签詈保密协议.此外，蚣享销客安全团队会针对不同岗位的员工.特接开展安全培训和宣导工作，内容涵盅网络安全基把知识、安全开发知识与最佳实践、电硅安全意识以及公司安全规范条例等，旨在提升员工的安全意识与防范能力。学习2083点燹1200收藏400学习2289点皱1353收藏588物理与环境安全的享销客的物理设备托管在经过严格准入制度授权的IIER3级别以上的专业数据中心，这些数据中心均通过了等保三级与IS027001安全认证，确保电力、制冷等基础设施提供相应级别的冗余，以增强IrX'环境的安全性.业务操作系统平台采用当前广泛使用的稳定版本，通过镜像方式统一部署，井定期更新镜像以修复各类安全漏洞.涉及环境变更的已上线系统，需在严格审批策略下，由专门运维人员从内部经过验证和测试的可信源进行下载和安全枪测，方可进行安装与变更.给享的物理设备托在下列我中心I1 .北京亚太中立数据中心(TlER3)2 .北京铁通T3数据中心(TIER3)3 .中国移动南方基地(广州)(TIER4)3.1 安全TIER3以上级别机房：相较于告通企业机房，电信级机房在可用性和抗灾能力方面表现更为卓越.机房进出安全管理：IDC机房对进出人员实施严格管控，配备门禁系统,产谟核实入场人员身份，确保机房环境安全，一旦发生物品遗失，将立即启动电子卡管理系统注销权限。机房内所有设备及设施均实施严格的访问控制和白名单机制，严审人员进出，以防物理设备遭受破坏等事件的发生.机房安全保障：数据中心设有专业保安员全天候在岗.持续巡逻。机房24小时监控，内部所有活动均有摄像记录。全方位机房监控：当前，多个跨省市数据中心已部署摄像机，对各区域进行监控.物业保安7x24小时分段巡逻，同时对所有基础设施进行7x24小时集中视频监控.全方位电子摄像机对数据中心内外区域进行监控，检测设施区域内的其他系统，跟踪访问人员情况，所有人员活动记录电子保存（长MD.视事记录保存期限为3个月，以备后期事计.此外，WJfcBMSX用隔离或生物识别技术等额外安全控制措施.机房设备安全：数据中心内所有纷享销客专属物理设备、设备配件、网给耗材，以及设备厂商的维修设备,配件、耗材等进出数据中心，须经纷享销客内部人员授权。数据中心现场核实无误后，方可允许设备、配件、耗材等进出。3. 2环境控制纷率销客数据中心采用一系列措施来保障运行环境：电力：为确保数据业务的不间断运行，数据中心配备了冗余的电力系统（包括交流和高压直流）,主电源与备用电源具备相同的供电能力。在主电源出现故障（如电压不足、断电、过压或电压科动）时，备用发电机和带有冗余机制的电池组将接替对设备供电，确保数据中心在一段时间内维持持续运行.气候与温度：数据中心采用空调系统（新风冷却或水冷冷却）确保旅务器或其他设备在恒温环境下运行，并对温湿度实施精密电子监控，一旦出现异常，将立即采取相应措施。此外，设备冷风区域实行密闭冷风通道，以提高制冷效率，实现绿色节能.空调机组采用N+1热备冗余模式（部分采用+2冷热双重冗余模式）.空狎配电柜配置不同双路电源模式，以应对一路电源故除时，空调仍能正常接收供电.在双路电源均出现故国时，柴油发电系统可提供紧急电源，降低股务中断风险。火灾检测及消防：自动火灾检测和灭火设备旨在防止计算机硬件受投。火灾探测系统的传感器位于数据中心的天花板和地板下方，通过热、烟雾和水传感器实现，在火灾或烟雾事件发生时，着火区域将提供声光报警。数据中心内还配备手动灭火器，员工接受火灾预防和灭火演练培训，包括如何使用灭火网络安全婿军销客根据自身业务韩性,参考业器优秀的网络安全设计实践,从网络架构设计'设备选型配置到运行推护诂方面综合考虑，对承政网络采用各种针对物理和虚网网络的多层安全隔离、接入控制耙边界防护技术,同时严格执行相应的管理搭您,确保网络安全.3.1 安全区域划分与IWl为确保网络安全,按照网格安全设计最佳实践.我们将网络划分为若干安全区域，包括接入区、核心区、测试区及办公区。其中.接入区与核心区作为生产网珞的重要组成部分.与测试区及办公区实现物理瑞典，确保各区域问的数据安全性。在此基iith,我们采取严格的访问J策略，对区域间的请求进彳福细化的隔离辎，针对生产网络，我们部署了多重网络防护措施,包括防火墙、DDoS防御、»AF（Ueb应用防火墙）以及入侵检测等系统，构建起全面的网络安全保障体系，确保网络运行的安全稳定.互联网M4>3.2 网珞访问控制纷享销客实施了尸格的网络访问控制策略，显小化端口转发配置，严格控制网络间的访问话求。在系统与公网的边界位置,我们部署了多道防姣，