明道技术安全白皮书.PDF

明道技术安全⽩⽪书 2017.9 
 1 明道技术安全⽩⽪书 2017年9 ⽉ 信任是商业的基⽯，透明度是信任的来源。明道藉由五年多来的SaaS产品安全运营⾥程和 团队的运营经验，特别撰写此简明扼要的技术⽩⽪书，⼀⽅⾯为⾃⼰建⽴持续的⾃律，其次 为建⽴⽤户对明道及SaaS⾏业的信任，再次可以为同类产品的运营提供经验参考。本⽩⽪ 书略去了繁冗晦涩的技术词汇，但保留了关键细节，所以即使⾮技术⼈员也能够顺畅阅读。 有关此⽩⽪书的疑问，可以根据⽂末署名联系明道团队。 2 1. 运维流程和制度 安全运营的⾸要来源是⼈，⽽不是技术与设施。⼈之不完美是安全事故的主因，其不完美来 ⾃管控缺失下的⾃律丧失和⾮故意的疏忽差错。因此，云服务的运维流程和制度应当⾸先着 眼于最⼩化来⾃⼈的⻛险。 1）减少⾮必要的⽣产数据接触 在针对⼈的管理⼯作中，成本最低，也是价值最⼤的在于减少⾮必要的⽣产数据接触。明道 将开发，测试使⽤的应⽤数据和提供正式服务的⽣产数据完全隔离，保证绝⼤多数的技术成 员和⼯作⽆须接触真实的⽣产数据。在实践中，将接触⽣产数据的员⼯减少到五⼈以下，其 中包括CEO、CTO、主管开发⼯程师和运维⼯程师。这样可以保证任何运维数据事故的责 任检查范畴⼤⼤缩⼩。 利⽤开发和测试服务环境完成完美的代码发布，需要精密的协调，对发布系统的反复测试。 确保沙盒类系统和⽣产类系统的环境⼀致性。明道⾄少维护了和⽣产数据环境⼀致的三套沙 盒系统，并⽀持⽣产环境变更后的快速回滚（数分钟之内）。 3 2）独⽴的密码管理和接触⽇志管理 ● ⽣产数据环境下的运维⼯具等IT设施均需要设置强密码，专⻔⼈员管控密码表，密码 按⼀定周期更换，数字符号多重加密并通过专⻔⼯具⽣成；主机和数据库的访问通过 更加安全的密钥对登录⽅式，并配置有严格的防⽕墙策略。 ● 指定电脑，在指定地点和IP地址，才能访问⽣产数据主机； ● 需要两⼈以上的登陆授权才能访问⽣产数据主机； ● 所有服务器登陆情况均有⽇志记录，信息安全⼩组成员会收到短信通知，⾮正常和⾮ 授权登陆⽀持⼀键踢出。 3）运维⼈员的审查 所有从事运维⼯作的成员（包括⾮专业运维岗位）均需要通过严格的⼊职审查，包括历史职 位的背景调查，信⽤报告和⽆犯罪记录证明。尽管因为疏忽此⼯作带来的事故属于低概率事 件，也应该坚持执⾏。 4）变更和发布流程规范 涉及⽣产数据环境的所有技术变更（包括代码、存储路径、主机环境等）均需要经过审批和 记录。代码发布需要使⽤专⻔的运维⼯具来进⾏（避免⼯程技术⼈员直接操作主机），利⽤ 运维⼯具实现可靠的回滚，避免任何⼈为疏忽带来的数据损害。 正式版代码发布前应当实现在沙盒环境中进⾏完整的测试，特别重要的更新还应该利⽤灰度 发布在10%以下的⽤户群中进⾏试运⾏。 5）通过ISO27001-2013 信息安全质量认证 4 为固化以上针对⼈的流程规范与制度要求，除了明⽂的内部规定外，明道早在2014年就主 动通过ISO27001:2013版本信息安全认证，该认证证明公司完整执⾏了为维护⽤户信息安全 所有必要的举措，并留有完整的记录。明道的第三⽅认证是有SGS （通标公司）完成的。 该认证并⾮⼀次性的，为了持有认证，明道需要每两年接受复审。 6）持续的安全运维培训和教育 除了少数的信息安全⼩组（有限的⽣产数据接触⼈），明道还持续对所有产品设计、开发、 测试和运维⼈员进⾏安全培训和教育，树⽴“安全可靠第⼀”的运营原则。任何故意危害数据 安全的⾏为均为严重违纪，任何⽆意危害数据安全的⾏为均会追查成因，定位漏洞，通过流 程巩固来进⾏未来防范。 公司外聘多名信息安全专家，通过“渗透测试”和“安全技术培训”等⼿段来提升相关能⼒。