销售易安全白皮书V1.0.pdfVIP

销售易安全白皮书V1.0 编写 ：销售易安全管理委员会 1 前言 3 术语定义 3 一. 组织安全 4 1. 安全管理委员会 4 2. 信息安全团队 4 3. 安全审计团队 5 二. 合规安全 5 1. 安全体系 5 2. 政策合规 5 三. 人员安全 6 1. 尽职调查 6 2. 安全生产 6 四. 数据安全 7 1. 传输安全 7 2. 存储安全 7 3. 访问安全 7 4. 数据销毁 7 5. 数据保障 7 6. 安全审计 8 五. 应用安全 8 1. 销售易 SDL
 8 2. 业务安全 9 3. 销售易基础与特色安全 12 六. 系统网络安全 12 1. 系统安全 12 2. 网络安全 13 七. 基础设施安全 14 八. 灾难恢复与业务连续性 15 1. 备份机制 15 2. 恢复机制： 15 九. 附录： 16 2 前言 销售易是北京仁科互动网络技术有限公司自主创新，面向企业级的SAAS产 品。基于销售易五年多安全技术研究积累的成果，打造了业界一流的安全保障体 系、高可靠的系统实现机制，为企业信息安全提供全方位的安全保障！ 术语定义 SDL ：Security Development Lifecycle 的简称，安全开发生命周期； 撞库 ：撞库是黑客通过收集互联网已泄露的账户和密码信息，生成对应的字典 表，尝试批量登陆网站后，得到一系列可以登录的账户； DDOS攻击 ：分布式拒绝服务（DDoS:Distributed Denial of Service ）攻击指 借助于C/S技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动流 量攻击，造成目标的业务系统无法供服务； 3 一. 组织安全 销售易安全团队由安全管理委员会、信息安全团队、安全审计团队组成，通过 高效、协同的工作给广大企业用户提供稳定、健康、安全的服务。 1. 安全管理委员会 安全管理委员会成员由公司的研发VP、安全团队负责人、产品负责人及技术 负责人组成，监督并决策信息安全体系的建设，对销售易业务整体安全负责。 2. 信息安全团队 信息安全团队由应用安全、系统网络安全、安全开发专家组成，信息安全团 队负责产品安全架构及安全运营工作，是销售易信息安全体系的建设者，在安全策 略、安全开发流程设计、落实及执行中扮演重要的角色。 1 ）设计、开发和运营入侵检测、攻击防护产品，供7*24小时安全监控，动态 联动防攻击产品 ，以及引入第三方安全产品。如：防御系统、漏洞扫描与检测等； 2 ）依据数据类别及安全等级，设计访问控制策略，通过技术手段制定隔离措 施和访问控制管理流程； 3 ）依据业务系统访问逻辑，审核访问请求，自动化监控活动 ，并实时审计， 定期复查其执行情况； 4 ）通过安全解决方案流程，在产品设计阶段，对功能需求进行安全评审，在 产品发布前，进行安全测试以及产品发布后，进行安全回归测试，以保障销售易业 务的安全运营； 5 ）借助公司的人才资源及技术沉淀、与第三方安全服务商的合作 ，定期对销 售易内部和外部应用进行漏洞检测与扫描 ，及时发现安全漏洞，并在