观远数据安全白皮书-V1.0

1 V1.0 版权所有©杭州观远数据有限公司2021。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他观远数据商标均为杭州观远数据有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受观远数据商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，观远数据对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 版本变更记录 时间 版本 说明 2021-11-26 V1.0 版本创建 目录 前言1 1.观远数据安全整体策略2 2.观远数据安全体系说明3 2.1平台安全3 2.1.1物理隔离3 2.1.2三级等保4 2.2系统层安全5 2.2.1传输加密5 2.2.2会话安全5 2.2.3容灾6 2.2.4高可用6 2.3数据层安全7 2.3.1数据校验7 2.3.2数据脱敏7 2.3.3数据防泄漏8 2.3.4数据溯源8 2.3.5存储加密9 2.3.6数据销毁10 2.4应用层安全10 2.4.1身份认证10 2.4.2权限管控11 2.5基础建设12 2.5.1审计日志12 2.5.2用户行为监控与分析13 2.5.3安全扫描14 2.5.4渗透测试14 2.5.5SQL防注入15 3.观远数据安全认证16 4.数据安全最佳实践之权限管控——管理员篇17 4.1场景概述17 4.1.1人员背景17 4.1.2设置结果17 4.1.3用户视角效果17 4.2前置条件20 4.2.1产品基础20 4.2.2管理员身份20 4.2.3概念须知20 4.3实践方案21 4.3.1设置角色22 4.3.2赋予用户/用户组角色25 4.3.3管理文件夹权限29 4.3.4管理基础属性32 4.3.5为单独用户设置权限34 4.3.6组织/人员调整34 4.4权限审计35 4.4.1查看资源的权限情况35 4.4.2查看用户的权限范围35 4.5风险管理36 4.5.1查看审计日志36 4.5.2查看用户行为记录37 前言 观远数据是一站式智能分析平台，面向企业提供数据分析可视化与智能决策服务，其打通数据采集-数据接入-数据管理-数据开发-数据分析-AI建模-AI模型运行-数据应用全流程，全方位提升企业数据分析的准确性与时效性，并提供可落地的经营预测和智能决策洞察，助力企业实时掌握经营状况，激发个体价值，促进组织创新，让决策更智能。 观远数据为客户提供观远分析云与私有化部署两种服务模式，包含Galaxy、Universe、Atlas三大产品线，产品具备高度的可拓展性与可用性。我们采⽤业界领先的技术，对产品、数据进⾏全⽣命周期的安全保障。观远数据产品的设计、开发和运营充分考虑了合规性以及⽤户个⼈信息隐私性要求，保证产品满⾜⽤户对安全合规性、个⼈隐私性以及数据保护的法律法规和原则要求。为了避免用户 的重要数据被篡改、泄露或破坏，观远数据在账户安全、数据安全等方面提供了完备的解决方案，竭诚为客户提供稳定、可靠、安全、合规的产品服务，帮助客户保护其系统及数据的机密性、完整性和可用性。 1.观远数据安全整体策略 图1观远数据安全架构图 观远数据提供了四横一纵的五个维度的安全架构保障。一个纵向维度为基础建设，主要包含了审计日志、用户行为分析、安全扫描、渗透测试、SQL防注入。在四个横向维度中，包括了从最底层的云平台层面安全，到应用层面的身份认证和权限管控。 下文在介绍整体安全架构时，将分别简要介绍各个架构层面中的关键特性，同时会覆盖观远数据多个产品模块。各产品模块的相关能力详情，请参见产品白皮书的相关章节内容。 2.观远数据安全体系说明 为了便于理解，本文将从平台安全、系统安全、数据安全、应用安全、安全管理五个方面进行解读和阐述。 2.1平台安全 如果客户选择了观远分析云，将由观远数据提供安全保障。观远分析云构建与于主流云平台之上，如华为云、阿里云等。一方面，观远数据基于云平台的系统安全能力，主流云厂商提供的云平台，皆提供满足基础合规要求的安全保障，如华为云、阿里云都具备三级等保的安全能力。另一方面，结合自身的数据安全能力，为客户提供安全的服务，保障客户的业务和数据安全。如果客户选择了私有化部署模式，则部署环境安全由客户的私有化环境来保障。 2.1.1物理隔离 观远分析云采用的是“Shared-Nothing”的架构，两个客户节点环境之间为物理隔离，即不共享存储（磁盘、内存），亦不共享算力（如Spark等计算资源皆单独部署）。这意味着： ·隐私隔离：不同客户间的业务、数据、隐私完全隔离。 ·资源隔离：平台中的其他客户使用，不会相互影响到当前客户的使用及环境。 图2.1.1“Shared-Nothing”架构图 2.1.2三级等保 观远数据（将）于2021年内通过“三级等保”的认证备案。观远数据具备的网络安全等级保护备案证明以及测评报告，不仅是重要资质证明，更是权威机构对观远数据产品专业性、安全性、合规性的认定。也意味着客户享受到的是观远数据专业、安全、合规的服务。 我国实行网络安全等级保护制度，等级保护对象分为五个级别。三级等保，是指第三级，监督保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。 在我国，“三级等保”是对非银行机构的最高等级保护认证。这一认证由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。根据《信息系统安全等级保护基本要求》，三级等保的测评内容涵盖等级保护安全技术要求的5个层面和安 全管理要求的5个层面，包含信息保护、安全审计、通信保密等在内的近300 项要求，共涉及测评分类73类。通过“三级等保”认证，表明企业的信息安全管理能力达到国内最高标准。 2.2系统层安全 2.2.1传输加密 观远数据采用HTTPS访问方式进行传输，以确保用户的计算机与网站之间所传递数据的完整性和机密性，保证信息不会被中间⼈篡改、窃取，为用户保障传输过程的安全。 传统HTTP方式的文件访问存在的最大问题在于不安全，HTTP数据传输中，所有的数据都是明文传输，无法保证敏感数据的安全。 HTTPS方式，则是通过混合加密算法，也就是对称加密和非对称加密的混合使用来保证通信的安全性。所有使用HTTPS发送的数据都可通过传输层安全协议（TLS）得到保护。该协议可提供三重关键保护： 1.加密：对所交换的数据进行加密，以使其免受窥探。这意味着在用户浏览网站期间，没有人能够“听到”其会话内容，也无法在多个网页上跟踪其活动或窃取其信息。 2.数据完整性：无论有意还是无意，在数据传输期间，数据都无法被修改或损坏，也不会被检测。 3.身份验证：证明用户可与目标网站通信，这有助于保护用户免遭中间人攻击并建立用户信任，进而带来其他商业效益。 2.2.2会话安全 观远数据提供双重的会话安全保障： 1.会话更新：账号注销后，对应的会话立即失效。账号登出后，Token立刻失效，并且允许管理员设置当关闭浏览器或关闭浏览器里所有观远数据页面时，自动登出观远数据账号。 2.会话超时机制：空闲24个小时则自动登出，超过2周后登录的Token自动失效，系统后台可自定义配置这2个阈值。 2.2.3容灾 1.观远分析云的容灾方案： a.定时的数据备份：观远数据制定了相关规定，对系统的备份策略、备份数据保管等方面进行规范。业务数据库均有定期快照和备份，对数据进行备份存储，同时公司部署了备份执行情况监控机制，确保数据备份的完整性。 b.云平台定时快照：云平台均有自带的定时快照服务，可以保障数据安全，如发生数据丢失或者安全问题等数据问题可通过快照恢复。 2.私有化部署的容灾方案，主要由客户自行设定，具体需要根据客户是否为本地机房而定： a.如果是云端服务器，则可采用定时的数据备份以及云平台自带的安全能力来进行保障。 b.如果是本地服务器（本地机房），则建议采用另一台服务器部署相同版本的服务，并且针对数据进行实时同步，或者采用备份数据还原，具体方案可咨询观远数据工作人员。 2.2.4高可用 观远数据的整体技术架构进行了高可用方案设计，为整体性能与安全提供底层支撑。高可用HA（HighAvailability）指的是通过尽量缩短因日常维护操作（计划）和突发的系统崩溃（非计划）所导致的停机时间，以提高系统和应用的可用性。 目前观远数据提供的BI组件高可用方案，主要使用的运维组件有K8s、Mysql、Cassandra、Postgresql、Minio。Spark、Guandata-Server等服务在K8s上，单个节点的Pod故障后，可由K8s将其调度到其他节点上运行起来。能够实现当系统某个节点故障后，运维组件仍能够提供正常的服务，有效控制对应用的影响，减少对用户使用的影响与感知。 对于观远分析云 在云上部署高可用集群，观远数据主要采用更加稳定可靠的云上设施来提供各个组件的高可用，云服务上通常能提供更为稳定的组件服务与数据安全保障，这可以有效降低系统的复杂度，减少对运维人员的依赖，提高系统稳定性。 对于私有化部署 当本地私有化部署时，观远数据使用K8s对计算中心进行容器化部署，数据库与计算组件分离，分别实现高可用。 2.3数据层安全 2.3.1数据校验 1.客户端校验：过滤正常用户的误操作，在前端页面进行处理；主要作用是防止正常用户的误输入，对输入进行初步的过滤；把用户误输入的数据阻止在客户端，从而降低了服务器的负载。 2.服务器端校验：作为整个应用阻止非法数据的坚实防线，在后台进行处理；如进行格式校验：对上传的文件（如图片、Excel、CSV等），进行严格的格式校验，禁止脚本执行权限，防止注入攻击。 2.3.2数据脱敏 观远数据提供成熟的多网段敏感信息管控方案，主要通过数据集敏感信息标记、请求来源标记，以及动态权限生成，达到分网段、字段级敏感信息过滤的效果，保证同一用户在不同网段拥有不同数据权限。敏感数据同步时，可结合企业不同网段的脱敏策略，实现自动脱敏，确保敏感数据安全。 图2.3.2多网段敏感信息管控方案 2.3.3数据防泄漏 观远数据提供了完善的系统设置的安全规则方案，即权限安全策略。数据权限细致到行列级别，达到精细化的安全管控，做到数据防泄露。 观远数据针对数据上传和数据下载（导出）均进行了权限管控设计，用户仅可在自身权限范围内进行上传和下载操作。 2.3.4数据溯源 血缘管理是数据生命周期管理的一种，包括数据的起源以及到当前位置的完整路径描述，帮助用户在分析信息的使用过程中，追溯在每一个节点上有特定用途的信息。 观远数据支持数据血缘和资源血缘两类溯源，对于数据血缘和资源血缘，皆可查看上下游链路情况： ·上游-向前看：“我”是谁加工出来的，通过「血缘分析」实现关键信息的追踪和记录。上游-向前看：“我”是谁加工出来的，通过「血缘分析」实现关键信息的追踪和记录。 ·上游-向前看：“我”是谁加工出来的，通过「血缘分析」实现关键信息的追踪和记录。下游-向后看：“我”支持了谁的加工，通过「影响分析」了解分析对象的下游数据信息，快速掌握元数据变更可能造成的影响并评估风险。 ·资源血缘：节点为资源，连