连接型CRM安全橙皮书(2024)

纷享销客 纷享销客连接型CRM 安全橙皮书 (2024) www.fxiaoke.com 目录 01纷享销客安全战略 06数据安全 02组织及人员安全6.1数据安全采集 6.2数据加密传输 2.1信息安全委员会6.3数据分级与加密存储 2.2信息安全保障团队6.4数据安全使用 2.2.1安全专家团队6.5租户间数据隔离 2.2.2安全审计团队6.6数据安全销毁 2.3安全人员管理6.7数据防勒索 6.8个人数据隐私保护 03物理与环境安全6.9数据安全审计 3.1物理安全 3.2环境控制 07应用安全 7.1安全开发生命周期(SDL) 04网络安全7.2应用安全扫描 7.3代码安全审核 4.1安全区域划分与隔离7.4安全渗透测试 4.2网络访问控制7.5应用终端安全 4.3堡垫机7.6用户账号安全 4.4网络入侵检测 4.5DDoS防御08安全运维运营 4.6WAF(Web应用防火墙） 8.1帐号权限管理 05主机安全8.2运维接入安全 8.3安全漏洞管理 5.1安全基线8.4安全事件管理 5.2配置检测8.5业务连续性管理与灾难恢复 5.3主机入侵检测 5.4病毒检测 5.5漏洞管理 09安全合规认证 5.6系统加固9.1ISO27001认证 9.2信息系统安全等级保护定级(DJCP) 9.3ISO9001认证 9.4ISO20000信息技术服务管理体系认证 9.5ISO27701:2019隐私信息管理体系认证证书 9.6SOC1&22023年审计报告 纷享销客安全战略 作为国内领先的CRMSaaS服务提供商，纷享销客深知客户数据的安全性对于企业可持续发展的重 要性。 面对日益复杂的网络威胁和不断变化的合规要求，我们始终将“安全至上”作为企业战略的核心，我们的发展规划和运营管理都紧密围绕着这一原则，确保我们的安全措施能够与时俱进，不断地满足甚至超越客户的安全预期。 纷享销客安全体系 安全组织信息安全委员会安全专家团队安全审计团队安全管理 应用安全安全开发过程 (SDL) 应用安全扫描安全渗遇测试代码安全审核应用终端安全用户帐号安全人员安全管理 数据隔高 数据安全安全采集加密传输分级与加密安全使用授权租户间隐私保护安全审计 网络安全 安全区城划分 与隔高 防火墙堡垒机 访间控制网络入侵检测DDoS防御WAF防御 安全监控体系 漏润管理体系 主机安全安全基线配置检测主机入侵检测病毒检测漏洞管理系统加固安全事件 应急响应 安全事件 物理安全TIER3以上级型机房两地三中心部署公有云可用区 通报机制 ISO27001ISO27701等保三级ISO20000ISO9001SOC1TypeIISOC2TypeII 安全合规 2 总体来看，纷享销客的安全体系覆盖多个层面，包括物理安全、网络安全、应用安全、主机安全、数 据安全以及人员安全。 物理安全措施确保我们的设施具备稳定地对抗物理入侵的能力； 网络安全措施包括先进的防火墙、入侵检测系统和网络隔离技术，保障客户数 据在传输和存储过程中的安全； 应用安全层面，我们运用最新的代码审计和漏洞扫描技术，保证我们的软件产 品能够抵御各种攻击； 甲数据安全层面，我们采用加密技术并采取了严格的数据访问控制策略，确保客 户数据的机密性、完整性和可用性。 此外，我们还对员工进行定期的安全培训和意识提升，确保每一位员工都能成为安全防线上的重要 一员。 纷享销客严格遵循国内外信息安全标准与法规，我们取得了信息系统安全等级保护定级（三级）、 Iso27001、Iso27701、Iso20000、ISo9001、SoC1TypeIl、Soc2TypeII等资质认证，确 保全面的法律合规性。 在未来的发展中，纷享销客将持续强化我们的安全战略。我们承诺在技术、管理和文化层面提升安 全能力，为客户提供最安全的CRMSaaS服务，确保客户数据的安全，并携手客户实现安全、稳健、可持续的发展。 CRM 3 组织及人员安全 组织及人员安全是纷享销客安全战略中的重要组成部分。 我们致力于确保组织内部和员工的安全，并采取一系列措施来预防和应对安全威胁。我们将持续改进和更新安全措施，以适应不断变化的威胁环境，并确保组织和员工的安全意识和培训得到充分关注和 支持。 2.1信息安全委员会 纷享销客组建了信息安全委员会，负责制定安全策略、设计与执行安全开发流程、落实各项安全措施， 以及指导安全审计工作执行与听取安全审计汇报并针对性改进安全措施。 委员会由CTO直接领导，成员组成包括安全架构师、应用安全专家、系统和网络安全专家、安全开发 专家、各业务线的安全负责人等，各成员负责贯彻安全措施，通过定期沟通、检查、完善安全方面的工作，加强安全管理，应对各种安全威胁，为客户提供稳定、健康、安全的工作环境。 信息安全委员会 制定 设计与执行 落实 指导安全 听取安全审计 改进 全策略安全开发流程安全措施审计工作执行汇报安全措施 安 4 CTO 安全专家安全负责人 安全架构师应用安全专家系统和网络安全开发专家各业务线 2.2信息安全保障团队 2.2.1安全专家团队 安全专家团队由安全架构师、应用安全专家、系统和网络安全专家、安全开发专家等专家团队组成，关注从设计到最终产品实施的整个开发、运营、维护过程，通过开发工具、优化流程、强化意识、安全培训等，保障安全生产。 主要职责包括： 协同业界顶尖的安全技术供应商，针对入侵检测与攻击防护的需求，进行全面的产 品设计与开发，并负责持续的运营维护。提供全天候（7*24小时）的安全监控服务，执行定期的漏洞扫描与深度检测。 基于数据的重要性和敏感性，制定精细化的访问控制策略。运用先进的技术手段实施隔离措施，并构建一套完善的访问控制管理流程，确保数据的机密性、完整性和 可用性。 深入分析业务系统的访问逻辑，严格审核所有访问请求。通过自动化工具实时监控可疑活动，如非授权的数据访问和操作，并进行实时审计。定期对安全策略的执行情况进行复查，确保其有效性。 5 4在产品设计阶段，引入安全评审机制，确保功能需求符合安全标准。 产品发布前，进行全面的安全测试，确保无安全隐患。 产品发布后，持续进行安全回归测试，确保业务安全稳定运行。 5结合公司内部的技术积累和外部专业安全机构的资源，定期对内部和外部应用进行深度漏洞检测与扫描。一旦发现安全漏洞，立即启动应急响应机制，确保在预期时间内完成漏洞修复。 6遵循国际信息安全事件管理标准，根据数据安全性的危害程度定义安全事件类别和响应流程。建立全天候的自动与人工结合的监控识别、分析和处理信息安全事件的能力，确保在安全事件发生时能够迅速、有效地应对。 7定期组织安全演练，模拟真实场景下的安全威胁，评估安全策略的可靠性和控制措 施的适用性。通过演练发现潜在的安全风险，并持续改进安全策略。 8针对员工开展定期的安全意识培训，涵盖个人信息安全准则、信息保护、数据安全认证和安全开发等领域。提高员工的安全意识，增强企业的整体安全防护能力。 9积极参与国内外安全论坛与会议，跟踪业界前沿的安全技术动态。与外部安全专家、 白帽子极客保持紧密的交流与合作，共享安全知识和经验，共同提升整个行业的安 全水平。 2.2.2安全审计团队 纷享销客为确保信息安全及合规性，特此设立了专门的安全审计团队。 该团队将对公司产品进行全面的监测、控制与处理，同时展开独立审查，以验证产品是否达到既定的 信息安全体系与标准。 6 在此过程中，团队参考并遵循包括GB/T22080-2016/ISO/IEC27001:2013、ISO/IEC27701:2019以及 《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019)等在内的多项国际与国内标准，确 保公司业务的合规性。 2.3安全人员管理 纷享销客为确保新入职员工符合公司的行为准则、保密规定、商业道德和信息安全政策，会在国家法 律法规允许的范围内，采取一系列背景调查措施。 同时，新员工入职时，必须按照公司规定签署保密协议。此外，纷享销客安全团队会针对不同岗位的员 工，持续开展安全培训和宣导工作，内容涵盖网络安全基础知识、安全开发知识与最佳实践、基础安全 意识以及公司安全规范条例等，旨在提升员工的安全意识与防范能力。 培训 1/1212 纷享销客安全培训一意识篇安全培训 U★★ 学习2181点贸810收赢385学习2356点费1666收藏235 1/1 【平台扩展能力】纷享销客安全体系与专属.纷享平台安全介绍 ★U★ 掌习2083点费1200收藏400学习2289点资1353收藏588 7 物理与环境安全 纷享销客的物理设备托管在经过严格准入制度授权的TIER3级别以上的专业数据中心，这些数据中 心均通过了等保三级与ISO27001安全认证，确保电力、制冷等基础设施提供相应级别的余，以增强 IDC环境的安全性。 业务操作系统平台采用当前广泛使用的稳定版本，通过镜像方式统一部署，并定期更新镜像以修复各类安全漏洞。涉及环境变更的已上线系统，需在严格审批策略下，由专门运维人员从内部经过验证和测试的可信源进行下载和安全检测，方可进行安装与变更。 纷享销客的物理设备托管在下列数据中心： 1.北京亚太中立数据中心（TIER3） 2.北京铁通T3数据中心（TIER3） 3.中国移动南方基地（广州）（TIER4） 3.1物理安全 TIER3以上级别机房： 相较于普通企业机房，电信级机房在可用性和抗灾能力方面表现更为卓越。 8 机房进出安全管理：IDC机房对进出人员实施严格管控，配备门禁系统，严谨核实入场人员身份，确保机房环境安全。一旦发生物品遗失，将立即启动电子卡管理系统注销权限。 机房内所有设备及设施均实施严格的访问控制和白名单机制，严审人员进出，以防物理设 备遭受破坏等事件的发生。 机房安全保障： 数据中心设有专业保安员全天候在岗，持续巡逻。机房24小时监控，内部所有活动均有摄像记录。 全方位机房监控： 当前，多个跨省市数据中心已部署摄像机，对各区域进行监控。物业保安7x24小时分段巡 逻，同时对所有基础设施进行7x24小时集中视频监控。全方位电子摄像机对数据中心内 外区域进行监控，检测设施区域内的其他系统，跟踪访问人员情况。 所有人员活动记录电子保存（长期），视频记录保存期限为3个月，以备后期审计。此外，特 定区域还采用隔离或生物识别技术等额外安全控制措施。 机房设备安全： 数据中心内所有纷享销客专属物理设备、设备配件、网络耗材，以及设备厂商的维修设备、配件、耗材等进出数据中心，须经纷享销客内部人员授权。数据中心现场核实无误后，方可允许设备、配件、耗材等进出。 9 3.2环境控制 纷享销客数据中心采用一系列措施来保障运行环境： 电力： 为确保数据业务的不间断运行，数据中心配备了穴余的电力系统（包括交流和高压直流），主电源与备用电源具备相同的供电能力。 在主电源出现故障（如电压不足、断电、过压或电压抖动）时，备用发电机和带有穴余机制 的电池组将接替对设备供电，确保数据中心在一段时间内维持持续运行。 气候与温度： 数据中心采用空调系统（新风冷却或水冷冷却）确保服务器或其他设备在恒温环境下运 行，并对温湿度实施精密电子监控，一旦出现异常，将立即采取相应措施。 此外，设备冷风区域实行密闭冷风通道，以提高制冷效率，实现绿色节能。空调机组采用 N+1热备穴余模式（部分采用N+2冷热双重穴余模式），空调配电柜配置不同双路电源模 式，以应对一路电源故障时，空调仍能正常接收供电。在双路电源均出现故障时，柴油发 电系统可提供紧急电源，降低服务中断风险。 火灾检测及消防 自动火灾检测和灭火设备旨在防止计算机硬件受损。火灾探测系统的传感器位于数据中心 的天花板和地板下方，通过热、烟雾和水传感器实现。 在火灾或烟雾事件发生时，着火区域将提供声光报警。数据中心内还配备手动灭火器，员 工接受火灾预防和灭火演练培训，