如何保障用户数据安全--明道技术安全白皮书

小明 发表于:2017年09月18日 14:46:38更新于:2019年08月30日 15:29:18

点此下载PDF版文档

信任是商业的基⽯,透明度是信任的来源。明道藉由五年多来的SaaS产品安全运营⾥程和
团队的运营经验,特别撰写此简明扼要的技术⽩⽪书,⼀⽅⾯为⾃⼰建⽴持续的⾃律,其次
为建⽴⽤户对明道及SaaS⾏业的信任,再次可以为同类产品的运营提供经验参考。本⽩⽪
书略去了繁冗晦涩的技术词汇,但保留了关键细节,所以即使⾮技术⼈员也能够顺畅阅读。

1. 运维流程和制度

安全运营的⾸要来源是⼈,⽽不是技术与设施。⼈之不完美是安全事故的主因,其不完美来
⾃管控缺失下的⾃律丧失和⾮故意的疏忽差错。因此,云服务的运维流程和制度应当⾸先着
眼于最⼩化来⾃⼈的⻛险。


1)减少⾮必要的⽣产数据接触

在针对⼈的管理⼯作中,成本最低,也是价值最⼤的在于减少⾮必要的⽣产数据接触。明道
将开发,测试使⽤的应⽤数据和提供正式服务的⽣产数据完全隔离,保证绝⼤多数的技术成
员和⼯作⽆须接触真实的⽣产数据。在实践中,将接触⽣产数据的员⼯减少到五⼈以下,其
中包括CEO、 CTO、主管开发⼯程师和运维⼯程师。这样可以保证任何运维数据事故的责
任检查范畴⼤⼤缩⼩。
利⽤开发和测试服务环境完成完美的代码发布,需要精密的协调,对发布系统的反复测试。
确保沙盒类系统和⽣产类系统的环境⼀致性。明道⾄少维护了和⽣产数据环境⼀致的三套沙
盒系统,并⽀持⽣产环境变更后的快速回滚(数分钟之内)。

2)独⽴的密码管理和接触⽇志管理

● ⽣产数据环境下的运维⼯具等IT设施均需要设置强密码,专⻔⼈员管控密码表,密码
按⼀定周期更换,数字符号多重加密并通过专⻔⼯具⽣成;主机和数据库的访问通过
更加安全的密钥对登录⽅式,并配置有严格的防⽕墙策略。
● 指定电脑,在指定地点和IP地址,才能访问⽣产数据主机;
● 需要两⼈以上的登陆授权才能访问⽣产数据主机;
● 所有服务器登陆情况均有⽇志记录,信息安全⼩组成员会收到短信通知,⾮正常和⾮
授权登陆⽀持⼀键踢出。


3)运维⼈员的审查

所有从事运维⼯作的成员(包括⾮专业运维岗位)均需要通过严格的⼊职审查,包括历史职
位的背景调查,信⽤报告和⽆犯罪记录证明。尽管因为疏忽此⼯作带来的事故属于低概率事
件,也应该坚持执⾏。


4)变更和发布流程规范

涉及⽣产数据环境的所有技术变更(包括代码、存储路径、主机环境等)均需要经过审批和
记录。代码发布需要使⽤专⻔的运维⼯具来进⾏(避免⼯程技术⼈员直接操作主机),利⽤
运维⼯具实现可靠的回滚,避免任何⼈为疏忽带来的数据损害。
正式版代码发布前应当实现在沙盒环境中进⾏完整的测试,特别重要的更新还应该利⽤灰度
发布在10%以下的⽤户群中进⾏试运⾏。


5)持续的安全运维培训和教育

除了少数的信息安全⼩组(有限的⽣产数据接触⼈),明道还持续对所有产品设计、开发、
测试和运维⼈员进⾏安全培训和教育,树⽴“安全可靠第⼀”的运营原则。 任何故意危害数据
安全的⾏为均为严重违纪,任何⽆意危害数据安全的⾏为均会追查成因,定位漏洞,通过流
程巩固来进⾏未来防范。
公司外聘多名信息安全专家,通过“渗透测试”和“安全技术培训”等⼿段来提升相关能⼒。

2. 系统架构

1)业务数据访问平台化

为减少⽣产数据和主机的接触,绝⼤多数的数据操作均不能通过主机访问来完成。为此,公
司开发了⼀系列平台来实现可控的数据接触和操作,包括:代码发布系统,数据备份操作,
⽤户信息查询,账务处理等。这些平台⼯具限制了内部员⼯批量接触数据,并留下所有的操
作⽇志,杜绝了因为⼈为疏忽带来的重⼤数据泄漏和损害。


2)⽤户数据存储的隔离设计

为进⼀步防范数据泄漏和损害带来的后果,明道有意进⾏了数据结构设计上的加强。其原则
在于尽可能分离物理数据存储,不仅通过分库分表,还根据业务需求选择使⽤完全不同的数
据库选型,例如对于全⽂数据使⽤了没有明码表达的客户ID信息;其他数据库也根据⽤户ID
信息和内容信息隔离存储(知道内容了也不知道是谁的);敏感核⼼数据进⾏加密存储。在
任何情况下,单库和单表的泄漏不会造成实质性的隐私侵犯。
除了ID和内容的隔离,明道企业版还贯彻了不同客户数据的物理隔离,这个措施同样⼤幅降
低了数据整体泄漏的⻛险。即使在为检索服务⽽建⽴的临时索引数据中,明道还加⼊了扰动
(scramble)数据。
读者不必因为本措施提到了数据泄漏⽽感受到不安,在信息安全领域,每⼀项安全措施都是
独⽴的,它们叠加在⼀起指数级地降低系统⻛险。


3)冗余系统

为保证产品的可⽤性,明道的绝⼤多数⼦系统均有冗余系统,甚⾄分布在不同的物理位置。
Web服务的冗余系统切换⼏乎是⽆缝的,系统在数⼗秒内即可判断系统失败,从⽽转移到
正常节点。如果遇到运营商问题,明道可以在数⼗分钟之内在异地激活备份系统。在极端情
况下需要使⽤冷备份系统(历史较久的⽂件存储),明道也能够通过逐步恢复数据的⽅式来
尽快恢复服务。
因为受制于多家服务商和通讯⽹络可靠性的限制,明道单产品并不能确保100%的可⽤性。
但实践上,在近⼀年的运营中,明道保持了99.95%以上的正常服务率。


4)安全传输协议

在所有的⽤户访问中,均强制使⽤SSL安全连接(RSA-SHA256签名算法),确保数据和密
码传输过程中的安全。


5)软件安全设计

除了基础物理设施的安全考量以外,产品对于安全⽅⾯的设计也是必不可少的。在明道,⽤
户的密码必须使⽤强密码规则,防⽌撞库被暴⼒破取,同时如果多次输⼊错误密码账号将被
锁定⼀段时间;⽀持微信登录提醒,防⽌他⼈盗取账号之后的提醒,⼀旦发现异常提醒建议
迅速修改并加强密码;敏感操作,需要再次输⼊登陆密码进⾏⼆次确认;不同模块的权限设
计,⽐如管理员、审批、考勤等配置,防⽌越权操作;⼿机APP⽀持⼿势、指纹识别登录,
防⽌⼿机被他⼈使⽤,存在⼀定的操作⻛险。

3. 云计算基础服务


1)服务商的评估和选择

明道的云计算基础设施服务商选择按照同类冗余的原则进⾏。在云主机类服务中,⽬前的服
务商包括阿⾥云和优刻得(UCloud),存储和CDN服务类选择了七⽜和⼜拍云。同类冗余的
⽬的是为了保证关键服务在两家服务商都出现严重故障时,依然可以通过明道的调度来恢复
服务,尽管近两年来IAAS服务商的可靠性已经有了基本的保证,这⼀设计能够让明道的可
⽤性保持更⾼的⽔平。
所有的云计算服务商均需要建⽴直接的运维沟通通道,确保在故障发⽣的时候能够⾼密度沟
通。


2)服务监控和告警

除了主机服务商本身提供的监控和告警服务外,明道还架设了在业界使⽤较多的Zabbix开源

监控⽅案,此外还使⽤了监控宝作为第三⽅监控。监控和告警覆盖主机资源、端⼝、服务、
性能等纬度。告警⼿段包括了微信、短信、 Email和电话。在故障超时设置触发时,运维团
队多⼈都能够同时收到告警。


3)第三⽅安全服务

近年来,第三⽅安全服务已经⽇益丰富,除了IAAS公司标准的防⽕墙服务、防DDoS攻击以
外,明道还采纳了“实时⼊侵检测”和“渗透测试”服务,其中渗透测试由乌云机构的专业⽩帽
⼦成员组成。渗透测试⼀般由技术⾼管独⽴委托,在不通知运维成员的情况下进⾏,以准确
检测当前防范措施的可靠性。

4. 数据备份

所有的⽤户数据均有独⽴的热备份和两套冷备份。热备份系统同时应⽤于业务系统,数据的
同步延时在1秒以内。在遇到可⽤性问题时,⽤户数据完整性的体验接近100%。
系统同时配置了冷备份系统,并带有⼀定周期内的时间胶囊功能,能够按照指定时间恢复数
据。两套冷备份部署在不同的物理位置(同城与异地机房),以实现灾难备份恢复。数据备
份的传输也需要在安全连接下进⾏。


5. 缺陷管理

尽管缺陷管理更多是和软件质量有关,但明道将缺陷汇报中的安全类问题(⽐如有关数据修
改和删除操作的bug,数据权限不当的bug等)升级评估,提⾼它们解决的优先度。


以上五个部分反映了明道SaaS软件的技术安全⼯作分布。尽管没有100%绝对安全的系统,
但我们始终着眼于为⽤户提供第⼀流的产品安全⽀撑。当前明道的技术安全⼯作所能够提供
的安全质量绝不亚于任何企业私有云系统。⽽且因为⼤量⽤户的分摊,每个⽤户并不需要为
⾼等级的安全服务⽀付额外的成本。明道在运营五年多来始终保持了完美的安全记录,没有
发⽣任何数据泄漏和明显的数据损害事件,这得益于我们从第⼀天开始就坚持的安全优先原
则。 SaaS‘产品的确要⽐任何企业⾃建的信息系统要安全得多。


近年来,我们的技术安全⼯作和成果陆续得到了很多客户的肯定,包括来⾃⾦融,政府等领
域的标杆性客户。只要能够继续增强安全性的投⼊,明道都会第⼀时间来评估。欢迎⽤户的
持续监督和进⼀步的改进建议。


相关问题:数据安全,安全运维,私有部署,技术运维

附件:明道技术安全白皮书.pdf • 261.96KB • 下载

明道云
    您需要登录后才可以回复