12月6日,螳螂科技正式釋出《螳螂安全保障體系白皮書》,向社會公佈螳螂科技在資料安全方面的流程、機制、技術及實踐方法。
螳螂科技一直致力於為客戶構建資料安全屏障,保障使用者的資料安全和隱私保護。據白皮書顯示,螳螂科技從資訊保安保障、管理與組織、安全防護、安全監測、安全執行、應急恢復等維度,建立資料安全防護機制,為教育、醫療、家裝等不同行業企業提供高標準的資料安全保障。
企業在使用螳螂系統過程中,無論是資料傳輸、資料儲存、運維管理,還是物理環境、系統網路等,螳螂科技都提供了一整套全流程的安全防護體系。
在資訊保安保障體系上,包括技術和管理兩大部分,各部分既有機結合,又相互支撐。簡單來說,就是構建安全管理機構,制定完善的安全管理制度及安全策略,由相關人員,利用技術工手段及相關工具,進行系統建設和執行維護。
按照 ISMS 和 ISO20000 的標準,螳螂科技制定了一套完善的 IT 服務和安全管理體系規範,包括 ISMS 的 14個領域,如安全策略、安全組織、人員安全、資產安全、物理和環境安全、訪問控制、密碼管理、資訊系統開發和獲取等,同時滿足了 ISO20000 體系的管理要求。
在網路安全防護上,螳螂科技在網路邊界部署了完整的雲防火牆,WAF應用防火牆和DDos防護來抵禦網際網路的惡意訪問,同時具備日誌溯源分析能力。在內部網路構建上,採用專有網路VPC實現相互隔離的網路環境,確保生產環境的網路獨立。
在應用安全上,螳螂科技提供了完善的資料安全設計,包括全站HTTPS,程式碼與配置分離,完善的防爬策略和敏感資訊管控。而在主機安全上,透過部署雲態勢感知服務,可以實時識別、分析、預警主機的各類安全威脅,實現防勒索、漏洞掃描修復、防病毒、防篡改。
在運維安全上,螳螂科技制定了嚴格安全運維規則制。同時所有研發和運維人員必須透過堡壘機提供的可信環境操作生產環境。 堡壘機提供了統一、高效、安全運維通道,用於集中管理生產環境各類資源,全程監控操作行為,實時還原運維場景,保障運維身份可鑑別、許可權可管控、風險可阻斷、操作可審計。
為了保障資料安全,螳螂科技在產品打造之初便以獨有的資料加密演算法來保護客戶的資料安全,透過完善的授權與認證機制、層層許可權分級、日誌審計與溯源來做到全面安全防護。
白皮書顯示,螳螂科技產品在專案開發流程中引入了 SDL(Security Development Lifecycle),借鑑了微軟推廣SDL 的經驗,並結合企業級安全需求以及螳螂科技自身的專案開發流程,控制專案整體的安全風險。另外,螳螂科技每年聘請外部專業安全公司,針對應用系統的滲透測試,及時發現並修復應用層面的安全漏洞。
(國家公安部監督認證:網路安全等級三級保護認證)
安全合規與隱私保護,是企業服務廠商的生命線。在安全合規方面,螳螂科技先後通過了國家公安部監督認證的網路安全等級三級保護認證。這一安全認證是中國最權威的資訊產品安全等級資格認證,其中三級是國家對非銀行機構的最高階認證,屬於“監管級別”,認證要求十分嚴格,這也是目前SAAS行業獲得三級資訊系統安全等級保護證書較少的重要原因之一。
當下,越來越多的企業接入SaaS平臺進行數字化管理,而“資料安全”也成為行業重點問題,螳螂科技一直重視資料安全體系構建,切實保護好每一位客戶的資料資產,助力各行業快速、健康、安全的進行數字化升級。