我們的整體安全方法

為了將安全風險降至最低,需要採用整體的安全方法。 我們的安全流程源於對系統威脅的明確定義。

安全目標

隱私 - 我們的基礎設施和系統中的信息只能由授權用戶訪問

完整性 - 我們基礎設施中的數據和信息不會被任何未經授權的用戶篡改

數據保護 - 系統內的數據不會受到損害、刪除或破壞

身份識別和身份驗證 - 確保系統的任何用戶都是他聲稱的身份,並消除被冒充的機會

網絡服務保護 - 確保網絡設備免受惡意黑客攻擊或威脅正常運行時間的攻擊

我們的整體安全模型

我們的安全平台和流程利用多個安全級別——包括安全系統和設備1 以及安全程序和實踐2 以及審計流程3,以確保我們提供的所有服務具有無與倫比的安全性。 該平台解決了 7 個不同級別的安全問題

一級數據中心安全

我們的全球數據中心合作夥伴關係是全面盡職調查流程的結果。 安全性和穩定性是我們盡職調查過程中最重要的兩個變量。 所有數據中心都配備了監控攝像頭、生物識別鎖、基於授權的訪問策略、有限的數據中心訪問、安全人員以及類似的標準安全設備、流程和操作。

然而,讓我們與眾不同的是,我們的盡職調查過程還包含了數據中心在安全方面表現出的主動性措施。 這是通過評估過去的實踐、客戶案例研究以及數據中心用於安全研究和研究的時間來衡量的。

二級網絡安全

我們的全球基礎設施部署在邊緣和機架級別都包含 DDOS 緩解器、入侵檢測系統和防火牆。 我們的部署經受住了頻繁的黑客攻擊和 DDOS 嘗試(有時一天內多達 3 次)而沒有任何降級。

防火牆保護 - 我們的全天候防火牆保護系統可保護周邊並提供最佳的第一道防線。 它使用高度自適應和先進的檢查技術,通過阻止未經授權的網絡訪問來保護您的數據、網站、電子郵件和 Web 應用程序。 它通過執行主題專家設計的安全策略來確保存儲數據的服務器與 Internet 之間的受控連接。

網絡入侵檢測系統 - 我們的網絡入侵檢測、預防和漏洞管理系統針對針對性攻擊、流量異常、“未知”蠕蟲、間諜軟件/廣告軟件、網絡病毒、流氓應用程序和其他零日漏洞提供快速、準確和全面的保護。 它使用超現代的高性能網絡處理器,可同時對每個數據包流執行數千次檢查,而延遲沒有明顯增加。 當數據包通過我們的系統時,它們會受到全面審查,以確定它們是合法的還是有害的。 這種即時保護方法是確保有害攻擊不會到達目標的最有效機制。

防止分佈式拒絕服務 (DDoS) 攻擊 - 拒絕服務是目前網絡犯罪造成經濟損失的首要來源。 拒絕服務攻擊的目標是通過停止您的網站、電子郵件或 Web 應用程序的運行來破壞您的業務活動。 這是通過攻擊託管這些服務的服務器或網絡並使帶寬、CPU 和內存等關鍵資源過載來實現的。 此類攻擊背後的典型動機是勒索、吹牛、政治聲明、破壞性競爭等。幾乎任何連接到 Internet 的組織都容易受到這些攻擊。 大型持續 DoS 攻擊的業務影響是巨大的,因為它會因服務不可用或惡化而導致利潤損失、客戶不滿、生產力損失等。 在大多數情況下,DoS 攻擊甚至會給您帶來前所未有的最大帶寬超額發票。

我們的分佈式拒絕服務保護系統通過使用最先進的先進技術自動觸發自身 一旦發起攻擊。 DDoS 緩解器的過濾系統幾乎可以阻止所有欺詐流量,並確保最大程度地允許合法流量。 這些系統無縫地保護了多個網站免受過去高達 300+ Mbps 的並發攻擊造成的大規模服務中斷的影響,從而使組織能夠專注於他們的業務。

三級主機安全

基於主機的入侵檢測系統 - 隨著能夠繞過端口阻塞外圍防禦系統(如防火牆)的工具的出現,企業現在必須部署基於主機的入侵檢測系統 (HIDS),該系統專注於監控和分析計算系統的內部結構。 我們的基於主機的入侵檢測系統使用啟發式掃描儀、主機日誌信息和監控系統活動,協助檢測和查明系統和配置文件的更改 - 無論是意外、惡意篡改或外部入侵。 快速發現變化降低了潛在損壞的風險,還減少了故障排除和恢復時間,從而降低了整體影響並提高了安全性和系統可用性。

硬件標準化- 我們已經對具有高安全標準和質量支持記錄的硬件供應商進行了標準化。 我們的大多數基礎設施和數據中心合作夥伴使用思科、瞻博網絡、惠普、戴爾等公司的設備。

四級軟件安全

我們的應用程序在具有無數服務器軟件的無數係統上運行。 操作系統包括各種風格的 Linux、BSD、Windows。 服務器軟件包括 Apache、IIS、Resin、Tomcat、Postgres、MySQL、MSSQL、Qmail、Sendmail、Proftpd 等的版本和風格。儘管我們通過遵循面向過程的方法使用了多種軟件產品組合,但我們仍確保安全

及時應用更新、錯誤修復和安全補丁 - 所有服務器都註冊進行自動更新,以確保它們始終安裝最新的安全補丁,並儘快修復任何新漏洞。 最大數量的入侵是由於利用已知漏洞、配置錯誤或病毒攻擊而造成的,而這些攻擊措施已經可用。 據 CERT 稱,系統和網絡受到這些事件的影響,因為它們“不一致”地部署了已發布的補丁。

我們完全理解強大的補丁和更新管理流程的要求。 隨著操作系統和服務器軟件變得越來越複雜,每個較新的版本都充滿了安全漏洞。 幾乎每天都會發布有關新安全威脅的信息和更新。 我們建立了一致、可重複的流程和可靠的審計和報告框架,以確保我們的所有系統始終處於最新狀態。

定期安全掃描 - 使用企業級安全軟件進行頻繁檢查,以確定任何服務器是否存在任何已知漏洞。 根據最全面和最新的已知漏洞數據庫掃描服務器。 這使我們能夠通過在攻擊發生之前識別安全漏洞或漏洞,主動保護我們的服務器免受攻擊並確保業務連續性。

升級前測試流程 - 各種軟件供應商經常發佈軟件升級。 雖然每個供應商在發布任何升級之前都遵循自己的測試程序,但他們無法測試各種軟件之間的互操作性問題。 例如,數據庫供應商可能會測試新版本的數據庫。 但是,無法直接確定在運行各種其他 FTP、郵件、Web 服務器軟件的生產系統上部署此版本的影響。 我們的系統管理團隊記錄了各種軟件升級的影響分析,如果其中任何一個被認為具有高風險,則在實際部署之前首先在我們的實驗室中進行 beta 測試。

五級應用安全

平台中使用的所有應用軟件均由我們構建。 我們不外包開發。 任何 3rd 方產品或組件都經過全面的培訓和測試程序,其中此類產品的所有元素都被分解,並將有關其架構和實施的知識轉移到我們的團隊。 這使我們能夠完全控制任何特定產品中涉及的所有變量。 所有應用程序均使用我們專有的產品工程流程進行設計,該流程遵循積極的安全方法。

每個應用程序都被分解為各種組件,例如用戶界面、核心 API、後端數據庫等。每個抽象層都有自己的安全檢查,儘管安全檢查是由更高的抽象層執行的。 所有敏感數據都以加密格式存儲。 我們的工程和開發實踐確保所有應用軟件的最高安全級別

六級人員安全

安全鏈中最薄弱的環節始終是您信任的人。 人員、開發人員、供應商,基本上是任何有權訪問您的系統的人。 我們的整體安全方法試圖將“人為因素”帶來的安全風險降至最低。 信息僅在“需要知道”的基礎上洩露。 授權在要求到期時到期。 人員在安全措施和遵守這些措施的重要性方面得到了專門的指導。

對我們的任何服務器擁有管理員權限的每位員工都經過全面的背景調查。 跳過這一點的公司會將屬於其客戶的所有敏感和重要數據置於風險之中,因為無論在高端安全解決方案上投入多少資金,一次錯誤的僱傭——擁有正確的訪問權限——都會造成更大的損害 勝過任何外部攻擊。

七級安全審計流程

在全球分佈式服務器的大規模部署中,需要審計流程來確保流程複製和紀律。 是否所有服務器都定期打補丁? 備份腳本是否一直在運行? 異地備份是否按需要輪換? 是否對所有人員進行了適當的參考檢查? 安防設備是否及時發出警報?

這些和許多此類問題會在涉及調查、調查、道德黑客嘗試、採訪等的帶外流程中定期驗證。我們的審計機制會在外部用戶發現之前提醒我們注意安全流程中的問題。