道一云|办公安全白皮书7.0

来源: 2016/07/18 阅读:11837

企微云致力于为用户提供安全可靠的移动办公服务。信息安全是用户放心使用的基础,因此,企微云关注用户需求,一直把安全作为最高优先级目标,通过多种方式、从多个层面保障企业的数据安全。

道一云|办公安全白皮书7.0

(附:道一云|办公信息保密承诺书)

道一云|办公致力为用户提供安全可靠的移动办公服务。信息安全是用户放心使用的基础,因此,道一云|办公关注用户需求,一直把安全作为最高优先级目标,通过多种方式、从多个层面保障企业的数据安全。

一、数据安全

信息安全主要目标之一是保护业务系统和应用程序的基础数据安全。依据数据的安全生命周期,道一云|办公致力于对数据创建、存储、使用、共享、归档的整个过程都有相应的保护措施。

数据分级

道一云|办公致力于对所有用户和企业数据提供存储安全保护。根据存储数据、使用的数据与实施数据等级保护策略,按照用户提供、确认的数据价值和敏感度对数据进行等级划分。参照行业标准,根据数据安全的分级,对应相应的保护策略和要求,保护用户和企业数据的安全存储。

数据使用与防篡改

道一云|办公根据用户与企业数据进行等级保护,对用户使用和应用展示进行严格的授权控制,禁止展示机密信息及未脱敏信息。对于需要展示信息的场景使用防爬虫安全保护技术,阻断爬虫对敏感信息的爬取。

完整的操作日志记录

数据导出、增删均有完整的操作日志可以查询,操作人、操作时间、操作结果一并记录在案。用户使用过程中,如有发现异常操作记录,能够便于及时发现并处理相关责任人。

 

完整操作日志图一 道一云|办公操作日志

(图示仅供参考,以用户实际使用时的道一云|办公版本、操作界面及技术为准)

二、通信安全

除了数据安全外,道一云|办公更意识到信息的传输安全同样重要。道一云|办公致力于采用多种方式,从传输加密、传输保证、账户认证等多个维度来确保数据的传输安全。

传输加密

道一云|办公采取一系列的完善措施依法防止通讯被监听、劫持和篡改,确保通讯安全。道一云|办公对各项应用通讯进行全程SSL加密,保证数据安全性。此外,道一云|办公针对每个企业提出的需求,设置唯一的token对通讯内容进行AES加密。

端到端传输保证

利用对称密码技术对IP数据报进行加密/解密处理,使得网络中传输的IP数据报只有加密通信双方能够识别,为互联网络上两台主机之间提供加密的安全通信。安全管理工作由独立的安全服务器完成,采用公钥密码技术向安全客户端传输安全通信所使用的对称密钥,有利于保障端到端的传输数据传输安全。

双重认证

道一云|办公支持双重认证,用户除使用普通的密码认证外,也可以使用微信企业号的动态身份认证。该项措施致力于当用户名和密码丢失后,用户账户和数据仍可得到可靠保护,有效避免被其他人访问。

 

安全白皮书

图二-道一云|办公两种登录方式

(图示仅供参考,以用户实际使用时的道一云|办公版本、操作界面及技术为准)

三、系统安全

道一云|办公自系统的搭建完整考虑了系统级的安全方案,从通讯录的权限到各个应用、文档的访问有相应的访问控制措施,确保外部条件的安全后进一步强化内部安全。

SDL开发流程

道一云|办公在项目开发流程中引入了SDL(软件安全开发周期), 借鉴微软推广 SDL 的经验,并结合企业安全需求以及道一云|办公自身的项目开发流程,从培训、需求分析、开发、测试、发布、运营应急整个过程,控制项目的安全风险。

管理员登录

通讯录安全

道一云|办公通讯录采用加密存储,企业可设置分级管理通讯录,针对不同人群设置不同的可见性权限;同时企业可以通过设置来对重要部门进行保护, 该部门的信息会自动隐藏,即使是企业内的员工,没有相应权限也无法访问,方便企业将上下流整合到道一云|办公当中。

对于不同公司的信息,存储空间是相互隔离的。当员工离职并进行离职处理后,企业可自动剥离员工在该企业的访问权限使其无法访问企业号中的内容。道一云还在微信企业号的基础上设置了离职人员复职功能,对于离职人员数据不马上清除,为工作交接提供了缓冲空间。

企业还可以设置对员工的手机号进行隐私保护,在对外展示员工信息时隐藏手机号码,防止信息泄露,但不影响其他应用功能的使用。

管理权限分级访问安全

道一云|办公各个应用均有独立的访问控制鉴权功能,企业可以针对每一个应用、每一条数据及表单设置对应的可见范围,访问控制的精度能细化到个人或部门,其他人在非授权情况下无法访问目标数据。保存到道一云|办公的新闻公告、知识百科具有企业访问权限控制,即使被转发非本企业的用户,对方也无法查看。

管理员登录安全

账号安全体系依托口令策略和访问控制策略,禁用弱口令,监控非法登录尝试。同时,通过账号监测平台,对用户同设备批量尝试登录账号进行监控报警,发现攻击行为后阻止登录尝试。道一云|办公管理员账号还支持与通讯录用户进行绑定,绑定后登录管理后台时会收到登录提醒,如用户发现收到提醒却不是本人登录,管理员可及时上线修改密码。

 

管理员登录图三 管理员登录提醒

(图示仅供参考,以用户实际使用时的道一云|办公版本、操作界面及技术为准)

人员及流程管理制度

严格的数据访问制度:在道一云|办公,只有技术总监(公司合伙人)有数据服务器管理权限,并且对数据服务器的维护必须由技术总监亲自操作,不得委托他人。

规范的客户服务流程:只有当客户提出需求、认可并授权时,我们的服务人员才会在客户监控下访问客户数据。一切未经客户授权的违法违规数据访问,都是被禁止的。

保密协议的商务保障: 在客户与我们签署合同的同时还会签署保密协议,确保我公司和相关人员不会以任何形式泄露客户数据和隐私。

四、物理安全

道一云|办公数据中心包含以下标准的物理安全控制要求:

高性能的分布式服务器集群

道一云|办公所在数据中心配备有数十台高性能服务器组成的高性能集群,能协同保障服务的高性能运转。集群内部配有多台备用服务器节点。一旦发现故障节点,可自动接管;因此,从设计和运行理论上出发,无论任何节点出现故障,都不会影响整体系统的服务。同时我们还将通过最大限度减少计划内和计划外的停机时间、不间断业务的热升级,来确保各项服务的高可用性。

高可靠的硬件配备

数据中心部署的所有硬件,从防火墙、路由器、交换机,到服务器内部的网卡、电源、硬盘,都至少是双份的;任何一份损坏,都会尽快进行切换,并可热插拔、实现在线更换。数据中心采用先进的南北智能双线互联互通方案,同时配备网通及电信专用光纤接入,中国南方北方及海外用户均可高速访问。

健全的灾难防护措施

为保障客户 7*24*365不间断运作,数据中心采用了全方位的防护措施,能确保道一云|办公提供的服务不会因为电力故障、火灾、潮湿、高温等气候变化而受到严重干扰。

全天候的自动备份集群

系统所在数据中心配备了强大的备份服务器集群,每天凌晨系统将数据备份到灾备中心,能实现强大的全天候自动备份,提供无中断备份和恢复过程,实现全面的数据安全保护。

附件一:ISO27001信息安全管理体系认证证书

道一云具备ISO27001信息安全标准认证,这个标准就相当于银行的信息安全级别,保证用户信息安全。

安全证书

附件二:信息系统安全等级保护备案证明

(第三级道一云.办公系统)

该认证被公认为是目前信息系统安全等级保护备案中最重量级别的认证。这意味着道一云·道一云在技术安全、应急保障、数据保护及系统管理等方面的能力得到了官方和专业机构的认可。

备案证明

附件三:可信云企业级saas服务认证

(道一云|办公OA)

 

可信云评估是中国唯一的云计算权威认证体系,也是国际产业标准之一。其技术标准严格、专业性强、门槛高,已成为衡量云服务技术能力和服务水平的重要标准,权威性也日渐显现。云服务提供商通过可信云认证,意味着其产品技术能力、数据保护能力、服务能力、解决方案能力获得了广泛认可。

SaaS服务

附件四:道一云|办公信息保密承诺书

甲方:
乙方:广东道一信息技术股份有限公司

1.保密内容和范围
(1)涉及甲方在使用乙方系统过程中产生的业务数据信息,包括甲方保存在乙方服务器上的数据;
(2)凡以直接、间接、口头或书面等形式,对外违法违规提供涉及保密内容的行为均属泄密。

2.道一云保密承诺
(1)甲方在使用道一云|办公时,需事先采用合理的保密措施,保证信息的保密性。甲方在使用道一云|办公时,本协议的前提为甲方已对其公司保密信息采取了合理的保密措施。但因甲方原因或第三人侵害导致的泄密,乙方不承担任何赔偿责任;

(2) 乙方应自觉维护甲方的利益,严格遵守本保密规定;
(3) 乙方不得利用所掌握的商业秘密牟取私利;
(4)乙方了解并承认,通过系统甲方会将具有商业机密的资料(保密信息)保存于服务器上,并且由于技术服务等原因,乙方有可能在某些情况下访问这台服务器。乙方同意并承诺保障甲方数据的安全,如果乙方在未经甲方许可的情况下将数据违法违规披露给其他人并经证实而对甲方造成的直接经济损失,甲方有权通过法律途径向乙方索赔乙方同意并承诺,根据甲方提出的的要求,乙方依据行业通用标准,应对甲方存储在乙方的关键数据(组织架构、数据、账户密码)进行加密处理,对所有保密信息予以严格保密,在未得到甲方事先许可的情况下不披露给任何其他人士或机构;乙方同意并承诺,为甲方提供的服务器配备完善的安全设备及防范措施,以保证服务器的安全、稳定运行;(5)乙方同意并承诺,依据行业通用标准,保障甲方用以储存具有商业价值资料(保密信息)的服务器所在机房的环境安全;

(6)乙方同意并承诺,未经甲方许可,乙方不可拷贝服务器上的任何保密信息。

(7)乙方承担对甲方在道一云|办公上数据的保密义务。甲方有权主动清除在云平台上创建的属于甲方的各项数据,清除后的甲方数据乙方不再承担保密责任和义务。

3.本承诺书中保密义务不适用于以下信息:
(1)非由于乙方原因已经为公众所知悉的;
(2)由于乙方以外其他不受保密义务限制的渠道被他人获知的信息;
(3)由于法律的适用、法院或其他国家有权机关的要求而披露的信息;
(4)乙方征得甲方书面同意而发布的信息。

广东道一信息技术股份有限公司
请补充落款时间

 

下载按钮

道一云|办公安全白皮书7.0

长按储存图像,分享给朋友

以上内容未解决您的问题?