用友云,让用户更安全

说实话,记者对用友云的安全性还是刮目相看的。因为记者没有想到,用友云在上线发布的同时居然同时就向客户发布了《用友云安全》白皮书。

这是所有XX云中第一个这样做的。这在一定程度上反映出,用友云对安全问题是足够重视的。面对用户最关心的安全问题,用友云能让用户有安全感吗?

我的数据安全吗?

数据安全是用户最关心的问题。

在这方面,用友云极其深入的思考,也对此有足够多的防护。

从《用友云安全》白皮书可以看到,用友云依据数据安全生命周期,从数据创建、存储、使用、共享、归档至销毁,使用了数据分级、数据加密等措施,保障了数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。

用友云通过数据分类分级、数据加密和密钥管理为敏感数据提供可持续的信息保护,实现数据的灵活性、可靠性和可管理性;借助密钥管理中心和加解密产品实现数据安全保护和控制,将安全技术嵌入至整个数据安全生命周期中,以保障数据安全属性。用友云还会对上线的产品进行持续监控,特别是对动态发布的内容进行重点的防护,防止网页篡改、盗链、发布不符合国家法律法规的内容和言行等。用友云与多家领先的安全服务伙伴一起,借助大数据的技术,为用户的应用内容提供了一级防护能力。

用友云对数据活动进行全程安全审计,覆盖所有数据活动的详细跟踪记录,并进行实时的语境分析和行为过滤,从而实现对用户访问行为的主动控制,生成审计员所需要的信息。

用友云对数据进行全面性备份和关键数据备份,采用多备份、异地备份等方式,保障数据的存储安全。需要报废或移出数据中心的网络设备及存储设备,依据 DoD5220.22-M、 NIST 800-88 标准进行清除数据、 磁盘消磁以及物理销毁。

用友云还建立了本地应急系统及容灾系统,本地应急系统、容灾系统与生产系统相互配合共同保证整体业务连续性。同时,用友云成立专门的应急响应组。应急响应组由安全专家、业务专家、技术专组成,他们制定了完备的应急响应制度及灾难恢复流程,并定期组织灾备演习和维护。

值得一提的是,用友云还实现企业通信录和电子邮件、短信等内容的安全保密。它对企业通信录采用加密存储,可分级管理通信录,针对不同人群设置不同权限;同时企业可以设置对重要部门进行保护,该部门的信息会自动隐藏, 即使是企业内的员工,没有相应权限无法访问。对于不同公司的信息,存储空间是相互隔离的,当员工离职后,会被踢出对应的企业群,自动剥离员工在该企业的权限。企业可以设置对员工的手机号进行隐私保护,在对外展示员工信息时隐藏手机号码,防止信息泄露,但不影响电话通讯和电话会议等相关功能的使用。用友提供的电子邮箱服务如微邮,结合大数据的技术,能够对垃圾邮件数据进行了有效的清洗,保障用户邮箱不受侵扰和攻击。通过用友云提供的服务在客户端存储是加密保密的。

我的账号安全吗?

由于云服务的访问是通过账号来进行,访问往往会带来非常大的安全隐患。用友云在这方面有什么措施呢?

首先,用友云非常好的身份认证体系和技术。用友云使用密码强制策略用于密码或密钥管理。包括密码定期修改频率、密码长度、密码复杂度、密码过期时间等。 用友云针对生产数据及其附属设施的访问控制除去采用单点登录外,均强制采用双因素认证机制,例如像证书和一次性口令生成器。

其次,访问控制是网络安全防范和保护的主要核心策略,它的主要任务是保证网络资源不被非法使用和访问。用友云访问控制由权限管理体系实现,权限管理体系以 RBAC 为核心的权限模型,支持功能、数据等多类权限资源,借助职责实现权限继承,简化、规范企业业务权限体系的规划,支持集中与分层的授权体系,支持内控与审计。

再次,用友云的数据访问权限有专门设置。用友云数据权限遵循以下原则:

• 严谨的权限安全控制:支持基于数据实体的数据权限控制,支持所有者权限和主管权限

• 管理权与业务权分离:支持管理权与业务权互斥,管理人员不能直接操作和访问数据

• 数据权限审计:多角度权限控制,支持权限审计,权限管理业务日志,保留完整审计信息。

• 关键业务数据权限:关键业务要求二次权限认证,以加强保护。

最后,用友云专门针对移动终端访问有充分的安全认证。它会对所有登录的用户进行设备认证,如果该设备没有通过认证则不允许登录;可信设备认证需要经过账号或密码及验证码的

认证。并且,用友云对移动客户端的数据库进行了整库加密存储,根据用户设备信息通过加密算法生成的唯一密钥,保护用户客户端存储的敏感信息不被攻击者非法获取,保障用户的隐私数据不被泄露。

我的应用安全吗?

租用了你的云服务,我就需要你的服务、我的应用能随时使用,需要我的应用能正常使用,而不会动不动访问不了,甚至动不动出现宕机。用友云能保证其应用的安全性吗?

据《用友云安全》白皮书介绍,用友云提供全面的应用安全保障,包括用友云使用安全开发流程保障应用开发生命周期安全,通过安全性评估过程保障业务流程安全。用友云提供的应用安全服务包括身份管理和访问控制、日志和监控、应用安全管理、资源控制,以此达到应用本身的安全,同时支撑企业安全运维管理的需求。

为确保系统的网络访问安全,系统需要采用的安全手段主要有:访问控制(含 VLAN)、防火墙、线路备份、CA认证、VPN技术、入侵检测等。用友云使用了多种手段实现网络传输安全。用友云通过阿里云应用防火墙WAF防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意CC攻击,避免客户的网站资产数据泄露,保障网站的安全与可用性。此外,用友云还使用了阿里云高防IP抵御 DDoS攻击。

由于用友云在其云市场有很多第三方的服务。因此,用友云非常看重第三方应用 API的服务认证。用友云服务会对每个访问的请求进行身份验证,所以无论使用 HTTP 还是 HTTPS 协议提交请求,都需要在请求中包含签名(Signature)信息。通过使用Access Key ID和Access Key Secret进行对称加密的方法来验证请求的发送者身份。Access Key ID和Access Key Secret由用友云官方颁发给访问者(可以通过用友云官方网站申请和管理),其中Access Key ID用于标识访问者的身份;Access Key Secret是用于加密签名字符串和服务器端验证签名字符串的密钥,必须严格保密,只有用友云和用户知道。

我的云服务整体安全吗?

数据、账号和应用是云服务安全问题的三个重要方面。从整体上来看,用友云安全吗?

据《用友云安全》介绍,用友云安全体系采用业界主流的通用框架,主要包括安全管理、安全运维、安全技术三个层面。

用友云正是通过全面的安全部署,以实现自己“可信、可靠、保障、贴心”的云服务核心理念。用友云与安全领域领先厂商强强联合,共同维护云应用安全,保障用户在用友云上的数据安全、业务安全。

这也是用友云服务的基准生命线。