数据安全

illustration

黑帕云为保障用户的数据安全不遗余力。我们始终以软件行业最高安全标准保护用户数据,所使用的安全模型和策略全部基于国际标准和行业最佳实践。

合规与证书

黑帕云持续关注国际和国内的信息安全政策规范,积极完善自身合规体系建设,完成合规认证。

ISO/IEC 27001:2013 信息安全管理体系

黑帕云按照ISO 27001的各项标准建立了信息安全管理体系且通过了认证机关的审核,已于2021年4月取得了证书。

通过 ISO 27001 认证,能体现企业对安全的承诺,表明企业信息安全管理已建立起一套科学有效的管理体系,能够为用户提供可靠的信息服务。目前国内外许多政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司均采用了此项 ISO 标准对自己的信息安全进行系统的管理。

网络安全等级保护 2.0

依据网络安全等级保护 2.0的标准及相关条例规定,黑帕云对整个系统进行安全加固,正在申请认证机关的审核,将于2021年内完成此项认证。

中国网络安全等级保护 2.0(简称等保2.0)于2019年12月1日起正式实施。等保 2.0 更加注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、移动互联、物联网、大数据和工业控制系统等级保护对象的全覆盖。

数据物理安全

数据位置

黑帕云的数据全部托管在亚马逊中国(AWS)宁夏区域和阿里云杭州区域的多个数据中心的可用区中,采用多副本冗余存储。他们是中国最顶尖的云服务提供商,数据托管在他们的基础设施上,避免了硬盘被盗或失效、甚至整个区域故障导致的数据丢失风险。

数据灾备与恢复

黑帕云每天都会对数据进行备份。备份数据也存储在多个数据中心的可用区中,并使用 AES-256 算法进行加密。 所有备份都会定期追踪其完整性并进行验证检查,以确保故障发生时,我们可以迅速启动恢复流程并立即修复数据。

服务器安全

网络安全

黑帕云采用 AWS 和阿里云提供的、具有多层保护和防御机制的网络安全技术,通过防火墙阻挡未经授权的访问,同时还采用多个交换机和安全网关来确保网络冗余,防止内部网络的单点故障。

DDoS 防御

黑帕云使用 AWS 和阿里云的 WAF(Web 应用防护系统)技术来防止对服务器的 DDoS 攻击,只允许正常的流量通过,防止恶意流量攻击造成的业务中断,使网站和 API 保持高可用性和高性能。

服务器强化

黑帕云所有服务器的未使用的端口和帐户都被禁用,我们定期对云服务器进行安全扫描和补丁升级。

服务灾难恢复和业务连续性

黑帕云的服务均采用多副本冗余机制,分布在多个不同区域内,在单个区域发生故障的情况下,其他区域会接管并平稳地进行切换操作。除此之外,我们还制定了业务连续性计划并对基础架构进行持续监控,确保黑帕云的各项服务能够正常运行。

管理权限

黑帕云采用访问控制技术严格管理服务器的访问权限。基于最小特权和基于角色的权限控制原则,最大程度地减少数据泄露的风险。登录服务器被要求使用受密码保护的 SSH 密钥和双因素身份验证,并记录所有的服务器操作,日常审核。

软件服务安全

代码安全

黑帕云的所有代码在部署到服务器之前均经过严格的安全检验,包括威胁建模、自动化测试、自动扫描和代码审核。同时我们的开发人员会进行安全培训,以保证他们掌握最新、最佳的安全开发实践,防止隐患产生。

通信加密

当用户执行访问网站或上传附件等操作时,数据会在他的设备和我们的数据中心之间加密传输。我们设置了多重安全防护来保护用户数据的传输:要求所有与服务器的连接均使用 TLS 1.2 / TLS 1.3 和现代密码算法对流量进行加密;启用了 HTTPS 安全协议,要求浏览器仅能通过加密连接与我们建立连接。

数据鉴权和隔离

为了确保数据的合法访问,黑帕云使用国际标准的鉴权体系,提供身份管理、认证管理和角色授权三位一体的用户业务鉴权服务。通过用户身份标识、用户授权检查、业务身份标识形成端对端的鉴权体系,防止非授权的数据访问发生。 以鉴权的安全性为基础,黑帕云依照 SaaS 服务多租户的最佳实践,设计实现了用户团队之间数据的隔离性。

顶尖的技术团队

我们拥有业内顶尖的技术团队,与国内顶级云服务供应商联手为黑帕云产品的数据安全提供支撑,为用户提供 7x24 小时的安全应急响应。

© 2021 HIPACloud. All Rights Reserved. 黑帕云公司 版权所有