产品安全

小兵跟单SaaS服务的安全实施方案


物理、网络及系统安全

硬件环境:小兵跟单采用阿里云ECS作为硬件物理环境。

多级备份:小兵跟单数据库,文件服务器,应用服务器等重要用户业务节点全部部署灾难备份方案用于保障用户数据安全。

防火墙:小兵跟单为所有的ECS配备了阿里云专业级的Web应用防火墙。提供了防御SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护、cc攻击等; 在ECS网络层面上更是配备了阿里专业的网络防火墙,用于防止DOSS等攻击行为。

入侵检测系统:使用阿里入侵检测系统分析来自网络外部和内部的入侵信号。在系统受到危害前发出警告,实时对攻击做出反应,并提供补救措施。

网络监控:部署阿里网络监控系统对网络设备的运行状况进行7×24小时实时监控。

数据传输:我们使用了沃通中国颁发的专业级数据证书为您的数据在网络传输中提供保障。

集群服务:采用负载均衡技术阿里的SLB,以实现多台应用服务器之间的负载均衡和高可用性,提供水平扩展消除单点故障。

系统加固:服务器操作系统级小兵跟单使用经过163,搜狐等验证并加固过的Linux系统作为镜像OS。并保持同步更新。

漏洞扫描修复:使用阿里安全漏洞扫描系统,实时监测发现最新的漏洞和薄弱环节,并及时安装补丁修复程序。

病毒防护:应用360网络防病毒产品、关闭系统中不必要的应用程序和端口以及做好移动硬盘、u盘等设备使用前的扫描杀毒工作。
 

应用及管理道德安全

数据隔离:我们使用了数据访问层逻辑隔离数据标签技术,提供了更加底层的隔离方式。使每个用户数据仍然像使用独立数据库一样安全。

数据加密:对针对部分用户账号等敏感数据我们采用了不可逆算法进行加密保护,并对整条数据进行完整性校验。以保证在数据库级别无法篡改。保证数据有效安全。

权限控制:对于用户访问采用单点登录,所有登录和重要数据访问全部采用日志记录方式。并对用户常用登录设备、地域、IP等做了安全校验,发现不安全情况会及时通知用户。对数据分权限访问,用户根据权限访问自己有权限的数据。

身份认证:使用Token票证登录验证解决方案配合HTTPS实现安全通用的身份认证机制。

完善安全管理制度:首先我们在技术层面上做了不可逆加密,完整性,ACL等防护。做到在数据库级别无法对数据进行查看和有效篡改。并且在公司岗位管理上进行安全划分。做到数据库,程序,日志管理岗位水平分离。其中的每一块又做到了垂直的等级权限划分。例如数据库管理团队根据自身职责对读、写、访问表的范围等都有严格的授权制度。并且无论人为还是程序每修改一次数据都会形成日志,从而互相监督、校验。每位入职人员都要签署安全管理协议在法律层面做约束。

商业道德管理:小兵跟单的目标是成为一款服务于外贸的生产力工具。作为一款以SaaS方式提供服务的平台,商业道德也是我们一直坚守并执行的。小兵跟单是希望在移动互联网时代为外贸行业提供一种基于互联网+外贸思维的综合服务。可以伴随我们每一位用户共同成长,共勉共赢。其实SaaS类服务有个经典的比喻,一个人有一大笔钱,是放在家里更安全,还是放在银行更安全呢?