データセキュリティに乗るべきです

Q: 適切なクラウドデータストレージは、安恒密シールド暗号化を使用していますか?

A: 安恒密盾を使用していませんが、アリ自研の安全データベースを使用してデータ保証を行うべきで、データ転送は暗号化されたチャネルを使用して転送されます。

Q: 三級などの保証認証に合格しましたか?適切に構築されたアプリケーションで、自動的に三級などの保証認証を備えていますか。

A: 宜合はホッチキスの下の公式応用で、国家三級などの保証認証に合格した。しかし、各企業のテナントは生産や構築に適したアプリケーションを使用して、デフォルトでは三級などの保証基準を持っていないので、自分で第三者に連絡して個別認証申請を行う必要がある (追加料金が必要)。

Q: どのような認証された安全保障が必要ですか?

阿里雲とホッチキスに基づく安全基盤に乗るべきで、完全な等級認証を備えていると同時に、すでにiso27001、iso27018情報安全管理システムなどの認証を通過しているべきである。

Q: どのようにして基礎的なアーキテクチャでデータの安全を保障するべきですか?

• コードはアリババ開発規約と安全規約を厳格に遵守している。
• アリクラウドに完全に導入され、ネットワーク、計算、ストレージはアリババクラウド技術体系を完全に使用し、プラットフォームベースはアリjdkを使用して開発と実行されている。
• すべてのweb要求はhttpsプロトコルを使用して暗号化されます。
• パスワード自体はログやコンソールには出力されません。
• ユーザーが手動で「公開」に設定したコンテンツを除き、すべてのwebページとリソースに認証が必要です。認証は完全にサービス側で行われ、ログインの入り口には暴力的な推測と衝突防止の対策があり、第三者の認証ログインをサポートしています。
• ユーザーがログアウトするとすぐにセッションと関連するログイン情報がクリーンアップされ、cookieはhttponly属性とsecure属性を設定します。
• 管理者ユーザーは、必要に応じて、自分で権限を設定し、対応するリソースのアクセス制御を実現できます。
• Web防護措置。Sqlインジェクション、xmlインジェクション、バッファオーバーフロー、xssクロスステーションスクリプト攻撃、csrfクロスステーションリクエストの偽造防止などが含まれています。
• ファイルアップロードはアップロード者を認証し、ossファイルサーバストレージ、ファイルサーバ独立ドメイン名を単独で使用します。
• オープンインタフェース呼び出しはアクセス側keyとsecretを厳格に制御し、データ署名メカニズムを提供し、呼び出し頻度、異常呼び出しを傍受し、httpsで暗号化して転送する。

Q: どのような製品レベルのデータ安全保障が必要ですか?

• Saas方式でサービスを提供し、設計にマルチテナントモデルを採用し、テナント間のデータは論理的に隔離され、テナント情報は共有にアクセスできない。
• 厳格なデータ権限設定管理機能。
• ホッチキス安全口座体系に基づく (実名認証をサポート)。
• 統一されたデータ管理インタフェースを備えています。