明象安全

您的数据安全对我们非常重要! 以下是我们每天为确保您的数据在明象中的安全
以及我们在我们的托管版本明象云上应用最佳安全实践所做的工作的概括。

 明象云 (平台)—

备份/灾难恢复

    我们将每个 明象 数据库保留14个完整备份,长达3个月:每天1天,共7天,每周1天,共4周,每月1月,共3个月。
    备份在不同大陆的至少3个不同数据中心中复制。
    我们的数据中心的实际位置在我们的隐私政策中指定。
    您还可以随时使用控制面板下载实时数据的手动备份。
    您可以联系我们的服务台,以在您的实时数据库(或侧面)上还原所有这些备份。
    硬件故障转移:对于在裸机上托管的服务(如果可能发生硬件故障),我们将实施本地热备份复制,并进行监视和不到5分钟的手动故障转移过程。
    灾难恢复:在完全灾难的情况下,数据中心长时间处于完全关闭状态,防止故障转移到我们的本地热备用(到目前为止,这从未发生,这是最坏的情况),我们的目标如下:
        RPO(恢复点目标)= 24h。这意味着如果无法恢复数据,您最多将失去24小时的工作,而我们需要恢复您的最新每日备份。
        RTO(恢复时间目标)=收费订阅24小时,免费试用版,教育产品,免费增值用户等48小时。如果发生灾难并且数据中心完全关闭,则可以在其他数据中心恢复服务。
        如何完成这项工作:我们会主动监控我们的每日备份,并将它们复制到不同大陆的多个位置。我们具有自动配置功能,可以在新的托管位置部署我们的服务。然后,可以在几天之内(对于最大的群集)根据我们前一天的备份还原数据,并优先考虑付费订阅。
        我们通常将日常备份和预配置脚本都用于日常操作,因此灾难恢复过程的两个部分都一直受到测试。

数据库安全

    客户数据存储在 独立 数据库中- 客户数据库 之间不共享数据。
    数据访问控制规则实现了在同一集群上运行的客户数据库之间的完全隔离,不可能从一个数据库访问另一个数据库。

密码安全

    客户密码受行业标准PBKDF2 + SHA512加密保护( 哈希算法 )。
     明象 工作人员无权访问您的密码,也无法为您找回密码,如果丢失密码,唯一的选择就是重置密码。
    登录凭据始终通过HTTPS安全传输。
    客户数据库管理员可以选择配置速率限制和冷却持续时间以进行重复的登录尝试。
    密码策略:数据库管理员具有一个内置设置,用于实施最小用户密码长度。对于较旧的版本,可以通过定制获得相同的效果。默认情况下不支持其他密码策略(例如必需的字符类),因为它们被证明会适得其反-例如,请参见[Shay等。 2016])。

员工通道

     明象售后 人员可能会登录您的帐户以访问与您的支持问题相关的设置。为此,他们使用自己的特殊员工凭据,而不是您的密码(他们无法知道)。
    这种特殊的员工访问权限提高了效率和安全性:他们可以立即重现您所看到的问题,您无需共享密码,并且我们可以分别审核和控制员工的行为!
    我们的技术支持人员会尽力尊重您的隐私,并且仅访问诊断和解决问题所需的文件和设置。

系统安全性

    所有 明象云 服务器都运行带有最新安全补丁的强化Linux发行版。
    安装是临时的,并且安装最少,以限制可能包含漏洞的服务数量(例如,没有PHP / MySQL 等功能 )。
    只有少数受信任的 明象 工程师可以远程管理服务器-只有使用加密的个人SSH密钥对,才能从具有全盘加密的计算机上进行访问。

物理 安全

明象云 服务器托管在世界各个地区的受信任数据中心(例如 阿里云、亚马逊云平台 )中,并且它们都必须超过我们的物理安全标准:

    受限制的外围区域,只能由授权的数据中心员工进行物理访问。
    具有安全标志或生物识别安全性的物理访问控制。
    安全摄像机24/7全天候监控数据中心的位置。
    现场24/7的安全人员。

信用卡安全

    我们从不在我们自己的系统上存储信用卡信息。
    您的信用卡信息始终在您和符合PCI的付款收款人之间直接安全地传输(请参阅“隐私权政策”页面上的列表)。

通讯技术

    到客户端实例的所有Web连接都受到最新的256位SSL加密的保护。
    我们的服务器受到严格的安全监控,并始终针对最新的SSL漏洞进行修补,始终保持A级SSL等级。
    我们所有的SSL证书均使用具有完整SHA-2证书链的强大2048位模数。

网络防御

    明象云 使用的所有数据中心提供商都具有非常大的网络容量,并且其基础架构设计为可以抵抗最大的分布式拒绝服务(DDoS)攻击。他们的自动和手动缓解系统可以在多大陆网络边缘检测并转移攻击流量,然后才有机会中断服务可用性。
     明象云 服务器上的防火墙和入侵防御系统可帮助检测和阻止诸如暴力密码攻击之类的威胁。
    客户数据库管理员甚至可以选择配置速率限制和冷却持续时间以进行重复的登录尝试。

 

— 明象 (软件)—
软件安全性

明象 是开源的,因此整个代码库都在不断受到 明象 用户和全球贡献者的审查。因此,社区错误报告是有关安全性的重要反馈来源之一。我们鼓励开发人员审核代码并报告安全问题。

明象 R&D流程具有代码审查步骤,其中包括针对新代码和贡献代码的安全性方面。
设计安全

明象 的设计可以防止引入最常见的安全漏洞:

    通过使用不需要手动SQL查询的高级API可以防止SQL注入。
    通过使用自动逃逸注入数据的高级模板系统,可以防止XSS攻击。
    该框架阻止RPC访问私有方法,从而使引入可利用的漏洞更加困难。

另请参阅OWASP顶级漏洞部分,以了解 明象 是如何从头开始设计的,以防止此类漏洞的出现。
独立安全审核

明象 定期由独立的公司审核,这些公司由我们的客户和潜在客户聘请,以执行审核和渗透测试。 明象 安全团队将收到结果,并在必要时采取适当的纠正措施。

但是,我们无法透露任何结果,因为它们是机密的,属于专员。请不要问;-)

明象 还有一个非常活跃的社区,由独立的安全研究人员组成,他们不断监视源代码,并与我们一起改善和加强 明象 的安全性。我们的“安全计划”在“责任披露”页面上进行了说明。
OWASP最高漏洞

正如开放式Web应用程序安全性项目(OWASP)列出的, 明象 在这方面是Web应用程序的首要安全问题:

    注入 漏洞 :注入缺陷,尤其是SQL注入,在Web应用程序中很常见。当用户提供的数据作为命令或查询的一部分发送到解释器时,就会发生注入。攻击者的敌对数据会诱使解释器执行意外的命令或更改数据。

     明象 依赖于对象关系映射(ORM)框架,该框架抽象化查询构建并默认情况下阻止SQL注入。开发人员通常不会手动处理SQL查询,它们是由ORM生成的,并且始终会正确地转义参数。

    跨站点脚本(XSS):每当应用程序获取用户提供的数据并将其发送到Web浏览器而不先验证或编码该内容时,就会发生XSS漏洞。 XSS允许攻击者在受害者的浏览器中执行脚本,该脚本可能劫持用户会话,破坏网站,可能引入蠕虫等。

     明象 框架默认情况下转义了所有呈现到视图和页面中的表达式,从而防止了XSS。开发人员必须专门将表达式标记为“安全”,以便将原始内容原始包含到呈现的页面中。

跨站点请求伪造(CSRF):CSRF攻击迫使登录的受害者的浏览器向易受攻击的Web应用程序发送伪造的HTTP请求,包括受害者的会话cookie和其他任何自动包含的身份验证信息。这使攻击者可以迫使受害者的浏览器生成易受攻击的应用程序认为来自受害者的合法请求的请求。

     明象 网站引擎包括内置的CSRF保护机制。这样可以防止任何HTTP控制器在没有相应安全令牌的情况下接收POST请求。这是用于CSRF预防的推荐技术。仅当用户真正访问了相关的网站表单时,此安全令牌才是已知的并且存在,并且攻击者如果没有它就无法伪造请求。

    恶意文件执行:容易受到远程文件包含(RFI)攻击的代码使攻击者能够包含敌对代码和数据,从而造成破坏性攻击,例如全面破坏服务器。

     明象 不会公开执行远程文件包含的功能。但是,它允许特权用户通过添加将由系统评估的自定义表达式来自定义功能。这些表达式始终由仅允许访问允许的函数的沙盒和经过清理的环境评估。

    不安全的直接对象引用:当开发人员将对内部实现对象(例如文件,目录,数据库记录或键)的引用公开为URL或表单参数时,将发生直接对象引用。攻击者可以未经授权操纵这些引用来访问其他对象。

     明象 访问控制未在用户界面级别上实现,因此不存在公开对URL中内部对象的引用的风险。攻击者无法通过操纵这些引用来规避访问控制层,因为每个请求仍然必须经过数据访问验证层。

    不安全的密码存储:Web应用程序很少正确使用密码功能来保护数据和凭据。攻击者使用受保护程度较低的数据来进行身份盗用和其他犯罪,例如信用卡欺诈。

     明象 对用户密码(默认为PKFDB2 + SHA-512,使用密钥扩展)使用行业标准的安全哈希来保护存储的密码。也可以使用外部身份验证系统,例如OAuth 2.0或LDAP,以避免完全在本地存储用户密码。

    不安全的通信:当需要保护敏感的通信时,应用程序经常无法加密网络流量。

    默认情况下, 明象云服务基于 HTTPS 传输 。对于本地安装,建议在实现对 明象 的加密和代理请求的Web服务器之后运行 明象 ,例如Apache,Lighttpd或nginx。

    无法限制URL访问:通常,应用程序仅通过阻止向未经授权的用户显示链接或URL来保护敏感功能。攻击者可以利用此弱点通过直接访问这些URL来访问和执行未经授权的操作。

     明象 访问控制未在用户界面级别实现,并且安全性不依赖于隐藏特殊URL。攻击者无法通过重用或操纵任何URL来规避访问控制层,因为每个请求仍必须经过数据访问验证层。在极少数情况下,URL提供未经授权的敏感数据访问,例如客户用来确认订单的特殊URL,这些URL用唯一的令牌进行数字签名,并且仅通过电子邮件发送给预期的收件人。

报告安全漏洞

如果您需要报告安全漏洞,请转到我们负责的披露页面。这些报告被高度优先处理,由 明象 安全团队与报告者合作立即评估和解决问题,然后以负责任的方式向 明象 客户和用户披露。