国家数据安全管理升级，甄云SaaS安全体系能否经受考验？

导语

2021年11月14日，国家互联网信息办公室发布了关于《网络数据安全管理条例（征求意见稿）》（以下简称《条例》）公开征求意见的通知。这是今年《数据安全法》和《个人信息保护法》出台后具体的关于数据安全的管理条例，是国家在数据保护安全领域的又一重要政策。

基于此，甄云科技第一时间便组织相关人员研究该《条例》，并对比企业长期以来在数据安全方面的建设。

01
甄云满足《条例》要求，长期专注数据安全

比如《条例》中第九条

“数据处理者应当采取备份、加密、访问控制等必要措施，保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用，应对数据安全事件，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性。

数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，处理核心数据的系统依照有关规定从严保护。

数据处理者应当使用密码对重要数据和核心数据进行保护。”
 
对此，甄云科技根据数据的重要程度做了数据的分类分级，将敏感数据加密存储，并使用了KMS（密钥管理服务）管理密钥，避免密钥泄露。每天对数据全量备份，实时增量备份。另外，甄云对数据的访问有严格的规范及限制，并定期审计规范执行情况。甄云科技的业务系统也是通过了网络安全等级保护三级测评的，而且通过了独立审计公司的SOC1/2审计。
 
《条例》中第十二条

“数据处理者处理个人信息，应当具有明确、合理的目的，遵循合法、正当、必要的原则。基于个人同意处理个人信息的，应当满足以下要求：

（一）处理的个人信息是提供服务所必需的，或者是履行法律、行政法规规定的义务所必需的；

（二）限于实现处理目的最短周期、最低频次，采取对个人权益影响最小的方式；

（三）不得因个人拒绝提供服务必需的个人信息以外的信息，拒绝提供服务或者干扰个人正常使用服务。”
 
对此，甄云科技在系统设计之初就非常注重个人数据的收集、使用、分享、转移、删除等。同时，还清晰告知个人收集该数据的相关功能作用，明确要求按收集最小化、影响最小化原则收集和处理数据。
 
甄云科技高度重视客户数据安全，始终坚持以客户数据为本，前期的大量投入使得《条例》发布之初，甄云符合所有大的原则和已知细则，部分尚不明确的细则会继续保持关注。

02
甄云在安全体系方面的内部建设

甄云科技不仅在数据安全方面取得了不错的成绩，还在整体的安全架构上均有所建设。

人员安全——安全问题终究是人的问题。在人员安全上，甄云科技定期对全员进行安全意识教育培训，提高大家的安全意识。另外，还将安全意识培训添加进转正考核；会对新入职员工进行背景调查，核实信息。

研发安全——制定安全开发规范，开展安全培训。在开发过程中进行代码扫描；在测试过程中，借助测试流量进行web及开源组件漏洞扫描；在上线前行漏洞扫描。版本发布前实现多角度安全活动，尽可能在发布前发现漏洞，解决漏洞。防止带“病”上线。

此外，甄云还定期和第三方安全公司进行合作，邀请安全专家对业务系统进行渗透测试。同时在漏洞众测平台借助白帽子力量，完善业务系统的安全。如下图，开放式Web应用程序安全项目（OWASP）非盈利组织今年更新的十大漏洞，OWASP Top10漏洞也是渗透测试工作中一项重要的参考依据。

安全防护——甄云SaaS系统从网络层，应用层，主机层等方面构建纵深防御体系，对抗入侵攻击，日均抵抗攻击次数达1000+。

产品自身在账号认证，身份鉴权，角色管理，权限管理等功能在设计之初，就考虑到可能潜在的安全问题，经过不断的迭代，甄云产品自身已经足够健壮。

数据安全——甄云科技专门成立虚拟的数据安全小组。小组成员涉及安全，DBA、产品、测试、开发等岗位人员，技术总监任小组组长。小组全面负责数据的整个生命周期安全，制定相关制度规范等。

初期，针对整个业务系统数据进行梳理，开展分类分级工作。根据数据性质将数据分为用户数据和业务数据；根据数据泄露、破坏或者更改所产生的影响程度将数据分为外部公开数据、內部公开数据、秘密数据和机密数据四个级别。公司使用AES-256及KMS对数据库中秘密数据与机密数据进行加密，包括但不限于用户的密码、身份证号、开户银行号、手机号、邮箱等。在业务平台，对身份证号和开户银行号等机密数据脱敏展示。

终端安全——每年HVV过程中，终端总是重灾区，是入侵防护中最薄弱的一环。为此，甄云科技为所有员工安装防病毒软件，防止感染恶意程序、木马病毒等。同时加强员工安全意识教育，尤其是钓鱼邮件。

03
甄云网络安全体系建设走向全球化

甄云科技在走向全球化的过程中，也非常注重安全合规建设。这不仅需要满足国家等级保护要求，还需要符合国际安全标准。目前，甄云科技的客户遍及中国、日本、越南、印度、欧洲、北美等多个国家和地区，已服务全球30+行业，700+国内外知名大中型核心企业，尤其在安全合规要求非常高的医药、金融等行业可以放心使用甄云数字化采购平台。甄云科技目前已经获取到的安全合规认证，可以参考历史文章《甄云科技同时获得SOC1和SOC2报告，为企业数据安全保驾护航》。

04
甄云关注国家法律法规，保障客户数据安全

甄云科技一直关注国家在信息安全上的法律法规，不断完善系统的安全合规。本次《条例》就是在数据安全上的强监管。作为一家SaaS公司，在成立之初就深刻认识到客户的数据就是公司的生命线，所有的安全措施都是为了保护数据的安全。

安全防御和入侵攻击总是持续并行，只有在不断对抗中学习，吸取经验。甄云将前沿的安全理念与技术融入到安全体系中，不断更新安全技术。

甄云科技在用户大会上提出“打造多样化产品”，“不断提高智能化水平”；紧跟公司的发展战略，甄云的安全也会朝着自动化，智能化发展，为公司的目标保驾护航；坚定不移保障客户的数据安全。