信息安全-合规安全

合规安全

  • • 政策合规

    股书根据国家信息安全相关法律、法规要求来制定实施程序,防止数据被不正当披露、篡改与破坏。

信息安全-数据安全

数据安全

  • • 传输安全

    利用多层敏感数据传输, 全程使用SSL加密,全面实现数据在传输过程中的安全。

  • • 存储安全

    数据库全部采用密文保存、数据隔离,即便系统管理人员也无法得到原文,且密钥可由企业用户掌握。

  • • 访问安全

    股书的身份权限管理体系采取了集中式SSO单点登录(Cookie/Token加密),以此为用户提供访问控制保障。

  • • 数据销毁

    对于需要销毁数据的客户,股书会彻底清除其系统中所有的数据。

  • • 安全审计

    股书详细跟踪记录所有的数据活动,实时分析语境和行为过滤,使所有用户操作有迹可寻。

信息安全-业务安全

业务安全

  • • 账号安全

    股书依托口令和访问控制策略,禁用弱口令,监控非法登录,

    同时使用短信验证码二次验证方式确保账户安全。

  • • 暴力破解&撞库

    股书实时监测账号是否有破解、撞库与刷库等攻击行为,告警通知及处置恶意请求。

  • • 系统登录日志

    股书详细记录用户的登录日志,用户可以查看上次登录的时间、地点、和登录终端。

  • • 管理员操作日志

    股书提供详细的管理员操作日志,以记录系统的用户配置、权限配置等信息。

  • • 业务权限控制

    股书严格控制业务之间的权限隔离,保障用户仅能在权限范围内对其数据进行访问操作。

  • • WAF(Web应用防护系统)

    股书使用WAF对DDOS攻击,SQL注入等攻击手段进行严格的过滤和排除。

信息安全-系统和网络安全

系统和网络安全

  • • 系统安全

    A.一旦安全团队跟踪发现服务器上的软件有安全漏洞,会通过应急漏洞修复。

    B.授权管理员需要先登录经过堡垒机之后,才能登录其他生产服务器。

  • • 网络安全

    A.股书通过VPC(虚拟私有网络)与外界网络隔离,并在VPC中划分公有子网和私有子网。

    B.不同子网及子网内不同主机分别通过ACL映射、安全组、iptables防火墙。

    C.所有终端的缓存加密策略遵循AES标准加密。

    D.股书在CDN、反向代理服务和iptables等多个层面对DDos进行防护。

信息安全-基础设施安全

基础设施安全

  • 股书系统使用了腾讯云的数据存储服务,可保障99.95%的服务可用性和99.999%的数据可靠性。

信息安全-灾难恢复与业务连续性

灾难恢复与业务连续性

  • • 灾备措施

    股书通过多副本存储策略,保障客户数据永不丢失并能7×24小时不间断运作。

  • • 数据归档和导出服务

    股书系统支持客户数据的批量导出及报表输出等功能,可以确保客户数据最高的灵活度。