1、7. 安全开发周期管理8. 安全运维和运营9. 业务安全和风控10. 终端安全11. 业务可持续性 该白皮书致力于让客户更加全面、系统的了解涂鸦,并对涂鸦云平台有更深入的安全洞察。2. 安全责任涂鸦负责涂鸦云平台上的服务和数据交互的安全管理和运营,对提供的云服务平台和基础架 构的安全性负责。客户自行开发 APP 或硬件嵌入式软件 (包括使用 SDK)接入涂鸦云需要客 户自己保障其应用及数据(详见 2.2 条),包括硬件和 app 的安全合规。下图为基础云服 务商、涂鸦以及客户信息安全责任共同承担责任模型:2.1 涂鸦云的安全责任涂鸦云通过选择全球知名的云主机服务商亚马逊、微软云等全球一流云计算
2、平台,确保安全 管理和运营的基础设施,物理设备的安全。涂鸦云安全覆盖数据安全和云服务安全。涂鸦承诺利用其安全团队以及全球范围内知名的安 全服务厂商的专业攻击防护技术经验,提供云平台的安全运维和运营服务,切实保护涂鸦云 的安全运营,以及保障客户、用户隐私和数据的安全。主要覆盖但不限于如下: 数据安全:指客户在云计算环境中的业务数据自身的安全管理,包括收集与识别、分类 与分级、权限与加密以及隐私合规等方面. 访问控制管理:对资源和数据的访问权限管理,包括用户管理、权限管理、身份验证等. 云服务安全:指在云计算环境下的业务相关应用系统的安全管理,包括应用和服务接口 的设计、开发、发布、配置和使用等方
3、面。2.2 客户的安全责任客户在使用涂鸦云的解决方案的时候,需要严格按照涂鸦的安全配置和接入要求执行。同时 客户需要保证自己的云端、客户端或者硬件产品本身的安全性。基于涂鸦 SDK 开发的 APP, 涂鸦仅提供技术支持,但是无法提供任何安全保障。对于基于涂鸦OEM (公版) APP (无任何定制场景)的数据安全合规、隐私政策等相关信息,涂鸦会提供模板供客户参考,具体上线 的隐私政策声明以及法律合规性由客户自己负责,必要时候,涂鸦安全团队愿意提供安全解 决方案的帮助和咨询服务。3. 合规性涂鸦遵守国际权威的安全标准及行业要求,并整合到内部控制框架中,在云平台、APP、硬件产品等需求实现过程中严格
4、执行。涂鸦是中国家用电器协会、智能家电云云互联互通工作 组成员、智能家电云云互联互通工作组-安全组的组长单位,牵头制定了中国智能家居云云 互联互通信息安全标准。涂鸦参与了全国智能建筑及居住区数字化标准化技术委员会的智能 家电信息安全标准的撰写。涂鸦还参与中国通信标准化协会,并参与了相关的物联网标准的 制定和撰写。同时,涂鸦还与独立第三方安全服务、咨询和审计机构进行合作,验证和保障了涂鸦云平台 的合规性和安全性。目前,涂鸦已经通过全球多个咨询和审计机构的信息安全和隐私合规的认证,是一家拥有多 个认证的 IoT 解决方案提供商。涂鸦承诺,将持续地进行多个信息安全和隐私安全相关的认 证和合规证明,为
5、客户的数据和隐私安全保驾护航。目前,我们的认证和合规凭证如下所示:3.1 ISO 27001ISO 27001 是信息安全管理体系(ISMS)国际标准,为各类组织建立并运行信息安全管理 体系提供了最佳实践指导。按照标准要求: 基于业务风险的方法,建立、实施、运行、监控、评审、维护和改进信息安全. 为了确保信息的机密性、完整性和可用性,设立了相应的组织架构,建立了体系化的安 全管理制度,并提供资源保障. 遵循 PDCA 方法,持续改进信息安全管理。3.2 ISO 27017ISO 27017 为云计算的信息安全方面提供了指导,推荐实施专门针对云的信息安全控制, 从而对 ISO 27002 和 I
6、SO 27001 标准的指导做出补充。此实施规程针对云服务提供商提 供了更多信息安全控制实施指导。涂鸦云经过多年的努力,大力推进 ISO 27017 的落地,不仅表明了我们会始终采用国际公 认的最佳实践,也证明了涂鸦云平台拥有专用于云服务的高精度控制系统。3.3 ISO 27018涂鸦云获得了 ISO 27018 隐私安全认证,进一步印证了涂鸦在国际隐私权和数据保护标准 方面的承诺。ISO 27018 是主要针对保护云中个人数据的实施规程。它基于 ISO 信息安全标准 27002, 并针对适用于公有云个人可识别信息 (PII Personally Identifiable Informatio
7、n) 的 ISO 27002 控制体系提供了实施指南。它还提供了一组其他控制体系和相关指南,旨在满足现 有 ISO 27002 控制体系组合未能满足的公有云 PII 保护要求。涂鸦通过了 ISO27017&27018 这两个国际公认的行为准则,完成了 SGS 专家组的审核, 这体现了涂鸦在云平台信息安全、尊重隐私和保护客户内容方面所做的努力。3.4 ISO 9001涂鸦智能已获得 ISO9001 认证。ISO 9001 是由全球第一个质量管理体系标准 BS 5750(BSI 撰写)转化而来的,ISO 9001 是迄今为止世界上较为成熟的质量框架。它是一个系统性的保证公司产品质量及运作的指导 性
8、纲领和规范架构,围绕企业提供的产品或服务展开。策划和实施及改进产品或服务实现的 全过程,确保满足客户及相关法律法规要求。运用质量管理系统,能够有效和高效地实现预期的质量目标。通过对质量管理体系的审核和 管理评审,采取纠正措施和预防措施。持续改进质量管理体系的有效性,是企业发展与成长 的根本。3.5 GDPR欧盟的通用数据保护条例 (GDPR) 旨在保护欧盟及欧洲经济区数据主体的基本隐私权和 个人数据安全。它提出了更为严苛的保护标准和要求,并设置了高昂的违约成本,大大提高 企业在对欧盟公民信息处理及保护方面的安全性、合规性标准及成本。目前,涂鸦已经获得 TrustArc 的 GDPR 合规认证报
9、告。通过与 TrustArc 建立合作关系,对 GDPR 要求进行严格合规剖析并审核。利用 TrustArc 科学定制的合规平台,按照一整套安 全合规流程提供工具和解决方案,及时评估准备情况,制定并执行 GDPR 合规计划。TrustArc 将每年持续为涂鸦建立,实施和演示方法帮助管理和维护的 GDPR 合规。3.6 CCPA涂鸦智能已通过 Trustarc 对涂鸦的 CCPA 审核。加州消费者隐私法案(CCPA)将于 2020 年 1 月 1 日生效,旨在加强消费者隐私权和数据安 全保护,CCPA 被认为是美国国内最严格的隐私立法。在与 TrustArc 的战略合作中,涂鸦评估审核并认证了多
10、项合规与体系建设,并在数据隐私 及评估等安全方面不断优化升级,表现出行业领先的高水平且成熟的完备机制。3.7 “智能硬件 (IoT) 开放平台” 的测试评估涂鸦智能凭借涂鸦全球化“物联网+”平台,通过了“智能硬件(IoT)开放平台”认证测试,获 中国信息通信研究院和移动智能终端技术创新与产业联盟颁发可信硬件(IoT)认证。涂鸦(IoT)认证。涂鸦在平台的开放性、安全性、稳定性、平台处理设备连接的并发性能等各方面均受到了认可。工信部指导的智能硬件(IoT)可信评估旨在推进智能硬件(IoT)终端研发与云服务提供的 标准化与规范化,促进互联互通和产品成熟,对参评云平台的数据存储可靠性、用户数据私 密
11、性、功能完备性、运维系统完善性等云服务能力有严苛的量度与测评。4. 数据安全4.1 涂鸦云数据安全体系涂鸦云数据安全体系从数据安全生命周期角度出发,采取管理和技术两方面的手段,进行全 面、系统的建设。通过对数据生命周期(数据收集、存储、加工、传输、共享、删除)各环 节进行数据安全管理管控,实现数据安全目标在数据安全生命周期的每一个阶段,都有相应的安全管理制度以及安全技术保障。4.2 数据所有权涂鸦为客户定制的服务中,客户是数据控制者,客户需要保证数据使用的合规性,涂鸦是数 据处理者,涂鸦将在符合法律法规的基础上按照客户书面指示、合同约定来处理客户个人数 据,所有数据处理行为对客户透明。因此,在
12、符合法律法规、隐私政策的基础上,涂鸦 可帮助客户和用户保障数据的保密性、完整性、安全性。4.3 多副本冗余存储采用分布式架构,所有业务服务器同时部署于同城不同区域的三个机房,数据库等数据存储 服务采用多副本模式(最少保证二个实时副本),并实时进行数据备份。从物理层面保障了数 据和服务的高可靠性和高可用性。4.4 用户设备数据安全涂鸦云提供多重安全策略保障智能设备产生的数据安全性。如下图:在设备与云端交互方面: 数据加密:使用 AES128 加密数据内容。 身份识别:涂鸦自有算法保障设备连接认证,请求授权,指令下发等多重交互认证、访 问控制和有效授权的保障。 动态密钥:一机双码,包括动态密钥和动
13、态口令,保障设备安全。 通道加密:全链路 TLS1.2 数据加密传输协议,且双向强制认证。 安全芯片:部分芯片支持选择使用带安全芯片版本,用来安全存储硬件授权信息和加密key 等。 虚拟设备设计:保证了设备授权信息被盗取后,不影响原有设备的正常使用,同时使用 设备匿名化技术保障用户隐私安全。在设备局域网内交互方面:使用 AES128 加密数据内容,在局域网内传输。配网时算法动态分配。 此外,设备本身的安全保护,请参考 11.2 章节。4.5 企业数据安全涂鸦云会对企业数据进行隔离,保障客户数据的安全性。同时涂鸦云针对不同的业务场景提 供不同的数据存储服务对客户或用户的敏感数据使用 AES256
14、 进行加密存储,部分敏感数 据会进行必要的脱敏处理,同时密钥通过密钥管理中心进行统一的安全管理和分发。4.6 残留数据清除曾经存储过客户数据的内存和磁盘,一旦释放和回收,其所有信息将被自动进行零值覆盖。同时,任何更换和淘汰的存储设备,都将由云服务器基础设施提供方统一执行消磁处理并物 理销毁之后,才能运出数据中心。4.7 隐私保护涂鸦云平台践行“一切以用户价值为依归”的经营理念,尤其重视与客户建立长久持续的信任 关系。涂鸦以坚实的技术基础和完备的运营管理机制,确保用户和客户数据得到全面的保障。 涂鸦云将严格执行涂鸦公开发布的隐私政策,切实保护用户隐私。云平台对隐私数据的主要保护手段如下: 隐私数
15、据生产和分类 基本原则: 信息收集主体的所有行为的合法要求,包括数据主体的授权和法律责任的 明确。 收集的数据最小化原则,不收集和提供的服务无关的数据。 充分的用户知情权, APP 和网站的隐私政策 隐私条款必须明确应用收集的所有用户数据类型及与之相对应的服务。 隐私条款必须在涉及注册、更新等重要时机通过邮件、APP 弹窗等方式告知 用户。 隐私条款必须包含数据收集、删除、迁移、保存、用户选择权等。 要求用户必须对隐私政策作出反馈。网站 Cookie 声明 Cookie 的作用及用户选择权。 用户权限: 访问权 涂鸦用户可通过 App 访问涂鸦收集的个人数据,无需另外技术支持。 涂鸦用户可请求
16、涂鸦告知对其数据的处理和使用情况, 被遗忘权(数据删除权) 账号注销权限和删除数据 纠正权 若得知用户主动提供的个人信息存在不准确或需及时更新的情况,用户可 在 App 上手动修改。 可携带权 用户通过涂鸦 APP 反馈或者客户邮箱反馈,要求将提供给涂鸦的个人数 据传输给另一个数据控制者。 数据分类:区分个人数据和平台信息数据,针对个人数据,需要用敏感程度分类。4.8 数据存储区域 五大数据中心:中国机房、美国西部 AWS 机房、美国东部 Azure 机房、和欧洲机房、 印度机房(各数据中心之间物理隔离不互通)。根据用户所在地区提供相应的数据服务, 后续会逐步开放更多机房。 中国:数据保存在中
17、国杭州 BGP 机房,由 Aliyun 提供基础云计算支持。 美国:美国分为西部和东部机房,西部机房位于美国俄勒冈机房,由 Amazon AWS 提 供基础云计算支持,东部机房位于美国弗吉尼亚北部,由 Microsoft Azure 提供基础云 计算支持。用户数据默认存储在美西 AWS 机房,客户可选其服务是否使用美东 Azure 机房。 欧盟国家:数据保存在德国法兰克福机房,由 Amazon AWS 提供基础云计算支持。 印度:数据保存在孟买机房,由 Amazon AWS 提供基础云计算支持。 其它国家:根据就近原则选择(俄勒冈或法兰克福)机房存储,后续会逐步开放更多区域 机房,目前多个地区
18、的机房在建设中。5. 云平台基础架构5.1 云平台基础架构图涂鸦云平台的基础设施由 AWS、Azure 等提供,整合了全球服务节点。在平台定义层面, 提供了从产品定义、模拟测试、硬件开发、客户端开发、云云平台交互、产品测试、运行管理及数据分析等覆盖智能硬件接入到运行全生命周期的服务能力。在服务层面,为创客和厂 商提供了自助式软硬件开发 SDK 与开放完善的云平台 API。详细的云平台接入开发文档,详见:5.2 云服务器供应商要求涂鸦云选择云服务器供应商要求:1. 全球知名云服务提供商品牌,技术水平全球领先。2. 云计算产品安全和稳定。3. 拥有和符合全球范围内最完备的信息安全合规、法律和资质证
19、明。 目前被我们选择的云服务器提供商,包括 Amazon 和 Azure 等。6. 安全组织和人员为了让所有员工不断提升安全意识,更好地保障客户利益和产品与服务信誉,涂鸦智能在公 司内部倡导“人人懂安全”的理念和实践,创造了一个无时不在,无处不在,充满活力和竞争 力的安全文化。这种文化的影响贯穿在涂鸦招聘选才、员工入职、上岗培训、持续培训、内 部调动和离职等各个环节。每位涂鸦的员工都积极参与建立并保持涂鸦产品和服务的安全, 并按的规定实施各项安全活动。6.1 安全与隐私保护团队和人员涂鸦有专职和完整的安全技术团队,该团队来源于阿里、蚂蚁金服、百度等互联网公司和传 统安全厂商绿盟科技、启明星辰、
20、安恒等,支持涂鸦云的安全质量保障、安全评估和安全运 维工作。同时该团队在隐私安全合规层面,有来自美国道富银行等的专业人才和外聘的专业隐私安全合作机构做保证。确保公司安全和合规体系架构上在每个层次、每个环节都做到可 控、可信、可靠。同时,涂鸦内部成立了安全合规委员会,由关键创始人带领委员会,以遵守法规和合规性要 求为基线,并为涂鸦(包括运营和业务利益相关方)提供风险和合规性支持。6.2 人力资源管理涂鸦的人力资源管理框架和公司的整体人力资源管理框架一致,都是建立在法律基础之上。 安全对 HR 的诉求主要是保证我们的员工背景和资历适合涂鸦业务的需要。员工行为符合所 有法律、政策、流程以及涂鸦商业行
21、为准则的要求。员工有履行其职责必备的知识、技能和 经验。员工离职,会有严格的自动化和人工对于其电子设备、服务器、各种账号等资源的回收。 6.3 安全意识教育 为了提升全员的网络安全意识,规避网络安全违规风险,保证业务的正常运营,涂鸦内部发布了涂鸦智能员工信息安全手册,并以此为基准定期开展网络安全意识教育学习,要求 员工持续学习网络安全知识,了解手册上面的的政策和制度。知道哪些行为是可以接受,哪 些是不能接受的,意识到即使主观上没有恶意,也要对自己的行为负责,并承诺按要求执行。6.4 安全管理体系相关培训为了让公司全员能够准确理解公司信息安全管理政策,并且有效推动和落实安全策略,每个 季度涂鸦安
22、全团队和内审团队进行隐私保护合规和数据保护相关的培训,ISO 和等级保护等 安全合规体系要的培训。6.5 信息安全能力提升涂鸦内部会定期的举行安全开发培训和信息安全交流,旨在提升员工的安全技能,确保员工 有能力交付安全、合规的产品、解决方案和服务。7. 云平台安全保障7.1 物理安全涂鸦作为物联网云计算服务提供商,涂鸦云平台着力为每一个客户提供安全、稳定、持续、 可靠的物理设施基础。涂鸦云依据数据中心相关的国际标准和监管要求,建立了一套全方位 的安全管理体系,从制度策略,到流程管理,并配合严格的监察审计,通过持续改进来保证 云平台数据中心的物理和环境安全。7.1.1 高可用的基础设施涂鸦云平台
23、整合全球最知名的云主机服务商 AWS、Azure 和腾讯云等,构建全球服务节点。 为客户提供安全、稳定、持续、可靠的物理设施基础。涂鸦云根据中国企业内外销区域结合海底光缆分布和全球各城市的实测结果,部署覆盖中国、欧洲、美国西部、美国东部和印度五个可用区。包含但不限于美国西部俄勒冈主机房;美国东部弗吉尼亚机房;欧洲法兰克福机房;腾讯云 上海机房;其他机房包括香港、新加坡、孟买、东京、圣保罗多个机房等(可根据企业客户 所在区域动态扩容可用区)。涂鸦云灵活地将数据和系统部署于不同数据中心或不同区域,以保证业务的容灾性要求。7.1.2 安全检查和审计安全事件管理:和云服务器供应平台达成物理安全应急预案
24、,并定期组织数据中心工作 人员进行安全演练。一旦发生物理安全事件,该预案将能够立即生效并指导相关人员以 最大可能保护客户资产。7.2 网络安全7.2.1 安全架构涂鸦云拥有成熟的网络安全架构,包含防火墙、WEB应用防火墙、入侵检测、RASP、主 机防护系统等多重防护机制,以应对来自互联网的各种威胁。涂鸦云的网络防护架构图如下:7.2.2 网络通信安全涂鸦云平台上的通信均采用 TLS1.2 安全协议,且实施强制的证书认证的加密保护,包括设 备和 APP 与云端的通讯,并且提供的 API 接口也具有完善的 TLS 等安全能力,能够对客户 提供端口级别的安全保障。同时,通讯的内容额外使用 AES12
25、8 加密。双层加密保护通讯 过程的安全。7.2.3 网络隔离和访问控制涂鸦制定了严格的内部网络隔离规则。通过物理和逻辑隔离方式实现内部的办公网络、开发 网络、测试网络、生产网络等的访问控制和边界防护。涂鸦云确保非授权人员禁止访问任何 内部网络资源。所有员工如需从公司网络前往生产网络开展日常运维时,都必须经过堡垒机 的严格审批和权限控制,才能使用受限的权限登录生产系统,并且使用全程有审计。针对云端用户层面的网络访问隔离,涂鸦提供虚拟化控制层资源访问控制策略、云平台内部 私有网络间隔离策略、WEB 控制台权限分配与身份验证、接口会话 ID 与访问密钥等安全 机制,确保客户只能访问其用户产生的相关数
26、据,有效实现多客户之间的访问隔离。7.2.4 网络冗余 涂鸦云数据服务云主机遍布全球多个区域,构建了网络跨地域的灾备能力,能够最大化的减小非人为因素导致的网络故障的业务影响。同时,采用冗余的网络建设方式,同时同城也采用多物理机房部署,能够实现网络的便捷性 和流量附和的工程调度,确保网络服务不会因为单点故障而中断,实现同城和跨城容灾。同城多机房网络冗余部署如下图:7.2.5 DDoS 防护涂鸦云使用 AWS、微软 Azure 等云平台的 DDoS 防护功能保护所有数据中心,自动检测、 调度和清洗,保证云平台网络稳定。对于 CC 攻击,内部通过防火墙和 WAF 进行阻断。同时内部通过对所有请求日志
27、的分析和 结合第三方威胁情报数据,进行异常的 IP 进行检测,动态屏蔽可疑的源地址。7.2.6 入侵防护 入侵检测:通过对所有服务器,应用、网络等进行实时的日志审计和安全分析,能够快速发现安全风险,告知安全团队。通过会调用第三方威胁情报接口,如果涉及异常的IP 地址、域名地址等威胁情报信息,则自动化进行防火墙和 WAF 的阻断。 入侵防护:通过防火墙和 WAF 等设备进行入侵阻断。 主机监控:包括 WebShell 检测模块,服务器部署了 WebShell 实时检测引擎,能够实 时检测、删除和上报 WebShell。主机异常登录检测模块,能够识别机器被非堡垒机登 录。不安全基线配置检测模块,能够识别机器是否按照安全基线配置上线。主机漏洞检 测模块,能够识别主机的应用漏洞和系统漏洞。还有系统状态异常模块、配置文件变更 告警模块等。 数据库审计:对数据库的权限进行严格的统一管理和限制,并且对所有数据库的增删改 查都进行完备的日志审计。 病毒查杀:触发式检查,所有业务接口上传上来的文件。同时,也保持定期检查文件存储服务器的文件安全,是否存在病毒,或可执行文件等。8. 安全开发周期管理严格按照安全开发生命周期方法开发云平台及云产品,目标是将信息安全融入到整个软件开
