前言

包小盒在线包装设计工具是片段公司自主创新,面向包装印刷企业、包装设计师、品牌企业的云设计平台，基于片段公司多年业务、技术研究积累的成果，打造了业界一流的安全保障体系、高可靠的系统实现机制，为企业信息安全提供全方位的安全保障！

我们郑重承诺：你的数据是安全且受到保护的。你访问 包小盒 时的数据通信全经由SSL/HTTPS加密，这项技术同时应用于网上银行的加密。此外，加密过后的所有数据都将被备份于 包小盒 的多个服务器上，以确保不会丢失。 包小盒 服务器采用阿里云ECS 弹性计算，受阿里云盾保护，包括 DDoS 防护，CC 防护，网站安全防护，SQL 注入防护，XSS攻击防护等。服务器数据盘使用整盘加密，服务器之间仅允许内网通信，并在系统层面限制特定内网 IP才允许通信，保证用户数据在服务器端的安全。网站全站通信采用 256 位 HTTPS加密，保证用户数据在服务器和浏览器之间传输的安全。数据库采用 Replica Set 高可用架构，数据库数据每日备份，并通过 SSH安全通道远程备份到安全服务器，保证用户数据不会丢失。

术语定义

  SDL：SecurityDevelopmentLifecycle的简称，安全开发生命周期；

  撞库：撞库是黑客通过收集互联网已泄露的账户和密码信息，生成对应的字典表，尝试批量登陆后，得到一系列可以登录的账户；

  DDOS攻击：分布式拒绝服务(DDoS:DistributedDenialofService)攻击指借助于C/S技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动流量攻击，造成目标的业务系统无法提供服务；

一、组织安全

  包小盒安全团队由安全管理委员会、信息安全、安全审计、物理安全团队组成，通过高效、协同的工作给广大用户提供稳定、健康、安全的工作环境。

  1.1安全管理委员会

  安全管理委员会成员由公司CEO、安全团队负责人及技术负责人组成，监督并决策信息安全体系的建设，对包小盒业务整体安全负责。

公司CEO：王先锋
产品VP：许生
安全团队负责人：李法政
技术负责人：姚志炎

  1.2信息安全团队

  信息安全团队由应用安全、系统&网络安全、安全开发专家组成，信息安全团队负责产品安全架构及安全运营工作，是包小盒信息安全体系的建设者，在安全策略、安全开发流程设计、落实及执行中扮演重要的角色。

  1）设计、开发和运营入侵检测、攻击防护产品，提供7*24小时安全监控，动态联动防攻击产品.如:AliguardDDOS防御系统、漏洞扫描与检测等；

  2）依据数据类别及安全等级，设计访问控制策略,通过技术手段制定隔离措施和访问控制管理流程;

  3)依据业务系统访问逻辑,审核访问请求，自动化监控可疑活动（例如：数据的非授权访问及操作）并实时审计，定期复查其执行情况;

  4）通过安全解决方案流程，在产品设计阶段，对功能需求进行安全评审，在产品发布前，进行安全测试以及产品发布后，进行安全回归测试，以保障包小盒业务的安全运营；

  5)借助公司的人才资源及技术沉淀，定期对包小盒内部和外部应用进行漏洞检测与扫描，及时发现安全漏洞，并在预期时间内完成漏洞修复；

  6)遵循信息安全事件管理标准,依据数据安全性的危害程度定义安全事件类别和响应流程,提供全天候人工和系统的监控识别、分析和处理信息安全事件的能力;

  7)定期进行攻防演练，评估安全策略可靠性和控制措施的适用性;

  8)定期为包小盒员工提供安全意识培训,包括个人准则、信息保护、数据安全认证和安全开发等领域;

  9)积极参与安全论坛与会议，吸取业界前沿的安全技术并保持与外部安全专家、白帽子黑客的交流沟通;

  1.3安全审计团队

  安全审计团队主要对包小盒系统化的监测、控制、处理、独立审查，以验证是否满足信息安全体系及标准，通过审计以满足合规性要求，如《信息系统安全等级保护基本要求》等。

  1.4物理安全团队

  包小盒数据中心、物理安全团队由阿里云计算提供支持。阿里云主要根据机房安全相关的国家标准：GB/T2887－2000:《计算机场地通用规范》、GB50174－93：《电子计算机机房设计规范》国家标准；GB9361－88：《计算站场地安全要求》保障包小盒数据中心基础设施的高安全性。

二、合规安全

  2.1安全体系

  信息安全等级保护：信息安全等级保护是由公安部监制，由属地公安机关认可并颁发的国家级信息系统等级认证。在2020年度，公安部组织多支国家队伍对包小盒信息系统进行等级测评、风险评估和渗透测试，评估结果在经过多位行业安全专家评审后，确定包小盒信息系统安全等级为“三级”，包小盒安全控制措施符合国家要求。

  信息安全管理体系标准（ISO27001)：可有效保护信息资源,保护信息化进程健康、有序、可持续发展。具备以下标准：

  1）安全策略。指定信息安全方针，为信息安全提供管理指引和支持，并定期评审。

  2）信息安全的组织。建立信息安全管理组织体系，在内部开展和控制信息安全的实施。

  3）资产管理。核查所有信息资产，做好信息分类，确保信息资产受到适当程度的保护。

  4）人力资源安全。确保所有员工，合同方和第三方了解信息安全威胁和相关事宜以及各自的责任，义务，以减少人为差错，盗窃，欺诈或误用设施的风险。

  5）物理和环境安全。定义安全区域，防止对办公场所和信息的未授权访问，破坏和干扰；保护设备的安全，防止信息资产的丢失，损坏或被盗，以及对企业业务的干扰；同时，还要做好一般控制，防止信息和信息处理设施的损坏和被盗。

  6）通信和操作管理。制定操作规程和职责，确保信息处理设施的正确和安全操作；建立系统规划和验收准则，将系统失效的风险降到最低；防范恶意代码和移动代码，保护软件和信息的完整性；做好信息备份和网络安全管理，确保信息在网络中的安全，确保其支持性基础设施得到保护；建立媒体处置和安全的规程，防止资产损坏和业务活动的中断；防止信息和软件在组织之间交换时丢失，修改或误用。

  7）访问控制。制定访问控制策略，避免信息系统的非授权访问，并让用户了解其职责和义务，包括网络访问控制，操作系统访问控制，应用系统和信息访问控制，监视系统访问和使用，定期检测未授权的活动；当使用移动办公和远程控制时，也要确保信息安全。

  8）系统采集、开发和维护。标示系统的安全要求，确保安全成为信息系统的内置部分，控制应用系统的安全，防止应用系统中用户数据的丢失，被修改或误用；通过加密手段保护信息的保密性，真实性和完整性；控制对系统文件的访问，确保系统文档，源程序代码的安全；严格控制开发和支持过程，维护应用系统软件和信息安全。

  9）信息安全事故管理。报告信息安全事件和弱点，及时采取纠正措施，确保使用持续有效的方法管理信息安全事故，并确保及时修复。

  10）业务连续性管理。目的是为减少业务活动的中断，是关键业务过程免收主要故障或天灾的影响，并确保及时恢复。

  11）符合性。信息系统的设计，操作，使用过程和管理要符合法律法规的要求，符合组织安全方针和标准，还要控制系统审计，使信息审核过程的效力最大化，干扰最小化。

  2.2政策合规

  包小盒根据国家信息安全相关法律、法规要求，设置与信息安全监控机构之间的联络员，制定实施程序，以确保提供的包小盒产品符合国家关于知识产权相关法律和法规要求。

  包小盒同所有用户及开发者签署保密协议，并通过定期检查识别、记录、评审保密协议中数据安全的相关控制要求(如访问控制、防泄露及完整性要求)，防止不正当披露、篡改和破坏数据。

三、人员安全

  3.1尽职调查

  在入职前,片段公司在国家法律法规允许的情况下,通过一系列背景调查手段来确保入职的员工符合公司的行为准则、保密规定、商业道德和信息安全政策,背景调查手段涉及刑事、职业履历和信息安全等方面,背景调查的程度取决于岗位需求。

  3.2安全生产

  在入职后,所有的员工必须签署保密协议,确认收到并遵守片段公司的安全政策和保密要求,尤其关于客户信息和数据的机密性要求将在入职培训过程中被重点强调。此外,片段依据员工的工作角色进行额外信息安全培训,确保员工管理的用户数据必须按照安全策略执行。最后,片段通过企业价值观考核的方式检验每位员工是否以诚信、敬业的态度来管理每位客户的云端数据,保证其对客户、合作伙伴和竞争对手的尊重;片段提供机密报告机制以确保员工可以匿名报告任何违反安全政策、商业道德的事件。

四、数据安全

  信息安全主要目标之一是保护业务系统和应用程序的基础数据安全。依据数据安全生命周期，包小盒从数据创建、存储、使用、共享、归档至销毁，使用了数据分级、数据加密等措施，保障了数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。

  4.1数据分级

  包小盒对所有用户和企业数据提供存储安全保护;根据存储与使用的数据，实施数据等级保护策略，按照数据价值和敏感度对数据进行等级划分，根据数据安全分级，有对应的保护策略和要求，对用户和企业数据进行安全存储与保护。

  4.2数据安全与加密方案

  包小盒凭借以数据为中心的安全愿景，通过数据分类分级、数据加密和密钥管理为敏感数据提供可持续的信息保护，实现数据的灵活性、可靠性和可管理性；借助密钥管理专员和加解密产品实现数据安全保护和控制，将安全技术嵌入至整个数据安全生命周期中，以保障数据安全属性。

  4.3密钥管理专员

  密匙管理专员是片段公司内部指定专员为众多核心业务提供密匙管理服务。其主要负责密钥的存储、使用、分发、更新等，并提供数据加解密及业务级别敏感数据保护。非授权人员无访问权限。

  4.4数据访问及用户授权第三方应用访问其敏感信息

  包小盒为用户和企业数据提供访问控制保障。所有产品使用的数据，用户隐私或机密数据严格控制权限申请，数据加密存储；第三方应用访问与使用用户或企业数据，必需经过企业、用户可感知的授权。

  4.5数据使用与防爬

  包小盒根据用户和企业数据进行了等级保护，对用户使用和应用展示进行了严格控制，禁止展示机密信息及未脱敏信息，同时对于需要展示信息的场景,使用了防爬安全产品，阻断对敏感信息的爬取。

  4.6数据安全审计

  安全审计覆盖所有数据活动的详细跟踪记录，并进行实时的语境分析和行为过滤，从而实现对用户访问行为的主动控制，生成审计员所需要的信息。生成的结果报表使所有数据活动详细可见，如登录失败、权限升级、计划变更、非法访问、敏感数据访问等，这些行为是否合规一览无余并做到所有用户操作有踪可寻。

  4.7数据销毁管理

  所有存储数据的存储介质(如硬盘等)，如若需要维修必需先进行卸载；需要报废或移出数据中心的网络设备及存储设备，依据DoD5220.22-M、NIST800-88标准进行清除数据、磁盘消磁以及物理销毁。

五、应用安全

  5.1包小盒SDL

  包小盒产品在项目开发流程中引入了SDL，借鉴了微软推广SDL的经验，并结合企业级安全需求以及包小盒自身的项目开发流程，控制项目整体的安全风险。

  安全开发流程参照软件安全开发周期（SecurityDevelopmentLifecycle）建立：

  （1）人员培训环节：安全工程师给开发人员进行安全开发规范、安全意识培训等，提高其安全意识；

  （2）安全需分环节：根据功能需求文档进行安全需求分析，针对业务内容、业务流程、技术框架进行沟通，形成《安全需求分析建议》；

  （3）安全开发环节：根据不同的开发框架，开发安全包、提供安全编码规范及安全框架配置规范，避免开发人员写出不安全的代码；

  （4）安全测试环节：通过代码扫描工具进行白盒、黑盒扫描，并结合人工审核代码漏洞；

  （5）项目发布环节：安全部门依据上述环节评价结果决定项目是否发布；

  （6）安全运营与应急响应：安全工程师通过应急响应平台进行安全运营及事件应急响应；

  5.2业务安全

  5.2.1账号安全

  账号安全体系依托口令策略和访问控制策略，禁用弱口令，监控非法登录尝试。对非常用设备的登陆，需用户进行密码+动态口令登录的双因素验证。同时，通过账号监测平台，对用户同设备批量尝试登录账号进行监控报警，发现攻击行为，可将该设备拉至黑名单。

  除已有的风控体系外，也会提供相应的安全辅助功能，如二次验证、双因素认证、指纹验证等方式，给用户账号安全保障提供更多维度的选择。

  5.2.2暴力破解&撞库

  包小盒账号基于可信设备判断是否进行二次验证，同时基于后端风控体系，实时监测账号破解、撞库与刷库等攻击行为，告警通知及处置恶意请求；账号依据信息安全风险库检测账号是否存在风险，发现存在风险的账号及时告知用户，进行账号密码的升级。

  5.3包小盒基础与特色安全

  5.3.1协议安全

  基于SSL/TLS协议为应用程序提供数据保密性和完整性的基础上，包小盒构建了一套完整的私有安全通信协议，通过加密用户在网络传输中的信息，防止窃听，以确保信息在网络中传输安全。

  5.3.2安全策略

  包小盒以生产数据不出生产集群为中心思想，基于阿里云安全团队十多年信息安全风险管控经验，以保护数据的机密性、完整性、可用性为目标，根据不同类别数据不同的安全级别，分别进行安全管理和技术控制措施的设计，并在执行过程中对其进行复查和改进，最终制定了一系列防范数据泄露、篡改、丢失等安全威胁的管控方案。

  5.3.3数据备份

  包小盒数据备份具备自动化、永远在线、热备份的特点。

  5.3.4客户端加密

  包小盒客户端(APP)的数据库进行了整库加密存储，保护用户客户端存储的敏感信息不被攻击者非法获取，保障用户的隐私数据不被泄露。

六、系统&网络安全

  6.1系统安全

  6.1.1系统软件安全配置标准

  线上服务运行在可信的操作系统版本上，安装软件，必须由运维人员从公司系统团队维护的可信安装源下载和安装。对于通用的系统软件，例如tomcat，nginx，ssh等，制定了对应的安全配置规范，通过基线系统实时采集服务器上运行的软件版本和配置信息，并进行相应的维护。安全团队也会跟踪业界安全问题，评估服务器上的软件是否有安全漏洞，一旦有安全漏洞产生，会通过应急响应流程推动基础软件的漏洞修复。

  6.1.2系统登录授权访问

  服务器上的帐号依据权限大小，分为高中低三个用户组，除了线上运维人员可拥有较高权限的用户组外，普通员工只能申请低权限的用户组，线上服务也以低权限用户运行。

  员工登录服务器时使用个人帐号体系，登录服务器的密码强制定期修改。员工登录服务器前，需要先提交权限申请，访问权限有时间控制。在通过审批后，员工才能获得对应服务器的登录权限。员工离职/岗位发生变动/申请的权限到期时，都会在对应的服务器上删除对应的帐号。

  6.1.3系统安全检测防御产品

  公司的服务器上统一部署了主机端安全产品，并依托阿里云大数据处理平台ODPS，对恶意流量进行分析，实现对入侵等安全事件的检测。

  6.2网络安全

  6.2.1安全域划分

  公司的网络依据用途划分成办公/测试，生产，公有云等多个安全域，对于不同的安全域之间，相互之间访问受限。

  6.2.2网络访问控制

  公司的各类服务，只有在经过安全团队审核之后，才能发布上线并对公众服务。高危端口和服务禁止对互联网开放。内部后台应用仅对办公网开放。

  6.2.3流量劫持

  针对http协议在网络传输过程中，可能会被篡改/窃听/截取，为了防止用户的隐私数据在传输过程中被窃听或者泄露，公司的重要业务都已经启用https协议来代替http协议。

  对于DNS劫持，公司的DNS团队通过多种手段在全国范围内监控重要域名的解析结果，一旦发现有严重的DNS劫持，有专业的安全工程师快速响应。

  6.2.4DDoS安全防御

  6.2.4.1 网络层攻击防御

  包小盒数据中心主骨网入口，利用阿里云流量清洗中心，DDoS清洗中心抵御各类基于网络层、传输层的DDoS攻击（包括SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood等所有DDoS攻击方式），并通过安全运营后台实时掌握网络攻击趋势及防御状态。

  6.2.4.2 七层攻击防御

  包小盒业务系统统一部署了阿里安全团队研发的应用层攻击防御产品(TMD)，主要用于检测与防护CC攻击,防御规则可根据业务自由定制，安全工程师通过安全运营后台实时掌握应攻击与防御情况。

七、物理与环境安全

7.1.物理安全

  包小盒数据中心包含以下标准的物理安全控制要求：

  （1）数据中心各线上设备区域系统、各核心骨干区域系统、各动力区域系统、各仓储系统、各报警监控系统的访问均需使用定制的电子卡，且电子卡由数据中心专门物业保管，特定授权需求方按需求领取归还，并配备紧急电子卡以备不时之需（如常规电子卡遗失），一旦发生遗失情况立即申请电子卡管理系统进行权限注销；

  （2）数据中心的物理设备（包括其对应的各种组件），配件耗材的安置或存放区域必须要与所有办公区域和公共区域隔离（如办公室或大堂）；

  （3）数据中心所有包小盒专属物理设备、设备配件、网络耗材，以及设备厂商的维修设备、配件、耗材等进出数据中心，必须由包小盒内部授权人员发送盖有专人保管印章的设备进出单传真，数据中心现场核实无误后方可允许设备、配件、耗材等的进出；

  （4）仓储系统中的重要配件，如核心网络设备的网络模块，精密存储介质等，由仓储系统中的专门电子加密保险箱存放，且由专人进行保险箱的开关；

  （5）仓储系统中的任何配件，必须由授权工单和授权人员方能领取，且领取必须在仓储管理系统中进行登记记录，数据中心管理有专人定期对所有仓储系统物资进行综合盘点追踪；

  （6）数据中心内部的每个区域，或外部走廊区域，或仓库门口区域，都使用了摄像机，物业保安7x24小时分段巡逻，并对所有基础设施进行7x24小时集中视频监控；

  （7）采用全方位电子摄像机对数据中心的基础设施内外部区域进行视频监控，对设施区域中的其他系统进行检测和监控跟踪访问人员情况；

  （8）所有人员活动记录电子保存（长期），所有视频记录被保存（3个月），以备后期审计，同时提供额外的安全控制措施，如:特定区域采用隔离或生物识别技术认证；

  （9）只允许具备长期授权名单内的内部人员（实时更新），或审批通过的其他人员，以及授权认可的第三方固定人员名单内的人员（每月更新）进入数据中心，且非长期授权人员再以核实需求工单真实性的形式进行二次审核，准确无误后方可进入；

  （10）非长期授权，非固定人员授权名单内的人员访问，必须要求数据中心内部管理需求方在流程系统上提交需求，由各层级主管提前审批通过后，方可同意其访问想要访问的内部特殊区域，并由对应数据中心的专人全程指导陪同。数据中心管理不定期对访问数据中心的人员登记情况进行审计，严格控制非授权人员访问数据中心；

  7.2.环境控制

  包小盒数据中心采用一系列措施来保障运行环境：

  （1）电力：为保障数据业务7*24持续运行，数据中心采用冗余的电力系统（交流和高压直流），主电源和备用电源具备相同的供电能力，且主电源发生故障后（如电压不足、断电、过压、或电压抖动），会由备用发电机和带有冗余机制的电池组对设备进行供电，保障数据中心在一段时间的持续运行能力，这是包小盒数据中心一个关键的组成部分。

  （2）气候和温度：均采用空调（新风系统冷却或水冷系统冷却）保障服务器或其他设备在一个恒温的环境下运行，并对数据中心的温湿度进行精密电子监控，一旦发生告警立即采取对应措施。并且，设备冷风区域进行了冷风通道密闭，充分提高制冷效率，绿色节能。空调机组均采用N+1的热备冗余模式（部分数据中心采用N+2的冷、热双重冗余模式），空调配电柜采用不同的双路电源模式，以应对其中一路市电电源发生故障后空调能正常接收供电。且在双路市电电源发生故障后，由柴油发电系统提供紧急电源，减少服务中断性的可能，以防止设备过热。

  （3）火灾检测及消防：自动火灾检测和灭火设备防止破坏计算机硬件。火灾探测系统的传感器位于数据中心的天花板和底板下面，利用热、烟雾和水传感器实现。在火灾或烟雾事件触发时，在着火区提供声光报警。在整个数据中心，也安装手动灭火器。数据中心接受火灾预防及灭火演练培训，包括如何使用灭火器。

八、灾难恢复与业务连续性

  包小盒依托于阿里云技术，能够应对线上各类风险，具有自动调整和快速反应的能力，保障包小盒业务连续运转。

  8.1应急与灾备技术

  包小盒建立了本地应急系统及容灾系统，本地应急系统、容灾系统与生产系统相互配合共同保证整体业务连续性。

  灾备采用双机房互备，数据库主备库热备，通过自动化运维平台，实时故障检测，切换无需人工干预，保障核心应用不中断，系统恢复方便快捷，可进行自动伸缩扩容，在突发事件及自然灾害时，为包小盒基础服务可用性及可持续服务提供保障能力。

  8.2应急与灾难恢复管理

  包小盒建立了完备的应急响应及灾难恢复流程。应急响应组由安全专家、业务专家、技术专家组成，制定了完备的应急响应制度及灾难恢复流程，并定期组织灾备演习和维护。