第一页
自2004年推出国内首个专业在线企业管理系统以来,八百客在国内SaaS(软件作为服务)行业一直保持领先的地位,并在安全保密方面在国内最先推出了SSL加密通道、U盾硬件加密锁等技术。多年的安全保密实践也赢得了多家知名企业的信任,加拿大铝业、联想、263网络、中国移动、中国联通、和氏璧化工、金山软件、戴尔国际英语等大中型企业先后采用了800APP在线管理系统。
八百客主要安全策略
数据定时备份、冗灾备分
八百客始终坚持双数据中心运营、最大限度减少多机房、多地点、第三方维护人员所带来的安全隐患。八百客采用的数据中心配有24小时录像监控、气体防火、双备用发电和冗余网络路由设备。八百客独立采购和维护全部服务器和网络安全硬件,独立开发并拥有全部应用软件源码,避免引入第三方设备、无源控件和技术人员,最大限度减少不确定因素。
800APP采用覆盖全国的服务器集群保障客户的数据安全。
每天晚上,服务器会自动进行当日数据备份。并且为了确保客户的数据安全,各地服务互相备份;如遇到不可抗力导致服务器损毁,可由其他城市的服务器恢复数据。
URL访问数据安全技术和搜索引擎隔离技术
防止没有权限客户通过URL注入方式获取非法信息,防止搜索引擎等机器人非法扫描本系统,使客户的数据安全性大大提高。
八百客严格的内部管理保障
在人员管理上,八百客公司的核心数据库管理团队全部拥有国际大型企业IT管理经验、良好的职业操守和保密习惯,并采用严格的保密制衡制度。此外,八百客还采用国际上惯用的不定期第三方入侵测试。
客户服务的流程保障
在提供客户密码丢失重置密码,更换服务器,或者对账户内一些数据特殊处理的服务时,我们会要求客户提供各种可以验证客户身份的证明。通过核对后,为客户提供相应服务。多方保障客户的数据安全。
第二页
服务器数字安全证书、传输加密技术SSL、插件CA证书
SSL服务器证书是Web Server与浏览器用户建立安全连接时所须具备的证书。这个证书的作用是保证用户在使用800APP系统的过程中,和服务器之间交换数据的传输安全。其密钥为128位,可以确保用户的传输安全。
USB-KEY硬件登陆
可使用与银行安全级别相同的USB硬件密钥登陆系统,对没有硬件密钥的用户,即使有用户名和密码,也不能进入系统。
USB-KEY介绍:
USB KEY结合了现代密码学技术、智能卡技术和USB技术,是新一代身份认证产品,它具有以下特点:
1、 双因子认证
每一个USB Key都具有硬件PIN码保护,PIN码和硬件构成了用户使用USB Key的两个必要因素,即所谓"双因子认证"。用户只有同时取得了USB Key和用户PIN码,才可以登录系统。即使用户的PIN码被泄漏,只要用户持有的USB Key不被盗取,合法用户的身份就不会被仿冒;如果用户的USB Key遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。
2、 带有安全存储空间
USB Key具有8K-128K的安全数据存储空间,可以存储数字证书、用户密钥等秘密数据,对该存储空间的读写操作必须通过程序实现,用户无法直接读取,其中用户私钥是不可导出的,杜绝了复制用户数字证书或身份信息的可能性。
3、 硬件实现加密算法
USB Key 内置CPU或智能卡芯片,可以实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法,加解密运算在USB Key内进行,保证了用户密钥不会出现在计算机内存中,从而杜绝了用户密钥被黑客截取的可能性。支持RSA,DES ,SSF33和3DES算法。
4、便于携带
安全可靠如拇指般大的USB Key非常方便随身携带,并且密钥和证书不可导出,Key的硬件不可复制,更显安全可靠。
第三页
访问速度保障
八百客公司产品为电信网通双线宽带输出,非电信网通线路的客户会有一定的延迟,如果是电信网通客户请清理下IE缓存,或与网络供应商进行联络。
以下数据是在单PC(30台),配置为Pentium-4 3.0G CPU,512 Memory,80G 硬盘, ADSL网络情况下的数据模拟测试(地点:北京,上海,广州):
* 平均支持并发用户(服务器端)>2000人;
* 平均每秒完成事务数(服务器端)>100次;
* 平均每秒完成响应显示返回(服务器端)>500次;
* 平均网络传输速度(客户端)>50K/秒;
* 平均页面显示速度(客户端)2.8秒/页
* 平均数据读取吞吐能力(服务器端):单服务器41.2M/秒,集群服务1.25G/秒
请注意:由于第三方电信运营商提供网络资源,在不同地区,不同时间段,以及不同网络接入方式前提下,测试结果可能略有不同,以上数据仅供参考。
安全维护内容
* Web安全维护
* Web性能维护
* 主机安全维护
* 网络安全维护
Web安全依据标准
* OWASP TOP 10 2007
* OWASP TOP 10 2004
* SANS TOP 20 V5
* SANS TOP 20 V6
* WASC Threat Classification
* NERC CIPC Electricity Sector Security Guidelines
* Visa’s Payment Application Best Practices
* Basel II
* CMMI3
网络安全依据标准
* ISMS
资深中央服务器管理经验
* 七层攻击防范
* 软/硬负载均衡
* 资源调度
* 策略路由管理
* 高可用性集群
* 应急流程管理
* 全局文件系统
第四页
四项CCIE工程师
* 项目经验丰富
* 高可用网络架构
* 广域网加速
* 防范密码及信息侦听破解
* 防范Http/s及SSL侦听
* 防范DDOS/DOS攻击
Web应用安全专家
* 黑盒测试
* 国际法案遵循
Web应用性能专家
* 压力测试
* 性能监测
安全技术保障团队
* Web安全
* 资深编程团队CMM2、CMMI3
* 资深编程及测试人员(5)
* Web性能
* 资深编程及测试人员(2)
* 主机安全
* MCSE/RHCE/DCSE
* 资深维护及测试人员(5)
* 网络安全
* CCNP/CCIE(R&S Security Voice SP)
* 资深维护及测试人员(5)
法律保障
凡购买800APP产品的用户,将与八百客(北京)软件技术有限公司签订《800APP数据安全及保密协议》。其中约定:双方对合同的书面资料及其它有关的商业机密负有保密责任,不得以任何形式、任何理由透露给第三方;否则,任何一方都有权利向对方请求损失赔偿,并依法追究法律责任。保密责任不因本合同的无效、提前终止、解除或不具操作性而失效。
网友评论