【版权声明】
©2008-2024 腾讯公司版权所有本文档著作权归腾讯乐享单独所有,未经腾讯腾讯乐享事先书面许可,任何主体不得以任何形式复制、 修改、抄袭、传播全部或部分本文档内容。
【商标声明】
及其它腾讯乐享服务相关的商标均为腾讯科技(深圳)有限公司所有。
【服务声明】
本文档意在向客户介绍腾讯乐享全部或部分产品、服务的当时的整体概况,部分产品、服务的 内容可能有所调整。
一、前言
腾讯乐享是腾讯于2008 年以知识管理为核心打造的企业社区应用,为企业内知识、沟通、协作提供综合服务,提供文档、问答、活动、论坛、课堂、考试等一系列应用,支持PC 浏览器和手机的多终端浏览操作,与企业微信高度集成,可随时随地访问。
二、组织安全
腾讯乐享作为企业级的SaaS 服务提供商,孵化于腾讯内部,搭建于腾讯云上。安全团队由腾讯安全平台部、腾讯云安全保障团队、腾讯乐享信息安全小组共同组成,确保了腾讯乐享的安全性和可靠性。
1. 安全平台部
腾讯安全平台部负责基础安全设施建设,如漏洞扫描、DDoS 防护、安全接入网关、安全大数据等。
2. 腾讯云安全保障团队
腾讯乐享接入了腾讯云的大禹系统防 DDos 攻击、安全网站管家(WAF)、web 漏洞扫描、虚拟私有网络(VPC)、CVM 防火墙隔离等安全组件及服务,由腾讯云安全团队提供专业、高效的保障服务。
3. 腾讯乐享安全小组
1. 负责腾讯乐享安全设计和开发、制定安全策略、7*24 小时安全监控、动态攻防。
2. 进行业务访问审计,监控可疑操作。
3. 定期进行攻防演练,评估产品安全风险和安全策略的可靠性。
4. 7*24 小时的安全事件响应、识别、分析和处理。
5. 与公司内部安全专家及业界专家交流,紧跟前沿安全技术。
三、人员安全
腾讯在员工入职前通过合法的背景调查,确保员工符合公司行为准则、保密、商业道德、信息安全要求。
入职后,员工必须签署保密协议。腾讯向来注重客户信息和用户数据保护,泄露客户信息及用户数据行为属于公司高压线之一,在入职培训中重点强调。
腾讯乐享团队严格遵守《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》等信息安全条例,确保用户敏感信息及业务数据不被泄露。此外,腾讯乐享不定期对员工进行信息安全培训,确保员工按即定的安全策略执行。
同时,在腾讯乐享平台的设计、研发、运维、发布等任何环节中,不会以任何形式接触、使用生产环境的数据,从而造成用户信息及数据的泄露。
四、合规安全
1. 腾讯乐享严格遵守相关的法律和法规,主要包括:
法律:
《中华人民共和国民法通则》第一百零一条。
《中华人民共和国刑法》第二百五十三条第三款、第四款、第五款。
《中华人民共和国侵权责任法》第二条、第三条。
《中华人民共和国未成年人保护法》第三十九条。
《全国人民代表大会常务委员会关于维护互联网安全的决定》第四条。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》。
法规:
《中华人民共和国电信条例》。
行政规章:
《电信和互联网用户个人信息保护规定》(经2013 年7 月16 日中华人民共和国工业和信息化部令第24 号公布)。
《规范互联网信息服务市场秩序若干规定》(2011 年12 月7 日中华人民共和国工业和信息化部令第20 号公布)。
2. 根据国家法律相关规定,腾讯乐享不得用 PII 信息作其他用途。获得客户明确授权的情况除外。
3. 根据国家相关法律法规要求,腾讯乐享不会向未经国家司法机关授权的第三方披露客户的 PII 信息。
4. 腾讯乐享对外提供的服务为类 SaaS 服务。
5. 腾讯乐享的安全策略文件和操作规程文件,将长期保留以备客户参考。
6. 客户 PII 数据存储于中华人民共和国大陆地区。
7. 腾讯乐享已经通过 ISO27001 认证。
五、数据安全
腾讯乐享生产环境运行于腾讯云统一版本的操作系统上,服务的安装、升级、迁移均由权限受限的运维人员完成,并从指定的可信任安装源下载。系统级服务如 nginx、mysql、redis 等的配置文件则由代码库统一管理,通过部署、发布、作业平台进行统一维护和下发。同时也会禁止使用系统级服务的高危接口和函数,防止任何发生漏洞的可能性。
所有在腾讯云上的服务器均标准化安装了 tlinux,由腾讯专门团队维护,并且安装了腾讯云安全组件,安全表现更为出色。
1. 按企业分库分级存储
腾讯乐享平台上,所有企业的业务数据均存储于独立的数据实例,拥有各自的数据库账号密码,确保了数据的互相隔离,防止被拖库的危险。同时,数据库帐号专号专用,权限也采用了最小集的控制,避免越权漏洞导致数据被破坏的问题。
2. 数据脱敏
所有数据库敏感信息,包括用户敏感信息、数据库账号密码等均采用对称算法加密,加密因子定期更换。
3. 文件存储
使用腾讯云提供的 COS(Cloud Object Storage,对象存储)服务存储所有附件、文档、公共资源等文件,具有扩容方便、安全及可靠性高等优点。所有 COS 服务访问策略都只向腾讯乐享侧开放。权限方面,则按企业进行权限控制,并通过旁路系统进行权限校验。
4. 生产环境数据权限
除非得到用户授权,否则腾讯乐享团队任何成员被禁止接触生产环境数据,包括运维人员,接触的形式包括但不仅限于数据库访问、文字、截图、视频等,更不会私自篡改数据,避免给用户造成任何信息泄露。此外,腾讯乐享也承诺不会将用户数据以任何形式提供给包括腾讯云在内的第三方机构。
5. 数据销毁管理
对于长期无访问记录企业对应的数据,腾讯乐享承诺会在一定周期内予以保存,但逾期的,数据会有被清理的风险。
腾讯乐享平台提供直接注销企业的操作,对于此类操作,一经用户确认,则被销毁的数据将无法恢复。
所有存储数据的存储介质(如硬盘等),如若需要维修必需先进行卸载;需要报废或移出数据中心的网络设备及存储设备,依据相关安全标准进行清除数据、磁盘消磁以及物理销毁。
六、网络安全
腾讯乐享的网络安全由大禹 BGP DDoS 高防和 WAF 两大技术能力全面整合,确保各类网络异常行为特征都能被及时发现和响应。
1. 传输协议
为了防止中间人攻击,腾讯乐享全站采用 https/SSL 加密数据传输,采用 RSA 算法进行秘钥加密,签名算法则采用安全散列算法较高位数的 SHA-256,来充分保障密钥的不可破解性。企业级 SSL 证书颁发方为 GlobalSign。
2. 安全域划分
腾讯乐享在腾讯云上的部署采用了 VPC(Virtual Private Cloud,虚拟私有网络),将用户数据、公共数据、redis/job 等基础服务进行网络隔离,将各服务区块限制在各自的安全域中,最大限度保障数据不被泄露。
3. 大禹 BGP DDoS 高防
腾讯乐享采用腾讯云提供的大禹防 DDos 攻击服务,能够有效地防止各类 DDos 攻击。同时通过大禹提供的告警机制,及时发现攻击行为。
4. WAF
腾讯乐享平台引入了腾讯云的 WAF(Web Application Firewall,网站安全管家),可在接入层阻断恶意请求,有效防止注入类及 XSS/CSRF 攻击请求。
5. 网络访问控制
在生产环境中,各子网间通过防火墙、安全策略组等机制,保证网络访问控制被限制在最小权限内。包括外部的上行出口,也进行统一化管理。
七、应用和业务安全
1. 业务权限
腾讯乐享平台采用自研的访问控制组件。被授权用户只能访问指定项目数据;在项目内部,腾讯乐享平台则提供基于用户组的权限控制,可对业务对象、操作类型等多维度进行访问权限控制。
2. 代码安全扫描
在测试、集成及生产环境下,腾讯乐享均引入了腾讯专业安全团队的动态代码扫描工具,对整个平台的代码进行全面的加固,防止出现 SQL 注入、XSS/CSRF 攻击等代码安全隐患。也引入 CSP 等安全组件,限制了安全来源外的资源漏洞,尤其是在移动端的浏览器。
3. 接入安全
腾讯乐享平台引入了腾讯云的 WAF(Web Application Firewall,网站安全管家),可在接入层阻断恶意请求,有效防止注入类及 XSS/CSRF 攻击请求。
4. 业务逻辑安全
腾讯乐享安全团队会通过在代码框架层面引入参数过滤、数据二次校验等机制,防止在业务逻辑层出现漏洞,同时也会推动研发团队对此类安全机制严格落地。此外,团队还会定期排查系统中可能存在的业务逻辑隐患。
5. 数据接口安全
腾讯乐享平台提供 API 服务,该子系统通过独立域名提供服务,与主平台通过数据库读写分离、微服务等方式进行了解耦。同时,API 系统也在 IP、帐号、数据操作权限等方面进行了严格限制,确保不发生数据泄漏、篡改的情况。此外,在访问频率上,API 系统也有非常严苛的规定。
八、信息安全
作为企业服务提供商,腾讯乐享着力为每一个客户提供安全、稳定、持续、可靠的信息安全基础。
1. 访问控制
腾讯乐享平台采用自研的访问控制组件,被授权用户只能访问指定项目数据;在项目内部,腾讯乐享平台则提供基于用户组的权限控制,可对业务对象、操作类型等多维度进行访问权限控制。
2. 活动防刷
通过腾讯云防刷引擎,确保每次请求都是实时评估判定。活动防刷的实时模型,在大量业务中进行学习和训练,是整个服务的智慧引擎,确保高可用、高覆盖。
3. 验证码
腾讯的安全大数据系统拥有十多年安全防护和恶意对抗经验沉淀,能实时准确分析业务当前访问的恶意情况,让可信用户免验证或进行轻量的验证,而对恶意用户下发高难度验证码,保证可信用户有良好体验的同时,也达到对抗腾讯乐享安全白皮书恶意的效果。
4. 图片识别
腾讯乐享运用腾讯基于海量图像数据挖掘,能涵盖日常生活照片的各个信息维度,高效识别图片内容信息。独创基于深度学习的图片鉴黄技术,全面替代人工审核,有效降低90%以上成本。
九、业务可用性和连续性安全
腾讯乐享基于腾讯海量服务的能力,通过自动化的监控及运维平台,实时检测故障并进行自动切换,实现异地多活,确保业务持续运转。
腾讯乐享部署在腾讯云上,因此本身便具备了腾讯云的高可用能力,此外,在此基础上,腾讯乐享云还作了适配和改良。
腾讯乐享使用的腾讯云服务器采用了高性能高稳定性的虚拟技术,提供高可靠的 web 服务器、数据/文件存储等服务。同时,腾讯乐享制定了完备的灾难恢复流程,并定期演练和维护,服务器异地部署,最大程度降低因不可抗力导致的机房物理损坏等灾难给系统带来的影响。
是
否
本页内容是否解决了您的问题?