企微云平台安全白皮书V3.0.PDFVIP

企微云平台安全白皮书V3.0 企微云平台安全白皮书 V3.0 （附：道一信息ISO27001 信息安全认证； 企微云平台信息必威体育官网网址承诺书） 企微云平台致力于为用户提供安全可靠的移动办公服务。信息安全是用户放 心使用的基础，因此，企微云平台一直把安全作为最高优先级目标。我们的信息 安全与腾讯的微信企业号保持高度一致，并通过多种方式、从多个层面保障企业 的数据安全。 一、数据安全 信息安全主要目标之一是保护业务系统和应用程序的基础数据安全。依据数 据的安全生命周期，企微云平台对数据创建、存储、使用、共享、归档的整个过 程都有相应的保护措施。 数据分级 企微对所有用户和企业数据提供存储安全保护。根据存储与使用的数据， 实施数据等级保护策略，并按照数据价值和敏感度对数据进行等级划分。根据 数据安全的分级，又对应相应的保护策略和要求，以保护用户和企业数据的安 全存储。 数据使用与防篡改 企微根据用户和企业数据进行了等级保护，对用户使用和应用展示进行了 严格的控制，以禁止展示机密信息及未脱敏信息；同时对于需要展示信息的场 1 企微云平台安全白皮书V3.0 景使用了防爬虫安全保护，以阻断爬虫对敏感信息的爬取。 完整的操作日志记录 每一条数据导出、增删均有完整的操作日志可以查询，操作人、操作时间、 操作结果一并记录在案。如有异常操作记录，能够及时发现并处理相关责任人。 图一 企微云平台操作日志 二、通信安全 除了数据安全外，信息的传输安全同样重要。企微云平台采用了多种方式， 从传输加密、传输保证、账户认证等多个维度来确保数据的传输安全。 传输加密 企微采取了一系列的完善措施防止通讯被监听、劫持和篡改，确保了通讯的 安全。企微对各项应用通讯进行了全程 SSL 加密，以保证数据安全性。除此之 外，企微还针对每个企业设置了唯一的 token 来对通讯内容进行 AES 加密。 2 企微云平台安全白皮书V3.0 端到端传输保证 利用对称密码技术对 IP 数据报进行加密／解密处理，使得网络中传输的 IP 数据报只有通信双方能够识别，可以为互联网络上两台主机之间提供加密的安全 通信。安全管理工作由独立的安全服务器完成，采用公钥密码技术向安全客户端 传输安全通信所使用的对称密钥 ，保证端到端的传输数据传输安全。 双重认证 企微云平台支持双重认证，用户除使用普通的密码认证外，也可以使用微信 企业号的动态身份认证。当用户名和密码丢失后，用户账户和数据仍然可以得到 可靠保护，避免被其他人访问。 图二-企微云平台两种登录方式 三、系统安全 企微云平台自系统搭建时就完整考虑了系统级的安全方案 ，从通讯录的 权限到各个应用、文档的访问都有相应的访问控制措施，在确保了外部条件 的安全后进一步强化了内部安全。 3 企微云平台安全白皮书V3.0 SDL 开发流程 企微云平台在项目开发流程中引入了 SDL （软件安全开发周期），借鉴了 微软推广 SDL 的经验，并结合企业级安全需求以及企微自身的项目开发流程， 从培训、需求分析、开发、测试、发布、运营应急整个过程，控制项目的安全风 险。 通讯录安全 企微云平台通讯录采用加密存储， 可分级管理通讯录，针对不同人群设置 不同的可见性权限； 同时企业可以通过设置来对重要部门进行保护， 该部门的 信息会自动隐藏， 即使是企业内的员工，没有相应权限也无法访问 ，方便企业 将上下流整合到企微云平台当中。 对于不同公司的信息，存储空间是相互隔离的。当员工离职并进行离职处理 后，将自动剥离员工在该企业的访问权限使其无法访问企业号中的内容。企微还 在微信企业号的基础上设置了离职人员复职功能，对于离职人员数据不马上清除， 为工作交接提供了缓冲空间。 企业还可以设置对员工的手机号进行隐私保护，在对外展示员工信息