PDF《安全与合规性》

安全与合规性 由世纪互联运营的 Office

365 发布日期:2016 年6月最新信息请访问 信任中心:http:// www.

trustcenter.cn 安全与合规性 简介.3 服务级安全性.4 物理层―设施和网络安全

5 逻辑层―主机、应用程序、管理员用户.6 数据层―数据.7 数据完整性和加密

7 保护防范安全威胁

8 独立验证

9 客户的安全控制

10 保护最终用户的访问.11 隐私设计.13 客户的隐私控制

14 服务合规性

15 客户的合规性控制.16 结论.18

3 安全与合规性 简介 对于全球任何 IT 机构来说,信息安全都是一个重要的考虑因素.除了各种信息技术的流行,针对数量日益增 加的设备、平台和地点提供对服务的访问,使得信息安全成为最重要的事.您的用户可以通过多种设备的访问 获益,尤其在 IT 消费化的大背景下更是如此,但更广泛的访问途径也意味着潜在攻击面的增多.与此同时, 组织还将面对来自全球,不断进化的网络威胁,这些威胁多以可能无意中丢失或外泄敏感数据的用户为目标. 在考虑为组织使用云服务存储数据和各种生产力服务时,需要额外注意安全方面的顾虑.首先需要注意信任问 题.您必须能够信任自己的服务供应商在处理和管理您的数据时,能够满足您的重要预期,即安全、隐私,以 及合规. 由世纪互联运营的 Office

365 的安全、合规,以及隐私功能,有两个同等重要的维度.第一个维度是服务级 别的能力,包括技术、运营规程,以及客户在使用服务的过程中默认启用的策略;

第二个维度是必要的客户控 制,包括能使您根据组织的具体需求对您的 Office

365 环境进行定制的功能. Office

365 中的安全保护是一种持续的过程,而非某种恒定不变的状态.这些措施会由具备娴熟技能和经 验,训练有素的人员进行持续不断的维护、增强,以及验证.我们会尽力确保软件和硬件技术时刻保持最新状 态,并会通过强大的设计、构建、运营,以及支持过程对其进行优化完善.为确保 Office

365 具备业界领先 的安全性,我们使用了诸如 安全开发生命周期,流量限制,以及针对入侵活动的预防、检测和缓解等过程. 若要详细了解有关 Office

365 安全与合规性的最新详情,您可以访问信任中心.

4 安全与合规性 服务级安全性 在云安全领域,即便针对最为复杂的组织,我们的策略和控制也处于行业领导者地位.我们的团队在持续不断 地学习并更新自己的服务,借此为用户提供高度安全的云生产力服务,并在合规性方面满足最严苛的行业标准 要求. 在服务层面上,我们使用深度防御策略,通过服务中不同的安全层(分别位于物理、逻辑,以及数据层)保护 您的客户数据. 从较高角度来看,这些防御层可以通过下图的结构体现: 图1深度防御 纵深防御策略确保了服务中的诸多层面均具备安全控制,并可确保即使其中某一层被攻破,依然可以通过相应 的补偿性控制措施维持服务的安全性. 这个策略还包括在安全入侵事件发生之前对其进行检测、预防、缓解的措施.这些措施会持续对服务层面的下 列安全功能进行持续不断的完善: ? 端口扫描和修补

5 安全与合规性 ? 边界弱点扫描 ? 操作系统安全补丁安装 ? 网络级 DDOS(分布式拒绝服务)检测和预防 由世纪互联运营的 Office

365 会借助最新技术和最佳运维实践,通过下列方式防范人员和过程中可能存在的 违规情况: ? 对所有运维/管理人员的访问和操作进行审计 ? 对服务管理员实行 非持久权限 ? 服务排错过程实施 即时 (Just-In-Time, JIT) 访问和提升 策略(也就是说,按需提升,且仅在需要 的时段内提升) ? 员工电子邮件环境与生产访问环境之间进行隔离 ? 高特权访问进行强制的背景核查.这是一种非常详尽,需要手工批准的过程 ? 客户数据只存储在中国境内的数据中心 为了防范违规情况,我们还会在员工离职、部门变动,或帐户过期前已不再需要使用该帐户的情况下,自动删 除所有不必要的帐户.我们会尽可能地使用基于工具的自动化过程取代需要人工介入的操作,包括部署、调试、针对收集,以及服务重启动等例行职能. 我们会对系统自动化机制进行不断的投入,借此帮助我们发现异常和可疑的行为,并通过快速响应措施缓解安 全风险.我们还会持续完善高效率的补丁部署系统,为监控系统发现的问题生成并部署解决方案―这一切都 无需人工介入.这样的做法极大地增强了服务的安全性和敏捷性.我们会定期进行内部审计和测试,以便对事 件响应规程进行持续不断的改进.这些内部测试可以帮助我们的隐私专家和工程师创建出井然有序、可复用, 并且逐步优化的响应过程和自动化机制. 物理层―设施和网络安全 设施 考虑到数据存储区域问题,存储在 Office