PDF《安全与合规性》

365 数据中心内的客户数据在地理位置上是分布式的.我们会与中 国顶尖的数据中心服务供应商携手合作,保护服务和数据防范自然灾害或未经授权访问所造成的损失.对数据 中心的访问会依照工作职责进行全天候限制―只允许必需的人员访问客户应用程序和服务.物理访问控制会 使用多种身份验证和安全过程,包括设施内部安全人员的徽章、持续的视频监视,以及双重身份验证.我们会 使用动作传感器、视频监视设施,以及安全入侵警报等措施监视数据中心.对于自然灾害,我们还尽可能实施 了自动化的火灾预防和灭火系统,以及地震支撑系统.

6 安全与合规性 网络 通过在网络边缘以及网络中的不同节点使用受控设备,我们实施了周边防护措施.对我们来说,网络安全的首 要原则是只允许系统执行必要的连接和网络通讯,所有其他端口、协议,以及连接都会被阻止.我们在路由器 上使用分层式访问控制列表( ACLs) 实施了 ACLs,在主机上应用了 IPsec 策略,并在网络中使用防火墙规则 和基于主机的防火墙规则对网络通讯、协议,以及端口号进行限制.边界路由器的安全措施使得我们能够在网 络层面上检测入侵和代表弱点的特征.Office

365 数据中心内部的网络还进行了进一步的隔离划分,借此对 关键的后端服务器和存储设备以及对外接口进行物理隔离. 逻辑层―主机、应用程序、管理员用户 逻辑层的安全防护涉及很多控制和过程,这些措施可对主机,这些主机上运行的应用程序,以及需要针对这些 主机和应用程序执行任何操作的管理员提供安全保护. 自动化操作 管理员针对主机和应用程序执行的大部分操作都是自动实现的,借此将人工介入的情况降至最低,并降低了产 生不一致配置或恶意行为的可能性.这种自动化的方法通过扩展,已经应用于数据中心内部系统的部署工作. 对客户数据的管理访问 管理员对 Office

365 以及您的客户数据的访问会受到严格的控制.这一过程的核心原则是基于角色的访问, 以及只为人员提供执行特定操作所必须的最小量服务访问特权.无论访问物理(例如数据中心或服务器)或逻 辑资产,均应遵守这些原则.这一过程可形象地称之为 锁箱流程 ,管理员需要通过这样的流程申请提升自 己........