安全
我们采取纵深防御策略保护基础设施、数据与用户。以下为我们的技术与组织措施概览。
基础设施与网络安全
- 云优先架构,物理安全与网络分段由云服务商提供与管理。
- 网络隔离、最小权限访问,以及加固镜像。
数据保护(静态与传输)
- 传输中使用 TLS 加密。
- 静态数据由云存储与数据库服务提供加密。
- 密钥管理遵循提供商最佳实践。
访问控制与认证
- 基于角色的访问控制(RBAC),坚持最小权限与按需授权。
- 管理访问启用多因素认证(MFA)。
- 定期进行访问审查,角色变更或离职时及时回收权限。
漏洞管理与补丁
- 定期更新依赖与基础镜像。
- 例行扫描并按严重性进行修复。
日志、监控与事件响应
- 集中式日志与告警,覆盖安全相关事件。
- 制定事件响应流程:发现、研判、遏制、清除、恢复与复盘。
备份与业务连续性
- 定期备份关键数据与配置。
- 周期性恢复演练,并针对关键服务进行连续性规划。
漏洞披露
如你发现安全漏洞,请以负责任的方式进行报告,并提供足够细节以便复现。我们感谢协调披露。请通过联系我们页面提交。