百度智能云平台安全
安全组织
安全技术团队
百度智能云安全技术团队主要分为安全保障、安全研发、安全趋势分析3个方向。安全保障团队负责百度智能云内部安全保障、云产品生命周期安全、应急响应、漏洞整改推进及修复验证等方面的工作;安全研发团队主要负责把百度在安全开发、检测、防护、审计等领域的典型实践产品化输出(如:SRD、WAF、IDS、HOSTEYE等),以提高云自身及客户的安全感知防护能力;安全趋势分析团队依赖于百度安全实验室,覆盖有安全威胁情报、下一代移动安全技术、现代企业安全防护,通过研究前沿安全技术的发展和趋势,为百度智能云安全赋能。
安全管理团队
百度智能云安全管理团队主要负责智能云内部的安全机制建设、安全培训、数据安全类安全评估、权限审计等工作。确保安全机制覆盖要塞、安全要求普及全员、安全管控落实到位。
安全合规团队
百度智能云安全合规团队是一个虚拟团队,由百度智能云安全牵头,主要负责受理国家监管部门安全审查、第三方资质认证以及配合法务进行安全合规需求识别等工作,确保百度智能云的产品符合国内外相关法律法规、标准条款。
人员安全
人员入职
百度智能云根据各部门岗位职责要求选取人才,员工在入职前需经过背景调查;入职时,入职合同中安全保密协议作为非常重要的一部分统一签署,对于特殊岗位,会进一步单独明确安全职责,签订相应保密协议。
人员在职
百度智能云员工至少保障每季度1个工作日的安全意识学习时间投入。安全意识与职业道德作为新员工入职必修课程(例如:安全红线、数据安全、办公安全、编码安全、移动端安全等),且必须经过考核结业。员工在职期间,对于不同层级和角色,通过在线视频、现场授课、安全案例分享、在线考试、问卷调查、安全主题宣传活动等形式接受安全意识宣贯教育。同时,每年定期接受全员安全意识考核。
对于违反安全要求的行为,一律严格处理。在具体实施上,落实责任到人,相关工作人员责任连带,根据事故级别的不同,与奖金、绩效、晋升等关联;对于情节非常严重的行为,公司将依法解除劳动合同。若责任人行为触犯法律,将依法移送司法机关追究其法律责任。
人员离职
人员离职或岗位变动时,百度智能云遵守百度集团建立的统一标准化的流程保障员工资产(如笔记本、门禁卡、Token)及所有权限的回收或变更。
安全合规
安全认证
百度智能云已经获取近30个国内外权威资质,确保我们的自身安全体系建设及运行的合规性、有效性,同时也确保我们交付的产品符合国家相关要求。
百度智能云在安全合规方面获得国内外多个首家,其中在个人信息保护方面尤为突出,ISO27018、ISO29151、BS10012我们均为云服务商中首家获取。目前百度智能云通过的资质认证列全集可以参考官网安全合规页面。
百度智能云将持续持久在合规方面深耕,和我们的客户同进退,共同建设、保障合规生态圈!
内控安全
百度智能云以ISO27001为信息安全框架体系,进行内控体系建设,以网络安全等级保护为系统落地建设指南,并且周期进行内审、外审,确保体系运转的有效性、落地性、合规性。 法务部针对云产品制定、审核各类合同,并对国家相关法律法规进行及时解读,组织、指导云产品进行自查以满足法律法规要求。根据法律法规及市场、监管情况的变化提供合同修订、商业合作模式等方面的指导。
数据安全
数据安全体系建设
在2018年至2019年期间,百度集团先后成立了3个由高级管理层主导的数据相关的委员会,更新发布了5个数据保护制度,强调了数据保护符合公司一贯的文化价值观,并纳入到公司治理体系中。百度智能云在百度集团数据保护浪潮的驱使下,建立了百度智能云数据运转机制,针对所有涉及客户个人信息(个人信息包括但不限于:手机号码、身份证号、与人员关联的IP地址、声纹、人脸生物特征、身份证&驾驶证等其他证件)处理场景进行安全合规评估。
数据生命周期保障
百度智能云针对数据生命周期中的采集、传输、存储、使用、销毁等各个阶段均提供一系列的安全保障。
【数据采集】
- 采集原则:在数据采集过程中,百度智能云始终遵从最小够用原则;当涉及到客户个人信息数据采集时,只有客户授权同意后,才会进行采集活动。
- 数据标识:对于已采集的保密信息,百度智能云依据《百度数据安全策略》对数据进行分级,创建并维护数据清单,针对私密数据进行了单独标识。
【数据传输】
- 加密传输:数据传输过程中,采用统一的HTTPS方式传输,禁用了低安全协议版本和弱加密套件;同时,高级私密数据实现了加密后传输的方式。
- 传输效力:数据传输过程中,采用了数据深度校验机制,保证了数据传输的可靠性。
- 访问控制:接口数据的访问过程中,采用统一的身份管理和访问控制服务,精细化控制哪些身份可以访问哪些资源。
- 安全审计:采用百度智能云统一的框架方法实现日志打印,结合自研的日志审计系统,实现高危操作的日志分析和报警能力。
【数据存储】
- 存储架构:百度智能云采用可伸缩的分布式存储架构,具备数据存储跨机柜、跨机房容错部署能力。
- 数据加密:百度智能云遵从《百度数据安全策略》要求,对数据进行加密存储。区分不同场景,使用SHA256或以上算法、AES128/RSA2048或以上算法进行加密存储。
- 访问控制:存储数据的访问过程中,采用统一的内部自研认证平台,实现了细粒度自然人的认证能力。
- 安全审计:采用统一的内部自研监控系统,实现登录行为和操作行为的全追踪;结合统一的内部自研审计系统,实现主动安全审计能力,针对异常行为实现检测和阻断。
- 冗余备份:对于服务系统存储的数据,采用多副本/纠删码机制,保证数据存储的可靠性;对于数据库系统存储的数据,采用日增量/周全量备份机制,保证数据存储的可靠性。
【数据使用】
- 数据展示:百度智能云遵从信息展示安全规范统一要求,使用与展示机密信息时必须脱敏处理。
- 数据获取:原则上,内部人员禁止触碰机密信息,特别是客户个人信息。但因技术协助等需求需要触碰机密信息的,需要发起申请审批通过后,才可以开通权限。
【数据销毁】
- 销毁机制:百度智能云采用统一的财务计费系统,欠费一段时间后,数据将采用磁盘复写的方式彻底删除数据。
物理安全
物理安全控制
百度智能云数据中心严格管理人员及设备进出,在数据中心园区及建筑各门口设置724安保值班人员,对进出人员及设备严格核对相关信息并登记和检查,限制并监控来访人员授权活动的范围。
各IDC区域均设有电子门禁,发生异常情况时本地门禁控制器会声光报警。门禁控制系统设置各区域访问权限,门禁卡分级管理,严格控制人员出入权限。非线上设备存放在独立库房分类保管,由专人专岗负责,任何设备进出均需凭授权工单操作,且在工单系统保留操作人记录。百度智能云及百度系统部现场运维团队有专人定期对所有物理设备及仓储配备件进行资产盘点。
百度智能云数据中心采用当前通用的机房安保技术监测,旨在发现物理隐患并及时进行消除。对机房外围、出入口、走廊、电梯、机房等进行724小时闭路电视监控,监控记录保存时间均满足相关标准要求。
动力环境安全
百度智能云数据中心日常电力供应采用来自不同变电站的双路市电供电;配备柴油发电机,在市电断电时可启动柴油机供电,以备不时之需。并配备了不间断电源(UPS – Uninterrupted Power Supply),或高压直流(HVDC – High Voltage Direct Current),提供短期备用电力供应。在供电设备及线路上还设置冗余或并行的电力电缆线路为计算机系统供电,存电量满足监管要求(>15min),通过ATS/STS确保切换至备用电源所用的时间满足要求。
面对外部和环境威胁,采用业界典型实践抵御火灾、洪水、地震、爆炸、社会动荡及其他形式的自然或人为引起的破坏。在电力、温湿度控制上满足相关机房建设标准要求,采用自有专利技术,除提供必要安全保障外,更符合绿色环保理念。同时,百度自建的数据中心,获工信部数据中绿色等级设计类及运行类双5A认证。
机房流程审计
百度智能云数据中心相关审计流程按照多个国内、国际标准构建,针对不合规行为进行溯源、追责,确保整个百度智能云平台按照严整的流程运作。
百度智能云根据《百度IDC基础环境安全管理规范》、《百度IDC现场运维SOP》及《百度数据中心管理规定》等相关规范制度,通过运维报告复盘、人员访谈、现场勘查、记录查阅等方式,定期对数据中心内外部人员访问、设备进出操作、机房环境巡检等流程进行审计并出具机房例行检查报告,确保符合内部预设的规章制度要求。
百度智能云目前维持着多个国内、国际资质,数据中心每年需要迎接多轮外部审计,输出外部审计报告及改进建议项。通过这种内、外部审计相结合方式,确保机房相关流程的合理性,并持续改进。
访问控制
认证机制
在外部客户场景下,所有访问者登录控制台都需要经过百度账号系统进行身份认证(支持百度账号和云账号)或短信快捷登录,除强制登录进行认证外,控制台上也支持登录保护和虚拟MFA(Multi-Factor Authentication),开启成功后,客户再次登录时,需要在百度智能云账号登录页面输入账号名密码之后,通过短信二次验证或MFA认证再次确认身份后才能登录成功,满足有高安全防护等级需求的客户。
API认证基于IAM(Identity and Access Management)进行百度智能云的身份认证管理和访问控制,解决云账户的集中授权与管理、资源共享、多客户协同工作等问题。客户可通过IAM生成的AKSK进行签名调用API完成身份认证。
在百度内部,所有公司员工都拥有自己唯一的员工账号ID,无论访问机器资源、还是内部应用系统都需要首先基于员工账号来进行身份真实性认证。与此同时,账号及其对应密码的安全性都有严格的控制,确保员工账号本身的安全性:账号在员工入职时分配,离职时从账户系统中注销,避免账号权限外泄;账号密码设置强制定期更换、强制长度与复杂度要求。
无论外部客户、还是内部员工访问百度智能云资源,有严格的认证机制,能够为基于账户角色的授权、系统日志审计、问题排查等需求提供基础能力。
授权机制
百度智能云实施基于角色的访问控制策略,主要从网络层面、主机层面、服务应用系统层面来落实,策略的制定遵循最小化原则,即某类角色的账号只具有必要资源(或拥有的资源)的必要权限,例如:A部门员工只能访问其所在项目组的资源,且只需开通只读权限即可满足需求的就不会开通其他额外权限,对任何额外资源的访问或占用都必须经过合理的申请及审批流程。
授权作为访问控制的重要一环,直接关系到百度智能云系统、客户云上资源及其数据与业务的安全性。总体上:
- 百度智能云各个系统之间有认证授权校验,系统接口无法直接被访问。
- 外部客户都被严格限制为只能访问自己申请且已经启动的资源,客户的百度智能云资源之间严格隔离,比如:客户A无法操作客户B创建的云资源,仅能操作自身资源。
- 百度员工中除了必要的百度智能云运维与研发工程师对相应资源有限制性的访问权限外,内部所有其他员工都不具有对百度智能云资源的任何访问权限。
日志审计
百度智能云严格遵从《网络安全法》等相关法律法规和百度公司日志安全规范要求,采用统一的技术框架及日志打印能力,实现客户访问官网/控制台/云服务资源的行为和云平台运行状态的细粒度记录, 记录确保有如下关键因素:谁、在什么时间、在哪儿(源IP)、什么操作/事务、结果(异常信息/正常状态)。通过统一的安全日志平台,实现日志的集中化管理,确保日志能够按照合理、规范的方式进行记录和保护,相关日志留存不少于六个月。同时,通过自动化日志审计分析,积极发现潜在的安全风险并进行预警,降低风险造成的损失,为百度智能云各项服务的稳定性与安全性提供了强有力的保障。
基础安全
主机安全
百度智能云云平台可以通过BCM(Baidu Cloud Monitor)针对虚机实例的CPU、内存、磁盘等使用情况进行实时监控,可根据业务情况灵活设置阈值进行报警,从硬件层面事前感知风险。通过使用安全加固后的镜像,确保系统的初始配置环境在身份认证、密码策略、基础配置环境等方面是一个相对安全的状态。同时,虚机配备的HOSTEYE软件可以实现恶意进程查杀、防暴力破解、异地登录检测、网站后门检测、安全基线检查、日志检索等,具备事前的入侵检测、事中的运行环境检测及事后配合审计等功能。加固后的镜像及HOSTEYE软件的软件配置达到网络安全等级保护三级中主机层面多个技术点要求。
HOSTEYE支持私有化部署,采用CS架构,兼并Agent(安全客户端)、Sever、Web三个模块:Web端主要提供集中管控、安全配置、事件分析、告警配置等功能,可视化管控为客户提供系统交互的的能力,提供安全检测和事件分析结果展示;Sever端主要提供数据分析、安全检测、任务下发和结果保存等功能,支持在线与横向扩展的分布式部署方式,并针对从Agent监控的信息中发现云服务器或应用的不合规配置项、暴力破解行为、异地登录行,从而实现对入侵行为的实时报警;安全客户端主要监控、收集、处理和传输等功能,同时具备运行稳定、资源占用低、持续防护的特点。为客户的私有云环境提供基础的、便捷的、高效的、稳定的安全服务能力。
通信安全
百度智能云默认为客户提供安全的通信环境,使用HTTPS进行数据传输;对于关键数据,例如交易数据进行加密传输;同时也鼓励客户使用高版本安全协议进行通信,对关键数据使用安全加密算法进行加密传输,保障数据的保密性和完整性。
同时,百度智能云与全球知名的第三方数字证书认证和服务机构联合推出的SSL证书申请与管理一站式服务。客户可通过百度智能云自助申请各类SSL证书(包括免费证书和收费证书),并可完成自动化或半自动化的证书核验和签发、部署,帮助客户快捷地将原有服务升级成HTTPS加密传输服务,轻松实现网站与Web应用的HTTPS加密部署。
网络安全
针对常规网络流量攻击,百度智能云可以为云客户提供基础的流量优先级配置策略;针对大流量网络攻击,鼓励客户使用百度智能云DDOS产品。百度智能云DDOS产品可有效防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood等多种网络层DDoS攻击,以及CC攻击等应用层DDoS攻击;同时百度高防服务特有DDoS智能分析系统,面对攻击能够快速反应,精确针对攻击特征自动生成多种组合CC防御策略,以保障业务连续性。针对恶意软件、入侵等行为,主机中的HOSTEYE将为客户的业务保驾护航。
边界安全
百度智能云通过自研网关实现内部网络不同区域边界访问控制;通过防火墙、自研网关等实现内部网络与互联网的访问控制,均管控到端口粒度。在虚拟网络方面,通过VPC(Virtual private Cloud)实现私有网络边界隔离;通过虚拟化技术实现物理机和虚拟机的隔离;通过安全组实现不同虚机的隔离;通过ACL(Access Control List)实现不同子网间的安全访问控制。旨在通过细粒度的边界访问控制及防护,保障客户的业务安全。
系统安全开发
安全开发基线
百度智能云制定了《安全开发指南》,明确应用软件在开发过程中应重点避免SQL注入、越权操作、账户安全、命令执行等安全基线问题;同时,《百度智能云服务特殊场景及解决方案》明确了百度智能云产品在数据库连接、多方认证、账号迁移、验证码、主机合规、API等多个特殊场景下的安全基线要求,并提供对应方案。原则上,所有百度智能云产品的研发及特殊场景应对需要遵守上述安全基线要求。
软件开发生命周期安全
百度智能云安全团队根据产品生命周期特点,在百度智能云产品的每个关键阶段均嵌入了安全要求。
- 产品设计阶段:必须遵从4A、最小权限、数据安全(详见2.4 数据安全)等原则。
- 产品研发阶段:遵从所有的输入不可信、所有的输入最小化、所有安全编码的实现在资源执行层进行等原则。
- 产品测试阶段:采用统一的白盒/黑盒/沙盒等自研审计能力并结合人工审计,减少常规安全漏洞的威胁,保证百度智能云服务满足基础的应用安全。
- 产品上线阶段:使用统一的内部上线平台进行上线审批、部署及发布,确保核心服务独立部署。
- 产品运维阶段:线上机器的运维需要有操作权限,理论上只有运维人员才具备此权限。登录时必须通过堡垒机,堡垒机会对线上运维操作进行监控、审计。
安全运维
安全漏洞管理
百度智能云有专门的技术团队负责对外部漏洞进行采集,如果发现漏洞和提供给客户侧的组件、系统版本类型相关时,百度智能云安全技术团队会在第一时间进行漏洞复现,并提供验证后的解决方案,联合技术支持团队(TS)针对客户侧进行漏洞预警。技术支持团队(TS),7乘24提供客户侧响应工作、受理客户相关问题及答疑。
如果发现漏洞涉及底层技术时,百度智能云安全技术团队会内部针对漏洞进行影响评级,通过邮件、工单方式组织各业务线进行自查,并在指定时间内修复。同时,如若漏洞修复对客户产生影响,百度智能云会第一时间和客户同步,确保在客户知悉且做好充分准备的情况下进行操作。
针对特殊、风险级别偏高的漏洞,百度智能云安全一方面会组织内部技术人员会进行复盘分享,思考响应优化点,以减少下次响应时间;另一方面也会定期统计高危漏洞数据用于向管理层汇报。
安全事件管理
安全事件指的是造成业务有损的事件,例如:网络攻击事件、信息泄露事件等。百度智能云参考国标GB/Z 20986《信息安全事件分类分级指南》进行事件分级,分为特大、重大、严重、一般等4个等级,根据严重程度内部决定惩处措施以及通知的管理层级别。不管是智能云内部控制,还是智能云为客户提供的产品及服务,一旦有安全事件发生,百度智能云将与客户站在同一战线,及时止损、复盘直至业务顺利恢复运行。
安全漏洞&事件通告
安全通告范围
百度智能云向云服务客户报告的信息安全消息或事件的范围包括但不限于:
- 可能对云服务客户造成影响的通用硬件、软件、程序组件漏洞;
- 可能涉及到云服务客户相关系统的威胁预警;
- 可能涉及到云服务客户相关资产的已发生事件;
- 应对威胁、漏洞的通用应对措施。
安全事件披露
百度智能云会依照相关法律法规、国家信息安全工作监管部门的要求,处理信息安全事件的披露水平,对于涉及到未公布漏洞利用细节、对社会秩序或公共利益存在影响的内容会严格依照法律法规的规定,或与监管机构汇报后,依照规定予以披露。
安全事件响应
百度智能云依托百度应急响应中心,结合百度智能云自身在云计算安全问题处理能力的积累,对信息安全事件予以响应。并遵照安全事件管理相关国家标准对安全事件的处理进行管理。
安全事件通知时间
百度智能云根据安全事件的类别,要求的通知时间也有所不同,具体如下:
- 云服务器暴力破解类事件实时站内告警通告;
- 安全扫描过程中发现的问题,扫描结束后提供站内报告;
- 非未知漏洞类的通用型安全漏洞、威胁、事件24小时内通告;
- 涉及重大影响范围或案件影响且问题细节按照有关规定需要保密的事件以法律法规要求为准。
百度智能云将根据安全事件的重要程度的不同,分别以系统程序功能确认、技术支持专员确认、安全管理人员确认、公司高层确认等多种确认级别建立不同事件的通知程序。
百度智能云按照通告内容的重要程度不同,分别以百度智能云官网通告、客户站内短信、电子邮件、电话等方式进行通告。
涉及信息安全事件有关问题的联络方式包括站内工单、400电话、大客户服务经理电话等方式。涉及到安全事件发生后相关的补救措施建议,会根据事件类型与事件一并通知。
信息安全的业务连续性管理
数据备份策略
百度智能云拥有足够的备份设施,确保所有必要的信息和软件能在灾难或介质故障后进行恢复。百度智能云的客户数据可根据客户业务需求在多个系统、多个数据中心进行复制存放,并根据业务规则设置相应的备份程序、频率、保存周期。不同数据中心地理位置呈分布式状态,以达到远程互备的效果。备份介质和恢复程序会定期进行检查和测试。
同城/异地数据中心
百度智能云在华北、华南、华东、华中、香港等多个物理区域均有数据中心,网络能力覆盖全国各省市。借鉴传统行业“两地三中心”的机制同时,不断丰富其内涵。
在一个区域下,将电力、网络等基础设施相互隔离的一个或多个数据中心,形成可用区。一个区域包含一个或多个可用区,当一个可用区出现故障后,不会影响其他可用区的使用,保护客户的应用程序或数据库不受单一位置故障影响。具有比单个数据中心更强的可用性、容错能力以及可扩展性。
业务连续性计划
百度智能云通过制定和实施业务连续性计划来保持或恢复业务的运行,并定期对计划进行测试、维护和再评估,以达到在关键业务中断或失败后能够在要求的和时间内达到预期设定水平,确保业务的可用性。
灾难/应急演练
百度智能云有一套完整的应急预案机制,根据应急预案要求定期进行灾难/应急恢复演练,实施完整的演习,以测试组织、人员、设备、设施和过程能够应对业务中断情况,并且在规定时间内将业务恢复至预期水平。所有的演练情况均会形成演练记录和演练报告,并通过复盘不断优化和改进应急/演练流程。