【51CTO.com原創(chuàng)稿件】去年中，大表哥為了圖便宜，給自己的初創(chuàng)公司找了個(gè)一站式的大數(shù)據(jù)存儲(chǔ)與分析類型的云服務(wù)提供商。而且由于巨大折扣的誘惑，他在未驗(yàn)證對(duì)方資質(zhì)和過(guò)往案例真實(shí)性的情況下，草簽了三年期的數(shù)據(jù)合作協(xié)議。事與愿違，還沒(méi)提供服務(wù)幾個(gè)月，該公司就因“老板跑路”的原因突然關(guān)張，接口人也隨即失聯(lián)。令人扼腕的非但是一直被放置在該云平臺(tái)的那些業(yè)務(wù)數(shù)據(jù)已無(wú)法取回和繼續(xù)使用，更頭疼的是在行業(yè)圈子里已陸續(xù)出現(xiàn)了號(hào)稱來(lái)自表哥公司的一些“假作真時(shí)真亦假”的被泄露的信息與數(shù)據(jù)。我們一家人過(guò)年聚會(huì)時(shí)，他提及此事，大家無(wú)不慨嘆現(xiàn)在商業(yè)合作的小船說(shuō)翻就翻，動(dòng)輒就跟你來(lái)個(gè)“皮皮蝦，我們走”這樣式的斷舍離，更別提什么“三生三世”那樣的愉快玩耍了。為了東山再起且避免前車之鑒，我自告奮勇地準(zhǔn)備幫他擬定一份通用的數(shù)據(jù)合作服務(wù)提供商的安全管理規(guī)范，以自身保護(hù)和對(duì)未來(lái)新的服務(wù)商形成約束。

經(jīng)過(guò)一周的精心準(zhǔn)備，我在上班的第一天就把草擬好的《服務(wù)提供商數(shù)據(jù)安全管理規(guī)范》發(fā)給了表哥，讓他“按圖索驥”。與此同時(shí)，本著職業(yè)敏感度和作為信息安全界的一個(gè)老兵，我覺(jué)得自己同樣有責(zé)任在此分享給各位小伙伴，供大家批判式的借鑒，當(dāng)然也免得大家去“重復(fù)地造輪子”。

首先需要和大家達(dá)成共識(shí)的是：眾所周知，數(shù)據(jù)合作服務(wù)，一般是公司之間以簽訂合同的方式，將所擁有的數(shù)據(jù)信息委托或轉(zhuǎn)交給專門進(jìn)行數(shù)據(jù)加工、處理、轉(zhuǎn)發(fā)、存儲(chǔ)、維護(hù)等服務(wù)的提供商。顯然，我們需要對(duì)提供商提供的服務(wù)進(jìn)行安全性監(jiān)督與評(píng)估，采取安全措施對(duì)訪問(wèn)實(shí)施控制，出現(xiàn)問(wèn)題應(yīng)遵照既定的管理規(guī)范，及時(shí)處理和報(bào)告，以確保其提供的服務(wù)符合本司的內(nèi)部控制要求。

從小愛(ài)看武俠小說(shuō)的我會(huì)經(jīng)常在工作中總結(jié)一些“套路”，這次我就借用六脈神劍的噱頭，畫了上面這張關(guān)系圖。而下面則是我用來(lái)具體跟大家分享和羅列的規(guī)范表格。細(xì)心的小伙伴可能已經(jīng)發(fā)現(xiàn)，我特意將各個(gè)“要?jiǎng)澋闹攸c(diǎn)”的部分都用黑體顯示了出來(lái)，以方便大家在實(shí)際使用和逐條參照的時(shí)候，能迅速地get到要點(diǎn)哦。

I. 安全管理總則

1. 提供商應(yīng)有適當(dāng)?shù)陌踩呗院蜆?biāo)準(zhǔn)用以管理本司所流轉(zhuǎn)過(guò)來(lái)的數(shù)據(jù)并確保整個(gè)過(guò)程遵守該信息安全管理規(guī)范。該策略和標(biāo)準(zhǔn)應(yīng)由提供商以不長(zhǎng)于一年的周期頻率進(jìn)行評(píng)審和更新。本司有權(quán)在本協(xié)議有效期的任何時(shí)候獲得該策略的副本。

2. 提供商應(yīng)允許本司或者一個(gè)互相認(rèn)可的第三方對(duì)提供商的安全規(guī)程和該信息安全需求規(guī)范的踐行情況，進(jìn)行安全評(píng)估或?qū)徲?jì)。如果審計(jì)揭示出任何材料的缺陷，提供商應(yīng)根據(jù)雙方互認(rèn)的修復(fù)計(jì)劃，采取適當(dāng)?shù)募m正措施來(lái)解決缺陷問(wèn)題。

3. 提供商應(yīng)當(dāng)維護(hù)各種安全事件響應(yīng)流程的文檔。對(duì)于任何可能對(duì)本司數(shù)據(jù)的機(jī)密性、完整性和可用性(CIA)，產(chǎn)生可識(shí)別的或是合理的不利影響的活動(dòng)或事件，都應(yīng)該在不超過(guò)24小時(shí)之內(nèi)通知本司。

4. 當(dāng)存儲(chǔ)、處理或傳送本司的數(shù)據(jù)時(shí)，提供商接受本司的管理或是來(lái)自監(jiān)管機(jī)構(gòu)對(duì)其業(yè)務(wù)行為的審計(jì)。

5. 在事先通知的條件下，提供商應(yīng)當(dāng)允許本司或者一個(gè)互相認(rèn)可的第三方遠(yuǎn)程運(yùn)行非侵入性的網(wǎng)絡(luò)安全掃描器，以審查Web服務(wù)器的安全狀況指標(biāo)。提供商應(yīng)根據(jù)雙方互認(rèn)的修復(fù)計(jì)劃，采取適當(dāng)?shù)募m正措施來(lái)解決所查出的問(wèn)題。

II. 人員安全

6. 提供商承諾培訓(xùn)所有訪問(wèn)本司數(shù)據(jù)的員工和分包商，其培訓(xùn)記錄應(yīng)供本司按需檢查，而其操作流程與控制應(yīng)遵從本協(xié)議。培訓(xùn)范圍包括技能、安全意識(shí)、職業(yè)操守等方面。

7. 提供商在將其任何員工或分包商分配到本司并訪問(wèn)本司數(shù)據(jù)之前，都應(yīng)進(jìn)行背景調(diào)查，其調(diào)查記錄應(yīng)供本司按需檢查。

8. 在未事先征得本司書面同意的情況下，提供商不得更換派遣員工或分包商，不得變更服務(wù)內(nèi)容。

9. 提供商在對(duì)訪問(wèn)本司數(shù)據(jù)的員工和分包商進(jìn)行訪問(wèn)授權(quán)時(shí)，應(yīng)遵循職責(zé)分離、須知與最小權(quán)限的原則。

III. 物理安全

10. 提供商應(yīng)當(dāng)對(duì)保存有本司數(shù)據(jù)的所有物理區(qū)域予以限制訪問(wèn)、控制和監(jiān)控，也包括其派遣人員利用本司數(shù)據(jù)提供服務(wù)，和處理或存儲(chǔ)本司數(shù)據(jù)的設(shè)備所在區(qū)域。

11. 提供商應(yīng)保留所有訪問(wèn)安全區(qū)域人員的授權(quán)和登錄過(guò)程。該流程的最低要求包括(但不限于)：

· 訪問(wèn)安全區(qū)域，包括其身份、日期和時(shí)間的詳細(xì)報(bào)告

· 定期測(cè)試物理安全的整體過(guò)程

· 必須有已授權(quán)公司的人員的伴隨，否則限制外部服務(wù)人員進(jìn)入安全區(qū)域

· 在安全區(qū)域的入口點(diǎn)，系統(tǒng)能夠監(jiān)控和登錄警報(bào)，并提供視頻監(jiān)控。

· 維留至少六個(gè)月之內(nèi)的有關(guān)安全領(lǐng)域的審計(jì)日志

IV. 系統(tǒng)安全

12. 提供商應(yīng)維持其系統(tǒng)訪問(wèn)控制的機(jī)制，以防止對(duì)本司數(shù)據(jù)的未經(jīng)授權(quán)訪問(wèn)，并僅限于被識(shí)別和分配的人員予以適當(dāng)?shù)脑L問(wèn)。

13. 能夠訪問(wèn)本司數(shù)據(jù)的提供商人員必須用一個(gè)單獨(dú)的賬號(hào)來(lái)進(jìn)行訪問(wèn)驗(yàn)證。而該帳號(hào)應(yīng)不同于企業(yè)給其分配的標(biāo)準(zhǔn)網(wǎng)絡(luò)登錄帳號(hào)。

14. 提供商應(yīng)確保其用于訪問(wèn)本司數(shù)據(jù)的賬號(hào)的密碼復(fù)雜性符合如下要求：

· 不能使用缺省設(shè)置的密碼。

· 長(zhǎng)度大于 8個(gè)字符，且包括大寫、小寫、數(shù)字和特殊字符中的任何3個(gè)。

· 不能將密碼寫下來(lái)，也不能通過(guò)電子郵件相互傳輸。

· 如果密碼泄漏，應(yīng)及時(shí)通知我司，并必須立即更改。

· 如果需要特殊用戶的口令(如administrator)，要禁止通過(guò)該用戶進(jìn)行交互式的登錄。

15. 如果提供商需要遠(yuǎn)程訪問(wèn)本司的服務(wù)或數(shù)據(jù)，雙因素認(rèn)證的訪問(wèn)方式是必需的。

16. 如滿足以下情況，提供商的人員對(duì)我司服務(wù)或數(shù)據(jù)的訪問(wèn)權(quán)限將在二十四小時(shí)內(nèi)被吊銷：需要訪問(wèn)的時(shí)間到期、員工合同到期、雙方合作協(xié)議到期且未續(xù)約。

17. 提供商應(yīng)該有對(duì)于不再有權(quán)訪問(wèn)本司數(shù)據(jù)的賬號(hào)予以刪除的書面流程。書面流程交由本司備案和管理。提供商應(yīng)該定期(如每月)或按需向本司提供添加和刪除具有訪問(wèn)本司數(shù)據(jù)權(quán)限的賬號(hào)的報(bào)告詳細(xì)說(shuō)明。

18. 提供商應(yīng)當(dāng)實(shí)施審計(jì)跟蹤以監(jiān)控對(duì)本司數(shù)據(jù)的訪問(wèn)，并保留該審計(jì)日志至少六個(gè)月，且能按需提供。

19. 提供商應(yīng)該在存儲(chǔ)本司數(shù)據(jù)處部署應(yīng)用代理或狀態(tài)檢測(cè)防火墻以保護(hù)服務(wù)器。

20. 提供商應(yīng)確保其被防火墻所保護(hù)的且存儲(chǔ)著本司數(shù)據(jù)的服務(wù)器，僅開(kāi)放443服務(wù)端口。如果需要，也可開(kāi)放80端口以將來(lái)自http的用戶重定向到https并執(zhí)行域級(jí)別的驗(yàn)證。

21. 提供商應(yīng)該適當(dāng)?shù)呐渲没谥鳈C(jī)或網(wǎng)絡(luò)的入侵檢測(cè)和預(yù)防系統(tǒng)，具有用于檢測(cè)、抑制、評(píng)估事件響應(yīng)流程，以及能夠通知我司有關(guān)任何未經(jīng)授權(quán)的黑客攻擊。

22. 提供商應(yīng)確保在其訪問(wèn)和存儲(chǔ)我司數(shù)據(jù)的服務(wù)器和工作站上安裝殺毒軟件，并持續(xù)更新之。

23. 提供商應(yīng)當(dāng)在其系統(tǒng)環(huán)境之內(nèi)，按照原廠商所推薦的周期和重要性，對(duì)所有工作站和服務(wù)器部署軟硬件更新補(bǔ)丁。

24. 提供商應(yīng)該在Web服務(wù)器上使用SSL、TLS或相關(guān)加密技術(shù)以驗(yàn)證服務(wù)器的真實(shí)性，并保護(hù)登錄的身份驗(yàn)證過(guò)程。提供商應(yīng)使用TLS或等價(jià)的加密方法，來(lái)安全保護(hù)Web服務(wù)器的往來(lái)通信。

25. 如果提供商提供的是基于Web服務(wù)器各種服務(wù)，其應(yīng)當(dāng)確保只有數(shù)字簽名的ActiveX控件可供客戶端的IE瀏覽器下載使用。

26. 如果提供商提供的服務(wù)是在一個(gè)web服務(wù)器上，提供商應(yīng)確保只有數(shù)字簽名的Java applet可被下載到客戶機(jī)的IE瀏覽器。

V. 數(shù)據(jù)安全

27. 提供商應(yīng)將本司數(shù)據(jù)存儲(chǔ)在其物理上不同于Web服務(wù)器的后端數(shù)據(jù)庫(kù)服務(wù)器之上。Web服務(wù)器與后端數(shù)據(jù)庫(kù)服務(wù)器應(yīng)該在不同的網(wǎng)段，并用只允許授權(quán)的數(shù)據(jù)流往來(lái)于Web服務(wù)器和后端數(shù)據(jù)庫(kù)服務(wù)器之間的防火墻予以分離。

28. 提供商應(yīng)該加密所有存儲(chǔ)在其主/備系統(tǒng)及其他位置的本司數(shù)據(jù)。提供商也應(yīng)對(duì)在局域網(wǎng)、廣域網(wǎng)絡(luò)和互聯(lián)網(wǎng)上通過(guò)有線/無(wú)線方式進(jìn)行傳輸?shù)谋舅緮?shù)據(jù)予以加密和必要的完整性校驗(yàn)。提供商不應(yīng)將本司數(shù)據(jù)置于任何用于開(kāi)發(fā)或測(cè)試的系統(tǒng)或位置。

29. 提供商應(yīng)對(duì)加密措施中使用的加密算法應(yīng)保證不可逆，而對(duì)安全密鑰的產(chǎn)生、分發(fā)、變更、撤銷、恢復(fù)、歸檔與銷毀都具有適當(dāng)?shù)牧鞒獭?/p>

30. 如果提供商在其數(shù)字或電子的便攜存儲(chǔ)設(shè)備(如筆記本電腦、智能手機(jī)、CD、軟盤、移動(dòng)硬盤、磁帶和其它類似設(shè)備)上存儲(chǔ)著任何屬于本司的個(gè)人隱私數(shù)據(jù)，提供商多應(yīng)使用128位或更高的加密方式，并將采取其它手段或措施來(lái)保護(hù)這些數(shù)據(jù)不被未經(jīng)授權(quán)所使用、丟失或披露。在提供商的服務(wù)終止時(shí)，這些數(shù)據(jù)應(yīng)當(dāng)立即從各個(gè)存儲(chǔ)媒體上被刪除。提供商應(yīng)當(dāng)具有和履行相關(guān)策略來(lái)禁止將本司的數(shù)據(jù)流轉(zhuǎn)到非提供商所有的其他設(shè)備之上。

31. 無(wú)論是在物理上還是邏輯上，提供商都應(yīng)將本司的數(shù)據(jù)與其他客戶的數(shù)據(jù)進(jìn)行隔離、存儲(chǔ)和備份,以在協(xié)議約定的時(shí)候退還或銷毀本司數(shù)據(jù)。

32. 提供商應(yīng)確保有能力在其系統(tǒng)中分離出本司指定部分的數(shù)據(jù)，并能刪除之，且能根據(jù)不同的使用場(chǎng)景(如，應(yīng)對(duì)電子發(fā)現(xiàn)等)進(jìn)行管理數(shù)據(jù)。

33. 提供商應(yīng)能提供一個(gè)訪問(wèn)檢索的方法，以從其服務(wù)器和存儲(chǔ)空間里獲取本司的數(shù)據(jù)，用以在本協(xié)議終止時(shí)創(chuàng)建本司的內(nèi)部備份。而且所提供的數(shù)據(jù)應(yīng)為非專有的格式，以便轉(zhuǎn)移到本司系統(tǒng)或其他提供商手中。

34. 提供商應(yīng)確保定期(不得少于每周一次)對(duì)所掌握的本司數(shù)據(jù)進(jìn)行完整的備份和適當(dāng)頻率的增量或差異備份。其備份數(shù)據(jù)應(yīng)與本司的生產(chǎn)數(shù)據(jù)不應(yīng)存儲(chǔ)在同一物理位置上。

35. 提供商應(yīng)采用性能可靠、不宜損壞的介質(zhì)，如磁帶、光盤等對(duì)我司的數(shù)據(jù)信息予以備份。在備份的物理介質(zhì)應(yīng)該用清晰的標(biāo)識(shí)注明數(shù)據(jù)的來(lái)源/路徑、備份類型與日期、以及恢復(fù)步驟/參考文檔等，并被保管在安全環(huán)境內(nèi)。

VI. 災(zāi)難恢復(fù)

36. 提供商應(yīng)該為本司的數(shù)據(jù)、所提供服務(wù)和既定的服務(wù)水平協(xié)議(SLAs)提供一定程度的冗余性，以確保其系統(tǒng)的業(yè)務(wù)連續(xù)性。這其中也包括替代性與冗余性的網(wǎng)絡(luò)接入方法。

37. 提供商應(yīng)該持續(xù)維護(hù)一個(gè)災(zāi)難恢復(fù)計(jì)劃，以提供在長(zhǎng)時(shí)間服務(wù)停歇的情況下所必要采取的各種行動(dòng)。其方案計(jì)劃中，還應(yīng)涉及到各種連續(xù)行動(dòng)所需的資源，以及在操作中斷時(shí)所涉及的既定SLAs條款。同時(shí)提供商應(yīng)將此計(jì)劃在我司備案。

38. 提供商應(yīng)當(dāng)在每次(不得少于每12個(gè)月一次)修訂災(zāi)難恢復(fù)計(jì)劃后予以各種行業(yè)標(biāo)準(zhǔn)方法的測(cè)試。同時(shí)提供商應(yīng)將最近一次的災(zāi)難恢復(fù)計(jì)劃測(cè)試結(jié)果在我司備案，并包括有恢復(fù)實(shí)際所用時(shí)間與既定時(shí)間的比較。

讀完全部的規(guī)范內(nèi)容之后，表哥已經(jīng)出現(xiàn)了“眉間放一尺寬”的神情。我對(duì)他多強(qiáng)調(diào)了一點(diǎn)：這樣的規(guī)范可以是在與服務(wù)提供商簽約之前，成為對(duì)其進(jìn)行考量的標(biāo)準(zhǔn)，并要求其進(jìn)行點(diǎn)對(duì)點(diǎn)的答復(fù);也可以在合同期內(nèi)對(duì)其真實(shí)情況做定期進(jìn)行評(píng)估，并且在出現(xiàn)重大安全問(wèn)題或隱患時(shí)予以重新考察，提出改進(jìn)意見(jiàn)，甚至可以籍此終止合作服務(wù)。

總之，大家要記住：規(guī)范是死的，執(zhí)行人是活的。數(shù)據(jù)安全從來(lái)不是“一錘子買賣”，也不是一個(gè)人的戰(zhàn)斗。所以大家在借鑒和履行的時(shí)候要抱著“差之毫厘，謬之千里”的態(tài)度，多增加一些腦回路，以免出現(xiàn)“where have all the flowers gone”的尷尬哦。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】