信息安全管理系统(ISMS)保证了安全目标的实现,为有关各方提供风险预防和缓解措施。我们采用了严格的策略和处理流程,确保客户数据的安全性、可用性、完整性和保密性。
我们聘请了知名的外界代理机构,对每一位员工进行入职前背景调查,核实他们的历史工作记录和教育背景,以及是否有过犯罪记录。在调查完成之前,不会分配给员工任何可能为组织带来风险的任务。
员工入职时需要签署保密协议,同意用工政策,入职后需要接受信息安全、隐私和合规性相关的培训。此外,我们将通过测试评估员工的理解程度,进而提供有针对性的巩固培训,我们还将根据不同角色需要提供安全培训。
在企业内部,我们将定期组织信息安全、隐私和合规性相关培训,定期检查员工对安全实践最新动态的了解程度。我们还将举办内部活动,旨在提高员工安全和隐私意识并推动创新。
我们组建了专门的安全和隐私团队,实施并管理安全和隐私计划。其主要职责包括:管理和维护防御系统,开发安全审查流程,持续监视网络发现可疑活动,为工程师团队提供专业的咨询服务和指导。
我们组建了专门的合规性团队,审查并确定Desktop Central满足合规性所需要的控制策略、处理流程和系统架构,定期进行内部审计,以及协助第三方的独立审计和评估。
请点击这里查看更多合规性相关信息。
所有分配给Desktop Central员工的工作站都安装了最新的操作系统版本,并配置了杀毒软件。为满足安全标准,所有工作站都要进行适当的配置和打补丁,并由ManageEngine卓豪的终端管理解决方案进行跟踪和监控。这些工作站在默认情况下已进行了安全配置,包括加密存储中的数据,强密码策略和锁定闲置工作站。工作用的移动设备将登记到移动设备管理系统中,确保其符合安全标准。
我们遵守软件开发生命周期(SDLC)的安全编码准则。手动检查代码更改,并借助代码分析器进行分析,发现潜在的安全问题。每次新功能发布之前,都将执行一次上述完整流程。检查中出现的任何问题都将立即修正。此外,应用层采用了基于OWASP标准的强大安全架构。该架构提供了缓解SQL注入、跨站点脚本、应用层DoS攻击、代码注入、认证绕过和文件上传相关漏洞等威胁的方法。最重要的是,我们将定期举行会议,与开发人员探讨安全编码实践。
我们支持SAML身份验证(单点登录功能),将企业的身份提供者Identity Provider(如AD FS、Okta等等)与服务提供者Desktop Central集成。SSO简化了登录过程,保证了安全合规性,为用户/管理员提供了有效的访问控制。这也缓解了密码疲劳,从而降低了弱密码的风险。
双因素身份验证要求用户进行额外的验证,增加了一层额外的安全保护,从而降低用户密码泄露时未经授权访问的风险。双因素身份验证可以通过电子邮件或身份验证应用实现,如Zoho OneAuth、Google Authenticator、Microsoft Authenticator和DUO Auth等等。
基于角色的访问控制只允许被授权的用户访问特定的功能。用户只被允许访问其指定角色允许的那些功能。基于角色的访问控制可以最小化数据泄漏的风险。
Desktop Central代理总是将加密后的身份发送给服务器以进行相互身份验证。只有拥有受信任证书的代理才能与服务器进行联系或交互,且可根据需要进行配置。请参阅本文档了解如何操作。
Desktop Central服务器使用客户端证书身份验证来验证试图与服务器建立连接的安装了代理的计算机。每个代理都有唯一的证书和由服务器受信任的根证书颁发机构签名的相应私钥。如果证书和密钥的验证成功,服务器将连接到代理,否则将删除连接。请点击这里了解相关配置。
i) 代理对服务器任何数据的访问仅限于其当前域。
ii) 所有代理二进制文件都使用ZOHOCORP签名。
iii) DLL文件加载路径限制在代理安装目录。
iv) 代理服务二进制文件路径限制在代理文件夹中。
存储在数据库中的敏感数据,如密码、自动令牌等,均采用256位高级加密标准(AES)进行加密。每个客户都有一个独特的安装密钥,并用于加密。
只有提供特定实例的凭证才能访问数据库,并且仅限于本地主机访问。密码采用单向散列存储,并从所有日志中过滤。并且数据仅存在于客户组织中。
防止恶意DLL从代理二进制文件中加载。
在Desktop Central中,我们对PPM(补丁)文件进行签名验证。升级过程中,如果PPM文件被篡改,UpdateManager将拒绝加载该文件进行服务器升级。
Desktop Central本地版本的客户数据仅存储于客户环境中。Desktop Central云版本的客户可查看用户所有操作的详细审计日志。
注意:如果客户需要我们协助处理问题,可能需要通过我们提供的安全门户上传日志,该门户只能由授权人员访问,并授予我们访问日志的权限。日志将在上传25天后自动删除。
我们提供了专门的漏洞处理流程,结合认证的第三方扫描工具和内部工具,主动扫描安全风险或漏洞,然后执行自动化和手动测试。此外,安全团队将积极审查入站安全报告,并监视公共邮件发送清单、博客文章和Wiki内容,以识别可能影响公司的安全事件。我们在发现需要修复的漏洞后,会将其记录下来,根据严重程度进行优先排序,并指定一个所有者,然后进一步确定相关风险,并通过修补脆弱的系统或应用相关的控制措施来缓解这些风险。
在基于影响分析评估漏洞的严重程度后,我们将根据定义的SLA解决问题,并向所有客户发送安全建议,介绍漏洞、补丁和客户需要采取的措施。
我们配备了备用电源、温度控制系统以及灭火和防火系统,确保业务的连续性,并且制定了专门的业务连续性计划来提供技术支持。
我们制定了完善的业务连续性和灾难恢复计划,应对由于超出我们控制的因素而导致的长期服务中断,例如,在自然灾害、人为灾害等情况下,尽量在最短时间内最大限度地恢复终端管理业务。该计划涵盖了我们所有的内部运作,确保为客户提供持续的服务。我们设立了三个恢复团队,即应急管理团队(EMT)、灾难恢复团队(DRT)和IT技术服务团队(IT),以更好地协调和支持各团队。
我们组建了专门的事件管理团队。针对对您产生影响的事件,我们将向您发送通知,提供对应解决方案,并持续追踪直至解决。此外,我们将实施控制措施,防止类似情况再次发生。
您可以通过incidents@zohocorp.com向我们报告安全或隐私事件,我们将优先响应。对于通用事件,我们将通过博客、论坛和社交媒体通知用户。对于针对个人用户或组织的事件,我们将通过电子邮件通知有关方(邮件将发送到您订阅的泄漏通知的电子邮件地址,而不是您注册的主要电子邮件地址)。实时了解安全事件请订阅数据泄漏通知。
注意:只有订阅了“数据泄漏通知”的用户才能收到事件通知邮件。
我们启动了"Bug Bounty"计划,旨在奖励安全研究人员在漏洞报告方面付出的努力,与业界专家共同合作,对报告的漏洞进行验证、复现、响应、合法化,并实施适当的解决方案。
请在https://bugbounty.zoho.com/中提交您发现的问题,如果您希望直接向我们报告漏洞,请发送电子邮件至security@zohocorp.com。
Desktop Central非常重视安全问题,我们一直致力于为客户创造安全的环境,将安全风险降到最低。然而,作为客户,您也肩负着责任,因为安全是双向的。提升安全性需要 "全员参与 "。了解更多提升安全性的方法,请阅读Desktop Central安全建议。
保护您的数据安全是您的权利,也是ManageEngine卓豪的使命,我们将一如既往的为之持续努力。更多相关信息,请参阅常见问答,或联系我们support@manageengine.cn
