郁金香IT安全指南

目的

这里是Tulip所有安全政策的指南。

这篇文章分为两部分。第一部分，"应用安全"，讨论应用层面的安全考虑，包括终端用户管理和访问，用户数据安全，以及使用连接器的接口。第二部分，"基础设施安全"，讨论了Tulip员工在我们的云服务提供商内运行和管理Tulip应用程序所使用的基础设施的安全性。

应用安全

网络访问

所有终端用户对郁金香应用程序的访问（包括管理员界面、郁金香播放器运行时间和所有设备访问）都是通过使用TLS加密的已知IP地址进行交易。我们不同地区的IP地址可在我们的网络要求文章中找到。

加密使用客户端可用的最强密码。处理生产数据的Tulip服务在Qualys SSL实验室测试中获得了A+的评价。连接到郁金香的现代浏览器将使用椭圆曲线Diffie-Hellman Ephemeral（ECDHE）进行密钥交换，增加完美前向保密（PFS），RSA进行认证，128位AES在Galois/Counter模式下进行加密，SHA256进行MAC。过时的密码套件是被禁止的；我们的服务器将拒绝使用任何比RSA_WITH_3DES_EDE_CBC_SHA更弱的套件。

这是责任 终端用户必须负责确保其客户端设备、网络、代理等的安全。

用户身份管理

Tulip提供了一个内置的用户管理功能，允许终端用户控制对Tulip应用程序的访问和权限。密码需要满足最低的复杂性，并在传输到服务器之前用SHA256进行哈希处理（用TLS加密），在这一点上，密码在被写入持久性存储之前用行业标准的bcrypt进行盐化和哈希处理。

企业用户也可以使用外部身份提供者（LDAP或SAML）来管理对Tulip应用程序的访问，这就绕过了Tulip内部的用户管理功能。

终端用户有责任确保外部身份提供者的安全，并确保Tulip和身份提供者之间的安全通信。

使用不正确凭证的登录尝试将在用户尝试10次后超时10分钟，然后再允许额外的登录尝试。

单一登录和认证

郁金香确保每个管理员都有单独的登录。郁金香播放器的认证是根据随机生成的共享秘密，在每个设备的基础上进行的。一旦设备通过了Tulip的认证，操作员就可以通过使用RFID徽章或他们的凭证来使用它。

用户数据

Tulip不允许直接访问内部数据库，并根据Tulip应用程序的权限限制访问。所有的数据库调用都是参数化的，以防止注入攻击。数据库每天都会进行备份。

用户的图像、视频和其他非数据库资产被存储在对象存储中，并在休息时被加密。用户通过一次性使用的签名URL来检索这些数据。

数据出口和外部连接

Tulip允许用户配置与外部服务的连接，如HTTP APIs、SQL数据库、OPC UA服务器以及SMTP和SMS提供商。这些连接是在Tulip应用程序内的沙盒，以防止给Tulip带来安全漏洞，然而，最终用户必须负责确保通过这些服务传输的信息得到适当处理。这包括确保API和数据库连接的适当加密，并确保敏感或受管制的数据不会被发送到不受管制的目的地。

关于以客户为中心讨论安全漏洞的可能性，请查看我们关于郁金香连接器主机的文章

基础设施安全

郁金香员工访问权

对Tulip内部和生产系统的访问受到严格控制，只提供给需要的员工。郁金香公司最迟在离职时终止人员对郁金香信息系统的物理和逻辑访问。

基础设施的认证

Tulip要求对所有能够访问客户数据的Tulip员工账户使用强密码和2因素验证，包括对最小密码长度、锁定、过期、复杂性、加密、更改默认密码和使用临时密码的要求。用户账户凭证（例如，登录ID、密码）绝不共享。

第三方云主机供应商

郁金香使用亚马逊网络服务（AWS）和微软Azure（AZ）提供必要的硬件、软件、网络、存储和相关技术，以运行我们的服务。个人客户的网站默认限制在郁金香选择的单一供应商，但客户可以在需要时要求部署在特定供应商的云中。

提供给我们的IT基础设施的设计和管理符合安全最佳实践和各种IT安全标准，包括。SOC 1/SSAE 16/ISAE 3402（以前是SAS 70）、SOC 2、SOC 3、FISMA、DIACAP和FedRAMP、DOD CSM 1-5级、PCI DSS 1级、ISO 9001/ISO 27001、ITAR、FIPS 140-2、MTCS 3级。郁金香不断评估我们托管供应商的政策，以确保符合我们的内部标准。

每个供应商的其他信息可在下面的链接中找到。

• AWS
• AWS GovCloud
• 安卓

防火墙/IDS/IPS

所有郁金香服务器都在防火墙后面，限制来自郁金香控制的IP地址以外的管理。网络设备，包括防火墙和其他边界设备，是由我们的托管服务提供商设置的，以监测和控制网络外部边界和网络内关键的内部边界的通信。这些边界设备采用规则集、访问控制列表（ACL）和配置，以强制要求信息流向特定信息系统服务。郁金香使用监测工具，旨在检测入口和出口通信点的异常或未经授权的活动和情况。这些工具监测服务器和网络使用情况、端口扫描活动、应用程序使用情况和未经授权的入侵尝试。我们的云供应商对传统的网络安全问题提供重大保护，如分布式拒绝服务（DDoS）攻击、中间人（MITM）攻击、IP欺骗、数据包嗅探和端口扫描。我们在进入云环境的入口处实施额外的安全控制，如IDS和IPS系统。

安全更新

郁金香使用自动安全更新，在任何此类更新或补丁发布后三十（30）天内将所有关键补丁或安全更新应用于郁金香应用程序。

数据库安全

数据库位于每个云提供商内，只对来自郁金香VPC内的流量开放。认证密钥是随机生成的。参数化被用来避免注入攻击。数据在休息时被加密。

渗透测试

Tulip定期进行第三方渗透测试。此外，我们使用静态分析我们的代码库，不断检查常见的漏洞。

开发和测试环境

开发和测试环境与生产环境在物理上和逻辑上是分开的。

安全事件

郁金香信息系统的安全事件被记录下来并立即处理。这些安全日志会被定期审查并保持至少十二（12）个月。郁金香技术运营团队采用行业标准的诊断程序，在影响业务的事件中推动解决。操作人员提供24x7x365的服务，以检测事件并管理其影响和解决方案。在处理事件或问题时，维护文件以帮助和告知操作人员。如果问题的解决需要协作，运营团队将呼叫更多的工作人员，并使用记录通信的电子会议技术进行协作，以便审查。在任何重大的运营问题之后，无论外部影响如何，都会召开事后总结会，确定根本原因和额外的技术或程序改进，以实施额外的预防措施，防止再次发生。郁金香已经实施了各种内部沟通方法，以帮助所有员工了解他们各自的角色和责任，并及时沟通重大事件。这些方法包括为新聘用的员工提供指导和培训计划；定期召开全体员工会议，以了解业务表现和其他事项的最新情况；以及通过视频会议、电子邮件信息和通过郁金香内部沟通渠道发布信息等电子手段。

数据恢复和冗余

客户数据的所有备份都存储在至少两个独立的设施中，在任何单独的数据中心发生损失的情况下都可以恢复。备份使用AWS S3或Azure存储，在多个地理区域冗余地存储所有备份数据，并提供99.9999999%的耐久性和99.99%的可用性。

变更管理

郁金香实施文件化的变更管理程序，为郁金香信息系统的变更（包括紧急变更）提供一致的控制、实施和记录方法，其中包括所有代码和基础设施变更的不可改变的记录以及对变更的系统审查。对郁金香代码和基础设施的更新是为了尽量减少对客户及其服务使用的任何影响，包括使用零停机的部署策略和围绕客户生产计划安排停机时间，以防止工作时间内的服务中断。当计划外的停机时间可能影响到客户对Tulip服务的使用时，或者在不太可能发生的情况下，停机时间必须在工作时间内发生，Tulip将与客户沟通。

可用性

我们的托管供应商的数据中心是在全球不同地区建立的集群。所有的数据中心都在线并为客户提供服务；没有一个数据中心是 "冷的"。在发生故障的情况下，自动程序将客户的数据流量从受影响的地区转移出去。核心应用程序以N+1的配置部署，因此，在数据中心发生故障的情况下，有足够的能力使流量被平衡到其余站点。数据中心电力系统的设计是完全冗余的，并且可以在不影响操作的情况下进行维护，24x7x365。不间断电源（UPS）装置在电力故障的情况下为设施中的关键和重要负载提供备用电源。数据中心使用发电机为整个设施提供后备电源。