郁金香 IT 安全指南

以下是 Tulip 所有安全策略的指南。

本文分为两部分。第一部分是 "应用程序安全"，讨论应用程序层面的安全考虑因素，包括最终用户管理和访问、用户数据安全以及使用连接器的接口。第二部分 "基础设施安全 "讨论了 Tulip 员工在云提供商内运行和管理 Tulip 应用程序时使用的基础设施的安全问题。

应用程序安全

网络访问

对 Tulip 应用程序的所有最终用户访问（包括管理员界面、Tulip Player 运行时和所有设备访问）都是通过 TLS 加密在已知 IP 地址上进行的。不同地区的 IP 地址请参见我们的《网络要求》一文。

加密使用客户端可用的最强密码。处理生产数据的 Tulip 服务在 Qualys SSL 实验室测试中获得 A+。连接到 Tulip 的现代浏览器将使用椭圆曲线 Diffie-Hellman Ephemeral (ECDHE) 进行密钥交换，增加完美前向保密 (PFS)，使用 RSA 进行身份验证，使用伽罗瓦/计数器模式的 128 位 AES 进行加密，使用 SHA256 进行 MAC。禁止使用过时的密码套件；我们的服务器将拒绝使用任何弱于 RSA_WITH_3DES_EDE_CBC_SHA 的套件。

最终用户有责任确保其客户端设备、网络、代理等的安全。

用户身份管理

Tulip 提供内置用户管理功能，允许最终用户控制 Tulip 应用程序的访问和权限。密码必须满足最低复杂度要求，并在传输到服务器（使用 TLS 加密）之前在客户端使用 SHA256 进行散列，然后在写入持久存储之前使用行业标准 bcrypt 对密码进行加盐和散列。

企业用户还可以使用外部身份提供商（LDAP 或 SAML）来管理对 Tulip 应用程序的访问，从而绕过 Tulip 内置的用户管理功能。

最终用户有责任确保外部身份提供商的安全性，并确保 Tulip 与身份提供商之间的通信安全。

使用不正确的凭据尝试登录的用户，在尝试登录 10 次后将超时 10 分钟，然后才允许再尝试登录。

Tulip 提供所有成功和失败登录的可导出日志。对于每次登录，我们都会跟踪：* 时间戳* 用户 ID* 用户名* 电子邮件地址* 激活/非激活* 成功或失败* 失败原因（如果适用）* IP 地址* Tulip 或播放器* 角色（按工作区）* 站 ID（如果是播放器）* 站名（如果是播放器）* 设备 ID（如果是播放器）* 设备名（如果是播放器）

单个登录和验证

Tulip 确保每个管理员单独登录。Tulip 播放器的身份验证是根据随机生成的共享密文按设备进行的。一旦设备通过 Tulip 验证，操作员就可以使用 RFID 徽章或凭据进入设备。

用户数据

Tulip 不允许直接访问内部数据库，并根据 Tulip 应用程序内的权限限制访问。所有数据库调用都被参数化，以防止注入攻击。数据库每日备份。

用户图像、视频和其他非数据库资产存储在对象存储中，并在静态时进行加密。用户通过一次性签名 URL 检索这些数据。

数据出口和外部连接

Tulip 允许用户配置与外部服务的连接，如 HTTP API、SQL 数据库、OPC UA 服务器以及 SMTP 和 SMS 提供商。这些连接被置于 Tulip 应用程序的沙盒中，以防止给 Tulip 带来安全漏洞，但最终用户必须负责确保通过这些服务传输的信息得到适当处理。这包括确保对 API 和数据库连接进行适当加密，并确保敏感数据或受监管数据不会被发送到不受监管的目的地。

有关以客户为中心的安全漏洞可能性的讨论，请查看我们有关Tulip Connector Hosts的文章。

基础设施安全

Tulip 员工访问权限

Tulip 内部系统和生产系统的访问权限受到严格控制，仅根据需要向员工提供。Tulip 会在员工离职前终止其对 Tulip 信息系统的物理和逻辑访问。

基础设施的身份验证

Tulip 要求所有可访问客户数据的 Tulip 员工账户使用强密码和双因素身份验证，包括对最小密码长度、锁定、有效期、复杂性、加密、更改默认密码和使用临时密码的要求。用户账户凭证（如登录 ID、密码）绝不共享。

第三方云托管提供商

Tulip 使用 Amazon Web Services (AWS) 和 Microsoft Azure (AZ) 提供运行我们服务所需的必要硬件、软件、网络、存储和相关技术。默认情况下，单个客户网站仅限于 Tulip 选择的单一提供商，但如果需要，客户可以要求部署到特定提供商的云中。

提供给我们的 IT 基础设施的设计和管理符合安全最佳实践和各种 IT 安全标准，包括SOC 1/SSAE 16/ISAE 3402（原 SAS 70）、SOC 2、SOC 3、FISMA、DIACAP 和 FedRAMP、DOD CSM 1-5 级、PCI DSS 1 级、ISO 9001 / ISO 27001、ITAR、FIPS 140-2、MTCS 3 级。Tulip 不断评估托管服务提供商的政策，以确保其符合我们的内部标准。

有关各供应商的更多信息，请访问以下链接：

• AWS
• AWS 政府云
• Azure

防火墙/IDS/IPS

所有郁金香服务器都安装了防火墙，限制来自郁金香控制 IP 地址以外的管理。网络设备（包括防火墙和其他边界设备）由托管服务提供商提供，用于监控网络外部边界和网络内部关键边界的通信。这些边界设备采用规则集、访问控制列表 (ACL) 和配置来执行特定信息系统服务的信息流。Tulip 使用监控工具，旨在检测入口和出口通信点的异常或未经授权的活动和情况。这些工具可监控服务器和网络使用情况、端口扫描活动、应用程序使用情况以及未经授权的入侵尝试。我们的云提供商提供了针对传统网络安全问题的重要保护，如分布式拒绝服务 (DDoS) 攻击、中间人 (MITM) 攻击、IP 欺骗、数据包嗅探和端口扫描。我们在云环境的入口处实施了 IDS 和 IPS 系统等额外的安全控制。

安全更新

在补丁发布后，Tulip 会尽最大努力尽快修补所有关键和高安全性问题。我们利用自动测试进行漏洞管理，以便及早发现问题。

数据库安全

数据库位于每个云提供商内部，仅对来自 Tulip VPC 内部的流量开放。验证密钥是随机生成的。使用参数化避免注入攻击。数据在静态时进行加密。

渗透测试

Tulip 定期执行第三方渗透测试。此外，我们还对代码库进行静态分析，持续检查常见漏洞。

开发和测试环境

开发和测试环境与生产环境在物理和逻辑上是分开的。

安全事故

郁金香信息系统的安全事件都会被记录下来并立即处理。这些安全日志会定期审查，并至少保存十二 (12) 个月。Tulip 技术运营团队采用行业标准诊断程序，在发生影响业务的事件时推动问题的解决。员工操作员提供 24x7x365 全天候服务，以检测事件并管理影响和解决问题。在处理事件或问题的过程中，我们会保存相关文档，为操作人员提供帮助和信息。如果问题的解决需要协作，运营团队将召集更多员工，并使用电子会议技术进行协作，记录通信内容以供审查。任何重大运营问题发生后，无论外部影响如何，都会进行事后分析，找出根本原因，并进行更多的技术或程序改进，以实施更多的预防措施，防止问题再次发生。Tulip 采用了各种内部沟通方法，帮助所有员工了解各自的角色和责任，并及时传达重大事件。这些方法包括针对新员工的入职指导和培训计划；定期召开全体员工会议，通报业务绩效和其他事项的最新情况；以及视频会议、电子邮件信息等电子手段，并通过 Tulip 内部沟通渠道发布信息。

数据恢复和冗余

客户数据的所有备份都存储在至少两个独立的设施中，并可在任何一个数据中心发生损失时进行恢复。备份使用 AWS S3 或 Azure Storage 存储，在多个地理区域冗余存储所有备份数据，并提供 99.999999999% 的耐用性和 99.99% 的可用性。

变更管理

Tulip 实施成文的变更管理程序，为 Tulip 信息系统变更（包括紧急变更）的控制、实施和成文提供一致的方法，包括对所有代码和基础设施变更的不可更改记录以及对变更的系统审查。对 Tulip 代码和基础架构的更新应尽量减少对客户及其服务使用的影响，包括使用零停机部署策略和围绕客户生产计划安排停机时间，以防止在工作时间内出现服务中断。当计划外停机可能影响客户使用 Tulip 服务时，或万一必须在工作时间内停机时，Tulip 将与客户沟通。

可用性

我们的托管服务提供商的数据中心是在全球不同地区建立的集群。所有数据中心都在线并为客户提供服务；没有一个数据中心是 "冷 "的。发生故障时，自动流程会将客户数据流量从受影响区域转移走。核心应用程序以 N+1 配置部署，因此在数据中心发生故障时，有足够的能力将流量负载平衡到其余站点。数据中心的电力系统设计为完全冗余，可全天候维护而不会影响运行。不间断电源 (UPS) 装置可在发生电力故障时为设施内的关键和重要负载提供备用电源。数据中心使用发电机为整个设施提供备用电源。