ESET PROTECT 的安全性
介绍
本文档的目的是概述在 ESET PROTECT 中应用的安全实践和安全控制。安全实践和控制旨在保护客户信息的机密性、完整性和可用性。请注意,安全实践和控制可能会发生变化。
范围
本文档讨论的范围是针对以下对象概述安全实践和安全控制:ESET PROTECT 基础架构、ESET Business Account(以下简称“EBA”)、ESET MSP Administrator(以下简称“EMA”)基础架构、组织、人员和操作过程。安全实践和控制包括:
- 信息安全策略
- 信息安全组织
- 人力资源安全
- 资产管理
- 访问控制
- 加密
- 物理和环境安全
- 操作安全
- 通信安全
- 系统获取、开发和维护
- 供应商关系
- 信息安全事件管理
- 业务连续性管理的信息安全方面
- 合规性
安全概念
ESET s.r.o. 公司已通过 ISO 27001:2013 认证,集成的管理系统范围明确涵盖 ESET PROTECT、EBA 和 EMA 服务。
因此,信息安全的概念在对网络层、操作系统、数据库、应用程序、人员和操作流程应用安全控制时,使用 ISO 27001 框架来实施分层防御安全策略。应用的安全实践和安全控制旨在相互重叠和互补。
安全实践和控制
1.信息安全策略
ESET 使用信息安全策略来涵盖 ISO 27001 标准的各个方面,包括信息安全监管以及安全控制和实践。每年都会对策略审阅并在发生重大更改后更新,以确保其持续适用性、充分性和有效性。
ESET 会对本策略执行年度审阅和内部安全检查,以确保与本策略保持一致。对于 ESET 员工而言,违反信息安全策略会受纪律处分;对于供应商而言,违反信息安全策略会支付违约金,甚至于终止合同。
2.信息安全组织
ESET PROTECT 的信息安全组织由多个参与信息安全和 IT 的团队和个人组成,包括:
- ESET 行政管理
- ESET 内部安全团队
- 业务应用 IT 团队
- 其他支持团队
信息安全责任会根据现有信息安全策略进行分配。将对内部过程进行识别并评估,以查找是否存在任何未经授权、意外修改或滥用 ESET 资产的风险。内部过程中有风险或敏感的活动会采用职责划分原则来降低风险。
ESET 法律团队负责就网络安全和个人数据保护与政府机构(包括斯洛伐克监管机构)联系。ESET 内部安全团队负责联系特殊利益团体,例如 ISACA。ESET 研究实验室团队负责与其他安全公司和较大的网络安全社区进行沟通。
在已应用项目管理框架(从概念到项目实现)的项目管理中,会对信息安全加以考虑。
通过使用在移动设备上实施的策略来涵盖远程工作和远程办公,其中包括在通过不受信任的网络漫游时在移动设备上使用强加密数据保护。移动设备上的安全控制旨在独立于 ESET 内部网络和内部系统工作。
3.人力资源安全
ESET 使用标准的人力资源实践,包括旨在确保信息安全的策略。这些实践涵盖整个员工生命周期,适用于访问 ESET PROTECT 环境的所有团队。
4.资产管理
ESET PROTECT 基础架构包含在 ESET 资产清单中,并根据资产类型和敏感度应用了严格的所有权和规则。ESET 定义了内部分类方案。所有 ESET PROTECT 数据和配置都归类为机密信息。
5.访问控制
ESET 的访问控制策略管理 ESET PROTECT 中的每个访问。访问控制是基于基础架构、网络服务、操作系统、数据库和应用程序级别设置的。应用程序级别上的完全用户访问管理是自主的。ESET PROTECT 和 ESET Business Account 单点登录由中心身份提供程序管理,确保用户只能访问授权租户。应用程序使用标准 ESET PROTECT 权限,来对租户强制执行基于角色的访问控制。
ESET 后端访问严格限于获得授权的个人和角色。用于用户(取消)注册、(取消)配置、权限管理和查看用户访问权限的标准 ESET 过程,可用于管理 ESET 员工对 ESET PROTECT 基础架构和网络的访问。
强身份验证已启用,可保护对所有 ESET PROTECT 数据的访问。
6.加密
为了保护 ESET PROTECT 数据,强加密功能用于对静态数据和传输中的数据进行加密。通常,受信任的证书颁发机构用于为公共服务颁发证书。内部 ESET 公钥基础架构用于管理 ESET PROTECT 基础架构内的密钥。存储在数据库中的数据受云生成的加密密钥保护。所有备份数据均受 ESET 托管密钥保护。
7.物理和环境安全
由于 ESET PROTECT 和 ESET Business Account 是基于云的产品,因此我们依赖 Microsoft Azure 来确保物理和环境安全。Microsoft Azure 使用具备强大物理安全措施的经认证数据中心。数据中心的物理位置取决于客户区域选择。强加密功能用于保护从云环境异地传输过程中(例如,在传输到物理备份数据存储时)的客户数据。
8.操作安全
ESET PROTECT 服务是基于严格操作程序和配置模板自动运维的。所有更改(包括配置更改和新程序包部署)都必须事先得到批准并在专用测试环境中进行测试,然后才能部署到生产中。开发、测试和生产环境彼此隔离。ESET PROTECT 数据仅存在于生产环境中。
ESET PROTECT 环境通过操作监视来进行监管,以快速识别问题并为网络和主机级别的所有服务提供足够容量。
所有配置数据都存储在我们定期备份的存储库中,以便自动恢复环境的配置。ESET PROTECT 数据备份会同时存储在本地和异地。
备份会被加密,并定期测试其可恢复性(作为业务连续性测试的一部分)。
将根据内部标准和准则对系统执行审核。将持续收集来自基础架构、操作系统、数据库、应用程序服务器和安全控件的日志和事件。日志会由 IT 和内部安全团队进一步处理,以识别操作和安全异常以及信息安全事件。
ESET 使用常规技术漏洞管理过程来处理 ESET 基础架构(包括 ESET PROTECT 和其他 ESET 产品)中出现的漏洞。这一过程包括主动漏洞扫描以及对基础架构、产品和应用程序的重复渗透测试。
ESET 规定了内部基础架构、网络、操作系统、数据库、应用程序服务器和应用程序安全的内部准则。这些准则通过技术合规性监视和我们的内部信息安全审核计划进行检查。
9.通信安全
ESET PROTECT 环境通过原生云段进行分段,网络访问仅限于网段之间的必要服务。网络服务的可用性是通过可用性区域、负载平衡和冗余等原生云控制来实现的。专用的负载平衡组件已部署,来为强制执行通信和负载平衡授权的 ESET PROTECT 实例路由提供特定端点。持续监控网络通信以发现操作和安全异常。潜在的攻击可以通过使用原生云控制或部署的安全解决方案来解决。所有网络通信都通过常用技术(包括 IPsec 和 TLS)加密。
10.系统获取、开发和维护
ESET PROTECT 系统的开发是根据 ESET 安全软件开发策略进行的。内部安全团队从初始阶段就包含在 ESET PROTECT 开发项目中,对所有开发和维护活动不予理会。在软件开发的各个阶段,内部安全团队会定义安全要求并检查其满足情况。所有服务(包括新开发的服务)的安全性会在发布后持续进行测试。
11.供应商关系
相关的供应商关系是根据有效的 ESET 准则构建的,该准则涵盖了从信息安全和隐私角度来看的整个关系管理和合同要求。定期评估关键服务提供商所提供服务的质量和安全性。
此外,ESET 会利用 ESET PROTECT 的可移植性原则来避免出现供应商锁定。
12.信息安全管理
ESET PROTECT 中的信息安全事件管理的执行方式与其他 ESET 基础架构类似,并依赖已定义的事件响应程序。事件响应中的角色在多个团队(包括 IT、安全、法律、人力资源、公共关系和行政管理)中定义和分配。某个事件的事件响应团队是由内部安全团队根据事件分类建立的。该团队会进一步与处理该事件的其他团队进行协调。内部安全团队还负责收集证据和吸取教训。将向受影响的各方传达事件发生和解决方案。如有必要,ESET 法律团队会负责根据《一般数据保护条例 (GDPR)》和《网络安全法案》(取代《网络和信息安全指令 (NIS)》),通知监管机构。
13.业务连续性管理的信息安全方面
ESET PROTECT 服务的业务连续性采用健壮架构编写,用于最大程度地提高所提供服务的可用性。如果 ESET PROTECT 组件或 ESET PROTECT 服务的所有冗余节点发生灾难性故障,则可以从异地备份和配置数据完全恢复。定期测试恢复过程。
14.合规性
与 ESET 的其他基础架构和过程类似,定期评估和审查 ESET PROTECT 的法规和合同要求的合规性,并采取必要的步骤以持续确保合规性。ESET 已注册为云计算数字服务的数字服务提供商,涵盖多项 ESET 服务(包括 ESET PROTECT)。请注意,ESET 合规性活动并不一定意味着客户的整体合规性要求因此等到满足。