信息安全框架
为遵守开放平台条款第 6 条“数据安全”中的要求,您的组织应该制定适用的信息安全计划,将人员、流程、技术、资产和风险纳入考量。信息安全框架 (ISF) 或网络安全框架 (CSF) 是综合计划的示例,可帮助您为组织设计、颁布和运营有效的安全计划。Facebook 并不要求您遵守特定的信息安全框架或网络安全框架,也不要求您获得如下方所列的数据安全认证。
ISO 27001:ISO 27001 是安全管理体系的标准之一,旨在帮助组织有效管理常见安全领域的信息安全计划,例如访问控制、事件管理和响应、系统开发和维护,以及合规性。这项标准由国际标准化组织 (ISO) 制定并通过。各个组织可以根据这项标准采取控制措施,然后接受经认证的审计机构的审计,以获得 ISO 27001 认证。
ISO 27018:ISO 27018 是用于保护云存储空间中个人信息的国际标准。
NIST:NIST 网络安全框架是包含以下五大关键要素的计划:识别、保护、检测、响应和恢复。采用 NIST 网络安全框架的组织将采用相应的流程和技术,并雇用和培训这些领域的人员,以实现其安全目标。
SOC2:SOC2 2 类认证是审计员根据美国注册会计师协会 (AICPA) 在安全性、可用性、处理完整性、机密性和隐私性方面的信托服务标准,对组织实施上述标准的情况进行检查后给出的一项认证。组织通常会通过获得 SOC2 认证来向客户证明其在这些方面的可信度。
重点是“Facebook 并不要求您遵守特定的信息安全框架或网络安全框架,也不要求您获得如下方所列的数据安全认证”,据了解,99.99%国内的互联网公司或团队都没有任何以上任意一个安全认证。
数据安全认证
ISO 27001 认证:审计员检查组织对 ISO27001 要求的实施情况后给出的一项声明,证明组织符合相关要求。
ISO 27018 认证:ISO27018 确立了用于实施个人身份信息 (PII) 保护措施的控制目标、控制措施和准则。ISO 27018 认证是审计员检查组织对上述控制目标、控制措施和准则的实施情况后给出的一项声明,证明组织符合相关要求。
SOC2 2 类报告:SOC2 2 类报告是审计员在组织实施 SOC2 信托服务标准 6 个月后,对组织实施该标准的有效性做出的评估。SOC2 1 类报告的不同之处在于,它是在特定时间点对程序设计做出的评估,并未观察程序在一段时间内的实施情况。
尝试过申请ISO27001证书,自己申请的话获得证书的难度巨大,找中介费用也不低,而且,不管你是自己申请或者找中介,都需要实打实的满足认证要求,不能作假。这些证书有效期是一年,一年年审一次,否则过期。对于做出海游戏的小团队来说,基本不可能完成,也没有精力去折腾。
静止数据加密
静止数据加密在数据保存到存储器(例如磁盘、云存储空间、日志文件、数据库、备份等)时,将数据转换为不可读的格式,从而保护数据。未经授权的人员即使访问加密的磁盘或文件,也无法读取数据,除非他们也拥有解密数据的密钥。“静止数据”是数据的三种状态之一,另外两种状态是“使用中的数据”和“传输中的数据”。
您可采取以下措施来执行静止数据加密:
1. 确定开放平台数据的存储位置。
2. 在存储开放平台数据的位置实施加密。
3. 通过政策和审计确保这种做法没有例外(例外是指开放平台数据以未加密的格式保存的情况)。
未写入存储器的数据无需进行静止数据加密。采取以下措施也许能降低静止数据加密的复杂性:
1. 确定不需要存储开放平台数据的目标存储位置(例如日志文件)。
2. 更改您的软件或流程,从数据存储器中移除开放平台数据或使这些数据匿名化。
FB是要求如有存储FB的平台数据,则存储这些数据的数据库必须要在加密模式下。例如AWS的KMS。
TLS 1.2 加密
传输中加密在数据通过网络连接发送时,将数据转换为不可读的格式,从而保护数据(例如,使用 TLS 1.2 或更高版本协议进行加密)。“传输中的数据”是数据的三种状态之一,另外两种状态是“使用中的数据”和“静止数据”。
您可采取以下措施来执行传输中加密:
1.确定传输开放平台数据的所有网络连接,考虑网页和移动应用等客户端,以及任何服务器到服务器的传输。
2.配置您的软件和基础设施,要求使用加密的网络连接,并重定向或禁止未加密的连接。
3.通过政策和审计确保这种做法没有例外(例外是指开放平台数据以未加密的格式传输的情况)。
例如,亚马逊制作了关于如何在 AWS 内执行传输中加密的文档。
TLS和他的前身SSL,都是提供在计算机网络上安全通信的密码学协议,最常见就是用于HTTPS中,用来保护Web通信的。以Web通信为例,TLS 1.2实际上目的是在Web服务器和客户端浏览器之间建立安全连接。要想建立安全连接,必须通过密钥交换协议协商出一个共同的密钥(一般我们称为Handshake),然后再利用对称密码进行加密传输。这个过程中为了避免中间人攻击,还需要通过数字证书保护公钥。这些就是TLS 1.2的基本任务,即证书认证、密钥协商以及加密传输。
漏洞和安全测试
测试软件是否存在漏洞和安全问题,可帮助您尽快发现和修复安全问题。建议使用的两种方法是静态分析和渗透测试。
1.静态分析会检查您的源代码是否存在可能导致安全问题的代码错误。例如,GitHub 支持在其存储库内执行代码扫描,您也可以配置 GitHub 以使用第三方扫描产品。
2.渗透测试需要安全专家使用与不法分子相同的技术来测试您的产品,以查找漏洞并确定其优先级。与渗透测试相似,文明黑客可能会发现您系统中的漏洞,并通过您的漏洞披露计划 (VDP) 披露这些漏洞。
无论漏洞的发现方式如何,都应该根据其优先级进行分类和解决,尤其是对于严重程度为严重、高、中级别的漏洞。
值得注意的是,提供给FB的漏洞和安全测试截图证据,必须包含日期,即12个月内的测试证据。
保护登录信息和访问口令
登录信息和访问口令属敏感信息,因为它们用于验证对 API 等服务的访问。如果不法分子能够读取访问口令,便可冒充相关用户,在未经授权的情况下访问数据。
若要保护这些属敏感信息的登录信息和访问口令,可采取下列方法:
1. 使用工具(例如 GitHub 的秘密扫描功能)确保您的代码存储库内没有记录任何登录信息或访问口令。
2. 以合适方式存储登录信息和访问口令,确保只有管理员才能访问它们。
3. 尽可能在云端或服务器环境中使用口令库。
4. 尽可能在移动设备上使用系统登录信息存储功能。
确保代码里没有记录任何登录信息或访问口令,只能提供政策证据来说明了。
多重验证及其执行
多重验证 (MFA) 要求用户提供他们已有的一些信息(例如:身份验证应用或手机短信提供的口令),才能获取访问权限。不法分子可能会盗用帐户并利用该访问权限侵入您的系统,而要求完成多重验证可降低这样的风险。
对远程访问执行多重验证的一种方法是:要求使用虚拟专用网络 (VPN) 连接,然后要求完成多重验证才能访问 VPN。还有一种方法是,您可以为所有用户定义一项组策略,要求进行多重验证并停用其他验证类型。您需要查看提供商文档,获取在您的环境中要求进行多重验证的方法说明。例如,亚马逊通过其 Identity and Access Management(身份识别与访问管理)工具发布了一个策略模板,供 AWS 客户用来要求进行多重验证。
当下最流行的双重认证也属于多重验证范畴,像苹果、谷歌、阿里等的系统都提示开启双重认证。
帐户维护系统
帐户是为系统的用户、电脑和流程创建的,用来授予访问权限、审计操作和保护系统安全。使用 Microsoft AzureAD 或 Okta 等身份提供商集中管理帐户,是很常见的做法。
无论您选择使用什么样的技术方案,都应该做到以下几点:
1.应该由管理员创建帐户,且仅在必要时创建。
2.根据最小权限原则配置帐户。
3.尽可能配置可使用普通用户帐户(而不是强大的超级用户或管理员帐户)执行的流程。
4.及时禁用不再需要的帐户(例如:当用户离开组织时)。
5.定期审计帐户,了解是否存在任何与这些原则不一致的情况。
提供使用的第三方系统或自己的用户管理系统作为证据,貌似也能过。
系统更新
为防止不法分子利用安全漏洞,保持软件为最新版本至关重要。这包括您的服务器、应用程序和组织人员开展工作所用设备中运行的软件。为保持软件为最新版本,您应该:
1. 确定用来构建、运行和管理您应用程序的相关资产(例如:服务器、软件、应用程序、依赖项和设备)。
2. 制定策略来保持这些资产为最新。
3. 尽可能采用相关技术自动执行这些策略。
4. 定期审计您的资产,以免出现任何偏差。
下面举例说明了用于保持软件为最新版本的一些不同工具和技术。
1. Amazon Inspector 包含规则,可在 AWS 托管的云环境中检查常见漏洞和风险 (CVE)。
2. GitHub 提供供应链安全功能,包括能分析存储库和识别具有已知漏洞的依赖项。
3. Windows Server 更新服务 (WSUS) 让管理员可以控制如何应用操作系统和服务器软件的更新。
系统维护
生产环境中的系统会处理您客户的合法请求,但也容易受到不法分子的直接访问。为保护您系统的安全,做到以下几点至关重要:
1. 确定系统中需要哪些服务。
2. 禁用或移除系统中所有不必要的服务。
3. 制定程序来及时安装可用的安全补丁和升级程序,保持系统为最新。
4. 定期审计系统,了解是否有任何偏离计划的情况。
联系邮箱: keysolutions@foxmail.com
