目 录 第一章第一章 研究背景研究背景.1 一、检测引擎.1 二、检测依据.2 三、检测内容.2 四、数据范围.3 第二章第二章 违规收集个人信息分析违规收集个人信息分析.5 一、违规收集个人信息 APP 分类情况.5 二、无提示收集个人信息检出率情况.6 三、无提示收集个人信息类型分布情况.6 四、高频次收集个人信息情况分析.7 五、违规个人信息收集者分析.8 第三章第三章 APPAPP 强制、频繁、过度索取权限分析强制、频繁、过度索取权限分析.10 一、存在索取权限问题 APP 类型分布.10 二、索取权限结果分析.11 三、索取权限检出分析.12 四、权限使用情况.14 第四章第四章 违规索取权限与违规收集个人信息违规索取权限与违规收集个人信息.17 第五章第五章 总结与建议总结与建议.18 一、影响评估.18 二、总结&建议.18 附录附录 奇安信病毒响应中心奇安信病毒响应中心.19 附录附录 奇安信病毒响应中心移奇安信病毒响应中心移动安全团队动安全团队.20 附录附录 奇安信移动安全产品介绍奇安信移动安全产品介绍.21 附录附录 名词解释名词解释.22 1 第一章 研究背景 随着互联网和移动设备的发展，手机已成为人人都拥有的设备，其中各式各样的 APP 更是丰富了人们的生活，从社交到出行、从网购到外卖，从办公到娱乐等，APP 已成为大众生活必需品，但也因此暴露出 APP 收集个人信息的风险。为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境，国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知，并在全国范围组织开展 APP 违法违规收集使用个人信息专项治理。2023 年上半年，奇安信病毒响应中心共收录全国应用市场新收录新更新 APP 近 40 万个。本报告依据工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知工信部信管函2019 337 号文件、工业和信息化部关于开展纵深推进 APP 侵害用户权益专项整治行动的通知工信部信管函2020164 号文件和APP 违法违规收集使用个人信息行为认定方法等内容要求，使用奇安信完全自主研发安卓动态引擎 QADE（后文统称奇安信 QADE 引擎）对 2023 年上半年应用市场新收录新更新的头部主流 APP 抽样检测。该检测主要是为了评估当下 APP 侵害用户权益的问题，并提供相应的技术支持和参考。一、检测引擎 本次检测采用奇安信 QADE 引擎。奇安信 QADE 引擎是首款既支持对 APP 进行传统恶意检测，并支持对违规收集个人信息及索取权限检测等 APP 当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对违规收集个人信息和 APP 强制、频繁、过度索取权限两个问题进行检测。这两个问题也是 APP 侵害用户 2 权益问题中比较常见且影响较深的问题。二、检测依据 此次 APP 收集个人信息检测，我们参考了以下相关的国家法律法规作为检测标准依据：网络安全法 电信和互联网用户个人信息保护规定 GB/T 35273-2020 信息安全技术个人信息安全规范 工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知（工信部信管函2019337 号）工业和信息化部关于开展纵深推进 APP 侵害用户权益专项整治行动的通知（工信部信管函2020164 号）APP 违法违规收集使用个人信息行为认定方法 三、检测内容 在对 2023 年上半年应用市场新收录的 APP 抽查发现，存在相当部分 APP 在未经用户同意就开始收集用户个人信息，个别应用还频繁收集用户个人信息;同时，APP 违规索取权限问题也相当突出，相当部分 APP 存在频繁索取权限行为，个别应用还存在过度索取权限行为，这些违规行为不仅影响了用户的使用体验，并且严重侵害了用户个人隐私。所以，我们根据工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知 工信部信管函2019337 号文件、工业和信息化部关于开展纵深推进 APP侵害用户权益专项整治行动的通知工信部信管函2020164号文件、关于开展纵深推进 APP 侵害用户权益专项整治行动的通知 第三条以及 网络安全法 第四章对收录的 APP 进行检测，3 此次 APP 收集个人信息检测，我们使用了奇安信 QADE 引擎对以下两项侵害用户权益的检测内容进行自动化检测：违规收集个人信息：1.无提示收集个人信息 检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。2.高频次收集个人信息 检测存在按频率(每百秒的收集次数)收集用户个人信息。APP 强制、频繁、过度索取权限：1.强制索取权限 APP 安装、运行和使用相关功能时，非服务所必需或无合理应用场景下，用户拒绝相关授权申请后，应用自动退出或关闭的行为。2.过度索取权限 APP 未及时明确告知用户索取权限的目的和用途，提前申请超出其业务功能等权限的行为。3.频繁索取权限 APP 短时长、高频次，在用户明确拒绝权限申请后，频繁弹窗、反复申请与当前服务场景无关权限的行为。四、数据范围 检测周期为 2023 年 1 月 1 日至 2023 年 6 月 30 日应用市场的新收录新更新数据，主要来源于 34 个应用市场，其中应用数 4 量最多的分别是华为应用市场、豌豆荚应用市场、APKMirror 应用市场。5 第二章 违规收集个人信息分析 一、违规收集个人信息 APP 分类情况 本次检测到的违规收集个人信息问题的 APP 中，生活休闲和网上购物类型的 APP 违规占比最高，分别占比 29.1%和 14.6%。存在违规收集个人信风险的 APP 类型分布具体情况可见下图：6 二、无提示收集个人信息检出率情况 在本次检测抽检的头部主流 APP 中，有 5.9%的 APP 存在无提示收集个人信息。三、无提示收集个人信息类型分布情况 根据GB/T 35273-2020 信息安全技术个人信息安全规范中的个人信息内容定义，奇安信 QADE 引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有 4 个。其中主要为个人常用设备信息 Android IDi，其次为个人常用设备信息 IMEIii、个人常用设备信息 MAC 地址iii和个人常用设备信息 Serial Numberiv；同时，我们还发现存在个别APP 还收集了用户的定位信息、用户当前电话号码和用户已安装应用信息。在此次 2023 年上半年检测中，APP 无提示收集信息类型排名前四的依次为：Android ID（占比 76.5%）、IMEI（占比 65.0%）、MAC 地址（占比 40.2%）以及 Serial Number(占比 31.4%)。具体APP 无提示收集个人信息的类型及占比分布如下图所示：7 四、高频次收集个人信息情况分析 本文中，我们将一百秒内，单个 APP 收集个人信息次数大于等于 2 次的行为定义为存在“高频次收集个人信息”问题。2023 年上半年度检测中，高频次收集个人信息情况较为严重，违规收集个人信息的 APP 中有 65.7%的 APP 还存在高频次收集个人信息,其中最高一款 APP 在短短一百秒对个人信息 IMEI收集了 440 次。高频次收集个人信息主要还是集中在 Android ID、IMEI 和MAC 地址中，在收集 Android ID 和 IMEI 的 APP 中，平均每个 APP都收集了至少 4 次。本次检出的高频次收集个人信息的 APP 中，大部分 APP 高频次收集次数主要集中在 25 次，占比 62.6%，其次是 610 次占比21.5%和1120次占比9.7%，超过20次的占比也达到了6.2%。详细分布可见图表：8 五、违规个人信息收集者分析 本次检测到的违规收集个人信息问题的 APP 中，有 72.7%的APP 包含了第三方 SDK 收集情况。这意味着当前多数 APP 自身不存在违规收集个人信息行为，主要还是集成了第三方 SDK 后而造成的 APP 出现违规收集个人信息问题。在本次 2023 年上半年检测中，在违规收集个人信息第三方SDK 中，排名靠前的 SDK 都为市场知名 SDK，其中一知名 SDK 占比高达 20.0%。具体分布如图：9 本次检测到的包含第三方 SDK 违规收集个人信息问题的 APP中，大部分 APP 都是由于集成了一款违规 SDK 而导致违规，这部分占比 70.1%，少部分 APP 集成至少两款违规收集个人信息的第三方 SDK，占比 29.9%。具体占比情况如图：10 第三章 APP 强制、频繁、过度索取权限分析 一、存在索取权限问题 APP 类型分布 本次检出到存在索取权限问题的 APP 中，主要来自豌豆荚应用市场和 APK8 安卓网应用市场。本次检测到的存在索取权限问题的 APP 中，生活休闲类型的应用占最多数，其次是网上购物类型，总体情况可见图表：11 对表图中的结果可知，对电商类 APP和部分生活类 APP来说，收集的信息越多，用户画像就越精准，能开展的经营活动就更多，获利更丰厚。二、索取权限结果分析 存在索取权限问题的 APP 中，频繁索取权限问题最为严重，过度索取权限问题次之。此次检出存在索取权限问题的 APP 中，生活休闲类型的 APP检出量最多，网上购物类型的 APP 检出量第二。其中生活休闲类型的 APP 索取权限检测结果中，大部分 APP 存在频繁索取权限的情况。12 网上购物类型的 APP 索取权限检测结果中，大部分 APP 存在频繁索取权限或过度索取权限的情况。三、索取权限检出分析 在本次存在频繁索取权限问题的 APP 中，其中生活休闲类型的 APP 的占比最多，网上购物类型次之。13 在本次存在过度索取权限问题的 APP 中，其中生活休闲类型的 APP 的占比最多，网上购物类型次之。在本次存在强制索取权限问题的 APP 中，其中生活休闲类型的 APP 的占比最多，网上购物类型次之。14 四、权限使用情况 通过对检出数量最多的生活休闲类型 APP 和网上购物类型APP 中频繁索取权限、强制索取权限的情况分析，能看到出现频次最高五个权限是:WRITE_EXTERNAL_STORAGE READ_PHONE_STATE ACCESS_FINE_LOCATION ACCESS_COARSE_LOCATION READ_EXTERNAL_STORAGE 15 其中索取权限检出头部类型中频繁索取权限检出比例情况如下：16 在观察出现索取权限问题的样本时，发现普遍存在一个样本同时检出频繁索取权限和过度取权限的情况，共同检出情况分别占频繁索取权限检出的 80.3%、占过度索取权限检出的 85.4%，所以可以得到结论：多数过度索取权限行为往往伴随着频繁索取权限行为。17 第四章 违规索取权限与违规收集个人信息 在此次检测中，有 8.3%的 APP 存在侵犯用户权益的问题（存在违规索取权限或者违规收集个人信息），同时在侵犯用户权益的 APP 中，存在 16.7%同时存在违规索取权限问题和违规收集个人信息问题。18 第五章 总结与建议 一、影响评估 此次检测到侵犯用户权益的 APP 中（存在违规索取权限或者违规收集个人信息），我们发现其中有 6 款 APP 下载量在亿次以上，有 76 款 APP 下载量在千万次以上，297 款 APP 下载量在百万次以上。可见 APP 侵害用户权益问题的影响面非常广，至少影响到上亿用户。二、总结&建议 从 2023 年上半年度检测的结果来看，在国家相关的法律法规下，此次侵害用户权益 APP 的检出率较低，但从侵害用户权益APP 的下载量来看，影响面仍较广，这也代表该问题仍需要继续保持治理。在此次检测的发现的主要问题，虽有一部分 APP 是自身产生的违规收集个人信息情况，但更多的是由于集成了第三方 SDK 导致。因此我们也建议一方面第三方 SDK 厂商在整改后，在如何更好的引导 APP 开发者按新版按要求更快速更便捷的进行升级解决做的更好，在做好自己的这个点的同时，也能和 APP 开发者这个上游点能联动形成一条安全线。另一方面 APP 开发者也要有相应的个人信息安全意识，按照国家法律法规，不进行违规收集个人信息。19 附录 奇安信病毒响应中心 奇安信病毒响应中心是北京奇安信科技有限公司（奇安信集团）旗下的病毒鉴定及响应专业团队，背靠奇安信核心云平台，拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验，基于集团自主研发的 QOWL 和 QDE（人工智能）引擎，形成跨平台木马病毒、漏洞的查杀与修复能力，并且具有强大的大数据分析以及实现全平台安全和防护预警能力。奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测，积极响应客户侧的安全反馈问题，可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作，受到客户的高度认可，提升了奇安信在业内的品牌影响力。20 附录 奇安信病毒响应中心移动安全团队 奇安信病毒响应中心移动安全团队一直致力移动安全领域及 Android 安全生态的研究。目前，奇安信的移动安全产品除了可以查杀常见的移动端病毒木马，也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件，并支持对 APP 合规化安全检测。通过其高价值移动端攻击发现流程已捕获到多起攻击事件，并发布了多篇移动黑产报告，对外披露了多个 APT 组织活动，近三年已首发披露 4 个国家背景下的新 APT 组织（诺崇狮组织 SilencerLion、利刃鹰组织 BladeHawk、艾叶豹组织SnowLeopard 和金刚象组织 VajraEleph）。未来我们还会持续走在全球移动安全研究的前沿，第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪，为维护移动端上的网络安全砥砺前行。21 附录 奇安信移动安全产品介绍 奇安信移动终端安全管理系统奇安信移动终端安全管理系统（天机）是面向公安、司法、政府、金融、运营商、能源、制造等行业客户，具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验，从硬件、OS、应用、数据到链路等多层次的安全防护方案，确保企业数据和应用在移动终端的安全性。奇安信移动态势感知系统奇安信移动态势感知系统是由奇安信安全监管 BG 态势感知第一事业部及其合作伙伴奇安信病毒响应中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于 APP 生产，发布环节，为客户提供 APP 加固、检测、分析等；移动态势感知面向具有监管责任的客户，更加着重于 APP 的下载，使用环节，摸清辖区范围内 APP 的使用情况，给客户提供 APP 违法检测、合规性分析、溯源等功能。22 附录 名词解释 i Android ID:Android ID 是在 Android 设备上唯一的标识符，它可以用于许多方面，如广告跟踪、应用程序授权和设备管理等。ii IMEI:国际移动设备识别码（International Mobile Equipment Identity，IMEI），即通常所说的手机序列号 iii MAC 地址:国际移动用户识别码（英语：IMSI，International Mobile Subscriber Identity），是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。iv Serial Number:产品序列号，产品序列是为了验证“产品的合法身份”而引入的一个概念，它是用来保障用户的正版权益，享受合法服务的。

0人已浏览 2023-10-18 25页 5星级

 摘要 2023年第三季度共计因攻击损失约7亿（699,790,794）美元，超过了第一季度的3.2亿美元和第二季度的3.13亿美元，成为了今年损失额度最高的一个季度。其中共发生184起安全事件，月度损.

37人已浏览 2023-10-16 22页 5星级

安全白皮书Zoho CRM数据安全是企业数字化转型无法绕开的关键话题1.1从数字经济到数据安全立法1.2 企业如何应对数据安全带来的挑战01云服务背景下，数据安全对企业的重要性2.1 云服务背景下的数据安全架构信息安全网络安全隐私保护2.2 为什么要注重云服务数据安全02Zoho的安全保障3.1 Zoho安全策略组成组织安全物理安全基础设施安全数据安全身份和访问控制运营安全突发事件管理供应商和第三方供应商管理用户层面控制安全委托给Zoho的信息及其目的用户服务数据的所有权和控制权我们如何使用服务数据推送通知我们会把服务数据共享给谁信息的保留责任共担模型Zoho与客户的数据安全责任3.2 Zoho与客户的责任共担03Zoho的隐私安全管理体系5.1 Zoho的隐私承诺Zoho收集哪些信息信息的使用目的5.2 Zoho收集并控制的信息5.3 Zoho代表用户所处理的信息Zoho的合规性及相关行业认证Zoho如何保护用户隐私5.4 个人信息隐私保障05Zoho的加密安全管理体系4.1 什么是加密我们为什么要加密您的数据我们所说的“数据”是什么意思Zoho和用户之间Zoho和第三方之间4.2 传输中的加密数据库加密文件或 DFS 加密网址加密备份加密日志加密缓存加密4.4 应用级加密KMS是如何工作的密钥是如何生成的密钥存储在哪里如何保证密钥安全4.5 密钥管理4.6 我们在服务中加密了哪些数据？4.7 全盘加密4.3 静态加密04目录Table ofContents数据安全是企业数字化转型无法绕开的关键话题Security111.1从数字经济到数据安全立法2021年9月1日，中国正式实施中华人民共和国数据安全法（以下简称数据安全法），它是中国实施的数据安全监督和管理的一部基础法律，根本目的在于提升国家数据安全的保障能力和数字经济的治理能力。与数据安全法同期实施的还有个人信息保护法，此后，与网络安全法、密码法共同构成了推动中国数字经济持续健康发展的坚实“防火墙”。相关法律从探讨到制订，再到正式出台，这一切源于中国近年来数字经济的快速发展。相关数据显示，2021年中国数字经济规模总量达到45.5万亿元，占到国内GDP总量的39.8%，这也意味着，无论是在我们的个人生活还是工作中，数字经济已经渗入到方方面面。因此，对数据安全的重视程度也愈发明显。数字经济的到来，切实推动经济快速发展，但也不得不承认它是一把“双刃剑”自20世纪90年代数字经济出现以来，大大小小的企业逐步进入到数字化转型过程中。然而，这条道路并不平坦，由于众多企业不重视数据安全，几乎是“摸着石头过河”的状态，再加上相关监管的缺失，引发的数据安全问题、隐私保护问题频频出现，从个人隐私泄露，到企业数据丢失，每一次事故都会引发震动，甚至对于企业来说都能成为毁灭性的打击。在全球范围内，数据安全也是一直被讨论的重要话题。针对数据安全问题，各个国家或组织纷纷出台相关法律法规，例如澳大利亚的隐私法（APPs）、欧盟的通用数据保护条例（GDPR）、英国的数据保护法（DPA2018）等等，目前在全球已经有80%的国家完成了相关法律制订工作。21.2企业如何应对数据安全带来的挑战法律的实施只能称为数据安全“漫长斗争的第一步”，从企业层面来讲，保证数据安全并不是一纸文件就可以搞定的事情，它意味着需要投入大量的精力和资源，能拿得出预算的企业少之又少。例如，很多企业选择通过自研或购买私有化产品，来支撑自身业务发展和保障数据安全，但这种方法，成本无疑是巨大的，且灵活性差。SaaS产品的出现，可以打破这一困境，因为订阅制模式可以让企业免去自研和系统运维的工作，并且可以随着业务变化而灵活调整，同时能够保障数据安全。当然，也有不少企业认为，数据放在自己手里才能足够安全，云端产品无法满足安全需求。实际上，这种观点是对SaaS产品的误解。数据安全所带来的危机是迫在眉睫的，企业应该如何在较少的投入下，同时兼顾业务发展和数据安全呢？若继续将问题落实在数字化工具上，企业应该如何进行选择呢？云服务背景下，数据安全对企业的重要性Security232.1云服务背景下的数据安全架构数据安全概念是由“信息安全、网络安全”逐步演变而来的。随着人们对安全认知的不断加深，在当前大的云服务背景之下，隐私保护也被纳入到数据安全的范畴，换句话说，在云服务背景下的数据安全，是由信息安全、网络安全和隐私安全共同构成的。2.1.1 信息安全信息安全，ISO（国际标准化组织）的定义为：为数据处理系统建立和采用的技术、管理上的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。例如ISO 27001信息安全管理体系是最被熟知的信息安全管理认证。在信息安全保护方面，Zoho采取了诸如物理安全、基础设施安全、主副数据中心等方式，来充分保障硬件、服务器等设备安全，以及防止数据遭到破坏，在第三章内容中，我们会着重介绍到Zoho的安全保障策略。有数据显示，2021年中国SaaS行业市场规模达322.6亿元，预计2023年将达555.1亿元。不断增长的市场规模更加印证了企业信息化建设模式的变化趋势，而在大的云服务背景下，企业的数据安全问题更加凸显。42.2为什么要注重云服务数据安全自数字化开展以来，全球范围内已经出现过很多次严重的数据安全事故：2021年4月，Facebook近5.33亿用户的信息遭到泄露，包括用户的账户名、位置、生日以及电子邮件地址等信息，起因在于2020年的漏洞，导致用户能够使用Telegram机器人来利用Facebook系统。这个漏洞导致Facebook的用户信息流入到低级黑客论坛上，这些数据仅以几欧元的价格被打包出售。2021年8月，B2B 营销公司 OneMoreLead 将至少6300万人的私人数据存储在一个不安全数据库中，该公司任由此数据库完全敞开。数据库包含列出的每个人的基本个人身份信息数据，以及有关其工作和雇主的类似数据和信息。国内也存在相关的数据隐私泄露问题，最被关注的莫过于滴滴事件。2021年7月，国家网信办发布通报称滴滴出行APP存在严重违法违规收集使用个人信息问题，因此被下架整顿；同年8月，阿里云将用户留存的注册信息泄露给第三方合作伙伴的事件被爆出，等等。在云服务背景下，数据已经成为个人和企业的资产，数据安全也意味着资产安全。因此，云数据的安全至关重要。2.1.2 网络安全网络安全的概念经过了不断演化，最早的网络安全主要涉及到网络安全域、防火墙、网络访问控制、抗DDoS等场景。后来，网络安全的范围延伸到云端、网络、终端等各个环节，转变为网络空间安全，侧重于空间安全、访问控制、安全通信、防御网络攻击或入侵等。Zoho采用多层保护和防御机制的网络安全和监视技术，通过防火墙防止未经授权的访问和不良流量。为了保护敏感数据，我们将系统分割成单独的网络。支持测试和开发活动的系统与支持Zoho生产基础架构的系统托管在不同的网络中。2.1.3 隐私保护个人数据安全，或者说隐私保护，是数据安全中的一个重要组成部分。例如国内的个人信息保护法，和欧盟的通用数据保护条例（GDPR），都是针对隐私保护所颁布的相关法律法案。Zoho建立起了专业的隐私保护团队，以“法律合规”为首要目标。Zoho将隐私保护的理念融入到了产品研发、产品功能等各个层面，制订详细的隐私保护政策，来保障用户的数据隐私安全不受侵犯。我们将在第五章内容中，详细讨论Zoho的隐私安全管理体系。5Zoho的安全保障Security33.1Zoho安全策略组成3.1.1 组织安全我们建立了信息安全管理系统（ISMS),针对客户数据的安全性、可用性、完整性和机密性，采用严格的政策和程序，确定数据信息的安全。员工背景调查我们聘请权威机构对Zoho的每一位员工进行调查，核实员工是否有犯罪记录，工作经历以及教育背景。通过此项机制，确定接触客户数据人员的安全性。如果没有完成员工背景调查，我们不会给员工安排涉及客户数据的工作。安全意识每位员工入职时均签署了一份保密协议，然后接受信息安全、隐私保护和合规性方面的培训。培训结束后，我们还会组织相应的测试，评估员工水平。同时，针对不同的职位和角色，我们组织相关的安全培训。除此之外，我们定期举办内部活动，不断提高员工在数据安全和隐私保护方面的认知。专门的隐私安全团队我们有专门的隐私安全团队，负责实施和管理安全及隐私计划。他们主要负责设计并维护防御系统，开发安全性审查流程，持续监视网络动态，检测可疑活动。同时，为工程团队提供特定领域的咨询服务和指导。内部审核与合规我们专门设置了合规团队来审查Zoho程序和策略，确保与安全标准保持一致。该团队定期举行内部审核，以及第三方独立审核和评估。Zoho在全球180多个国家和地区，服务了超过8000多万用户，包括个人、中小企业以及大型企业和跨国集团。信息数据安全与所有企业和用户密切相关，安全问题是Zoho产品中的关键组成部分，我们从组织、基础设施、数据等各个层面，采取完善的策略和措施，充分保障用户的数据安全。63.1.2 物理安全终端安全Zoho员工使用的都是新的OS版本设备，并配置防病毒软件。我们要求所有工作站都必须采用Zoho的终端管理解决方案，按要求配置、跟踪和监视。工作场所严格管控工作场所，确定场所安全。我们为员工、承包商、供应商和访客提供不同的访问卡，同时人力资源团队严格监控访问卡的发放，记录访问日志，监控异常情况。数据中心Zoho的数据中心托管在安全的设施中，在那里可以避免任何物理的和虚拟的攻击，同时也免受地震、火灾、洪水等自然灾害的伤害。只有一小部分授权人员才能访问数据中心。任何其他访问只有在相应管理者批准后才允许访问。进入场所需要包含身份验证和生物特征认证的双因素认证。监控每个数据中心都有7x24x365夜视摄像头进行日夜监控，监控数据中心整个场所的所有进出情况，定期备份视频记录。3.1.3 基础设施安全网络安全我们采用多层保护和防御机制的网络安全和监视技术。通过防火墙防止未经授权的访问和不良流量。为了保护敏感数据，我们将系统分割成单独的网络。支持测试和开发活动的系统与支持Zoho生产基础架构的系统托管在不同的网络中。我们会严格定期监控防火墙。网络工程师每天都要检查对防火墙所做的所有更改。此外，这些更改每三个月进行一次审核，不断更新和修订规则。专门的网络运营中心团队会监视基础结构和应用程序是否存在任何差异或可疑活动。网络冗余我们平台的所有组件都具备冗余条件。我们使用分布式网格体系结构来保护我们的系统和服务免受服务器故障的影响。如果服务器出现故障，用户可以照常进行操作。*采用多个交换机，路由器和安全网关来确定设备冗余，防止内部网络中的单点故障。73.1.4 数据安全DDoS（分布式拒绝服务攻击）防御我们使用成熟可靠的服务提供商的技术来防止对服务器的DDoS攻击，防止流量不良造成的中断，同时允许良好的流量通过，使网站、应用程序和API保持高可用性和高性能。服务器强化开发和测试活动配置的所有服务器都进行了强化处理（通过禁用未使用的端口和帐户，删除默认密码等）。基本操作系统（OS）映像中内置了服务器强化功能，并已在服务器中配置该OS映像，确定服务器之间的一致性。入侵检测与预防入侵检测机制密切关注单个设备上的信号以及来自服务器内监视点的信号。记录生产网络中所有服务器上的管理访问，特权命令的使用以及系统调用。基于这些数据的规则和机器智能，提醒安全工程师可能发生的事件。在应用程序中，我们采用在白名单和黑名单规则上运行的专有WAF。设计安全每项变更和新功能均受变更管理策略的约束，确定在实施生产之前对所有应用程序变更进行授权。我们的软件开发生命周期（SDLC）要求遵守安全编码准则，使用代码分析器工具，漏洞扫描程序和手动检查流程来筛选代码，解决潜在的安全问题。我们已经在应用程序层中实现基于OWASP标准的强大安全框架，来缓解诸如SQL注入，跨站点脚本和应用程序层DOS攻击等威胁。数据隔离使用框架中安全协议，将每个客户的服务数据与其他客户的数据分开。这样可以确定客户无法访问其他客户的服务数据。当您使用我们的服务时，虽然服务数据存储在我们的服务器上，但是数据归您所有，而不属于Zoho。未经您的同意，我们不会与任何第三方共享此数据。加密传输过程：通过强大的加密协议，保护来自公用网络传输到我们服务器的所有客户数据。对于所有连接，包括Web访问，API访问，移动应用程序以及IMAP/POP/SMTP电子邮件客户端访问，我们要求所有与服务器的连接均使用具有强密码的传输层安全性（TLS 1.2/1.3）加密。此外，对于电子邮件，默认情况下，我们的服务器会利用机会性TLS，安全地加密和发送电子邮件，从而防止对等服务支持此协议的邮件服务器之间的窃听。*在Internet服务提供商（ISP）级别，通过清理网络路由，速率限制和过滤来实施多层安全性方法，处理从网络层到应用程序层的攻击。我们采用完全前向保密（PFS），确定即使受到某种方式的损害，也不会解密以前的通信。我们已为所有Web连接启用了HTTP严格传输安全协议。所有现代浏览器仅通过加密连接与我们建立连接。此外，在网络上，我们将所有经过身份验证的Cookie标记为安全。静态：使用256位高级加密标准（AES）对敏感的静态客户数据进行加密。静态加密的数据根据选择的服务不同，使用内部密钥管理服务（KMS）来维护密钥。通过使用主密钥对数据加密密钥进行加密，提供附加的安全层。主密钥和数据加密密钥在物理上是分开的，并以有限的访问权限存储在不同的服务器中。数据保留与处置我们每6个月进行一次数据清理，当您选择终止Zoho帐户后，我们会在下个清理期间删除您的数据。活动数据库中删除的数据将在3个月后从备份中删除。如果您的未付费帐户连续120天处于停用状态，我们会事先通知您，然后将您数据备份后，终止服务。对于不可用的设备，我们交由经验证和授权的供应商处置。设备内包含的所有信息都将在处理之前进行格式化。发生故障的硬盘进行消磁，然后使用切碎机对其进行物理破坏。我们采用加密擦除并切碎不可用的固态设备（SSD）。83.1.5 身份和访问控制单点登录（SSO）Zoho提供了单点登录（SSO），用户可以使用相同的登录页面和身份验证凭据访问多种服务。当您登录任何Zoho服务时，仅通过我们集成的身份和访问管理（IAM）服务即可。我们还支持SAML单点登录，使客户可以在登录Zoho服务时集成其所在公司的身份提供商（例如LDAP，ADFS）。SSO简化了登录过程，确定合规性，提供有效的访问控制和报告，并降低了密码记忆疲劳和弱密码的风险。多因素验证除了通过密码验证，Zoho还提供多因素验证。您可以使用Zoho OneAuth配置多因素身份验证。Zoho OneAuth支持不同的模式，例如生物识别的触摸ID或面部ID，推送通知，QR码和基于时间的OTP等。我们还支持Yubikey硬件安全密钥以进行多重身份验证。管理权限我们采用技术访问控制和内部策略来禁止员工随意访问用户数据。我们遵守最小特权和基于角色的权限的原则，极大程度地减少数据泄露的风险。*我们将在第四部分详细介绍Zoho的加密安全管理体系。93.1.6 运营安全对生产环境的访问由中央目录维护，并使用强密码，双因素身份验证和受密码保护的SSH密钥进行身份验证。此外，我们通过具有更严格规则和强化设备的单独网络来控制访问。同时，记录所有的操作，并定期审核。记录与监控我们监视和分析从服务、网络内部流量以及设备和终端的使用中收集的信息。以事件日志，审核日志，故障日志，管理员日志和操作员日志的形式记录这些信息。这些日志会在合理范围内被自动监视和分析，有助于我们识别异常情况，例如员工帐户中的异常活动或尝试访问客户数据。我们将这些日志存储在与完整系统访问隔离的安全服务器中，集中管理访问控制并确定可用性。每项Zoho服务的客户都可以获得详细的审核日志记录，包括了用户执行的所有更新和删除操作。漏洞管理我们拥有专门的漏洞管理流程，该流程可以结合使用经过认证的第三方扫描工具和内部工具，以及通过自动和手动渗透测试来主动扫描安全威胁。此外，我们的安全团队会积极查看入站安全报告，并监视公共邮件列表，博客文章和Wiki，监控可能影响公司基础架构的安全事件。一旦我们确定了需要修复的漏洞，便会对其进行记录，根据严重性进行优先级排序并分配给所有者。通过修补易受攻击的系统或应用相关的控制措施，进一步识别相关风险并跟踪漏洞，直到修补完成。恶意软件和垃圾邮件防护我们使用自动扫描系统扫描所有用户文件，该系统旨在防止恶意软件通过Zoho的生态系统传播。我们的自定义反恶意软件引擎会从外部威胁情报源接收定期更新，并针对黑名单签名和恶意模式扫描文件。此外，我们专有的检测引擎与机器学习技术结合，保护客户数据免受恶意软件的侵害。Zoho支持基于域的邮件身份验证，报告和一致性（DMARC），以防止垃圾邮件。DMARC使用SPF和DKIM来验证邮件的安全性。我们还使用专有的检测引擎来识别Zoho服务的滥用，例如网络钓鱼和垃圾邮件活动。此外，我们有一个专门的反垃圾邮件小组来监控处理滥用投诉。备份Zoho管理控制台（ZAC）每天和每周都会对数据库运行增量备份。DC中的备份数据存储在同一位置，并使用AES-256位算法进行加密，以tar.gz格式存储。所有备份的数据将保留三个月。如果客户要求在保留期内恢复数据，我们将恢复其数据并提供安全访问。数据恢复的时间取决于数据的大小和复杂性。*AES-256 全称为 256-位进阶加密标准(Advanced Encryption Standard，AES)，提供几乎牢不可破的加密保护，且对存储性能的影响小到可忽略不计。10为了确保备份数据的安全，我们在备份服务器中使用了独立磁盘冗余阵列（RAID）。所有备份都会定期追踪。如果发生故障，将重新启动运行并立即修复。ZAC工具会自动完成备份的完整性和验证检查。我们建议您定期进行数据备份，从您的Zoho服务中导出数据并存储在本地磁盘中。灾难恢复和业务连续性应用程序数据存储在可跨数据中心复制的弹性存储中。主DC(数据中心)中的数据可以实时地复制到辅助DC中。在主DC发生故障的情况下，辅助DC会接管并平稳地进行操作。我们的每个DC都配备了多个ISP(网络服务提供商）。备用电源、温度控制系统和防火系统作为确保业务连续性的物理措施。除了数据冗余之外，我们还为主要业务（例如支持和基础架构管理）制定了业务连续性计划。3.1.7 突发事件管理及时通知我们设置专门的突发事件管理团队。如果您的运行环境中出现了突发事件，我们会及时通知您，以及应该采取的措施。为了提供必要的证据，我们会将突发事件以日志的形式记录，并采取相应措施避免再次发生。我们会优先处理您通过向我们报告的安全或隐私事件。对于一般突发事件，我们将通过博客，论坛和社交媒体联系用户。对于特定于个人用户或组织的突发事件，我们将通过电子邮件（组织管理员的主要电子邮件地址）与用户联系。违反通知义务根据通用数据保护条例（GDPR），作为数据控制者，我们会在知道违反数据保护条例情况发生后的72小时内将有关违规行为通知相关的数据保护局。根据特定要求，我们会立即通知有关数据控制者。3.1.8 供应商和第三方供应商管理我们根据供应商管理政策评估和鉴定供应商。评估供应商提供服务的流程，风险评估合格后，我们才会与新的供应商合作。与供应商签订相关协议，这些协议要求供应商遵守我们对客户所做的保密性，可用性和完整性承诺。同时，我们也会定期检查供应商的流程和安全控制措施是否有效运行。3.1.9 用户层面控制安全作为用户，您可以采取以下措施来保证数据安全：113.2Zoho安全策略组成基于SaaS模式，我们采用云安全责任共担模型，与用户、企业共同创建数据安全环境。安全责任共担的好处在于，企业可以减少对数据安全的资源投入，将精力聚焦在数据安全保障上。使用安全度高的密码。使用多因素身份验证。采用新的浏览器版本，移动操作系统和新的移动应用程序。共享云服务数据时，采取合理的预防措施。分类管理个人信息或敏感信息，相应地打上标签。监控与您的帐户关联的设备，活动的Web会话以及第三方访问，及时发现帐户活动中的异常情况，合理管理帐户角色和权限。注意陌生电子邮件中的恶意软件威胁，这些电子邮件，网站和链接可能会通过模拟Zoho或您信任的其他服务来利用您的敏感信息。3.2.1 责任共担模型在责任共担模型中，Zoho负责构建安全、可靠和运行稳定的产品，我们在维护云基础设施的同时，客户主要保护自身的数据，以及在Zoho产品中的相关配置信息。您可以通过下图来了解，云服务厂商与客户所承担的不同责任。Zoho的责任数据安全我们负责隔离客户存储在我们这里的数据。每个客户的服务数据使用框架中的一组安全协议，在逻辑上与其他客户的数据分开。我们对数据在静止、传输和处理过程中、与我们存储的数据的机密性负责。我们对客户的数据和系统数据（例如日志和配置数据）的完整性负责。我们负责客户的数据的可追溯性和控制，以便在任何给定时间都可以知道数据的物理位置和处理方式。客户的责任数据问责密码123.2.2 Zoho与客户的数据安全责任通过云共享和接收的数据。决定与谁分享、分享时间和分享方式。确保使用Zoho服务处理的数据的隐私，以确保不会意外或自愿公开任何私人内容。保持在系统中处理的数据的准确性。客户自身或代表客户的其他人不会将Zoho服务帐户用于垃圾邮件或非法活动，Zoho的服务仅用于其预期目的。当访问Zoho服务时，需要创建一个强密码并保护它。客户端和端点安全任何一个端点被入侵（无论是笔记本电脑、台式电脑还是智能手机），都将使所有可控制的账户失效。客户需要对自己的终端安全负责，将浏览器服务、移动操作系统和移动应用程序更新到最新版本，并针对漏洞进行修补。可用性我们负责通过处理硬件/软件故障和拒绝服务攻击等威胁，确保我们的服务按照SLA协议，并保证产品正常运行。客户可以随时访问 https:/ 以查看当前站点状态以及过去的中断情况。共同的责任业务连续性网络控制13我们负责为我们的主要业务（例如支持和基础设施管理）制定业务连续性计划。我们将确保存储在弹性存储上的应用程序数据跨数据中心进行复制。主DC中的数据近乎实时地复制到辅助DC，我们可以在发生任何灾难时切换到辅助DC。我们负责运营安全的生产网络。我们使用防火墙来防止我们的网络受到未经授权的访问和不受欢迎的流量。对生产网络的访问受到严格控制。主机基础设施我们负责保护主机基础设施。生产网络中配置的所有服务器都按照标准进行了加固。采用操作系统补丁管理、基线配置和主机入侵检测技术来维护安全的基础架构。物理安全我们有责任确保我们的基础设施免受未经授权的物理访问、入侵和灾难的影响。共同责任Zoho会做什么Zoho给予客户的建议身份和访问管理Zoho通过以下方式提供用于通过身份和访问管理(IAM)服务管理用户帐户的基础设施：用户注册、注销选项以及如何使用它们的规范。用于管理云用户访问权限的功能。强大的身份验证技术，例如多因素身份验证和IP地址限制。实施强大的用户访问管理控制。根据组织的策略配置强密码并保护它们。为组织的用户启用多重身份验证。管理用户帐户和权限根据最低权限原则配置用户角色。定义组织帐户的管理员并拥有适当的所有权转移流程。采取必要措施确保您的组织不会失去对其管理员帐户的控制。定期审查有权访问数据的用户列表，并删除不应该拥有数据的任何人的访问权限。经常查看与组织的用户帐户相关联的设备，并移除未使用或未经授权的设备。监控您组织的用户帐户是否存在恶意访问或使用情况。通知任何未经授权使用贵组织帐户的行为。让您的用户了解良好密码管理的重要性、凭据重用、社交登录和网络钓鱼攻击的风险。14数据管理Zoho为您提供一个平台来管理您的数据：用于管理员和用户级别控制的数据共享功能。客户数据的审计功能可提供重要活动的透明度并跟踪更改。数据互操作性对数据和配置进行完整备份以将全部或部分数据迁移到另一个SaaS提供商的选项。数据保留和处置只要您选择使用Zoho 服务，我们就会将数据保存在您的账户中。一旦您终止您的Zoho 用户帐户，您的数据将在每六个月发生一次的下一次清理期间从活动数据库中删除。从活动数据库中删除的数据将在三个月后从备份中删除。访问限制功能可限制员工访问客户数据，并确保他们只有在有特定原因时才能这样做。在处理属于特殊类别的信息（例如，个人/敏感数据）时进行尽职调查，通过应用适当的控制来遵守适用法律的要求。配置适当的共享和查看权限。定期审查审计报告以识别任何可疑活动。与Zoho保持最新的联系信息。一旦您停止使用我们的服务，就将您的数据从系统中取出。否则将被永久删除，没有任何恢复的余地。向其他方管理数据Zoho致力于通过以下方式对我们的应用程序进行安全集成和扩展：市场应用程序：在向我们提交应用程序后执行功能测试、安全测试和隐私测试。我们还进行产品审查和内容审查。子处理者：评估我们希望签约的子处理者的安全和隐私实践，以确保它们符合Zoho的信息安全和隐私标准。然后，我们与他们签订适当的数据保护协议。我们会审查供应商的隐私政策和服务条款，并确保他们的运营坚持下去。在考虑共享到第三方环境的数据后启用或禁用第三方集成。您必须查看第三方服务关于数据收集、使用或披露的条款和隐私政策。标记您是否愿意在每次安装扩展程序时与供应商共享您的详细信息的偏好。在安装之前评估应用程序的适用性和请求权限的合理性。将Marketplace应用程序中发现的任何恶意行为通知Zoho。数据主体权利提供使客户能够迎合和保护客户权利的功能。当您的客户直接联系我们以行使他们的权利时，通知您他们的请求。尊重并处理客户提出的数据访问、更正、删除和限制处理其个人信息的请求。加密Zoho通过以下方式在传输和静态时使用加密保护您的数据：传输中的数据：通过公共网络传输到我们服务器的客户数据使用强大的加密协议进行保护。我们要求与我们服务器的所有连接都使用传输层安全性(TLS 1.2/1.3)加密和强密码，用于所有连接，包括Web访 问、A P I 访 问、我 们 的 移 动 应 用 程 序IMAP/POP/SMTP访问。静态数据：敏感的客户数据使用高级加密标准(AES)256位算法进行静态加密。静态加密的数据因您选择的服务而异。我们使用内部密钥管理服务(KMS)拥有和维护密钥。确定您的加密需求。对于静态数据，在许多情况下，在使用我们的服务时，您可能需要负责定义哪些字段需要加密。当我们云中的数据下载或导出到您的环境中或在Zoho中的集成或任何其他第三方集成中同步时，您需要确保应用相关的加密控制。例如，在您的设备上启用磁盘加密并使用启用密码保护的导出功能等。备份维护使用AES-256位算法加密并安全存储的系统级备份。自动运行完整备份的完整性和验证检查。启用数据恢复请求并在保留期内提供对其的安全访问。为客户提供导出和备份数据的功能。为您的数据安排备份，从其各自的Zoho服务中导出，并在必要时将其本地存储在您的基础设施中。您有责任以安全的方式存储它。15事件管理报告我们知晓违规事件、影响细节，以方便提供适当的建议处理，对于有关个人或组织用户的特定事件，我们将通过注册邮件通知相关方。跟踪此类事件并关闭它们。如果出现违规行为，请采取Zoho建议的措施。满足您的数据泄露披露和通知要求，例如在相关时通知您的最终用户和数据保护机构。云安全的责任共担模型为云用户和云服务提供商提供了明确的安全期望。然而，理解期望只是第一步。用户必须通过为他们的云安全部分创建策略和程序来对这些责任采取行动。Zoho 将一如既往地努力确保您的数据安全，并将努力打造一个安全的云环境。意识和培训培训我们的员工具有安全意识并遵守安全的开发标准。新雇用的员工除了通过信息电子邮件、演示文稿和我们内联网上提供的资源定期接受安全意识培训外，还参加强制性安全和隐私培训。培训我们的员工正确处理云服务客户数据。使用我们服务的标准和程序。如何管理与我们的服务相关的风险。一般系统和网络环境的风险。适用的法律和监管注意事项。政策与合规我们制定了全面的风险管理计划并有效实施了控制措施。我们在经营所在的各个司法管辖区的法律范围内开展业务。我们根据我们的合同要求提供遵守适用法律的证据。我们将在适用法律允许的范围内协助对客户进行DPIA评估。评估适用于您的法规和法律，并审查我们对您业务所需的法规和标准的遵守情况。您可以要求提供更多信息作为我们合规的证据。了解我们的政策评估方法以及我们如何处理数据。在处理数据之前/期间按照适用于您组织的数据保护法的要求进行DPIA。在您处理任何个人/敏感数据之前，请评估您的合法依据。如果您的合法依据是同意，请确保您获得客户的同意。根据我们提供的信息评估我们基于云的服务的适用性，并确保其足以满足您的合规需求。了解Zoho服务中托管的数据的风险概况和敏感性，并应用适当的控制。16Zoho的加密安全管理体系Security44.1什么是加密加密的主要作用在于保护消息中所包含的“内容”，这些内容可以是邮件、消息，也可以是报表、报告等等，加密的动作会让这些内容只能被指定的人或人群阅读。通过用无法识别的数据来替换内容，并且这些数据只能让被接收者来“破解”，原理其实非常简单，这是保护数据免受被窃取的主要方法。加密是指您使用特殊的编码过程更改数据，从而使数据变得无法识别（加密）。然后，您可以使用特殊的解码过程来获得原始数据（解密）。通过对解码过程进行保密，那么就没有人可以从加密数据中恢复原始数据。编码过程遵循公开的 AES-256等加密算法。但是，该过程本身取决于密钥，该密钥用于对数据进行加密和解密以检索原始数据。密钥是保密的。如果没有密钥，任何可能成功访问数据的人都只会看到一个“密文”，这将没有真正的意义。因此，数据会受到保护。数字化时代，如果一家企业考虑将自己的业务迁移到云端，会考虑哪些因素呢？例如云端环境的可扩展性、可靠性、高实用性等等。当然，这些因素并不能代表全部，最为核心的，还得从安全性说起数据安全如果得不到保障的云端环境，任何其他看上去非常强大的能力都会化为空中楼阁。这就是云产品供应商会倾尽心血去定制全面、可靠安全策略的重要原因。Zoho的安全策略涵盖了多个维度，而加密是其中的关键部分。在该部分，我们将告诉您有关Zoho加密策略的相关内容，以及我们如何使用它来确保您的数据和其他所有信息的安全。4.1.1 我们为什么要加密您的数据最后一道屏障：虽然全面的安全策略，可以帮助公司保护数据免受黑客攻击，但加密才是防止数据被窃取的最后一道屏障。它不仅仅是在保护数据，它还能确保您的数据即使是面对严重安全漏洞事件时，也能够保持稳定，既不会损坏，也不用担心被盗。*为了更好地帮您理解加密，在随后的部分中所提到的“数据”，均指被加密的数据。*PFS（perfect forward secrecy），中文可叫做完全前向保密。要求一个密钥只能访问由它所保护的数据；用来产生密钥的元素一次一换，不能再产生其他的密钥；一个密钥被破解，并不影响其他密钥的安全性。174.2传输中的加密当您使用Zoho服务时，您的数据会通过网络从您的浏览器传输到我们的数据中心或其他第三方（同时使用第三方集成），在传输过程中，加密可保护您的数据免受攻击。传输中的数据加密有两种情况：当数据从您的浏览器传输到我们的服务器时；当数据从我们的服务器传输到非Zoho服务器（第三方）时。隐私：数据隐私越来越受到重视，尤其在中华人民共和国个人信息保护法出台并实施之后，关于隐私的讨论更加频繁。加密是对互联网中数据隐私的保证，加密通过将个人信息转化为“仅供您查看”的数据来保护隐私，这些数据仅供需要它们的各方使用。当您成为我们的用户，并与我们产生互动，您的数据将会存储在我们的服务器中，而加密将有助于我们确保您拥有绝对的隐私。4.1.2 我们所说的“数据”是什么意思我们处理两种类型的数据1.客户数据，即您通过使用Zoho服务而存储到我们这里的数据。这些数据通常可在我们的 IAM（身份和访问管理）数据库中识别的客户账户进行处理。根据数据的敏感性和用户的要求，有些客户数据是加密的，有些则不是。其中，敏感数据是指在暴露时可能对相关个人或组织造成伤害的数据。2.派生数据，即不是由您直接给到的数据，而是从您的数据之上派生而来的数据。例如，身份验证令牌、唯一 ID、URL和报表等等，我们会把它们一起与您的数据进行存储。同客户数据一样，我们根据数据的敏感性，对必要的派生数据进行加密。4.2.1 Zoho和用户之间Zoho制订了严格的政策，使传输层安全性（TLS）可以延展到所有的链接中。TLS通过允许链接中涉及的双方进行身份验证，以及对要传输的数据进行加密，来确保您和Zoho服务之间的数据传输是安全的。TLS协议也能确保没有第三方可以窃听或篡改您与Zoho之间的通信信息。我们遵循最新的TLS协议版本，并使用由SHA 266和密码（AES_CBC/AES_GCM 256 位/128 位密钥进行加密，SHA2 用于消息认证和 ECDHE_RSA 作为密钥交换机制）颁发的证书。此外，我们还采用完全前向保密（PFS）的方式，并在所有站点实施HTTPS的严格传输安全（HSTS）标准。184.3静态加密静态加密中有两个主要的加密级别：1.应用层加密2.基于硬件的全盘加密在应用程序级别加密数据的策略取决于数据的存储位置和方式 我们遵循最新的 TLS 协议版本 1.2/1.3，并使用由 SHA 256 和密码（AES_CBC/AES_GCM 256 位/128 位密钥进行加密，SHA2 用于消息认证和 ECDHE_RSA 作为密钥交换机制）颁发的证书。我们还实施完美的前向保密并在所有站点上实施 HTTPS 严格传输安全(HSTS)。4.2.2 Zoho和第三方之间我们在与第三方通信时，遵循https协议。对于涉及敏感数据和用例的交易，我们采用非对称加密来保障数据和信息安全，非对称加密需要利用公钥和私钥系统来进行加密和解密数据。对于这种方法，我们使用KMS（密钥管理服务）在所有服务中创建、存储和管理密钥，针对需要加密的数据，该系统会自动生成一对公钥和私钥，我们使用主秘钥对其进行加密，加密的秘钥对会存储在KMS中，而主秘钥存储在单独的服务器中。最后，我们通过证书向第三方提供公钥，私钥则存储于KMS中，经过身份验证后，加密数据将在KMS中被解开。数据库(DB)-存储为表格分布式文件系统(DFS)-存储为文件网址加密备份日志缓存19下图可以直观地展示了我们的加密策略*在接下来的内容中，我们需要明确一个前提条件：我们将使用Zoho服务的客户或组织，统称为“组织”，并且用户数量有限。作为Zoho的用户，您使用的任何Zoho服务、应用程序都会涉及到数据：您提供的数据，以及我们作为服务的一部分代表您存储的数据，都可以作为文件或数据字段接收。在Zoho，每一个数据类别的加密方式都会有不同的对待方式。在这部分内容中，我们主要介绍应用程序级别的静态加密。204.4应用级加密4.4.1 数据库加密您在使用Zoho服务或应用程序的过程中，所输入的数据（包括敏感数据、服务数据等），会以表格的形式存储到我们的数据库中。这些表格中的数据根据 AES/CBC/PKCS5Padding模式的AES-256标准进行加密。静态加密的数据因您选择的服务而异，但是，根据数据字段的敏感性以及用户的选择和要求，加密级别会有所不同，主要分为两种级别：1.取决于数据的敏感性2.取决于搜索功能取决于数据的敏感性级别1-这是我们对来自所有组织的数据执行的默认加密级别。在这个级别中，我们的 KMS为每个组织分配一个密钥，与该组织对应的数据将使用此密钥进行加密，密钥使用主密钥加密，加密密钥存储在单独的服务器中。级别2-我们对敏感数据和个人身份信息(PII)进行此级别的加密。此类别包括银行帐号、身份证号和生物特征数据等字段。在此级别中，KMS为表格中的每一列生成一个唯一键，特定列中的所有数据都将使用为该列生成的密钥进行加密。这些密钥将再次使用主密钥加密并存储在单独的服务器中。取决于搜索功能初始化向量（IV）：IV是启动加密过程的随机值，正是这个随机值，可以确保每个模块/单元的加密方式不同，这也意味着两次加密相同的数据会产生不同的密文。为什么说IV很重要呢？假设您没有IV，并且使用您的密码块链接（CBC）模式，则会以相同数据开头的两个数据集产生一个相同的数据模块。IVs使得两个不同数据的加密，即使两者之间存在某种关系（包括但不限于：从相同的第一个模块开始），也能创建出不同的输入/输出对（在分组密码级别，并使用相同的秘钥）。当每个加密请求都允许使用IVs时，起始模块是不同的，攻击者无法推断出任何可能帮助他们解码加密数据的东西。在使用Zoho服务时，您创建或附加的文件保存在我们的分布式文件系统（DFS）中。静态加密的文件因您选择的服务而异。加密基于标准AES-256算法，加密方式为CTR或GCM。在AES-256中，需要加密的明文被分成数据包或块，算法应该确保每个块的加密独立于另一个，这样即使块密码被泄露，攻击者也不会得到任何关于文件的信息。对于这个要求，CTR模式是理想的选择。与数据库加密一样，文件加密也有两个级别：级别1-在此级别中，每个组织都有一个密钥。来自该组织的每个文件都使用此密钥进行加密，但具有与文件本身一起存储的唯一随机 IV。该密钥再次使用主密钥加密并存储在 KMS中。级别2-在此级别中，每个文件都提供一个唯一的密钥，并使用该密钥进行加密。用于加密文件的每个密钥都使用主密钥再次加密，并且加密的密钥与文件一起存储在DFS中。该主密钥对于服务或应用程序是唯一的，并在KMS中存储和管理。21等保加密：等保全称是“信息安全等级保护”，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。等保加密是所有表格的默认加密级别，在此级别中，整个数据表格将获得一个IV，这意味着，整个密文模块可用于表格内的搜索查询。由于表格中所有数据的IV都是相同的，因此通过搜索便可以快速得到您的数据。标准加密：在这个级别中，每个数据条目都对应唯一的IV，即使您使用一个密钥加密整个表格，每个加密的数据条目也会产生唯一的密文。此外，由于IV对于每个数据都是随机且唯一的，因此搜索查询不会获取您的数据，这是比“等保”等其他加密变体更加安全的选择。在什么情况下会使用这些变体？4.4.2 文件或 DFS 加密选择特定加密变体，通常取决于对加密的要求。如果数据必须得到最高级别的保护，我们会选择使用标准加密的第二层级。但是，不是所有字段都需要最大程度的保护，如果部分字段需要，那么使用标准版本的2级保护就足够了。然而，它并不总是与保护有关。有时候，用户可能希望搜索和获取诸如“电子邮件ID”之类的字段，以满足他们的要求。在这种情况下，标准加密就没有意义，我们会选择“等保加密”来进行。4.4.3 网址加密在使用Zoho服务的过程中，经常会与其他用户分享协作、邀请等链接，而在这种通信的过程中，很可能会涉及在URL中传递敏感数据。为了保护这种通信方式和数据不被攻击、窃取，URL中的某些部分会被加密。例如URL中有任何可识别的内容，诸如文档的ID等，这部分是被加密的。224.5密钥管理密钥，即密匙，一般泛指生产、生活所应用到的各种加密技术，能够对个人资料、企业机密进行有效的监管，密钥管理就是指对密钥进行管理的行为，如加密、解密、破解等等。在数据加密中，密钥管理非常重要，为此，我们专门研发了Zoho内部的KMS密钥管理服务系统，用来创建、存储和管理所有服务的密钥。密钥类型也分为多种，在不同的加密阶段，会选择使用不同的密钥类型：4.4.4 备份加密定期进行数据备份，是保证数据安全的必要方式。我们通常按照两种计划来进行数据备份：按天和按周。备用服务器的安全配置，与主服务器保持相同的级别，作为备份的所有数据也都将被加密。我们使用AES-256算法进行加密，并将密钥存储在单独的服务器当中。此外，Zoho还拥有能够确保高可用性的冗余数据中心（DC），这些数据中心也有用户的加密数据的副本，并且它们也能够如同主数据中心中的数据一样被备份。此种加密也有两个级别：每个组织一个密钥，或每个URL一个密钥。同样，这是由 URL 中数据的敏感性决定的。4.4.5 日志加密Zoho使用Redis开源软件来存储和管理缓存数据。缓存包含服务运行中重复使用的数据，因此需要存储一定的时间以供复用。有时候，用户的数据可能会被缓存，目的是为了改进服务或进行故障排除，任何缓存数据中，如果含有敏感的个人信息，我们会选择对其进行加密。数据加密密钥（DEK）：用于将数据从纯文本转换为密文的密钥，或用于加密数据的密钥。密钥加密密钥（KEK）：用于加密DEK的密钥，并且是特定于服务的。它提供了额外的安全层。主密钥：用于加密KEK的密钥。为了安全起见，此密钥存储在隔离的服务器中。234.5.1 KMS是如何工作的KMS的工作方式其实并不复杂，主要是按照阶段来一步步进行的：所有类型的密钥都会根据AES-256算法进行加密，根据该算法，数据被视为要加密的“块”，无论是数据库中的字段，还是DFS中的文件，加密都是在使用DEK加密数据块时开始的。随后，该DEK使用KEK进行进一步加密，KEK再次使用存储在单独服务器中的主密钥进行加密，直到完成加密的过程。在整个加密流程中，需要管理的元素有：加密数据DEK加密的DEKKEK加密的KEK主密钥。244.5.2 密钥是如何生成的通过KMS密钥管理服务系统，生成符合AES-256协议的256位密钥以及初始化向量（IV）。正如我们在上文中已经讨论过的，初始化向量IV会确保第一个加密数据块是随机的，这就是为什么在IV的帮助下，可以将相同的明文加密为不同的密文的原因。从技术手段方面来讲，KMS会使用Java安全库和安全随机数生成器来生成这些密钥和IV。4.5.3 密钥存储在哪里为了提供额外的安全保障，在KMS中生成的DEK会使用KEK加密，加密后的DEK存储在KMS数据库中。我们将密钥以物理的方式分开存储，以达到最大的保护，即使有人获取了其中之一的密钥，也无法解密。我们使用主密钥加密KEK并将其存储在单独的服务器中。Zoho WorkDrive是为企业团队提供的在线文件管理工具，对于一些静态存储的文档，我们同样为其提供了额外的安全保障，攻击者无法仅针对KMS来破坏数据。254.5.4 如何保证密钥安全一直以来，我们深知保护数据安全的重要性，对于密钥的安全管理，我们也采用了多种策略，以保证密钥安全。物理分离如前所述，KMS的整个工作过程中，会产生DEK、KEK、主密钥等要素，这些要素会被存放在不同区域的服务器中，做到物理隔绝。这使得攻击者很难同时破坏DEK和KEK，从而保证密钥安全。访问控制密钥滥用、陌生访问等问题，可以通过访问控制有效规避。访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃，通过该技术，仅有被认可的服务和密钥才能通过。每次访问密钥时，都会通过身份验证并记录完整的过程，定期审核这些过程日志也有助于监控流程。在默认情况下，对密钥管理服务器的访问会被受到限制，并且只允许Zoho的特定人员访问。任何其他的访问形式，都会进入到审批流程，只有在相关人员、管理层审批通过后才会允许访问。密钥轮换我们会使用密钥轮换系统定期更改主密钥，以此来提升密钥的安全性。当生成新的密钥和IV时，意味着数据库中的密钥也必须修改，因此，会首先使用旧的主密钥来获取和解密数据库中的所有相关密钥，然后再使用新的主密钥重新加密，并在数据库中更新。此外，密钥轮换也可以手动触发，以便应对可能会出现的任何危急情况。密钥的可用性如果一个数据中心(DC)中磁盘的主存储发生故障，则有一个从属服务器和一个辅助从属服务器用于备份，它们会保存与主 DC 相同的数据。从属和次要从属都具有加密的DEK，与主从相同。26静态加密的数据因您选择的服务而异，特定数据条目的加密选项和级别由您或我们决定，或由双方协商决定。从Zoho的第一款云服务产品Zoho Writer诞生至今，已经陆续发布了50多款云端应用程序，每一款应用程序都承载了大量的信息和数据。您可以从下图看到，我们在服务中加密了哪些数据（部分关键词）。4.6我们在服务中加密了哪些数据？*注意：目前，基于硬件的全盘加密默认适用于印度(IN)、澳大利亚(AU)和日本(JP)数据中心的所有 Zoho 服务。在其他 DC 中，全盘加密仅适用于某些 Zoho 服务。27全盘加密（FDE，full-disk encryption）是在硬件级加密。全盘加密是自动地将硬盘上的数据转换成一种不能被人理解的形式，只有那些有密钥的人才能“还原”转换。如果没有合适的认证密钥，即使把硬盘移出，安装到另一台机器上，仍然不可获得硬盘上的数据。全盘加密可以在制造计算设备时安装在设备中，也可以在后来通过安装特殊的软件驱动程序加入。我们采用自加密磁盘驱动器(SED)来支持基于硬件的全盘加密。SED是在机械硬盘驱动器（HDD）或固态硬盘驱动器（SSD）中内置的加密电路，自加密意味着，数据在写入存储介质前都会由磁盘驱动器进行加密，并在读取时由磁盘驱动器进行解密。SED磁盘驱动器符合FIPS 140-2标准，或符合TCG标准，并配置AES加密算法，用于加密和解密的密钥长度为256位。SED中使用了两种类型的密钥，即数据加密密钥（DEK）和身份验证密钥（AK）。数据加密密钥此密钥用于加密/解密驱动器中的数据。此密钥由供应商在制造过程中生成，当我们获得带有SED磁盘驱动器的新服务器时，出于安全考虑，我们会重新生成新的密钥。身份验证密钥此密钥将对DEK进行加密，并用于锁定和解锁磁盘驱动器。身份验证密钥经由强大的安全策略生成并存储在我们的密钥管理系统中，当我们在服务器中启用加密时，相同的密钥将以安全的方式传输到每个服务器，最后使用本地密钥管理（LKM）来管理身份验证密钥。4.7全盘加密28Zoho的隐私安全管理体系Security55.1Zoho的隐私承诺5.2Zoho收集并控制的信息Zoho向来注重隐私和数据安全，早在隐私问题还不像当今如此严峻、更没有完整的法律保护和关注的时候，Zoho就开始致力于保护客户和用户隐私。我们只从用户那里收集尽可能少量的必要信息，只收集那些我们认为对经营业务必不可少的信息，或者手头的特定交易所需的信息。Zoho的用户可以清晰地知道他们哪些信息被搜集，可以自由选择是否订阅、或者退订Zoho服务。一直以来，我们从未在产品中通过植入广告来获取收益，即使在免费版服务中也保持这样的做法，这意味着我们可以避免收集客户信息与增长广告收入两者间的根本利益冲突，以及由此带来的不可避免的客户隐私保护方面的妥协。在接下来的内容中，您将清楚地了解到Zoho的隐私安全管理体系，以及Zoho通过哪些措施和策略来保障用户的隐私安全。5.2.1 Zoho收集哪些信息只有当我们出于某些合法目的需要您的相关信息时，我们才会收集这些信息。Zoho只有在以下情况下才会获得您的相关信息：（a）您自己主动提供信息;（b）Zoho自动收集信息；或（c）Zoho从第三方获得信息。下面我们将描述这三类情况的各种场景以及每种情况下会收集哪些信息。您自己主动提供信息1.帐号注册:当您注册Zoho帐号以访问我们的一项或多项服务时，我们会要求您提供姓名、联系电话、电子邮件地址，公司名称和国家等信息以完成帐号注册过程。您还需要输入唯一的用户名和密码才能访问创建的帐号。此外，您还可以向我们提供更多信息，例如您的照片，时区和语言，但注册帐号这些信息不是必须的。注册后，您可以选择安全问题和提供安全问题的答案-如果您提供的话，则只有在重置密码时才会用到它们。292.活动报名及其他表单提交：我们会记录您在以下情况时提交的信息：（1）报名参加活动（包括网络研讨会或线下研讨会），（2）订阅我们的时事通讯或任何其他邮件列表，（3）提交表单以便下载产品、白皮书，或其他材料，（4）参加比赛或回复调查问卷，（5）提交表单以要求客户支持服务、获取报价或联系Zoho以达到其他目的。3.付款处理：当您向我们购买产品或服务时，我们会要求您提供您的姓名、联系方式或其他付款帐户。当您提交信用卡信息时，我们会存储持卡人的姓名和地址、到期日和信用卡号的最后四位数字，但我们不存储实际的信用卡号。为了快速处理未来的付款，在您同意的前提下，我们可能会将您的信用卡信息或其他付款信息，以安全的加密格式存储在我们的支付网关服务提供商服务器中。4.客户证言：当您授权我们在网站上发布关于我们产品和服务的客户证言时，我们可能会在客户证言中包含您的姓名和其他个人信息。在发布客户证言之前，我们会请您对其进行审核、批准。5.与Zoho的互动信息：我们可能会记录、分析、使用您与我们的互动信息，包括您与我们的销售和客户支持专业人员进行的电子邮件、电话、在线聊天沟通，以用于改善我们与您及其他客户的互动。6.移动端应用：当您在使用Zoho各移动端应用时，可能需要您开启麦克风权限以使用录音保存、语音录入等功能；开启存储权限与写入，用户录制完成的声音保存到本地文件；开启读取/访问权限，以访问您的照片、媒体内容、文件等内容，以用于为您提供完整的移动端应用使用体验。Zoho自动收集信息1.来自浏览器、设备和服务器的信息：当您访问我们的网站时，我们会收集网络浏览器、移动设备和服务器提供的信息，例如互联网协议地址、浏览器类型、语言偏好、时区、进站前链接网页、访问日期和时间、操作系统、ANDROID ID、移动设备制造商和移动网络信息。我们会将这些信息包含在我们的日志文件中，以用于更好地了解我们网站的访问者。2.来自第一方Cookie和跟踪技术的信息：我们使用临时和永久性Cookie来识别用户并增强用户体验。我们在可下载产品中嵌入唯一标识符来跟踪产品的使用情况。我们还使用Cookie、信标、标签、脚本，及其它类似技术来识别访问者、跟踪网站导航、收集有关访问者和用户的人口统计信息、了解邮件群发活动的有效性，并通过跟踪您在我们网站上的活动，了解目标访问者和用户的参与度。我们只使用第一方Cookie，不会在我们的网站上使用第三方Cookie或其它第三方追踪技术。我们还使用第一方本地存储对象（LSO），如HTML5，来存储内容信息和首选项信息，以用于提供某些功能。3.来自应用程序日志和移动分析的信息：我们从应用程序日志和内部的使用分析工具收集有关您使用我们的产品、服务和移动应用的信息，并用于了解您的使用情况和业务需求以及改进我们的产品。这些信息包括但不限于点击数、鼠标滚屏、访问的功能、访问时间和频率、生成的错误、性能数据、使用的存储空间、用户设置和配置，以及使用的设备及其位置。5.2.2 信息的使用目的除上述目的外，我们可能会将您的信息用于以下用途：30Zoho从第三方获得信息1.使用联合身份验证服务帐号进行注册：您可使用受支持的联合身份验证服务帐号（如微信、QQ、微博、百度）登录到Zoho服务。这些服务会验证您的身份，并让您选择共享给我们某些个人信息，例如您的姓名和电子邮件地址。2.推荐：如果有人通过我们的推荐活动向您推荐了我们的任何产品或服务，他/她可能会向我们提供您的姓名、电子邮件地址和其他个人信息。您可以通过与我们联系，要求我们从数据库中删除您的信息。如果您向我们提供他人的相关信息，或者有其他人向我们提供了您的信息，我们会仅将这些信息用于提供给我们的特定原因之用。3.来自我们的代理商合作伙伴和服务提供商的信息：如果您联系我们的代理商合作伙伴，或者以其他方式向他们表达对我们的产品或服务有兴趣，则该合作伙伴可能会把您的姓名、电子邮件地址、公司名称等信息共享给Zoho。如果您报名或参加由Zoho赞助的活动，该活动组织者可能会把您的信息共享给Zoho。如果您对我们的产品和服务评测进行评论，Zoho也可能会从评测网站上收集到您的相关信息。我们还可能会从用于营销我们的产品和服务的其他第三方服务提供商那里收集到您的相关信息。4.来自社交媒体网站和其他公开来源的信息：当您提供有关我们产品的反馈或评论，通过帖子、评论、提问等方式在应用市场、评论网站或社交媒体网站（如 微信、微博、知乎和其他网络社区）上进行互动时，我们可能会收集此类公开可用的信息，包括个人资料信息，以便我们与您联系、改进我们的产品、更好地了解用户的反馈和疑问，或在我们的网站上复制和发布您的反馈。我们必须告知您，一旦收集到这些信息，即使您从这些网站上删除，我们也可能会保留这些信息。Zoho 还可能从其他公开来源添加和更新关于您的信息。就您下载的产品和您注册的服务、本隐私政策所做更改、服务条款所做更改、重要通知等，与您进行沟通（例如通过电子邮件）；在您同意的情况下，通过电子邮件向您发送您可能感兴趣的新产品和服务的信息，邀请您参加 Zoho 活动（包括促销活动），或通过电子邮件向您发送市场信息，例如优惠、促销和其他我们认为您会感兴趣的信息。如果您不想通过电子邮件接收此类信息，请参阅下面关于选择退订不必要的电子通讯的段落;邀请您参与问卷调查，或征求您对我们产品和服务的反馈意见;设置、维护您的帐号，并完成提供我们服务所需的其它事宜，例如启用协作、提供网站和邮件托管、备份及恢复您的数据等;*所有委托给Zoho的信息统称为“服务数据”5.3Zoho代表用户所处理的信息5.3.1 委托给Zoho的信息及其目的与服务有关的信息：用户可以将用户自身或其组织（以下简称“用户”）控制的信息委托给Zoho，用于使用我们的服务，或请求对我们的产品提供技术支持。这包括用户的客户和员工（如果用户是个人信息处理者）的相关信息，或用户为了特定目的代表他人，例如为其提供服务的客户（如果用户是受托方）持有和使用的数据。当用户使用我们的服务时，这些数据可能会存储在我们的服务器上，或作为技术支持或其他服务请求的一部分转交或共享给我们。来自移动设备的信息：如果用户允许，我们的一些移动应用程序可以访问存储在其移动设备上的相机、通话记录、联系人信息、照片库，以及其他信息。同样，如果用户允许，我们的应用程序还会收集基于位置的信息，其目的包括但不限于：查找附近的联系人或设置基于位置的提醒。此信息将仅共享给我们的地图提供商，并将仅用于映射用户位置。用户可以随时通过移动设备上的设置，禁止移动应用程序访问此信息。移动应用程序有权访问的移动设备上存储的数据及其位置信息将用于移动应用程序的相关功能中，并在相应的服务（在这种情况下，数据将存储在我们的服务器上）或产品（在这种情况下，除非用户共享数据给我们，否则数据将保留在用户的系统中）中转移到用户的账户并与之相关联。31了解用户如何使用我们的产品和服务，如何监控和预防问题，以及如何改进我们的产品和服务;提供客户支持，并分析和改善我们与客户的互动;检测并防止欺诈交易及其他非法活动，举报垃圾信息，并保护Zoho、Zoho用户、第三方和公众的权益;使用汇总和匿名的使用数据更新、扩展和分析我们的记录，并根据使用情况突显我们的其他产品和服务。我们不会将您的信息用于有关第三方产品和服务的定向广告;分析趋势，管理我们的网站，跟踪访客在我们网站上的访问轨迹，以了解访客正搜索什么信息，并更好地帮助他们;监控、改进市场营销活动，并提出与用户相关的建议。我们承认用户的服务数据归其自身所有。我们为用户提供对用户服务数据的完全控制权，让其可以：325.3.2 用户服务数据的所有权和控制权我们会根据您通过我们的各个服务模块提出的数据操作要求，处理服务数据。例如，当用户使用我们的服务生成账单时，我们会使用用户的客户姓名和地址等信息生成账单；当用户使用我们的营销管理服务进行电子邮件营销时，我们会使用用户邮件列表中人员的电子邮件地址发送营销邮件。5.3.3 我们如何使用服务数据如果用户在我们的桌面和移动应用程序上启用了通知，我们将通过通知推送提供商（如微信推送通知，网易推送通知，Apple推送通知服务，Google Cloud Messaging，Windows推送通知服务或百度云推送）推送通知。用户可以通过在应用程序或设备设置中关闭通知来管理推送通知首选项，或停用这些通知。5.3.4 推送通知Zoho集团及第三方：为了提供服务和技术支持，Zoho集团内的签约实体会与其他集团实体及第三方进行合作。员工和独立承包商：我们可能会把用户的服务数据的访问权限提供给我们的员工和参与提供服务的Zoho集团实体的独立承包商（统称为我们的“员工”），以便让他们可以：我们确保我们员工在严格需要访问的基础上对服务数据的访问仅限于特定的个人，并有日志记录和审核。我们的员工还可以访问明确共享给我们、用于技术支持或用于导入我们产品或服务的数据。我们已向员工传达了我们的隐私和安全准则，并在Zoho集团内严格执行隐私和安全保护措施。协作者和其他用户：我们的部分产品或服务允许用户与其他用户或第三方进行协作。启用协作功能会让其他协作者查看到用户的部分或全部个人信息。例如，当编辑用户共享给他人进行协作的文档时，姓名和照片会显示在编辑的内容旁边，以便让协作者知道用户进行了哪些编辑。用户启用的第三方集成：我们的大部分产品和服务都支持与第三方产品及服务的集成。如果用户选择启用任何第三方集成，意味着用户可能会允许该第三方访问服务数据和个人相关信息。我们鼓励用户在启用与第三方服务和产品的集成之前，先查看他们的隐私政策。5.3.5 我们会把服务数据共享给谁只要选择使用Zoho服务，我们就会在用户的帐号中保存数据。一旦终止使用Zoho用户帐号，用户的数据将在下次清理（数据清理每6个月一次）期间从活动数据库中最终删除。从活动数据库中删除的数据将在3个月后从备份中删除。5.3.6 信息的保留访问服务数据;通过支持的第三方集成，共享服务数据;请求导出或删除服务数据。确定、分析并解决问题；人工验证您向我们提交的扫描图像，以验证扫描字符识别的准确性。人工验证被报告为垃圾邮件的电子邮件，以改进垃圾邮件检测；Zoho始终将用户的数据安全、隐私安全放在重要位置，致力于为用户提供安全、稳定、合规的产品和服务。目前，Zoho已经在全球范围内获得多项合规认证，包括ISO 27001信息安全管理体系、ISO 27701隐私信息管理体系、ISO 27017云服务信息安全管理体系、ISO 27018云隐私信息安全管理体系，以及ISO 20000信息技术服务管理体系。335.4个人信息隐私保障5.4.1 Zoho的合规性及相关行业认证ISO/IEC 27001是被广泛认可的独立国际安全标准之一，前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。该认证颁发给符合ISO全球高标准的企业和组织，Zoho已获得ISO/IEC 27001:2013 应用程序、系统、人员、技术和流程认证。ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002标准的扩展，用于组织范围内的隐私管理。该认证标准旨在通过附加要求来增强现有的信息安全管理系统(ISMS)，以便建立、实施、维护和持续改进隐私信息管理体系(PIMS)。该标准使组织能够证明其遵守世界各地适用于他们的各种隐私法规。此项认证适用于Zoho的本地部署和云服务产品，它们以 PII 控制器和/或 PII 处理器的身份运行。ISO/IEC 27017尽管云有着出色的灵活性和可拓展性，但安全问题始终是组织在选择使用云服务过程中犹豫不决的原因之一。ISO 27017是针对云服务信息安全管理体系，通过为ISO/IEC 27002中指定的相关控制提供额外的实施指南，以及与云服务具体相关的实施指南提供额外的控制，从而为适用于云服务的提供和使用的信息安全控制提供安全保障。Zoho已通过ISO/IEC 27017:2015-信息技术-安全技术-基于 ISO/IEC 27002 云服务的信息安全控制实践代码的认证。ISO/IEC 27018是一个主要针对保护云计算中个人数据安全的国际标准，是基于ISO 27001信息安全管理体系扩展的管理体系。ISO/IEC 27018 建立了普遍接受的控制目标、控制和指导方针，以实施保护在公共云中处理的 PII 的措施。为关注其云提供商如何处理个人身份信息(PII)的组织提供指导。34ISO 20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。它规定了组织建立、实施、维护和持续改进服务管理体系的要求，并支持服务生命周期的管理，包括服务的规划、设计、过渡、交付和改进，以满足服务要求和交付价值。ISO 27001和ISO 20000认证已经成为企业核心竞争力的重要标志。GDPR是一项泛欧法规，要求企业在处理其个人数据时要保护欧盟公民的个人数据和隐私。Zoho始终通过不断超越行业标准来证明自己对用户数据隐私的承诺，Zoho也非常乐意将GDPR作为已有安全隐私政策的强力补充。Zoho的产品具有符合GDPR的隐私功能，并且Zoho对客户数据的处理遵守GDPR的数据保护原则。Payment Card Industry，即支付卡行业数据安全标准，是一组全面的要求，旨在确保持卡人的信用卡和借记卡信息保持安全，而不管这些信息是在何处以何种方法收集、处理、传输和存储。Zoho符合PCI 标准，始终遵守信用卡发行公司制定的一系列准则。该项认证适用于Zoho Finance Plus 产品（即）Zoho Books、Zoho Invoice、Zoho Inventory、Zoho Subscriptions、Zoho Expense、Zoho Checkout 和 Zoho Commerce。ISO 9001质量管理体系认证标准是很多国家，特别是发达国家多年来管理理论与管理实践发展的总结，它体现了一种管理哲学和质量管理方法及模式，已被世界上100多个国家和地区采用。组织使用该标准来证明能够始终如一地提供满足客户和法规要求的优质产品和服务。Zoho Desk、Zoho HRMS 和 Finance 应用程序套件符合 ISO 9001要求。此项标准适用于Zoho Desk、Zoho HRMS 产品（即）Zoho people、Zoho Payroll 和 Zoho Finance Plus 产品（即）Zoho Books、Zoho Invoice、Zoho Inventory、Zoho Subscriptions、Zoho Expense、Zoho Checkout。35在Zoho，我们非常注重保护用户隐私和数据安全，基于以上的各项合规性证书和相关行业认证便可见一斑。用户委托给我们的数据和信息，我们已采取措施，实施适当的管理、技术和物理防护措施，防止未经授权就访问、使用、修改、泄露或被销毁。数据保护专员对于用户数据隐私安全，我们在内部专门委任了数据保护专员，会根据Zoho的隐私政策来监督我们对用户个人信息的管理。如果您对我们有关您个人信息的隐私保护做法有任何问题或疑虑，可以发送电子邮件至，或者拨打Zoho服务热线400-660-8680与我们的数据保护专员联系。地点和国际转移我们出于上述目的在 Zoho 集团内以及与 Zoho集团签约的第三方共享您的个人信息和服务数据。通过访问或使用我们的产品和服务，或以其他方式向我们提供个人信息或服务数据，您认可在美国、欧洲经济区(EEA)内、以及 Zoho 运营所在的其他国家/地区内，处理、传输和存储您的个人信息或服务数据。此类转移需遵守适当的数据保护协议，例如基于中国网信办的集团公司协议，中国个人信息保护法(PIPL)适用的数据处理活动的标准合同条款。如果您需要获取我们在 Zoho 集团内以及与我们签约的第三方传输您的数据所依据的协议副本，请发送邮件至：。自动化和人工智能为了向我们的用户提供更高的生产力和预测能力，我们采用了多种技术，例如正则表达式解析、模板匹配、人工智能和机器学习。为了遵守 Zoho 不会以不尊重您的隐私和保密期望的方式利用您的数据的承诺，我们仅对这些技术的服务数据进行以下有限使用：(i)使用匿名的服务数据来提高算法的准确性；(ii)使用您组织的数据为您的组织开发特定的模型。我们的自动化和人工智能技术主要由我们自己组织的数据提供支持，例如内部通信、与客户的通信和内部文档以及免费和付费的外部资源。浏览器的“禁止跟踪”请求某些互联网浏览器启用了“禁止跟踪”功能，该功能会向您访问的网站发送信号（称为禁止跟踪信号），表明您不希望被跟踪。目前，还没有一个管理标准来规定网站在接收到这些信号时可以或应该做什么。因此我们也并未针对这些信号采取行动。网站上的外部链接我们网站的某些页面可能链接到不遵守本隐私政策的外部网站。如果您向这些第三方网站提交您的个人信息，您的个人信息将受其隐私政策的约束。作为一项安全措施，我们建议您如果不了解这些外链网站的隐私政策，就不要向它们提供个人信息。5.4.2 Zoho如何保护用户隐私36博客与论坛我们 的网站上提供可公开访问的博客和论坛。请注意，您在这些博客和论坛上提供的任何信息都可能用于在未经您同意的情况下向您发送信息。希望您在我们的博客和论坛中披露个人信息时要谨慎。Zoho对您选择公开披露的个人信息概不负责。即使您停用Zoho帐号，您的帖子和某些个人信息也仍可能会保留。业务转移我们不打算出售我们的业务。但是，如果万一我们打算出售我们的业务或被收购或兼并，我们将确保收购实体在法律上有义务履行我们对您所做的承诺。我们将通过电子邮件或通过我们网站上突出的通知，来通知您所有权变更，或使用您的个人信息和服务数据方面的变更，以及就您个人信息和服务数据您可进行的选择。37结语6从信息安全到网络安全，再到隐私保护，在数字化、云服务的大背景下，数据安全是每一个企业都应该关注并践行的重要话题。只有在数据、隐私、信息充分安全的前提下，企业才能更好地开展业务，实现持续增长。拥有数据和隐私的安全环境是您的权利，保护数据和隐私安全也是Zoho永无止境的使命，我们会不断创新并通过实施最新技术和协议来加强数据保护，在云服务数据安全道路上，不断努力。中国总部：北京市海淀区后屯路28号KPHZ国际技术转移中心3层网址：服务邮箱：联系电话：400-660-8680（010）82738868扫码咨询关注Zoho云服务

16人已浏览 2023-10-13 39页 5星级

点击查看更多炼石：图解《规范和促进数据跨境流动规定（征求意见稿）》V1.0.0（59页）.pdf精彩内容。

26人已浏览 2023-10-11 59页 5星级

Click here or press enter for the accessibility optimised version网网络络数据数据隐隐私的理想私的理想状状态态与与现现实实企业是否能满足消费者对数据隐私保护的期望呢？Click here or press enter for the accessibility optimised version简简介介网络安全技术正在快速迭代，但企业仍会不断遭受安全漏洞的困扰。Omdia 的网络安全漏洞跟踪器显示，大约三分之二的安全漏洞会导致数据泄露。尽管网尽管网络络安全技术正在迅速迭代，但企业仍然会遭受安全漏洞的困安全技术正在迅速迭代，但企业仍然会遭受安全漏洞的困扰。扰。令人担忧的是，如此大比例（三分之二）的企业安全漏洞会导致数据泄露，其中许多还涉及个人身份信息(PII)的泄露（见图 10）。图图 X：2022 年按年按结结果划分的果划分的违规违规百分比百分比来源：Omdia版权所有 2023这个三分之二的数字几乎同样适用于所有地区，包括亚太地区。例如，2022 年 9 月，新加坡电信集团子公司 Optus 发生安全漏洞，导致近 1000万条包含个人身份信息(PII)的记录被泄露。同年11月，亚航遭受勒索软件攻击，导致500万唯一乘客和所有员工的个人数据泄露。这两个案例并不罕见，而且很可能只是冰山一角，许多数据隐私侵犯行为并未被媒体报道。不幸的是，企业将继续遭受安全漏洞的困扰，令客户失望。许多此类故障本来可以通过更好的网络防御预案来预防，但由于网络安全的复杂性，这并非简单直达的问题。此外，随着数据隐私侵犯行为案例的增加，监管机构的要求也越来越严格。最终，企业必须具有灵活性，并具有良好且一致的网络完全预防措施。他们必须在运营和数据隐私方面具有一定的灵活性，才能为客户和公民提供服务。保护那些信任您企业数据的客户隐私，对于维持这种信任并与数据隐私监管机构保持正确的立场至关重要。Maxine Holt,网网络络安全高安全高级级总总监监Maxine.HClick here or press enter for the accessibility optimised version企业数据安全的企业数据安全的驱驱动因素动因素网网络络安全是信息安全的一个子集，安全是信息安全的一个子集，专专注于保护注于保护 CIA 的数字信息。的数字信息。因此，数据安全是网因此，数据安全是网络络安全的核心，确保企业用于运安全的核心，确保企业用于运营营其其产产品和服品和服务的数据始务的数据始终终保持适当的机密性和可用性，同时保持其完整性。保持适当的机密性和可用性，同时保持其完整性。Omdia 的 2022 年网络安全决策者调查显示，近一半的企业组织将 CIA 三巨头作为其数据安全战略的核心。另外 14%的人会在事件发生之前关注具体情况。企业数据安全策略企业数据安全策略最令人担忧的反应是，39%的企业在事件发生时根据具体情况解决数据安全问题。这有点像马逃走后关上马厩的门。你可能抓不到马，但它可以防止其他人逃跑。数据隐私中央情报局三巨头机密部分的一部分可能是网络安全中最著名的方面。侵犯数据隐私可能会上头条新闻，消费者普遍意识到企业组织应根据各种法规保护其个人身份信息(PII)，例如欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)和新加坡个人数据保护法(PDPA)。然而，根据 Omdia 的安全决策者调查，只有大约五分之一的企业组织对其遵守相关数据隐私法规的能力“非常有信心”。尽管还有 53%的人“合理的有信心”，但这确实让这些企业需要做更多的工作来改善其网络卫生安全并进入“非常有信心”的范围。维维护相护相关数据数据隐隐私法私法规规的信心水平的信心水平此外，五分之一的组织没有信心，所有这些组织都将受益于对相关数据隐私法规的全面审查并围绕这些要求改进安全控制措施。尽管合规性并不是直接的安全责任，但部署控制措施以支持数据隐私方面的要求通常是安全功能的责任。决定决定购买购买数据安全解决方案的主要数据安全解决方案的主要驱驱动因素动因素保持对法规的遵守是存在的，但排在安全功能面临的一系列挑战之后的第五位。并非所有数据都是平等的有些数据是关键任务，有些数据不太重要，适当保护所有类型的数据显然是购买数据安全技术的驱动力。勒索软件继续在各种企业中肆虐，因此保护数据安全至关重要，包括防止数据被盗和/或财务损失。这里的关键要点是数据安全有很多方面。了解必须保护哪些数据、这些数据在哪里以及如何管理这些数据是管理公司信息的机密性、完整性和可用性的所有重要组成部分。Maxine Holt,网网络络安全高安全高级级总总监监Maxine.HClick here or press enter for the accessibility optimised version数据安全案列数据安全案列我们可以从 Optus 网络攻击中学到什么？总部位于澳大利亚的总部位于澳大利亚的 Optus 是新加坡电信集团的子公司，最近遭遇安全漏是新加坡电信集团的子公司，最近遭遇安全漏洞，近洞，近 1000 万条包含个人身份信息万条包含个人身份信息(PII)的的记记录被泄露。录被泄露。这一引人注目的泄露事件引起了人们对电信公司网络安全的警惕，并不可避免地对组织针对网络攻击的准备情况提出了疑问。该安全漏洞于 2022 年 9月 21 日被发现，并于次日公开宣布。Optus安全漏洞是过去三年来澳大利亚电信行业最大的安全漏洞之一。数据泄露的影响数据泄露的影响Optus 表示，被泄露的信息包括“客户的姓名、出生日期、电话号码、电子邮件地址，以及部分客户的地址、身份证件号码，例如驾驶执照或护照号码”。这通常被称为个人身份信息（PII），它是直接或间接识别个人身份并可被不法分子用来实施欺诈活动的任何信息。据领先的安全出版物Dark Reading报道，此次泄露事件之后的事件发生了各种曲折。其中包括，在暴露 10,200 条记录后，攻击者撤回了 100 万美元的赎金要求，据称删除了泄露的数据，并向 Optus 的客户道歉。然而，这些都不能否认泄露事件已经发生的事实，也不能保证赎金要求不会再次出现，也不能保证泄露的数据实际上已被删除。Omdia的安全漏洞跟踪器捕获了 2019-22 年间公开发布的公告（英文），并指出，电信行业的安全漏洞仅占该期间近 5,000 个公告中的 2.4%。尽管同期目标行业所占份额相对较大，即：医医疗疗保健保健(18%)、政府、政府(15.3%)和信和信息技术服务息技术服务(11.8%)，但电信行业受到的损害足以波及其他行业影响其交付和安全的服务。电信公司运营的基础设施是一个国家重要的国家基础设施(CNI)的一部分，因此该行业的违规行为引发的不安和警报也就不足为奇了。Optus 泄露事件中泄露的记录数量很高：总共 980 万条，其中 280 万条被描述为“大量数据”被泄露。Optus 的困境并不仅仅限于处理与客户的违规事件的后果。据报道，受影响的 Optus 客户正在准备一项潜在的集体诉讼。这显示了 PII 数据泄露的影响-信任丧失、声誉受损、恢复时间和成本、补救时间和成本以及公关活动不应被低估。例如，澳大利亚内政部长克莱尔奥尼尔(Claire ONeil)对 Medicare 号码的暴露（Medicare 是澳大利亚公共资助的全民医疗保险计划，由国家社会保障部门运营）和身份盗窃风险加大表示担忧，特别是在大量数据被泄露的280 万数据池中。Optus 为“受影响最大”的客户提供免费 12 个月订阅Equifax Protect（一项信用监控服务及其身份保护服务）的选项，说明了所涉及的成本。人人为为因素在安全漏洞中发因素在安全漏洞中发挥挥作用作用据 ABC 新闻报道，来自 Optus 一位匿名高级官员的消息来源透露，Optus的漏洞源于未经身份验证的应用程序编程接口(API)暴露在互联网上。人为错误被认为是此次泄露的根源假设该 API 只能由授权的公司系统访问，Optus 客户身份数据库通过 API 向其他系统开放。最终，其中一个接口通过测试网络开放，该接口又可以访问互联网，从而提供对 Optus 网络的外部访问。威胁行为者本质上是使用 API 下载客户记录。前澳大利亚联邦警察奈杰尔菲尔(Nigel Phair)承认，虽然 Optus 在防火墙和入侵检测方面设有安全控制措施，但测试网络不太可能拥有与其他网络相同水平的安全控制措施。Omdia 的安全漏洞跟踪器的安全漏洞跟踪器显显示，疏忽和意外故障占示，疏忽和意外故障占 2019-22 年跟踪安全攻年跟踪安全攻击击背后因素的背后因素的 21.4%。尽管复杂的外部力量也可能促成了 Optus 的攻击，但很可能存在疏忽或意外故障。公司可以通过实施适当的安全控制来预防，以最大限度地减少损害（包括人员、流程和技术这些疏忽和意外故障），降低系统风险方面发挥着至关重要的作用。根据 Omdia 的数据安全市场跟踪报告，数据发现市场目前价值约为 114 亿美元，预计到 2026 年将增长至 214 亿美元，Optus 等组织可能会为该市场增长做出贡献，因为他们试图了解必须保护的数据是哪些。（Omdia 将数据发现定义为“出于安全目的，专注于在组织控制范围内成功发现和分类任先前未识别的数据的解决方案”。）数据发现远不是 Optus 安全控制中唯一缺失的元素，多因素身份验证(MFA)、漏洞管理以及解决人为因素在安全漏洞中的作用等功能也是值得研究的领域的其他示例。Maxine Holt,网网络络安全高安全高级级总总监监Maxine.HClick here or press enter for the accessibility optimised version企业是否能企业是否能满满足足对客户数据对客户数据隐隐私私的期的期许许？企业可能将企业可能将继续继续再数据再数据隐隐私方面令客户失望。私方面令客户失望。各种报告表明，安全控制失各种报告表明，安全控制失败败是造成数据泄露的主要的、但可是造成数据泄露的主要的、但可预预防的一个原因。防的一个原因。Omdia 于 2022 年进行的网络安全决策者调查发现，32%的组织对其组织的安全控制“非常有信心”，另有 58%的组织称自己“合理的有信心”。Omdia 网网络络安全决策者安全决策者调调查：安全信心查：安全信心Source:OmdiaCopyright 2023各种报告表明，安全控制失败是造成数据泄露的主要的、但可预防的一个原因。对现有安全控制过度自信的进一步证据可以在网络安全决策者调查中找到，该调查显示 77%的企业组织遭受过大量安全事件和漏洞，其中一些对企业造成了严重影响。其中一些安全漏洞将包含在 Omdia 的安全漏洞跟踪器中。该数据着眼于安全漏洞的主要结果，在 2022 年安全漏洞报告中，65%的漏洞被跟踪为数据泄露。Omdia 安全漏洞追踪器：按安全漏洞追踪器：按结结果划分的漏洞份果划分的漏洞份额额Source:OmdiaCopyright 2023回顾 2019 年的历史数据，我们发现大约三分之二的违规行为始终导致数据泄露：2021 年为 68%，2020 年为 67%，2019 年为 64%。因此，可以毫不夸张地说，企业可能将继续在数据隐私方面让客户失望。Maxine Holt,网网络络安全高安全高级级总总监监Maxine.HClick here or press enter for the accessibility optimised version数据是安全数据是安全态态势势管理的最新管理的最新领领域域安全安全态态势管理势管理(SPM)已成已成为为云时代主动安全的增长趋势。云时代主动安全的增长趋势。它从云安全它从云安全态态势势管理管理(CSPM)开始，它始，它寻寻找基找基础础设施和平台即服务（设施和平台即服务（IaaS 和和 PaaS）环境中）环境中可能可能导导致漏洞的致漏洞的错误错误配置。配置。在过去几年中，它已扩展到 SaaS（软件即服务）安全态势管理，为 SaaS 应用程序做基本上相同的事情。现在，我们看到数据安全态势管理(DSPM)的出现，Cyera、Laminar、Uptycs、Veza 和 Xage 等公司都在争夺这一不断扩大的细分市场的知名度。DSPM 最初以观察模式运行，映射客户在云中的所有数据存储，包括 IaaS、PaaS 和 SaaS 环境中的结构化和非结构化数据。该过程完成后，它会对这些数据（包括个人身份信息或 PII 和其他敏感类型的数据）进行解析和分类，并显示需要修复的最高优先级风险，并为此目的建议采取行动。数据安全数据安全态态势管理势管理(DSPM)DSPM 还处于早期阶段，但随着越来越多的公司认识到需要对其云中的数据进行控制，它将与 CSPM 和 SSPM 等其他主动功能一起在市场上获得知名度。对于在此领域运营的供应商，他们需要更好地阐明 DSPM 的明显优势。此外，云安全是另一个领域的供应商可能会考虑通过内部开发或收购该领域现有的初创公司之一将其添加到他们的产品组合中。为为什么企业什么企业现现在要考在要考虑虑 DSPM 技术？技术？在 IaaS、PaaS 和 SaaS 环境中定位数据、检测访问权限的任何错误配置并在适当的情况下限制它们，将是其他云安全措施的有用辅助，甚至可能成为高度监管行业的法律要求。组织应熟悉 DSPM 领域的可用产品，并考虑如何将它们纳入安全控制中。Rik Turner,高高级级首席分析师首席分析师Rik.TClick here or press enter for the accessibility optimised version关于于 Omdia关于于 OmdiaOmdia 是 Informa Tech 旗下的技术研究和咨询集团。我们对技术市场的深入了解结合可操作的见解，使组织能够做出明智的增长决策。无论是从概念和产品开发，到市场推广和销售效能，我们都可以帮助您发展业务。我们通过我们的综合研究、咨询服务以及提供咨询分析师服务来实现这一目标。综综合研究合研究我们领先的预测和见解研究涵盖了技术行业的全部领域，提供超过2亿个数据点的访问权限，每年发布250多个预测和3000多份报告。咨询服务咨询服务我们的咨询团队充当您团队的延伸，与您合作进行定制项目，从市场规模评们队队进项场规评估到竞争环境评估，并为您提供营销策略建议。咨询分析师服务咨询分析师服务通过订阅我们的服务，您可以享受到与市场领先的分析师进行独特交流的机会，并从他们深厚的行业专业知识中受益。其他信息其他信息网站网站联系我联系我们们咨询分析师咨询分析师Click here or press enter for the accessibility optimised version感谢阅读数据数据隐隐私电子私电子书书Cookies 使用条款 隐私声明P O W E R E D B Y

19人已浏览 2023-10-10 18页 5星级

网络安全从工程到科学-网络安全关键技术探索2023年9月何申安全技术研究所所长目录1背景需求2技术趋势3创新实践 网络演进为安全技术发展注入新动力数智化时代，随着连接、算力、业务的融合演进，提出了安全.

58人已浏览 2023-10-07 19页 5星级

 请务必阅读正文之后的免责声明及其项下所有内容20232023年年0 09 9月月2727日日证券研究报告证券研究报告|证券分析师：熊 莉 证券投资咨询执业资格证书编码：S0980519030002证券.

18人已浏览 2023-10-07 37页 5星级

点击查看更多深信服科技：2023年上半年网络安全观察报告（43页）.pdf精彩内容。

124人已浏览 2023-09-28 43页 5星级

2023 年数据泄露成本报告IBM Security目录01 执行摘要 2023 年报告新增内容 重要结论02 完整的结论 全球关注重点 初始攻击媒介 发现攻击 数据泄露生命周期 关键成本因素 勒索软.

54人已浏览 2023-09-27 78页 5星级

隐私工程白皮书隐私工程白皮书CCSACCSA T TC601C601 大数据大数据技术技术标准推进标准推进委员会委员会2022023 3年年9 9月月版版权权声声明明本报告版权属本报告版权属于于 CC. 

42人已浏览 2023-09-27 56页 5星级

 2023 年中国企业勒索病毒 攻击态势分析报告 2023 年 9 月 摘 要 统计显示，医疗卫生行业是勒索病毒攻击的重灾区，报案数量占到勒索病毒攻击事件报案总数的 21.4%；制造业排名第二，占比为.

36人已浏览 2023-09-25 40页 5星级

中国网络安全产业联盟2023.9.16中国网络安全产业分析报告（2023年）11面临的新形势产业基本情况企业竞争力与产业格局资本市场分析243产业热点分析5产业发展展望6212023年网络安全产业发展.

195人已浏览 2023-09-21 39页 5星级

双子座实验室 年上半年全球主要 APT 攻击活动报告2023 年上半年全球主要 APT 攻击活动报告P4 概述P5 APT 组织攻击数据披露P9 重大 APT 攻击活动P13 总.

24人已浏览 2023-09-20 20页 5星级

  2023 云安全联盟大中华区版权所有2最高威胁工作组官网地址是：https:/cloudsecurityalliance.org/research/working-groups/top-threat.

39人已浏览 2023-09-19 13页 5星级

 天翼安全科技有限公司2023 上半年全国移动应用安全观测报告上半年全国移动应用安全观测报告天翼安全科技有限公司京智游网安科技有限公司爱加密移动应用运营中心天翼安全科技有限公司目录1.全国移动互联网应用.

44人已浏览 2023-09-15 28页 5星级

 2023 云安全联盟大中华区-版权所有12023 云安全联盟大中华区-版权所有22023 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官.

68人已浏览 2023-09-14 19页 5星级

点击查看更多腾讯云：金融安全免疫力热点洞察与解决之道（2023）（10页）.pdf精彩内容。

34人已浏览 2023-09-14 10页 5星级

 解决开源软件中的网络安全挑战开源软件安全和方法的现状以及解决并改善您的网络安全状况的方法联合出品：开源软件（OSS）已成为技术领域不可或缺的一部分，就像桥梁和高速公路是全球交通基础设施施密不可分一样，.

25人已浏览 2023-09-13 36页 5星级

腾讯?数据隐私蓝军?服务白皮书 文档版本：01 发布日期：2023 年 8 月 腾讯云计算（北京）有限责任公司 【版权声明】本文档著作权归腾讯云计算（北京）有限责任公司（以下简称“腾讯云”）单独所有. 

64人已浏览 2023-09-13 11页 5星级

AI来袭，网安生是否已准备下好这盘棋？这届00后为何选择网安专业？用人单位偏爱哪类网安人才？数据安全岗是否即将成为就业新蓝海？高薪or求稳，这届毕业生最想去哪里？网络安全产业人才发展报告2023网络安.

137人已浏览 2023-09-13 49页 5星级