1、7/在此过程中，团队参考并遵循包括GB/T 22080-2016/ISO/IEC 27001:2013、ISO/IEC27701:2019以及信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）等在内的多项国际与国内标准，确保公司业务的合规性。2.3 安全人员管理纷享销客为确保新入职员工符合公司的行为准则、保密规定、商业道德和信息安全政策，会在国家法律法规允许的范围内，采取一系列背景调查措施。同时，新员工入职时，必须按照公司规定签署保密协议。此外，纷享销客安全团队会针对不同岗位的员工，持续开展安全培训和宣导工作，内容涵盖网络安全基础知识、安全开发知识与最佳实践、基础安全意识以

2、及公司安全规范条例等，旨在提升员工的安全意识与防范能力。10/3.2 环境控制纷享销客数据中心采用一系列措施来保障运行环境：电力：为确保数据业务的不间断运行，数据中心配备了冗余的电力系统（包括交流和高压直流），主电源与备用电源具备相同的供电能力。在主电源出现故障（如电压不足、断电、过压或电压抖动）时，备用发电机和带有冗余机制的电池组将接替对设备供电，确保数据中心在一段时间内维持持续运行。气候与温度：数据中心采用空调系统（新风冷却或水冷冷却）确保服务器或其他设备在恒温环境下运行，并对温湿度实施精密电子监控，一旦出现异常，将立即采取相应措施。此外，设备冷风区域实行密闭冷风通道，以提高制冷效率，实现

3、绿色节能。空调机组采用N+1热备冗余模式（部分采用N+2冷热双重冗余模式），空调配电柜配置不同双路电源模式，以应对一路电源故障时，空调仍能正常接收供电。在双路电源均出现故障时，柴油发电系统可提供紧急电源，降低服务中断风险。火灾检测及消防：自动火灾检测和灭火设备旨在防止计算机硬件受损。火灾探测系统的传感器位于数据中心的天花板和地板下方，通过热、烟雾和水传感器实现。在火灾或烟雾事件发生时，着火区域将提供声光报警。数据中心内还配备手动灭火器，员工接受火灾预防和灭火演练培训，包括如何使用灭火器。13/技术人员在访问生产网络时，必须通过堡垒机进行。为确保安全，登录堡垒机需进行二次认证，且所有操作均会被详

4、细记录并进行审计。4.3 堡垒机纷享销客部署了Web应用防火墙（WAF）来识别和阻挡针对网站的恶意流量和攻击，有效过滤诸如SQL注入、跨站脚本（XSS）等常见的安全威胁。WAF的实时监控和自动化防御功能进一步增强了我们的应用安全性，确保客户交互的安全可靠，提供了更为稳固的网络业务平台。纷享销客部署了网络入侵检测系统（NIDS），持续监控网络流量，识别并报告任何可疑活动或潜在的安全威胁。通过使用先进的分析技术，NIDS能够有效地区分正常流量与恶意行为，确保我们的基础设施免受未授权访问和攻击，为客户提供了安全可靠的业务环境。4.4 网络入侵检测纷享销客与专业机构合作，部署了强大的分布式拒绝服务（D

5、DoS）防御系统，该系统通过先进的网络监测和流量分析技术，实时预防和缓解DDoS攻击，保障了我们的在线服务不受中断。通过自动触发的防护机制和即时响应，我们确保客户数据的完整性和服务的可用性。4.5 DDoS防御4.6 WAF（Web应用防火墙）19/7.2 应用安全扫描纷享销客开发团队采用静态应用程序安全测试（SAST）分析源代码或编译后的版本以查找安全漏洞；动态应用程序安全测试（DAST）在运行中的应用程序上执行测试，以发现可能在实际运行时出现的安全问题；同时结合人工安全审查，以确保代码无安全隐患。安全团队严格管理系统引入的第三方库和依赖项，对其执行安全检查，以识别已知的安全漏洞，与第三方合

6、作消除问题点。7.3 代码安全审核安全团队运用先进的自动化代码审查工具，以精准识别常见的编程错误及安全漏洞。此外，我们亦采用同行评审机制，鼓励团队成员相互审视代码，进而发掘可能存在的安全隐患。7.4 安全渗透测试纷享销客安全团队始终致力于系统安全性的提升，通过定期执行安全渗透测试，深入探寻系统潜在的安全隐患。为了确保代码质量，公司将代码审核通过率列为开发人员的重要考核指标之一，旨在明确每位实际编写代码人员的安全责任。此外，我们还诚邀第三方安全机构每年对系统进行全面的安全渗透测试，以模拟真实攻击场景，全面检验系统的安全防御能力。20/对于测试中揭示的任何潜在问题，我们均会采取积极措施进行修复和完

7、善，以确保系统始终保持高度可靠的安全状态。7.5 应用终端安全纷享销客已采取一系列安全技术措施，包括但不限于终端数据库加密存储、关键字符串key混淆保护、反编译技术、防篡改保护以及root检测等，以全面保障我司开发的APP在数据采集过程中的安全性。这些措施的实施，旨在确保数据的机密性、完整性和可用性，从而为用户提供更加安全、可靠的服务。7.6 用户账号安全纷享销客CRM系统运用独立的密钥中心对用户登录密码进行加密存储，且此加密过程采用了达到国际安全标准的算法，从而有效防止密码被破解。此外，系统还提供了安全的认证方式，以便与客户的自有SSO系统实现无缝对接，进而利用客户内部的登录系统完成纷享销客

8、CRM系统的认证登录过程。纷享销客CRM系统在保障用户登录、设备与密码安全方面提供了全面的功能支持，并已将这些功能产品化，便于企业客户的管理员根据企业内部的安全规范进行灵活配置。以下是具体的安全功能介绍：CRM系统支持用户密码的周期性更新，管理员可以根据需要配置密码的更新周期，包括30天、60天、90天、180天、1年，或者设置为永不过期（默认为永不过期）。2CRM系统允许管理员配置用户密码的不重复次数，上限为10次，以增加密码的安全性。3 管理员可以根据安全需求配置密码的复杂度要求，以提高密码的破解难度。4CRM系统支持双因子验证功能，即密码+短信验证，进一步提高用户登录的安全性。121/用

9、户和管理员都可以管理登录设备，随时禁用不需要的设备。管理员还可以配置新设备登录需旧设备授权，以防止未经授权的设备访问。6当用户在30分钟内尝试密码登录失败3次时，CRM系统将要求用户输入图形验证码。如果再连续错误3次，该账号将被锁定30分钟，之后将自动解除锁定。7管理员可以配置空闲强制登出功能，并设置空闲时间，以确保用户在离开设备时能够及时退出登录，防止未经授权的访问。8CRM系统会记录用户的所有登录操作，包括异常登录记录。客户管理员可以查看和审计这些记录，以便及时发现和处理安全问题。9对于特殊用户，系统支持配置限定该类用户只能通过特定的IP列表进行访问（如客户公司内网IP），以进一步提高访问

10、的安全性。10CRM系统提供web端登录需手机端扫码确认的功能，增加登录过程的安全性验证。523/在此过程中，运维人员必须通过堡垒机进行接入，并采用多因子认证（MFA）方式以确保登录的安全性，有效防止非法访问。8.3 安全漏洞管理纷享销客对于系统中运用的每一技术组件，都设立了严谨的安全基准线，从而确保所有使用的组件均处于安全稳定的版本状态。同时，我们始终保持着对业界安全动态的敏锐关注，一旦发现包括0day漏洞在内的任何安全隐患，我们的专业安全团队会依据既定的安全事件管理规范，迅速启动漏洞应对机制。团队将依据漏洞的严重程度以及业务影响分析，制定出针对性的漏洞修复方案并快速执行，以确保系统的整体安

11、全性得到及时而有效的保障。8.4 安全事件管理纷享销客已建立详尽的安全事件管理制度，该制度对安全事件进行了明确分类与分级，旨在为安全团队提供明确的处理指南，确保安全事件得到迅速且有效的应对。此外，公司还致力于不断完善安全感知系统，以便能够迅速识别各类安全事件。全面的日志系统则为我们提供了追踪事件源头和影响范围的能力，从而确保风险能够被及时隔离，并采取适当的安全处置措施。安全事件管理制度详细规定了安全事件发生时的通报流程。若运维人员身处公司外部网络，则需先通过VPN建立安全连接，再经由堡垒机登录，从而确保整个操作过程的安全性。一旦事件满足通报条件，安全团队将立即启动通报机制，并依据安全事件管理制

12、度，将事件及时、准确地通报给相关方。24/8.5 业务连续性管理与灾难恢复8.5.1 高可用架构设计纷享销客采取了严谨的“两地三中心”部署架构，通过多线路接入策略，在全球范围内精心布局接入点。这种部署方式显著增强了系统的容错能力，即便单点接入出现故障，也能迅速切换到其他可用节点，确保全网服务的连续性和稳定性，从而实现了高达99.9%的服务可用性。在应用层面，我们采用容器集群部署方式，并将集群细分为多个独立的set，以增强系统的横向扩展能力和高可用性。每个应用均设计为多副本冗余架构，即便某个节点出现故障，其他副本也能迅速接管服务，避免了大面积的服务中断。在数据库层面，我们采用了先进的1主2从或1

13、主1从部署模式，为核心数据提供了准实时的异地存储能力。同时，我们实施了定期全量备份与增量备份相结合的策略，确保数据的完整性和可靠性达到极高的标准，即数据可靠性达到10个9。8.5.2 数据备份与灾难恢复纷享销客CRM系统的数据存储机制极为完备，系统内的数据都具备全量备份与增量备份的双重保障，同时，我们还实施了异地数据备份策略。这些措施共同构成了我们强大的数据恢复能力，最大程度地降低了数据损失的可能性。为了持续提高数据恢复的效率与准确性，我们定期进行数据恢复演练。这些演练不仅验证了预先制定的数据恢复措施的有效性，还帮助我们不断优化数据恢复措施和流程。通过持续的改进，我们确保了在面对任何突发情况时

14、，都能迅速、准确地恢复数据，从而保障了业务的连续性与稳定性。25/8.5.3 业务连续性保障经过精心策划与组织，纷享销客已建立一套系统的业务连续性管理规范。为确保规范的有效实施，特别成立了以公司技术决策委员会为核心的业务连续性管理小组。针对CRM系统，我们进行了深入细致的风险分析与业务影响评估，旨在全面识别潜在风险并评估其对业务的具体影响。在此基础上，我们制定了多层次、多维度的防范措施，并实施了针对性的风险处理与恢复策略，以确保在风险发生时能够迅速应对，保障业务的连续稳定运行。为了进一步验证风险处理与恢复策略的有效性，我们特别制定了业务连续性演练计划。通过定期模拟风险场景，进行实操演练，我们能够在实战中检验策略的可行性，并及时发现问题与不足。演练结束后，我们会进行详细的复盘分析，针对演练中暴露出的问题制定改进措施，并将这些改进措施及时纳入风险处理与恢复策略中，实现业务连续性工作的持续优化与提升。通过这样的闭环管理，我们不仅能够持续加强系统的抗风险能力，还能够显著提升业务的连续性，确保公司在面对各种风险挑战时能够保持稳健、高效的运营状态。