核心安全技术架构 - 采用私有专网架构避免局域网服务直接暴露于公网 远程终端需通过身份验证才可加入组网 [1] - 数据传输过程中根据传输模式分别采用不对称AES加密算法直接加密及TLS加密传输协议 [4] - P2P直连传输模式下通过会话服务器进行身份验证并生成共用AES通讯密钥进行加密传输 [7][9] - 转发模式下启用TLS加密协议 通过证书等形式验证双方身份确保可信 [9] 访问控制与身份验证 - 基于用户身份 设备信息 访问时间等因素实现精细化访问控制 [3] - 账号验证数据全程采用HTTPS协议确保传输双方身份可信 [10] - 硬件层面采用自研防注入技术保障Web接口调用安全 有效阻止恶意指令注入 [10][12] 安全研发与测试体系 - 严格遵循最小特权原则 权限分离原则 纵深防御原则等十大安全设计原则 [12] - 每月对新增功能进行模糊测试 渗透测试 满足OWASP最新测试规范 [12] - 使用代码审计工具对代码进行静态审计 跟踪扫描结果并优化安全规则 [12] - 定期进行全面的漏洞扫描和模糊测试 及时消除安全隐患 [12] 安全运营与生态合作 - 自建安全响应平台构建标准化长效安全体系 整合公共网络安全能力 [12] - 与国内外知名安全机构合作进行安全渗透测试及漏洞扫描 [14] - 与白帽黑客 安全社区 众测平台保持紧密合作关系 [14] 安全认证与加密能力 - 通过国家信息系统安全等级保护三级认证 支持国密算法 [3] - 具备风险终端自动隔离 接入行为日志全程记录等安全能力 [3] - 数据传输全程加密 保障企业数据资产安全 [3]