安全、认证、可信：Proemion 的安全框架

Proemion的远程信息处理解决方案以安全为核心。在过去十年中，我们不断改进我们的安全态势，从2016年的硬件可信平台模块（TPM）和TLS加密等早期措施，到今天由专门的网络安全团队领导的全面安全计划。2026年，Proemion获得了ISO/IEC 27001:2022认证，确认我们的信息安全管理系统（ISMS）符合严格的国际标准。本白皮书概述了 Proemion 如何通过强大的安全架构和实践来保护设备、数据和云服务。

我们将安全融入产品生命周期的每个阶段，采用强大的加密技术保护数据，并确保设备固件和云基础设施的完整性。我们的方法重点包括：代码审查和测试的安全开发实践、硬件支持的设备身份识别和安全启动、符合行业最佳实践的云基础设施加固、持续的漏洞管理（审计中发现的问题极少）、对第三方供应商的严格监督、全面的物理和人员安全控制，以及符合 ISO 22301 标准的业务连续性计划，以提高恢复能力。在本文档中，我们以易于理解的方式将这些实践与相关的 ISO 27001:2022 附件 A 控制目标进行了映射，从而展示了 Proemion 对卓越技术和合规性的承诺。

Proemion 遵循安全开发生命周期 (SDLC)，以确保我们的产品从一开始就具有安全性。我们在设计、构建和部署远程信息处理硬件和软件的每一个步骤中都设置了安全检查点。我们在强大的安全工程文化与现代开发灵活性之间保持平衡，因此新功能可以快速、安全地到达客户手中。我们的 SDLC 的关键要素包括

所有工程师都会接受与角色相适应的安全开发培训，以了解最新的威胁和最佳实践。所有开发人员都要完成强制性的安全编码培训，并鼓励他们参加培训；培训时间由公司提供。定期的安全意识课程确保团队对新出现的漏洞保持警惕。

我们拥有超越OWASP Top 10 的全面编码标准，涵盖广泛的安全编码准则。这些标准（与 ISO 27001 的安全开发控制相一致）已纳入我们的开发流程--除非符合标准，否则代码不得合并和发布。以安全为重点的自动静态分析和手动代码审查强制执行这些规则，防止常见弱点进入我们的代码库。

我们对所有代码变更都有严格的同行审查流程。经验丰富的工程师（"守门人"）会对每次变更进行以安全为重点的代码审查，以验证是否符合我们的安全编码标准，并找出潜在的漏洞。这种 "四眼原则 "确保安全不是一个人的责任，而是整个开发团队的共同意识。

我们的软件供应链受到严密监控。我们使用可信来源的第三方库，并持续监控开源组件的漏洞。例如，我们的源代码控制平台会自动提醒我们注意依赖项中的已知漏洞，我们会根据严重程度及时采取相应措施。我们还会在使用新的第三方模块前审查其代码，评估其安全性，只有在符合我们的标准后才会集成它们。

安全是我们对每个功能的 "完成定义 "的一部分。我们将单元和安全测试用例集成到持续集成管道中。当错误或漏洞得到修复时，我们会添加回归测试，以防止再次发生。我们还在开发过程的各个阶段测试应用程序，包括在构建和暂存环境中进行大量自动测试以及手动测试。

我们通过代码和自动化来处理部署工作，以消除人为错误并确保一致性。我们将应用程序部署到通过基础设施即代码和安全基线模块配置的加固环境中。每个环境（暂存、生产）都配备了符合行业最佳实践的安全配置（如最小权限访问、加固的操作系统设置）。对云基础设施或设备固件的所有更改都要经过更改管理审查，我们的自动化管道在推广到生产之前会进行安全检查。

通过这些SDLC措施，Proemion确保安全不是事后考虑的问题，而是产品创新不可分割的一部分。我们的方法与 ISO 27001:2022 附件 A 中有关安全开发（如控制 8.28 安全编码）和变更管理的建议相一致，将高级标准转化为具体的日常实践。

保护客户和我们自己的数据至关重要。从加密和密钥管理到数据管理流程，Proemion 实施了多层次的数据保护，以确保信息的保密性、完整性和可用性。我们在设计系统时遵循的原则是，无论是在静止状态、传输过程中还是在使用过程中，敏感数据都必须受到默认保护。我们的数据保护和加密实践重点包括

设备、云服务和用户界面之间的所有通信都使用强大的协议（TLS 1.2+）进行加密。例如，我们的设备连接使用 TLS 1.2 和强大的密码套件，以确保空中遥测的安全。这确保了Proemion通信单元（设备）与我们的后端之间传输的数据不会被窃听或篡改。我们定期根据行业基准（如 SSL 实验室）审查我们的 TLS 配置，我们的端点已获得 "A+"等级，反映了高标准的传输安全。

存储在我们的云数据库和端点中的数据在静态时进行了加密，以防止物理丢失或未经授权的访问。我们的云数据库、文件存储和备份采用 AES-256 加密技术，密钥由强化的密钥管理服务进行管理。Proemion员工使用的笔记本电脑和移动设备均已启用全盘加密。我们遵循行业准则（包括 NIST SP 800-57）规定的加密密钥强度和旋转频率。例如，客户静态数据使用 AES-256 或更高版本进行保护，加密密钥定期轮换。密码从不以明文形式存储；我们根据加密政策使用强大的单向散列。

加密密钥和机密的处理非常谨慎。私人密钥（用于服务器、设备、代码签名等）存储在安全的保险库或硬件安全模块中，并有严格的访问控制（仅限于授权人员并需要多因素验证）。根据我们的 "访问控制政策"，对密钥的访问以最小权限为基础。对于特别关键的密钥，如用于签署设备固件的离线密钥，我们采用知识分割和双重控制流程（详见设备和固件安全）。所有密钥的使用都会被记录和监控，以检测任何未经授权的访问。我们还使用高质量的随机数生成器确保密钥生成的安全性，绝不在代码或固件中硬编码秘密。

我们对数据进行分类（如公共数据、内部数据、机密数据），并对每种分类采取相应的控制措施。个人数据和其他机密信息的处理符合 GDPR 和其他相关隐私法规。我们尽量减少在远程信息处理平台中收集个人数据；当有必要收集此类数据时（例如，用户账户详细信息），我们会在可行的情况下对其进行化名或匿名处理。在内部，我们对员工进行正确处理数据的培训，例如，不得通过不安全的渠道传输敏感数据，并使用公司批准的加密存储方式存储机密文件。

根据 "通过设计保护数据 "的理念，我们仅在达到目的或满足法律要求所需的时间内保留数据。我们有安全处置或匿名化不再需要的数据的流程。所有保存机密数据的存储介质在退役前都会被安全删除或销毁。我们遵循成文的数据保留时间表，我们的数据管理政策确保我们既能满足业务需求，又能履行合规义务。

Proemion 的数据保护方法将强大的加密控制与智能数据管理相结合。通过使用最先进的加密技术和严谨的数据处理实践，我们确保敏感信息在其整个生命周期内保持机密和完整。这些措施与 ISO 27001:2022 的加密、访问控制和数据屏蔽控制相一致，确保数据始终安全，不会受到未经授权的访问。

Proemion 的云基础设施是我们全球连接平台的支柱，我们采用深度防御战略确保其安全。我们利用亚马逊网络服务（AWS）作为主要的云提供商，并严格遵守 AWS 的安全最佳实践。我们的方法可以概括为安全设计和持续监控。我们的云基础设施安全和运营的主要方面包括

我们按照 AWS 分担责任模型和 AWS 完善架构框架设计我们的云系统。这意味着，我们为生产工作负载明确划分了由 AWS 管理的安全控制（如物理数据中心安全和底层硬件）和由我们管理的安全控制（如从操作系统开始的所有内容），并将其与开发和测试环境分开。我们的云环境被划分为多个虚拟网络（VPC）和账户，以便在生产中进行隔离，我们还根据功能和敏感性进一步隔离服务。网络安全组和防火墙执行最小特权原则：服务仅在所需端口/协议上通信。我们还实施了 AWS 推荐的保护服务，如针对网络服务的 Web 应用程序防火墙（AWS WAF）和针对公共端点的 DDoS 保护的 AWS Shield。

所有服务器（无论是 EC2 实例、容器还是无服务器功能）都是从加固的映像和配置中启动的。我们定期更新基础镜像，并自动应用安全设置（如禁用未使用的端口和强制执行 CIS 基准配置）。数据库、缓存和存储桶等云服务的配置都考虑到了安全性：启用了静态加密、严格的访问策略，除非绝对必要，否则不得进行公共访问。对云系统的管理访问需要多因素身份验证（MFA），并通过 AWS 身份和访问管理（IAM）角色进行严格控制。我们还利用自动配置扫描工具来检测错误配置或偏离安全基线的情况，并与 ISO 安全配置管理控制保持一致。

我们严格控制对云资源的访问。我们云环境中的每个用户和服务都在一个具有定制权限的专用身份下运行。我们尽可能使用 IAM 角色和临时令牌来避免长期存在的静态凭证。所有控制台和 VPN 访问都必须进行多因素身份验证。云账户中的管理操作仅限于少数工程师，所有访问都会记录在案。我们定期审查和调整权限，确保任何用户或系统的访问权限都不超过所需的权限（支持最低权限和 ISO 附件 A 身份管理控制）。

我们的云平台受到持续监控。我们将所有关键系统的日志（包括审计日志、网络流量日志、操作系统日志和应用程序日志）汇总到一个集中式安全信息和事件管理系统（SIEM）中。与安全相关的事件（如身份验证失败、配置更改、异常网络流量）会触发警报，供我们的安全团队进行调查。我们使用 AWS CloudTrail 和 AWS Config 来记录和评估环境中的操作。此外，我们还在关键系统上采用入侵检测和文件完整性监控，以捕捉任何入侵迹象。我们的运营团队还整合了威胁情报馈送，这样我们就能了解新出现的威胁（如零日漏洞或活跃的网络攻击），并能根据附件 A 中有关威胁情报的新控制措施，主动加强防御或应用补丁。

高可用性和连续性内置于我们的云架构中。我们在多个可用性区域部署关键服务，以抵御数据中心中断。数据定期备份（加密），以防云区域发生灾难性故障。我们定期进行恢复演练，以验证备份是否可以恢复，系统是否可以在我们的恢复时间目标内重建。如果发生任何服务中断，我们的事件响应和运营团队都会制定相应的流程，以迅速减轻影响并及时通知客户。(业务连续性将在后面的章节中详细讨论，但值得注意的是，我们的云设置在默认情况下是具有弹性的）。

我们的云计算运营采用 DevSecOps 模式，将安全内置于工作流程中。基础设施变更（如修改网络规则或部署新服务）与应用程序代码一样，都要经过代码审查和自动测试。我们利用基础设施即代码模板，这意味着环境配置是受版本控制和可审计的。在应用变更之前，我们会进行自动策略检查（例如，"这一变更是否会打开任何不应打开的端口？"、"是否启用了加密设置？"）。只有在这些检查和审批通过后，才会应用变更，通常是自动应用。这减少了人为错误造成安全漏洞的几率，并确保了每项基础架构变更的可追溯性。

总之，我们对云基础设施的管理与我们的软件一样严格：安全设计、最小权限配置、持续观察并不断改进。通过遵循 AWS Well-Architected 等框架并与 ISO 27001 的云安全指南保持一致，我们确保了我们的后端系统以及客户的数据和服务在云中的安全。

Proemion 并非孤立运作--我们依赖各种第三方供应商提供基础设施、组件和服务，并与客户和合作伙伴的系统集成。我们深知，只有最薄弱的环节才能保证我们的安全，因此我们也将我们的安全责任延伸到第三方。我们的第三方安全计划可确保供应商、供货商和合作伙伴达到较高的安全标准，并确保与他们共享的数据受到保护。我们的方法主要包括

我们保存一份重要供应商和服务提供商（云托管、软件库、制造合作伙伴等）的清单，并对其安全状况进行评估。对于每个将处理敏感数据或操作的第三方，我们都会在入职期间进行尽职调查，其中可能包括审查其安全认证（如 ISO 27001、SOC 2 报告）、监管合规性（如 GDPR）及其整体声誉。我们使用基于行业框架的标准化问卷来评估其控制措施。风险将被记录在案，高风险发现必须在参与前得到缓解或补偿。

Proemion 的供应商协议包括有关安全和数据保护的具体条款。对于能够访问我们的数据或系统的任何供应商，我们都会以合同形式要求他们遵循适当的安全实践和合规制度。例如，云计算和软件供应商必须保持相关认证（如 ISO 27001 或 PCI-DSS（如适用）），并向我们通报任何违规行为或态势变化。我们还包括保密和数据处理条款（通常与 GDPR 和我们自己的隐私标准一致），以确保第三方以与我们相同的水平保护数据。

第三方关系并非 "一劳永逸"。我们会定期审查主要供应商的性能和安全性。这可能包括每年审查其更新的审计报告，并监控其公告中的任何事件或漏洞（例如，如果我们的云提供商发布安全公告，我们会核实我们的环境是否受到影响，或打上必要的补丁）。对于关键供应商，我们会保持联络点，并定期召开会议讨论安全事宜。我们还会跟踪合同的续签时间，以重新评估风险并根据需要更新条款。在这些审查中，我们会考虑新的和不断变化的风险（如供应链攻击或供应商的业务变化）。

当我们与第三方应用程序接口或硬件（如客户的系统或合作伙伴的平台）集成时，我们会确保交互安全。这可能涉及使用 VPN 或专用安全通道进行系统集成，以适当的范围和轮换方式管理 API 验证密钥，以及测试集成是否存在安全漏洞。我们对外部数据共享与内部数据共享一样谨慎，确保数据在传输过程中进行加密，并将其限制在必要的最小范围内。如果合作伙伴需要访问我们的系统（例如，出于支持目的），我们会提供具有有限权限的专用账户，并对其活动进行详细记录。

我们的产品不可避免地包含第三方和开源组件。我们对这些组件进行了精心挑选，倾向于使用维护良好、广受信赖的库。我们对解决方案中包含的所有第三方软件和固件都进行了编目。我们会监控这些组件中的漏洞信息（如 CVE 数据库），并通过我们的补丁管理流程及时更新或修补它们。此外，我们的 "安全开发政策 "还包括开发人员评估开源组件（如检查代码签名、验证校验和、审查许可证）的指导原则。通过管理进入我们软件的内容，我们降低了隐藏漏洞或第三方恶意代码的风险。

如果安全事件涉及第三方服务提供商或由其造成，我们会与该供应商密切合作解决。我们的事件响应计划包括联系供应商、交换必要信息，并确保他们采取适当的应对措施。我们保存第三方联系人的文件，以备不时之需。事故发生后，我们可能会重新评估供应商的适用性，或者如果他们没有达到预期，我们会要求他们采取纠正措施。

Proemion对第三方安全的承诺意味着我们的合作伙伴和客户不仅可以信任我们，还可以信任我们周围的生态系统。我们希望我们的供应商能够坚持与我们相同的高标准，并通过严格的监督来验证这一点。这种方法与 ISO 27001:2022 附件 A 中有关供应商关系和供应链安全的控制措施相一致，有助于确保数据即使在外部处理时也能得到保护。归根结底，安全是一项共同责任，我们认真履行自己的职责，将我们的安全文化延伸到组织边界之外。

面对不可预见的中断--无论是自然灾害、网络事件还是运营故障--Proemion都做好了维持关键服务并迅速恢复的准备。我们的业务连续性和灾难恢复（BC/DR）计划旨在最大限度地减少停机时间和数据丢失，即使在最坏的情况下也能保持客户业务的顺利运行。我们的连续性计划符合 ISO 27001 附件 A 和 ISO 22301 标准，以确保最佳实践。我们业务连续性计划的关键要素包括

业务连续性管理是 Proemion 信息安全管理系统 (ISMS) 不可分割的一部分。我们确定关键业务功能以及在中断事件中支持这些功能所需的资源，包括远程信息处理云服务、内部 IT 系统和支持性基础设施。进行业务影响分析 (BIA)，以确定关键流程的恢复优先级和可接受的停机时间。通过既定的治理和管理流程，对连续性战略、责任和改进行动进行定义和审查，确保做好准备并持续改进，而无需依赖独立的连续性管理结构。

对于关键系统，Proemion 定义了适当的恢复时间目标 (RTO) 和恢复点目标 (RPO)，以指导恢复和复原规划。这些目标基于业务影响和风险评估，确定了可接受的服务恢复时间表和数据恢复预期。恢复目标通过既定的管理流程进行审查和批准，旨在满足适用的合同、监管和运营要求。实施技术和组织措施来支持这些目标，并定期进行审查，以确保其持续有效。

我们有一个成文的技术灾难恢复计划，详细说明了如何在各种灾难情况下恢复每个系统。例如，如果整个 AWS 区域宕机，我们有程序使用备份数据和基础设施即代码脚本在备用区域启动我们的服务。如果软件部署严重影响了系统，我们可以回滚到已知的良好状态。我们的灾难恢复计划定期进行部分和整体测试。我们进行模拟重大故障的演习（至少每年一次）。在这些演习中，团队会练习从备份中恢复、切换到冗余系统以及验证数据完整性。发现任何漏洞都会及时处理。

我们尽可能避免单点故障。我们的关键系统以冗余配置运行--多台服务器、冗余网络路径、办公室备用电源等。我们为关键组件制定了故障切换流程（例如，如果一项服务出现故障，备用服务可以接替）。我们会持续备份数据，备份会异地存储并加密。我们还使用数据库快照等云功能，以确保即使单个位置受到破坏，数据仍然安全。这些措施的结合可确保以透明的方式处理许多较小的事故（如服务器故障或连接中断），而不会造成停机。

在发生重大故障时，我们有明确的指挥链和沟通计划。我们的事件响应团队包括来自安全、IT、DevOps 和支持部门的成员，同时也是我们的应急响应团队。他们迅速集结（如有需要，可通过虚拟方式），评估情况并启动响应行动。我们有预先起草的沟通模板，用于通知客户、合作伙伴和内部利益相关者，确保及时准确地传播信息。在任何连续性事件中，我们都会优先考虑安全（物理事件）和数据保护。事故发生后，我们会进行回顾总结，以便学习和改进（将其纳入我们的业务连续性管理体系和安全风险管理流程）。

业务连续性不是一次性项目，而是一项持续性工作。每当我们的环境发生重大变化，例如我们采用了新技术或我们的业务重点发生变化时，我们都会更新我们的连续性和恢复计划。我们定期对员工进行应急程序培训。我们的目标是，如果灾难发生，每个团队成员都知道自己的职责，并且恢复步骤已经演练过。此外，通过与 ISO 22301 等标准保持一致，我们确保我们的方法不仅涵盖 IT 恢复，还涵盖更广泛的业务方面（备用工作地点、通信等）。

Proemion制定了健全的连续性计划，确保即使在不利条件下，我们也能履行承诺，满足与客户签订的服务水平协议。无论是局部的硬件故障还是大范围的危机，我们都做好了快速响应和恢复的准备。这种恢复能力是我们承诺的关键部分：我们不仅确保您的数据安全，还确保您所依赖的服务的可用性。结合我们的预防性安全措施，这使得我们的整体安全态势非常全面，涵盖了端到端的保护、检测、响应和恢复。