数据安全与管理

Q：如何保障信息安全

易星云以安全稳定为最高优先级目标，通过多重措施保障信息安全：

易星云服务器部署于阿里云平台上，有云盾保护，确保服务器安全可靠。

访问控制：配置数据库访问⽩名单，仅允许可信IP或⼦⽹访问，防⽌未授权的访问。严格分配⽤户权限，遵循最⼩权限原则，确保数据库账号只能访问必要的资源。
身份认证：强制使⽤⾼强度密码策略，避免弱密码导致的安全漏洞。
数据备份：⾃动备份策略，定期对数据库进⾏全量和增量备份。
Web应⽤防护：配合WAF防⽕墙保护前端应⽤，防⽌SQL注⼊和恶意查询流量直接影响数据库。
SSL/TLS 全程加密：易星云数据传输过程中全程使用 SSL/TLS，可以避免网络传输过程
       窃听风险 (eavesdropping）：第三方可以获知通信内容
       篡改风险 (tampering）：第三方可以修改通信内容
       冒充风险 (pretending）：第三方可以冒充他人身份参与通信
而采用 SSL/TLS 后，这些风险都可以规避：所有信息都是加密传播，第三方无法窃听,具有校验机制，一旦被篡改，通信双方会立刻发现配备身份证书，防止身份被冒充。

服务器登录授权：易星云所有生产环境服务器都采用密钥对登录，无法使用密码登录，密钥对采用公有密钥密码术加密和解密登录信息（基于 2048-bit SSH-2 RSA），只有用户密钥对文件.pem 的人员才可以连接服务器。这种登录授权方式，使得恶意攻击无法通过猜测服务器的用户名和密码来连接服务器。
分级运维制度：所有能够接触到生产环境服务器的人员，都进行了严格的分级，对于数据中心只有极少数的人员得到授权时才可以访问。易星云团队在运维管理上采用了 “结对运维”的制度，只要操作生产环境服务器，就需要至少两人同时在场，同时做好每一次操作生产环境服务器的日志。
应急灾难处理：易星云团队内部组建了一支应急灾难处理分队，由技术总监直接负责，在遇到问题时。该分队会立即响应，按照灾难应急处理流程及时解决。

公司非常重视系统和数据的安全保障。为此，我们采取以下措施

委托专业安全公司进⾏定期安全审计和渗透测试
1️⃣：我们与第三⽅安全扫描公司⻓期合作，由专业团队定期对系统进⾏全⾯的安全评估，包括漏洞检测、渗透测试和安全加固建议，确保系统始终符合最新的安全要求。
2️⃣：内部技术团队负责⽇常安全管理和应急响应，同时结合⾃动化安全⼯具和外部专家建议，形成全⾯的多层次安全保障体系。
通过定期的独⽴安全审计
1️⃣：系统已通过专业机构的独⽴安全审计，达到企业级的安全标准和⾏业规范(如ISO 27001)。

以上措施确保了我们系统的安全性能够满⾜企业级的需求，客户的数据和系统都得到了充分的保护

敏感数据加密存储
对于⼿机号、姓名、邮箱、身份证这类敏感信息使⽤AES加密算法，对⽤户信息进⾏加密，确保数据在存储时⽆法被直接查看。
配置加密密钥的严格权限管理，避免密钥泄露导致数据被解密。
密码MD5加密存储
密码采⽤MD5哈希算法进⾏不可逆加密存储，确保即使数据库被泄露，攻击者也⽆法直接还原明⽂密码。在⽤户密码哈希计算前，拼接⽤户独有的随机盐值，显著提⾼抵抗彩虹表攻击(通过简单密码反向对⽐密⽂)的能⼒。

可以，具体恢复规则见下表：