用友云，让用户更安全

说实话，记者对用友云的安全性还是刮目相看的。因为记者没有想到，用友云在上线发布的同时居然同时就向客户发布了《用友云安全》白皮书。

这是所有XX云中第一个这样做的。这在一定程度上反映出，用友云对安全问题是足够重视的。面对用户最关心的安全问题，用友云能让用户有安全感吗？

我的数据安全吗？

数据安全是用户最关心的问题。

在这方面，用友云极其深入的思考，也对此有足够多的防护。

从《用友云安全》白皮书可以看到，用友云依据数据安全生命周期，从数据创建、存储、使用、共享、归档至销毁，使用了数据分级、数据加密等措施，保障了数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。

用友云通过数据分类分级、数据加密和密钥管理为敏感数据提供可持续的信息保护，实现数据的灵活性、可靠性和可管理性；借助密钥管理中心和加解密产品实现数据安全保护和控制，将安全技术嵌入至整个数据安全生命周期中，以保障数据安全属性。用友云还会对上线的产品进行持续监控，特别是对动态发布的内容进行重点的防护，防止网页篡改、盗链、发布不符合国家法律法规的内容和言行等。用友云与多家领先的安全服务伙伴一起，借助大数据的技术，为用户的应用内容提供了一级防护能力。

用友云对数据活动进行全程安全审计，覆盖所有数据活动的详细跟踪记录，并进行实时的语境分析和行为过滤，从而实现对用户访问行为的主动控制，生成审计员所需要的信息。

用友云对数据进行全面性备份和关键数据备份，采用多备份、异地备份等方式，保障数据的存储安全。需要报废或移出数据中心的网络设备及存储设备，依据 DoD5220.22-M、 NIST 800-88 标准进行清除数据、 磁盘消磁以及物理销毁。

用友云还建立了本地应急系统及容灾系统，本地应急系统、容灾系统与生产系统相互配合共同保证整体业务连续性。同时，用友云成立专门的应急响应组。应急响应组由安全专家、业务专家、技术专组成，他们制定了完备的应急响应制度及灾难恢复流程，并定期组织灾备演习和维护。

值得一提的是，用友云还实现企业通信录和电子邮件、短信等内容的安全保密。它对企业通信录采用加密存储，可分级管理通信录，针对不同人群设置不同权限；同时企业可以设置对重要部门进行保护， 该部门的信息会自动隐藏， 即使是企业内的员工，没有相应权限无法访问。对于不同公司的信息，存储空间是相互隔离的，当员工离职后，会被踢出对应的企业群，自动剥离员工在该企业的权限。企业可以设置对员工的手机号进行隐私保护， 在对外展示员工信息时隐藏手机号码，防止信息泄露，但不影响电话通讯和电话会议等相关功能的使用。用友提供的电子邮箱服务如微邮，结合大数据的技术，能够对垃圾邮件数据进行了有效的清洗，保障用户邮箱不受侵扰和攻击。通过用友云提供的服务在客户端存储是加密保密的。

我的账号安全吗？

由于云服务的访问是通过账号来进行，访问往往会带来非常大的安全隐患。用友云在这方面有什么措施呢？

首先，用友云非常好的身份认证体系和技术。用友云使用密码强制策略用于密码或密钥管理。包括密码定期修改频率、密码长度、密码复杂度、 密码过期时间等。 用友云针对生产数据及其附属设施的访问控制除去采用单点登录外，均强制采用双因素认证机制，例如像证书和一次性口令生成器。

其次，访问控制是网络安全防范和保护的主要核心策略，它的主要任务是保证网络资源不被非法使用和访问。用友云访问控制由权限管理体系实现，权限管理体系以 RBAC 为核心的权限模型，支持功能、数据等多类权限资源，借助职责实现权限继承，简化、规范企业业务权限体系的规划，支持集中与分层的授权体系，支持内控与审计。

再次，用友云的数据访问权限有专门设置。用友云数据权限遵循以下原则：

• 严谨的权限安全控制：支持基于数据实体的数据权限控制，支持所有者权限和主管权限

• 管理权与业务权分离：支持管理权与业务权互斥，管理人员不能直接操作和访问数据

• 数据权限审计：多角度权限控制，支持权限审计，权限管理业务日志，保留完整审计信息。

• 关键业务数据权限：关键业务要求二次权限认证，以加强保护。

最后，用友云专门针对移动终端访问有充分的安全认证。它会对所有登录的用户进行设备认证，如果该设备没有通过认证则不允许登录；可信设备认证需要经过账号或密码及验证码的

认证。并且，用友云对移动客户端的数据库进行了整库加密存储，根据用户设备信息通过加密算法生成的唯一密钥，保护用户客户端存储的敏感信息不被攻击者非法获取，保障用户的隐私数据不被泄露。

我的应用安全吗？

租用了你的云服务，我就需要你的服务、我的应用能随时使用，需要我的应用能正常使用，而不会动不动访问不了，甚至动不动出现宕机。用友云能保证其应用的安全性吗？

据《用友云安全》白皮书介绍，用友云提供全面的应用安全保障，包括用友云使用安全开发流程保障应用开发生命周期安全，通过安全性评估过程保障业务流程安全。用友云提供的应用安全服务包括身份管理和访问控制、日志和监控、 应用安全管理、资源控制，以此达到应用本身的安全，同时支撑企业安全运维管理的需求。

为确保系统的网络访问安全，系统需要采用的安全手段主要有：访问控制（含 VLAN）、防火墙、线路备份、CA认证、VPN技术、入侵检测等。用友云使用了多种手段实现网络传输安全。用友云通过阿里云应用防火墙WAF防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，过滤海量恶意CC攻击，避免客户的网站资产数据泄露，保障网站的安全与可用性。此外，用友云还使用了阿里云高防IP抵御 DDoS攻击。

由于用友云在其云市场有很多第三方的服务。因此，用友云非常看重第三方应用 API的服务认证。用友云服务会对每个访问的请求进行身份验证，所以无论使用 HTTP 还是 HTTPS 协议提交请求，都需要在请求中包含签名（Signature）信息。通过使用Access Key ID和Access Key Secret进行对称加密的方法来验证请求的发送者身份。Access Key ID和Access Key Secret由用友云官方颁发给访问者（可以通过用友云官方网站申请和管理），其中Access Key ID用于标识访问者的身份；Access Key Secret是用于加密签名字符串和服务器端验证签名字符串的密钥，必须严格保密，只有用友云和用户知道。

我的云服务整体安全吗？

用友云，让用户更安全

说实话，记者对用友云的安全性还是刮目相看的。因为记者没有想到，用友云在上线发布的同时居然同时就向客户发布了《用友云安全》白皮书。

这是所有XX云中第一个这样做的。这在一定程度上反映出，用友云对安全问题是足够重视的。面对用户最关心的安全问题，用友云能让用户有安全感吗？

我的数据安全吗？

数据安全是用户最关心的问题。

在这方面，用友云极其深入的思考，也对此有足够多的防护。

从《用友云安全》白皮书可以看到，用友云依据数据安全生命周期，从数据创建、存储、使用、共享、归档至销毁，使用了数据分级、数据加密等措施，保障了数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。

用友云通过数据分类分级、数据加密和密钥管理为敏感数据提供可持续的信息保护，实现数据的灵活性、可靠性和可管理性；借助密钥管理中心和加解密产品实现数据安全保护和控制，将安全技术嵌入至整个数据安全生命周期中，以保障数据安全属性。用友云还会对上线的产品进行持续监控，特别是对动态发布的内容进行重点的防护，防止网页篡改、盗链、发布不符合国家法律法规的内容和言行等。用友云与多家领先的安全服务伙伴一起，借助大数据的技术，为用户的应用内容提供了一级防护能力。

用友云对数据活动进行全程安全审计，覆盖所有数据活动的详细跟踪记录，并进行实时的语境分析和行为过滤，从而实现对用户访问行为的主动控制，生成审计员所需要的信息。

用友云对数据进行全面性备份和关键数据备份，采用多备份、异地备份等方式，保障数据的存储安全。需要报废或移出数据中心的网络设备及存储设备，依据 DoD5220.22-M、 NIST 800-88 标准进行清除数据、 磁盘消磁以及物理销毁。

用友云还建立了本地应急系统及容灾系统，本地应急系统、容灾系统与生产系统相互配合共同保证整体业务连续性。同时，用友云成立专门的应急响应组。应急响应组由安全专家、业务专家、技术专组成，他们制定了完备的应急响应制度及灾难恢复流程，并定期组织灾备演习和维护。

值得一提的是，用友云还实现企业通信录和电子邮件、短信等内容的安全保密。它对企业通信录采用加密存储，可分级管理通信录，针对不同人群设置不同权限；同时企业可以设置对重要部门进行保护， 该部门的信息会自动隐藏， 即使是企业内的员工，没有相应权限无法访问。对于不同公司的信息，存储空间是相互隔离的，当员工离职后，会被踢出对应的企业群，自动剥离员工在该企业的权限。企业可以设置对员工的手机号进行隐私保护， 在对外展示员工信息时隐藏手机号码，防止信息泄露，但不影响电话通讯和电话会议等相关功能的使用。用友提供的电子邮箱服务如微邮，结合大数据的技术，能够对垃圾邮件数据进行了有效的清洗，保障用户邮箱不受侵扰和攻击。通过用友云提供的服务在客户端存储是加密保密的。

我的账号安全吗？

由于云服务的访问是通过账号来进行，访问往往会带来非常大的安全隐患。用友云在这方面有什么措施呢？

首先，用友云非常好的身份认证体系和技术。用友云使用密码强制策略用于密码或密钥管理。包括密码定期修改频率、密码长度、密码复杂度、 密码过期时间等。 用友云针对生产数据及其附属设施的访问控制除去采用单点登录外，均强制采用双因素认证机制，例如像证书和一次性口令生成器。

其次，访问控制是网络安全防范和保护的主要核心策略，它的主要任务是保证网络资源不被非法使用和访问。用友云访问控制由权限管理体系实现，权限管理体系以 RBAC 为核心的权限模型，支持功能、数据等多类权限资源，借助职责实现权限继承，简化、规范企业业务权限体系的规划，支持集中与分层的授权体系，支持内控与审计。

再次，用友云的数据访问权限有专门设置。用友云数据权限遵循以下原则：

• 严谨的权限安全控制：支持基于数据实体的数据权限控制，支持所有者权限和主管权限

• 管理权与业务权分离：支持管理权与业务权互斥，管理人员不能直接操作和访问数据

• 数据权限审计：多角度权限控制，支持权限审计，权限管理业务日志，保留完整审计信息。

• 关键业务数据权限：关键业务要求二次权限认证，以加强保护。

最后，用友云专门针对移动终端访问有充分的安全认证。它会对所有登录的用户进行设备认证，如果该设备没有通过认证则不允许登录；可信设备认证需要经过账号或密码及验证码的

认证。并且，用友云对移动客户端的数据库进行了整库加密存储，根据用户设备信息通过加密算法生成的唯一密钥，保护用户客户端存储的敏感信息不被攻击者非法获取，保障用户的隐私数据不被泄露。

我的应用安全吗？

租用了你的云服务，我就需要你的服务、我的应用能随时使用，需要我的应用能正常使用，而不会动不动访问不了，甚至动不动出现宕机。用友云能保证其应用的安全性吗？

据《用友云安全》白皮书介绍，用友云提供全面的应用安全保障，包括用友云使用安全开发流程保障应用开发生命周期安全，通过安全性评估过程保障业务流程安全。用友云提供的应用安全服务包括身份管理和访问控制、日志和监控、 应用安全管理、资源控制，以此达到应用本身的安全，同时支撑企业安全运维管理的需求。

为确保系统的网络访问安全，系统需要采用的安全手段主要有：访问控制（含 VLAN）、防火墙、线路备份、CA认证、VPN技术、入侵检测等。用友云使用了多种手段实现网络传输安全。用友云通过阿里云应用防火墙WAF防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，过滤海量恶意CC攻击，避免客户的网站资产数据泄露，保障网站的安全与可用性。此外，用友云还使用了阿里云高防IP抵御 DDoS攻击。

由于用友云在其云市场有很多第三方的服务。因此，用友云非常看重第三方应用 API的服务认证。用友云服务会对每个访问的请求进行身份验证，所以无论使用 HTTP 还是 HTTPS 协议提交请求，都需要在请求中包含签名（Signature）信息。通过使用Access Key ID和Access Key Secret进行对称加密的方法来验证请求的发送者身份。Access Key ID和Access Key Secret由用友云官方颁发给访问者（可以通过用友云官方网站申请和管理），其中Access Key ID用于标识访问者的身份；Access Key Secret是用于加密签名字符串和服务器端验证签名字符串的密钥，必须严格保密，只有用友云和用户知道。

我的云服务整体安全吗？

数据、账号和应用是云服务安全问题的三个重要方面。从整体上来看，用友云安全吗？

据《用友云安全》介绍，用友云安全体系采用业界主流的通用框架，主要包括安全管理、安全运维、安全技术三个层面。

用友云正是通过全面的安全部署，以实现自己“可信、可靠、保障、贴心”的云服务核心理念。用友云与安全领域领先厂商强强联合，共同维护云应用安全，保障用户在用友云上的数据安全、业务安全。

这也是用友云服务的基准生命线。

数据、账号和应用是云服务安全问题的三个重要方面。从整体上来看，用友云安全吗？

据《用友云安全》介绍，用友云安全体系采用业界主流的通用框架，主要包括安全管理、安全运维、安全技术三个层面。

用友云正是通过全面的安全部署，以实现自己“可信、可靠、保障、贴心”的云服务核心理念。用友云与安全领域领先厂商强强联合，共同维护云应用安全，保障用户在用友云上的数据安全、业务安全。

这也是用友云服务的基准生命线。