信息安全


Dropbox 制定了信息安全管理框架,阐述我们在维护信任实践中的目的、方向、原则和基本规则。我们的方法是评估风险和持续改进 Dropbox Business 系统的安全性、机密性、完整性和可用性。我们会定期检查并更新安全政策,提供安全培训,执行应用与网络安全测试(包括渗透测试),监控安全政策遵从情况以及开展内部和外部的风险评估。

安全政策

  • 信息安全 - 与用户和 Dropbox 信息相关的政策,其关键领域包括设备安全;身份验证要求;数据和系统安全;员工使用资源时的限制与指南;以及潜在问题的处理

  • 物理安全 - 我们如何为 Dropbox 的员工和财产维护一个安全且有保障的环境

  • 事故响应 - 我们对响应潜在安全事故的要求涵盖评估、沟通和调查等程序

  • 逻辑访问 - 与保护 Dropbox 系统、用户信息和 Dropbox 信息相关的政策,涵盖对企业环境和生产环境的访问控制

  • 物理生产访问 - 我们对物理生产网络的访问限制程序,涵盖人事管理审查和撤销对被裁撤人员的授权

  • 变更管理 - 这些政策涉及审核代码,以及管理授权开发者对应用源代码、系统配置和生产发布版本所做的影响安全的变更

  • 支持 - 针对支持团队查看、提供支持或对帐户采取措施而制定的用户元数据访问政策

访问控制

员工访问 Dropbox 环境的权限由中央目录负责维护,并组合使用强密码、受 SSH 密钥保护的密码短语、双因素身份验证以及 OTP 令牌进行身份验证。我们的内部政策要求访问生产和企业环境的员工遵守 SSH 私钥创建和存储的最佳实践。远程访问要求使用以双因素身份验证保护的 VPN,任何特殊的访问都需要经过安全团队的审查和核实。

Dropbox 采用技术访问控制体系与内部政策来禁止员工随意访问用户文件,并限制其访问元数据及用户帐户的其他信息。在 Dropbox 成为客户基础设施的延伸组件之后,我们将负责看护他们的数据,让他们高枕无忧。

网络安全

Dropbox 努力维护后端网络的安全性。我们有专门的安全团队和第三方安全专家定期执行应用测试、网络测试,以及其他安全测试和审计,从而识别并减少风险。

我们的网络安全和监控机制是为提供多重保护和防御而设。我们利用行业标准保护措施(包括防火墙、网络安全监控和入侵检测系统)来确保只有符合条件的流量才能到达我们的基础设施。生产环境仅限已获授权的 IP 地址访问,我们每个季度都会对这些地址进行审核,从而确保生产环境的安全。

变更管理

Dropbox 工程团队定义了正式的变更管理政策,确保所有应用变更在实施到生产环境中之前便已获得授权。所有变更都存储在版本控制系统中,且必须通过自动质量保证 (QA) 测试,以验证其是否满足安全要求。我们的软件开发生命周期 (SDLC) 严格遵守安全编码指南,通过质保流程和人工审核流程甄别代码变更中潜在的安全问题。Dropbox 安全团队负责维护基础设施安全,并确保服务器、防火墙和其他安全相关配置符合最新的行业标准。

如需详细了解我们的安全架构,请参阅 Dropbox Business 安全白皮书(英文版)