2014年5月19日，云安全联盟(CSA)正式成立中国办事处，而北森测评技术有限公司(下简称北森)作为国内SaaS的领导者，成为CSA在中国的第一家非安全领域的企业会员。北森是中国人才管理与解决方案的领导者，也是中国最大的人才管理软件提供商，推出了中国首个人才管理云计算平台，北森是云计算安全为生命线和立足之本，在云计算安全方面做了很多努力和实践。北森高度认可CSA在云计算安全领域所做的工作，并积极参与CSA中国分会的工作，北森的安全技术人员参与了《CSA Security Guidance V3》中文版的翻译工作，是D10(应用安全)部分的主要译者，并于2014年4月份正式申请成为CSA的企业会员。

　　北森非常重视云计算安全。云计算安全从一开始就放在北森人才管理云计算平台研发的核心地位，并组建了专业的安全攻防实验室，北森人才管理的产品大的版本上线前，都需要经过安全攻防实验室的检验，并修复安全漏洞之后，才允许上线。

　　北森的云计算体系有三层的保证体系。

　　首先是部署环境的安全。北森的云计算中心部署在中国最顶尖的IDC服务商的机房内，服务器、存储设备、网络设置拥有严密的监控，在IDC服务商和北森自购的防火墙的双重保护下，保证了云计算部署环境的安全。

　　其次是应用安全。北森设计了适合自身业务特征的软件安全生命周期管理，通过相关的规范，从软件的设计、开发、测试、部署以及运维全流程进行软件安全管理。在软件及服务领域，租户之间的数据隔离，租户内数据的权限等方面是非常复杂的体系，北森从基础应用框架层面来保证访问的验证与授权，所有的用户请求就会先经过一个鉴权的通道，在鉴权通道中，安全服务会对请求的一系列权限进行严格的筛查，避免非法的请求能通过。另外，北森还研发了一系列平台化的安全组件，各产品开发团队在开发过程是通过对这些安全组件的使用，降低了安全开发的难度，大大提升了软件的安全性。

　　再次是运维体系保障安全。这体现在发布前和发布后两个过程。在重大的版本发布之前，产品都要求部署到攻防实验室接受安全检查，并要求修复所有安全漏洞之后，才允许发布。北森的云计算平台拥有完整的线上监控体系，所有的线上异常，用户的访问行为都会被追踪、记录和分析，一旦出现非法请求密集出现的情况，系统会立即报警，运维工程师就会快速响应线上的情况。另外，北森的运维体系有严格的操作规程，线上环境只有少数运维工程师能接触到，而这些工程师都和公司签署了严格的保密协议，运维工程师只能通过跳板机对线上进行运维，而所有的操作过程都会被系统自动记录下来以供审计，这样可以保证线上数据不被内部窃取。

　　北森认为，云计算的安全，不是一种状态，而是一个不断优化的过程，而这个过程中，对自身云计算平台的洞察能力非常重要，所以北森从2014年开始启动了一个Beisen Cloud Insights计划，利用Spark等大数据实时计算技术，加强对云平台的性能、用户行为、异常等数据的实时分析，并对分析结果予以图形化，并对违反常规的情形进行预警。北森的客户访问北森总部，我们都会带客户去看看我们的监控大屏幕，大屏幕会实时的显示我们云平台的状况，包括访问人数，服务器资源使用情况，访问的位置来源等等。这些都可以帮助我们来保障线上的安全。

　　北森对安全一直保持一个谨慎的态度，不断的向安全界领先者学习和交流，北森准备最近启动CSA Star认证计划，通过国际标准的安全认证，来强化自身的安全体系，来达到一个持续改进的云计算安全体系的状态。云安全，北森一直在努力!

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。