Akamai InfoSec 计划

信息安全计划旨在提供清晰、准确的信息安全策略、指导和标准。针对敏感信息丢失,Akamai 的最佳防御措施是及时警报、认真负责和员工参与。所有员工都有责任评估 Akamai 所面临的风险、制定抵御策略,并监控安全措施的有效性。

信息安全计划的目标是:

  • 提高我们客户的体验和安全
  • 使安全成为竞争优势
  • 将安全和隐私风险控制到 Akamai 高级管理层认为适当的水平
  • 尽可能有效地遵守所有法律和法规要求
  • 为员工持续提供安全培训

Akamai 安全计划的基本原则是: 

最小特权。 这是设计体系结构、产品或服务时所遵循的原则,从而为每个系统实体(例如,个人用户或计算机)授予实体完成工作所需的最小系统资源和授权。该原则倾向于限制由意外、错误或未经授权的行为导致的事故。

拒绝所有非明确允许的行为。 拒绝未明确允许的一切行为。所有配置的默认设置应为拒绝访问和拒绝修改,除非规范/合同有明确要求。 

责任分离。 在不同角色之间的系统功能中划分步骤,同时分配责任和特权,以防止个人或一小组协作人员不当控制流程的多个关键方面并造成不可接受的危害或损失的做法。 

深度防御。 这通过创建多个安全层、划分网络并添加更靠近要保护的各项资产的访问控制点来运行。这使得整体安全不依赖于单一的防御机制。

风险细分。 旨在创建故意和预先计划的访问隔离,该访问仅针对与指定人员及其“须知”相关的数据。如果一个部分受到影响,入侵者应同样难以获得对每个后续部分的访问。 

安全故障。 当系统由于任何原因出现故障时,系统应进入安全状态。该原则同样适用于启动时,这样在系统初始化时,初始状态是最安全的状态,然后功能被激活,维持该安全状态。这一原则通常被称为“故障关闭”。 

简单。 简单的系统比复杂的系统更易于保护,因为发生错误的几率较低。删除未使用和不必要的组件和功能来降低复杂性,这样更易于诊断并提高可靠性。

通用身份验证和授权。 牢固确立的身份和基于角色的授权用于做出明确的访问控制决策。身份验证系统的通用性减少了用户保守多个身份验证秘密的需要;授权系统的通用性降低了员工角色更改时未经审核的权限违反最小特权的的可能性。

责任。 安全系统的一个基本要素是决定由谁执行任何给定的行动和在特定时间间隔内采取哪种行动的能力。违反或试图违反计算机安全的行为可以追究到承担责任的个人或实体。

负责人及其职责

InfoSec 部在 Chief Security Officer 的领导下,负责以下安全智能: 

  • 监督部署(生产)网络的安全 
  • 开发和维护漏洞跟踪系统 
  • 开发和维护验证器跟踪系统 
  • 就执法方面与 Legal 部进行协调
  • 进行与政策违反相关的内部安全调查
  • 为即将推出的项目和产品提供建议
  • 监督安全审计和评估
  • 回应安全事件
  • 提供安全意识培训和建议 
  • 处理面向客户的安全问题
  • 监督事件管理流程 
  • 监督严重的漏洞项目和流程 
  • 监控威胁、将其传达给公众,并且讲述有关 Akamai 安全的整体公共故事

Enterprise Security 组负责监督公司网络和系统的安全。其中包括:

  • 进行新的第三方和生产力应用程序的安全评估
  • 与 Enterprise Infrastructure Services 团队进行协调以支持企业环境
  • 管理有关网络钓鱼、恶意软件和签名更新的反应安全

所有董事和经理均负责确保信息安全流程已整合到其组织的业务流程中,并确保人员遵守所有信息安全政策、流程、标准和准则。所有经理均负责确保其手下的员工接受适当的安全培训。

信息资源、应用程序、存储库和数据库的所有者负责创建和维护政策、程序、准则和标准,以适当地保护委托给他们的数据。例如,他们可为应用程序的管理员和用户记录相应的角色和责任。此类所有者负责监督和审核其控制,以确保合规性。

员工有责任阅读、了解和遵守适用于其角色的所有政策、程序、准则和标准。他们还有责任每年确认接收培训和政策文档。

Architecture Review Board 由负责每项主要服务的架构师或 Akamai 工程部和 Platform Operations 组织的部分人员组成,但不包括 Luna 和 Aura 分部的人员。无论是从整体还是从个人来看,Architecture Review Board 均负责确保 Akamai 系统的完整性。

Chief Security Architect 是该组的成员,负责定义和维护安全架构、集成安全架构解决方案与部署网络基础设施架构,并提供战略和战术性安全审核。

Corporate Services 部 Vice President 提供有关需要全年审核的物理事件的高级管理层实时报告。

Systems Administration 部 Senior Director 和 Corporate Services 部 Vice President 负责授权对公司信息处理设施的访问权限。

Platform 的 Executive Vice President 负责授权部署网络信息处理设施。Akamai 的部署网络服务器部署在全球设施中。Akamai 要求主机托管机构合作伙伴限制对那些具有事先授权和图片识别的设施进行物理访问。Akamai 还要求其提供商执行对 Akamai 服务请求的验证;在未经 Akamai 书面指示的情况下,提供商不得试图获得任何类型的 Akamai 系统的访问权限。

Legal 部负责维护保密协议 (NDA) 表。在与非员工人员讨论机密信息前,签名的副本必须在 Legal 部存档。每位员工均有责任了解他们发布的信息的性质,并确保照此正确标识 Akamai 的所有敏感信息。如果员工对必要程序存在疑问,应查阅 NDA 和可接受使用政策 (AUP)。

每日尽职调查

Akamai 持续管理其部署网络的风险,而不是依靠年度风险评估。每天均对漏洞进行调查和管理。可能导致披露、修改或破坏敏感数据的关键漏洞变成了正式的安全事件,并通过 Akamai 的“技术危机和事件管理流程”进行管理。全年与高级管理团队一起审核漏洞和事件。

Akamai 已实施了一个多阶段的漏洞评估框架。按照风险矩阵中的规定对安全风险进行定性风险评估,这可以评估风险的潜在严重性以及可用具体例证说明风险的攻击程序。根据这两个因素,漏洞将收到一个指示风险严重性的分类。此外,还使用通用漏洞评分系统 (CVSS) 对由软件缺陷导致的风险进行评分,该系统对可能性的关注要高于潜在损坏。

根据风险和 CVSS 分数,在部门经理和/或系统所有者以及 InfoSec 部之间确定补救项目的优先级。InfoSec 维护已评估的安全风险的数据库,负责评估新发现的风险,并确定需要进一步评估的风险领域。

信息处理

Akamai 采用四级信息分类方法: 
  • Akamai 公共信息
  • Akamai 机密信息:NDA 要求发布的信息 
  • Akamai 机密信息:仅供内部使用
  • Akamai 机密信息:限制分发

要求处理 Akamai 文档的人员将其适当归类,以指明信息的分类和敏感性。归类文档可提醒该文档的持有人注意是否有专有和机密信息,并警告持有人任何特殊访问、控制或保障要求。

Akamai 的政策是,所有表格中的信息均根据信息资产所有者记录的业务理由随附用于保留和处置的日程表。Legal 部负责规定记录保留政策。

该政策还规定,应保留与涉及公司的潜在或现有诉讼相关的信息。如果用户对信息是否与潜在或现有诉讼相关存在疑问,可让他们联系 Legal 部的成员。

制定信息处理和存储程序,以防止未经授权地披露或滥用此信息。经理负责确保其手下的员工接受适当的安全培训,以便正确执行这些程序。

负责含有 Akamai 机密信息的所有存储媒体的人员应在处置前根据公认的原则删除该媒体。如果无法删除媒体,则应使用 Akamai 的 Corporate Services 部 Vice President 提供的机制物理销毁该媒体。

在使用授权机制的过程中处置过期或陈旧的非电子(如纸制)信息。Akamai 的 Corporate Services 部 Vice President 负责提供纸张粉碎服务,并确保所有的 Akamai 设施均有容器可用。

某些类型的信息具有特殊处理要求: 

财务和员工信息:此类别包括所有非公共 Akamai 财务信息以及有关 Akamai 员工的私人信息。要求管理此信息的人员在应具有访问权限的人员列表上明确标出该信息。例如,有关员工个人历史记录的信息应标记为“Akamai 机密信息:限制分发。” 

电子邮件:所有员工均应遵循“电子通信使用政策”。鉴于电子通信的不安全性,在使用电子邮件发送敏感信息前请务必谨慎。所有电子邮件系统均应采用足够安全的防护措施来保护发送和存储中的电子邮件。使用电子邮件发送时,密码控件可用于保护敏感信息。 

电话和敏感信息:Akamai 的资源员工可以处理有嫌疑的社交工程企图、手机问题和恶意软件。

Internet 通信:Legal 部已规定了公司政策 —“留言板、聊天室和公共披露政策”。“不应在个人网站或博客(电子期刊)上披露或讨论 Akamai 的机密信息。新闻媒体、行业分析师和其他经常浏览博客以获得敏感信息和内部信息的人员。使用 Akamai 名称、徽标、或其他暗示该帐户代表公司的信息的社交网站帐户仅限于经授权的人员。Akamai 的机密信息受到在个人社交网站上公开披露的限制。

与外部人员合作

信息安全计划也适用于我们与外部服务人员的往来,如提供图稿和广告文案、提供公关和会议策划援助、打印和复制敏感的公司材料用于向客户展示、会议和政府备案以及向 Akamai 提供其他服务的人员。这包括设施工作人员、安全承包商、维护、维修和装修人员。 

我们的数据在传输过程中最易受到攻击。根据信息的价值采取合理的措施,以避免数据在传输过程中被窃听或损坏。Akamai 收发室用于站点间数据的物理传输。Akamai 还按照保护静态/存储数据的数据安全标准操作。

要求处理 Akamai 数据的外部公司采用与 Akamai 相同的保护措施处理数据。 

政策规定,Akamai 密码绝不应在未加密的网络上传输 — 在将密码输入 Web 浏览器中时,首先查找是否有 SSL“锁定”图标。如果有人在无意中不安全地传输密码,则要求他们通知 InfoSec 部和系统所有者,以获得有关更换密码的指导。 

携带敏感信息的人员必须采取额外的预防措施。敏感材料的数量应限制在必要的水平。敏感信息(如笔记本电脑)应始终在员工的控制之下。绝不应将其放在托运行李中,或将其送到 Akamai 员工的控制范围之外。不应在公共交通工具或公共区域中近距离讨论敏感信息。 

政策规定,除非有相应的 NDA 协议并且可以私下讨论,否则应避免讨论敏感的业务信息。 

进行公共演讲和在行业会议上参加小组讨论的员工必须确保其演示文稿或讨论内容适当并获得其主管的批准。在贸易展上,Akamai 不会共享任何有关 Akamai 规划或工作内容的预报,除非已经过批准可以公开发布。 

敏感文档和材料不应在贸易展上展示。要求员工应在运输期间、会议和贸易展之前、期间和之后小心保护敏感材料。 

Akamai 通过 Information Security 团队与所有执法部门充分合作。要求员工记录个人姓名、人事关系和联系信息并将请求立即传递给 Legal 部。另外,还要求员工在未经 Information Security 团队允许的情况下,不得提供来自 Akamai 的信息。

公关 

有关 Akamai 活动、计划和服务的例行新闻公告及新闻稿只能由授权人员发布。来自新闻媒体的置评请求通过 Corporate Communications 部传递。

Corporate Communications 部 Senior Director 具有适当的通信战略和政策,可提供公司与媒体往来的具体指导。 

对于有关您部门或团队所提供的服务的客户询问,要求员工记录该客户的姓名和电话号码,然后将请求传递给其所在团队的授权代表。告知他们不得向供应商、职业介绍所或其他寻求此类信息的组织和个人提供 Akamai 员工列表或通讯簿的副本或信息。

所有行业分析师对信息的请求都应发送到 Analyst Relations 部。有关更多详细信息,请咨询 Corporate Communications 部。

物理安全 

Akamai 的物理安全责任由 Corporate Services 部、Network Infrastructure Engineering (Deployment) 部和 Platform Operations 部共同承担。每位员工都应为其职责范围内的工作区和设备的安全负责。

Corporate Services 部 Vice President 负责所有 Akamai 办公室的物理安全。 

所有 Akamai 办公室和数据中心均需要采取访问控制措施。非员工应登记出入,并且必须始终有人陪同。该区域必须便于员工走动,但不应便于侵入者移动。 

Akamai 员工通常能够访问包括办公室、隔间和会议室等所有公共工作环境。重要区域,例如内部数据中心和不经常访问的区域(如储物室),则仅限于需要进行记录工作的员工进出。区域的组织所有者应负责每年至少审查授权人员名单一次。 

Corporate Services 部 Vice President 负责提供适当的胁迫警报。 

Corporate Services 部 Vice President 负责物理安全事件报告流程。

Network Operations Command Center (NOCC)

Akamai 最大的 Network Operations Command Center (NOCC) 位于马萨诸塞州坎布里奇市。其他 NOCC 位于多个国家/地区。物理访问仅限于经授权人员,并且使用钥匙卡进行控制。NOCC 全天候配备 Platform Operations 人员。 

Global Network Operations 部 Senior Director 负责 NOCC 的安全。 

Infrastructure Engineering 部 Director 负责 Akamai 部署网络的物理安全。这包括识别部署网络所使用的外部设施和提供商的风险,并制定适当的缓解控制和保障措施。 

Network Infrastructure 部 Director 负责在向外部设施部署任何 Akamai 系统前,确保对外部设施事件响应程序、灾难恢复计划以及服务级别协议进行适当的审核。

Akamai 的安全内容交付 (ESSL) 网络需要专门控制,例如,ESSL 服务器仅应在具有运动检测摄像头的上锁机柜中部署。Network Infrastructure Engineering (Deployment) 团队应在选择网络合作伙伴和供应商时考虑安全要求。 

虽然大多数来 Akamai 的访客都有合理的到访理由,但我们仍然针对具体的设施和区域制定了访客政策。该政策规定: 

  • 在所有 Akamai 场所均应始终将胸卡佩戴于明显的位置,并且规定员工可要求查看访客的胸卡或致电 Corporate Security 部。 
  • 短期访客在 Akamai 设施中时,应始终有员工陪同。
  • 员工应注意是否有人尾随;为同事扶着门是完全合理的,检查胸卡是否清晰可见也同样合理。 
  • 当预计工作区内会出现访客时,应将机密信息存放或覆盖起来。 
  • 在与访客讨论专有信息或允许访客进入可能听到或接触敏感信息、专有工艺或计算机屏显数据的区域前,必须确认已明确说明了“须知”并签署了保密协议。 
  • 关键业务基础设施位于安全区域内。冗余电源和冷却系统以及火灾检测与保护系统是基线保护的一部分。对高可用性有要求的系统在备用数据中心内有冗余系统,可缓解其他不可预见的环境威胁。电源和数据电缆仅限于安全区域使用。将电缆穿过管道来进行安全区域之间的布线。

事故管理

政策规定对所有安全事件、弱点和故障的报告应以尽可能方便为原则。

Platform Operations 部对员工进行了有关处理影响分布式网络的安全事件的培训,该部门还是所有安全事件管理和响应的中心。根据技术事件响应程序,NOCC 将任命一名 Incident Manager 来解决问题,并在需要时让其他人员或部门参与解决。 

如果怀疑或证实该事件为信息安全事件,该问题会被上报至安全主题专家。许多安全主题专家还受过作为 Technical Incident Manager (TIM) 的培训。

举行每周例会,以查阅事件报告中是否有重大事件和其他安全事件。

实物证据由 InfoSec 部的成员收集,并在可以将其提供给执法部门或法院的人员前始终保持积极控制。在可用时,监管链袋可用于收纳体积足够小,可放入袋中的证据。任何无法移交执法部门的证据均存放在仅限 Information Security 团队使用的上锁办公室内或保险箱内。 

数字证据由 InfoSec 部的成员收集,根据需要可由其他团队成员协助。所有证据均经过加密签名,以可移动媒体的形式进行记录,并尽可能存储在 Information Security 部内。

网络管理 

Akamai 的流程包括网络控制,以降低数据通过网络传输时 Akamai 的风险。

使用不适合全球使用(如数据库服务器)的用户机器(如公司办公室)或后端机器进行的安装被设计为由物理分隔的防火墙设备提供保护。Network Engineering 部负责安装和配置防火墙。

采用更安全的方式考虑重新实现需要穿越防火墙的服务,例如应用程序级封装或站点到站点 VPN。Information Security 团队可提供设计协助。

Enterprise Infrastructure Services 团队负责提供并支持一套 VPN 软件,以使 Akamai 工作站计算机能够从企业防火墙安全边界以外连接到公司网络。强烈建议仅在符合 Akamai 安全政策和标准的机器上使用此软件。 

可通过 SSH 对公司网络进行应用级别的访问。 

对公司网络的访问仅限于经批准的软件。员工不可构建自己对公司网络的网络层接入。 

需要 ESSL(安全部署)网络来满足其他行业标准,如 PCI DSS。

计算机媒体 处理 

对计算机媒体的关注应基于存储在各种设备上的数据。在大多数情况下,这是“Akamai 机密信息:仅供内部使用。”应当妥善处理存储财务、人力资源、法律或客户信息的媒体。Akamai 还具有敏感数据销毁和设备处置流程。 

某些媒体(特别是供应商 CD 和救援 CD)依据 NDA 进行分发,但在如此广泛的范围下,它们基本上是公开的。要求编译此类 CD 的人员注意分发级别,并且不要包括不必要的机密信息。

在公司内部进行分发时,通常应避免使用可移动媒体。对于某些在公司外部进行分发的情况或者对关键数据的离线备份,CD-R、DVD 或存储设备都是适当的选择。应按照第 8 节“信息处理”清晰地标记此类媒体。对于此类媒体,应采用与保存数据的计算机相同的保护措施进行处理,并在不再需要时安全地擦除或销毁。对于在 USB 存储设备等动态可移动存储器以及 PDA、手机和照相机等设备的存储卡内的 Akamai 机密数据,应在不再需要时安全地删除。 

不应将 Akamai 机密材料存放在可移动媒体上并带出公司。