飞鱼安全白皮书



飞鱼安全白皮书

目录

1. 前言 2

2. 安全团队及职能 2

3. 合规与隐私性 3

1.1安全体系 3

2人员安全 3

3客户端安全 4

3.1运行环境安全 4

3.2数据安全 4

3.3安全漏洞防护 4

4客户端安全策略 5

5应用安全 5

5.1安全开发流程 6

5.2用户账号安全 6

5.2.1账号权限 6

5.2.2账号风控策略 7

5.3漏洞与应急事件处置 7

6数据安全 8

6.1数据创建 8

6.2数据传输与存储加密 8

6.3 KMS 密钥管理服务 9

6.4访问控制及授权 9

6.5数据使用与防爬 10

6.6数据删除 10

7网络安全 10

飞鱼安全白皮书

7.1网络访问控制 10

7.2DDoS及网络攻击防御 11

7.3网络传输加密 11

8物理基础设施安全 11

9灾难恢复与业务连续性 12

9.1备份与灾难恢复 12

9.2业务连续性保障 12

9.3应急演练 12

1. 前言

飞鱼CRM是巨量引擎推出的客户管理系统，能够将建站中的表单，电话，咨询线索同步到该系统，方便广告主后期进行销售线索管理，目前飞鱼CRM主要功能有：呼叫中心，线索管理，员工管理，数据洞察，营销活动管理，同时也支持广告主通过回传或标记方式使用深度转化目标，优化广告投放效果。

2.安全团队及职能

巨量引擎作为字节跳动旗下的营销服务品牌，整合了今日头条、抖音、火山小视频、西瓜视频、懂车帝、Faceu激萌、轻颜相机、穿山甲等产品的营销 能力， 汇聚流量、数据和内容方面的合作伙伴，为全球广告主提供综合的数字营销解决方案。 巨量引擎把客户的业务安全和数据安全作为最高优先级目标，

飞鱼安全白皮书

为此建立了完善的基础架构安全以及用户业务、数据安全保护体系，可以为用户提供从物理到应用层面的全方位防护。

飞鱼产品安全团队由安全治理与合规、安全评估、攻防实验室、基础安

全、应用安全、安全运营、安全平台、安全研究等团队构成，围绕飞鱼产品开展安全评估、代码审计、漏洞扫描、渗透测试、威胁情报处置、入侵检测、应急响应、数据安全保障、安全合规治理等工作，以保障飞鱼产品从物理到应用层面全方位的安全。

3.合规与隐私性

1.1 安全体系

《GB/T 22239 一2019 信息安全技术 网络安全等级保护基本要求》简称 网络安全等级保护2.0，是中国国家标准化管理委员会发布的信息安全标准，是中华人民共和国信息安全保障的一项基本制度。等级根据信息系统的重要程

度，从低到高分为1至5个等级，不同安全等级实施不同的保护策略和要求。飞鱼遵照公安机关相关要求，采用的是3级信息系统的保护策略，并通过了公安机关备案。飞鱼产品具备三级等保所要求的相关安全保障能力：安全事件的发现、应对能力，信息系统受到破坏时的恢复能力。

2 人员安全

员工录用前，HR会根据岗位的重要性，在国家法律法规允许的情况下，对员工进行背景调查，确保该员工录用符合公司的各项规章制度。

飞鱼安全白皮书

员工入职后，需要签署保密协议，以法律形式约束员工，确保员工遵守公司的各项信息安全规章制度。同时需要参加公司组织的新员工入职培训，培训中重点强调信息安全的重要性，保证新员工都有基本的信息安全意识。

员工入职后，公司会定期对员工进行有针对性的安全常识、技术、合规等培训，并进行培训结果考核。

员工离职后，公司IT部门会立刻收回其相关公司账号以及所有工作相关权限。

3 客户端安全

3.1运行环境安全

对运行的环境会进行检测，包括root检测、越狱检测、调试检测、注入检测等。

3.2 数据安全

飞鱼移动端采用操作系统自带安全机制，进行APP之间的权限隔离。客户端本地信息均加密进行存储。客户端与服务器之间的全链路通信，均采用https进行加密。

3.3 安全漏洞防护

公司有专职的漏洞挖掘团队和攻防实验室，对公司的所有产品定期进行安全评估和漏洞挖掘，同时对使用的第三方组件（库、SDK）进行漏洞检测，同

飞鱼安全白皮书

时公司设立了字节跳动安全中心，鼓励资深安全专家、白帽子、团体以及个人积极参与并提交高质量的漏洞，尽可能保证及时发现并修复应用程序存在的漏洞，保证客户端安全。

4 客户端安全策略

^{飞鱼系统有session过期机制，保证客户端登陆处于安全状态。}

飞鱼安全中心提供账户安全设置功能，用户可根据需求开启以下安全保障：

l线索加密：为防止销售人员泄露线索，超级管理员可启用号码加密功

能，该功能开启后，管理员与员工负责的线索号码将加密，导出线索号码也是加密状态。

l限制普通员工导出线索。

l线索导出提示：开启该功能，当有线索导出行为，会短信通知管理员

l敏感操作验证：为保证您的账户安全，建议开启敏感操作验证，开启敏感操作验证后，以下任意操作都需二次验证：

l超级管理员权限设置

l广告主账号授权设置

^{l客服授权}

l创建或删除员工与分组

5 应用安全

飞鱼安全白皮书

5.1 安全开发流程

在需求分析阶段：在产品需求分析阶段，安全人员根据业务内容、业务流程、技术框架提出安全需求建议。

在产品开发阶段：公司制定了严格的安全编码规范，要求产品在开发过程中严格遵循。同时提供安全的开发框架、开发环境、代码库，保障开发过程的安全性。

在测试阶段：公司提供黑盒扫描、白盒扫描，安全团队会对应用程序进行渗透测试和代码审计；

在发布阶段：发布过程按照安全上线规范对系统进行整体加固，安全人员会参与评估；

变更管理：变更审批流程。变更操作遵守灰度发布上线，上线均需进行小流量测试，才可正式发布，以此确保服务的稳定和安全。

5.2 用户账号安全

5.2.1 账号权限

飞鱼系统设计了严格的账号体系和权限管理。飞鱼系统对于线索数据、客户数据、分析数据等所有的数据划分出独立的权限资源，根据对不同资源权限区别设置了四种角色。

飞鱼系统用户角色分为：超级管理员、高级管理员、管理员、普通员工。

飞鱼安全白皮书

l超级管理员：超级管理员拥有最高权限，授权给特定的运营人员进行后

台管理和线索分发。

l高级管理员：高级管理员拥有较高的管理权限，可授权其他账号，该角

^{色一般授权给客户的特定管理人员进行账户管理等。}

^{l管理员：普通管理员拥有团队的管理权限，该角色一般授权给客户运营}

团队负责人进行团队运营管理。

l普通员工：普通员工仅拥有职责范围内的数据权限，根据管理员授权对

权限范围内的数据进行运营工作。

5.2.2 账号风控策略

飞鱼系统登陆采取密码加动态验证码双因素认证的方式，增加登陆尝试的频控策略，尽可能避免账号被恶意暴力破解的风险。为增加对异常登陆的防御能力，飞鱼系统对以下异常登陆增加了短信提醒：

l异地登陆

^{l手机验证码/帐密登录异常登录}

^{l手机号异常换绑}

l第三方异常登录

^{l第三方帐号异常绑定/换绑}

5.3漏洞与应急事件处置

飞鱼安全白皮书

飞鱼平台使用公司提供的应急响应中心（ByteSRC），提供漏洞与威胁情报的信息。团队接收外界报道的漏洞，评估其危害和紧急程度进行修复。

飞鱼平台使用公司提供的定期扫描服务，对自身服务、操作系统进行扫描，发现漏洞后，及时进行修复。

公司安全团队与国内顶尖第三方测评公司、白帽社区保持密切的合作与沟通，会不定期邀请外界公司及白帽子对服务进行渗透测试，并给予其奖励，以发现尽可能多的安全漏洞。

公司安全团队执行7*24应急响应策略，安全事件发生时，安全团队会根据安全应急预案迅速对事件做出等级划分，并启动应急响应流程，阻止安全事件扩大。

6 数据安全

6.1 数据创建

飞鱼平台对用户的所有业务数据按照业务的重要性和数据的敏感性进行等级划分，根据数据安全等级，制定了对应的保护措施和管理要求，在数据的全生命周期进行有效的保护。

6.2数据传输与存储加密

飞鱼平台传输全站采用HTTPS进行加密传输，对敏感数据进行压缩，避免在传输链路中明文打印日志等风险，保障数据在传输过程中的安全。

飞鱼安全白皮书

对于客户的敏感数据，包括所有的线索数据，使用KMS密钥管理服务进行加密后存储。

6.3 KMS 密钥管理服务

KMS服务负责密钥和敏感配置信息的生命周期管理，包括创建、存储、分发、使用、更新、删除等。飞鱼用户的数据加密使用的主密钥和飞鱼服务的各种其他敏感信息（如数据库账户、密码等）均存储于飞鱼维护的KMS系统中，访问需通过KMS接口进行。KMS系统的主密钥使用密钥共享协议生成多份密钥分量，分发给不同职能角色进行管理，提供大于总数一半以上的密钥分量才能还原KMS系统的主密钥。KMS主密钥会定期轮转更新，提高KMS数据的安全性。

6.4访问控制及授权

用户数据的访问，均进行了严格的权限隔离和权限控制。

飞鱼线上环境所有服务器的登录日志、操作日志、服务器安全基线文件变更、访问权限变更日志都会被记录，通过自动化检测实时审计非法访问和风险操作，并进行告警。飞鱼对数据的操作均有详细日志记录，并区分不同操作者角色，授予不同的权限。操作需要进行审批并进行审计。

飞鱼不会公开披露或对外共享用户的信息，除非符合相关法律法规的规 定。但根据法律法规、强制性的行政执法或司法要求，在必须提供用户数据的情况下，飞鱼可能会依据要求的数据类型和披露方式向行政执法或司法机构披

飞鱼安全白皮书

露相关用户数据。当飞鱼接到披露请求时，在符合法律法规的前提下，飞鱼会要求其必须出具与之相应的法律证明文件，仅提供执法部门因特定调查目的且有合法权利获取的数据。在法律法规许可的前提下，飞鱼披露的文件均在加密措施的保护之下。

6.5数据使用与防爬

飞鱼平台对用户敏感数据采用了严格的展示控制和脱敏处理。

6.6 数据删除

在终止对用户服务时，飞鱼管理员会删除用户账户信息，在符合当地法律法规的前提下，永久删除用户数据。磁盘报废均需经过消磁处理并销毁，确保无剩余信息。

7 网络安全

7.1 网络访问控制

对服务器的访问具有加强的安全控制，所有服务必须通过堡垒机进行操作并进行审计。通过白名单来控制业务服务的访问来源，保证服务只有信任来源可以访问。

员工访问控制策略。员工访问内部资源需要进行身份验证，确认身份后，员工默认仅有最小权限。新的权限获取，需要经过相关负责人员审批并记录。

飞鱼安全白皮书

权限具有有效期，在有效期结束后，系统将自动回收权限。员工对线上服务的操作需通过堡垒机进行，所有操作日志均长期保留，以备审计使用。

所有员工在公司网络边界外，都需要通过VPN连接来访问公司内部资源。公司内审与内控部门会对访问日志等进行审计，发现并追溯违规操作记录，并 进行相应的处罚。

7.2 DDoS 及网络攻击防御

通过CDN、动态加速来为全球客户提供网络接入访问，并且通过字节跳动负载均衡访问后端服务；在遇到针对字节跳动机房的DDoS攻击时，通过网络 接入服务商提供的清洗服务来进行攻击防御。

网络传输加密

飞鱼系统在内外网均采用HTTPS进行传输，保证了传输过程的安全，保证信息不会被中间人篡改、窃取。

8 物理基础设施安全

飞鱼系统使用字节跳动提供的基础设施，包括机房、传输、网络设备、安全设备、服务器等。字节跳动系统部负责飞鱼基础设施的维护和安全。飞鱼使用的字节跳动机房是按照UptimeInstitute Tier3以上等级建设，可用性达到

99.982%。

飞鱼安全白皮书

数据中心由专业人员进行日常维护，并设有7*24监控，访客若需进入数据中心，必须提前通过专用系统进行申请，获得审批同意后，且在入口处需要经过安全检查和登记携带物品才可进入。

9 灾难恢复与业务连续性

9.1备份与灾难恢复

公司对飞鱼系统定期进行快照和备份，数据两地三备份存储。

9.2 业务连续性保障

业务系统接入层均采用高可用方式接入，通过字节跳动提供的公共网关服务接入。后端采用多实例接入，保证服务的可靠性。对流量和故障做细致监

控，在流量突发、或者故障时，采用降级运行方式保障业务可用性。

9.3应急演练

飞鱼系统具有完备的应急演练机制，业务团队、安全团队、运维团队等相关人员均会定期进行故障演练，保证对于紧急事件能够及时快速准确响应。