本页内容的上次更新时间为 2024 年 5 月,代表截至本文撰写之时的状况。由于我们会不断改善对客户的保护机制,Google 的安全政策和系统今后可能会发生变化。
Google 的首要任务是维护客户数据的安全环境。为了帮助保护客户数据,我们运行着业界领先的信息安全操作系统,该操作流程结合了严格的流程、专家级突发事件响应团队以及多层信息安全和隐私基础架构。本文档介绍我们在 Google Cloud 中管理和响应数据突发事件的原则性方法。
云端数据处理附录将数据突发事件定义为“违反 Google 的安全,导致意外或非法破坏、丢失、更改、未经授权披露或访问由 Google 管理或以其他方式控制的系统上的客户数据”。 虽然我们采取措施解决对数据和系统的可预见威胁,但数据突发事件不包括不影响客户数据安全的不成功尝试或活动。例如,数据突发事件不包括失败的登录尝试、ping、端口扫描、拒绝服务攻击以及防火墙或联网系统上发生的其他网络攻击。
在整体安全和隐私计划中,突发事件响应是一个重要方面。我们制定了严格的数据突发事件管理流程。该流程详述了影响客户数据机密性、完整性或可用性的任何突发事件的操作、上报、缓解、解决和通知方法。
如需详细了解我们如何保护 Google Cloud,请参阅基础架构安全设计概览和 Google Cloud 安全性。
数据突发事件响应
我们的事件响应计划由许多专业职能部门的专家级突发事件响应人员管理,以确保每个响应都能很好地适应每个突发事件所带来的挑战。根据突发事件的性质,专业响应团队可能包括来自以下团队的专家:
- 突发事件和上报管理
- 产品工程
- 站点可靠性工程
- 云端安全和隐私
- 数字取证
- 全球调查
- 检测和响应
- 安全、隐私和产品顾问
- 信任与安全
- 反滥用技术
- Cloud Customer Care
这些团队的专家会以各种方式参与其中。例如,突发事件指挥官协调事件响应,如有需要,数字取证团队将执行取证调查并跟踪正在进行的攻击。产品工程师会努力限制对客户的影响,并提供解决方案来修复受影响的产品。律师会与相应安全和隐私团队成员合作,实施 Google 的证据收集策略,与执法部门和政府监管机构合作,也会就法律问题和要求提供建议。客户服务团队会响应客户的询问和请求,为他们提供更多信息和帮助。
团队架构
我们宣布突发事件时,会指定一名突发事件指挥官来协调突发事件响应和解决方法。突发事件指挥官会从不同的团队中选择专家组成一支响应团队。 突发事件指挥官会将管理突发事件不同方面的责任委派给这些专家,并管理从事件宣布到关闭的整个过程。下图展示了示例组织在突发事件响应期间的各种角色及其责任。系统可能会分配不同的角色,具体取决于突发事件类型。
数据突发事件响应流程
每个数据突发事件都具有特异性,数据突发事件响应流程的目标是保护客户数据,尽快恢复正常服务,并满足监管和合同合规要求。下表介绍了 Google 突发事件响应计划的主要步骤。
突发事件步骤 | 目标 | 说明 |
---|---|---|
标识 | 检测 | 自动化和手动流程可检测潜在漏洞和突发事件。 |
报告 | 自动和手动流程向突发事件响应团队报告此问题。 | |
协调 | 分类 | 发生以下活动:
|
响应团队的参与 | 发生以下活动:
|
|
解决方法 | 调查 | 发生以下活动:
|
控制和恢复 | 运营主管会立即采取措施完成以下任务:
|
|
通信 | 发生以下活动:
|
|
关闭 | 经验教训 | 发生以下活动:
|
持续改进 | 程序开发 | 维护必要的团队、培训、流程、资源和工具。 |
预防 | 团队根据经验教训改进突发事件响应计划。 |
以下各部分更详细地介绍了每个步骤。
标识
及早准确地识别突发事件是有效管理突发事件的关键。识别阶段的重点是监控安全性事件,以检测和报告潜在的数据突发事件。
突发事件检测团队采用先进的检测工具、信号和提醒机制,以便及早发现潜在突发事件的端倪。突发事件检测来源包括:
自动化网络和系统日志分析:网络流量和系统访问的自动分析有助于识别可疑、滥用或未经授权的活动,并将相应情况上报给维护安保的员工。
测试:安全团队使用渗透测试、质量保证 (QA) 措施、入侵检测和软件安全审核来主动扫描安全威胁。
内部代码审核:源代码审核可发现隐藏的漏洞、设计缺陷,并验证是否实现了关键安全控制。
针对特定产品的工具和流程:尽可能根据团队职能采用相应自动化工具,以增强我们在产品级层检测突发事件的能力。
使用异常检测:我们采用多层机器学习系统,在浏览器、设备、应用登录和其他使用事件下鉴别安全和异常的用户活动。
数据中心和工作环境服务安全提醒:数据中心的安全提醒会扫描可能影响我们基础架构的突发事件。
Google 员工:Google 员工会检测异常情况并进行报告。
Google 的漏洞奖励计划:有时,潜在的技术漏洞是由外部安全研究人员报告的。这些存在于归 Google 所有的浏览器扩展程序、移动应用和 Web 应用中的漏洞,可能会影响用户数据机密性或完整性,因此 Google 鼓励此类报告。
协调
收到突发事件报告时,值班响应人员会审核并评估突发事件报告的性质,以确定它是否属于数据突发事件,并启动我们的突发事件响应流程。
确认后,响应人员会评估突发事件的性质,并实施协调的响应方法。在这一阶段,响应包括完成突发事件的分类评估,在需要时调整其严重程度,并启用所需突发事件响应团队,由相应操作和技术主管审核具体情况并识别需要调查的关键区域。我们会委派一名产品主管和一名法律主管,就如何响应做出关键决策。然后,响应人员指派相关人员开展调查并收集事实。如有必要,声明突发事件,并指派突发事件指挥官。
我们响应的许多方面都取决于严重程度评估结果,该评估以突发事件响应团队收集和分析的关键事实为依据。这些关键事实包括:
给客户、第三方和 Google 造成危害的可能性
突发事件的性质(例如数据可能已被破坏、已被访问还是已被更改)
可能受影响的数据的类型
突发事件给客户使用该服务造成的影响
突发事件的状态(例如突发事件是已被隔离、仍在持续还是已得到控制)
随着新信息的不断获得,突发事件指挥官和其他主管会在整个响应过程中定期重新评估这些因素,以确保为我们的响应已分配适当的资源和紧急程度。会造成最严重影响的突发事件将被指定为最高严重程度。响应中还将指定一名沟通主管,负责与其他主管一同制定沟通计划。
解决方法
在解决阶段,重点是调查根本原因,限制突发事件的影响,解决当前的安全风险(如有),在补救过程中实施必要的修复,以及恢复受影响的系统、数据和服务。
受影响的数据将尽可能恢复到其原始状态。根据特定突发事件的具体情形,我们可能会视情况采取许多不同的步骤来解决特定事件。例如,要重建问题的根本原因或识别对客户数据的影响,可能需要进行技术或取证调查。如果数据发生意外更改或被破坏,我们可能会尝试从备份副本中恢复数据副本。
补救的一个关键方面是当突发事件影响客户的数据时通知客户。整个突发事件过程中,将对关键事实进行评估,以确定突发事件是否影响了客户数据。如果有必要通知客户,突发事件指挥官将启动通知流程。沟通主管将根据产品和法律主管的意见制定沟通计划,通知受影响的客户,并于通知后在客户服务团队的帮助下响应客户请求。
我们致力于提供及时、清楚且准确的通知,其中包含数据突发事件的已知详情、为缓解潜在风险已采取的措施,以及我们建议客户为应对突发事件而采取的措施。我们将尽最大努力提供突发事件的详尽情况,以便客户可以评估并履行自己的通知义务。
关闭
在成功补救和解决数据突发事件后,突发事件响应团队将评估从突发事件中吸取的经验教训。如果突发事件引发了关键问题,突发事件指挥官可能会启动事后分析。在此过程中,突发事件响应团队会审查突发事件的原因和我们的响应,并识别需要改进的关键区域。在某些情况下,这一过程需要与不同的产品、工程和运营团队进行讨论,并开展产品改进工作。 如果需要后续工作,突发事件响应团队会制定行动计划以完成相应工作,并指派项目经理领导长期工作。在补救工作结束后,突发事件将被关闭。
持续改进
在 Google,我们努力从每次突发事件中吸取教训,并实施预防措施,以避免未来突发事件的发生。
从突发事件分析得出的富有实用价值的洞见有助于我们改进自己的工具、培训、流程、整体安全和隐私数据保护计划、安全政策和响应工作。总结得出的重要教训还有助于相关工作的优先级安排和更出众产品的构建。
安全和隐私专业人员会审查我们针对所有网络、系统和服务的安全计划,并为产品和工程团队提供针对特定项目的咨询服务,从而提升我们的计划。安全和隐私专业人员部署机器学习、数据分析和其他新技术来监控我们网络上的可疑活动、解决信息安全威胁、执行例行安全评估和审核,并聘请外部专家进行定期安全评估。此外,Project Zero 的目标是向软件供应商报告 bug,并在外部数据库中提交 bug,从而防止定向攻击。
我们会定期开展培训和宣传活动,推动安全和数据隐私方面的创新。专门的突发事件响应员工将接受取证和证据处理相关培训,包括使用第三方工具和专有工具。我们还将针对关键区域(例如存储敏感客户信息的系统)执行突发事件响应流程的测试。 这些测试会考虑各种场景(包括内部威胁和软件漏洞),有助于我们为安全和隐私突发事件做好充足准备。
作为 ISO-27017、ISO-27018、ISO-27001、PCI-DSS、SOC 2 和 FedRAMP 计划的一部分,我们将对各类流程进行定期测试,以便为我们的客户和监管机构提供在安全性、隐私保护和合规性控制方面的独立验证。如需查看 Google Cloud 的第三方认证列表,请参阅合规性资源中心。
摘要
保护数据安全是我们业务的核心。我们将持续对整体安全计划、资源和专业知识进行投资,使我们的客户能够在突发事件发生时依赖我们的有效响应,保护客户数据安全,并持续满足客户对 Google 服务高可靠性的期望。
我们出色的突发事件响应计划提供以下关键功能:
基于行业领先技术构建的流程,专用于解决突发事件,并经过优化,能够以 Google 的规模高效运营。
开创性监控系统、数据分析和机器学习服务,可以主动检测并控制突发事件。
配备众多专门主题专家,可随时响应任何类型或规模的数据突发事件
及时通知受影响客户的成熟流程,符合 Google 在服务条款和客户协议方面的承诺。
后续步骤
如需详细了解突发事件管理,请阅读《构建安全可靠的系统》(O'Reilly 书籍)中的第 17 章。