信任与保证

保持您数据的安全是我们的优先事项。

安全是我们企业精神的核心。我们的产品旨在保护您所有数据的机密性、完整性和可用性。

Trust Tenable with your data security and privacy

我们的产品可保护您的隐私,赋予您控制数据的能力。建立在安全和合规的云上,成千上万的客户信任 Tenable 及其提供的漏洞数据。


数据安全

Tenable 致力于保护您所有数据的机密性、完整性和可用性。Tenable One Vulnerability Management data is encrypted in transit and stored using modern ciphers and methods recommended by security industry and standards organizations. 多种确保安全性的网络控制、访问控制和容器隔离均内置于我们产品的每个方面,以保护您的数据。

加密

Tenable One Vulnerability Management data is encrypted in transit and storage using TLS Encryption ciphers and AES-256. 加密应用于各种应用程序基础设施层,而且这些安全存储的加密密钥具有高度访问限制。

访问权限控制

Tenable 使用多种机制来帮助您控制数据访问权限,包括 5 次登录尝试失败后的帐户锁定、SAML 和双因素身份验证。此外,还可以通过 API 密钥对访问权限进行控制。

网络控制

Tenable 云平台建立在隔离的专用网络上,并使用多种网络控制机制,例如容器隔离、入站/内部流量限制、监控多个网络点的流量速率、来源和类型。

定期安全评估

除利用 Tenable Research 团队和第三方进行定期安全评估外,Tenable 还经常执行漏洞、Docker 容器和 Web 应用程序扫描。


数据隐私

我们的一项首要任务就是确保只有您才能访问您的数据,并防止任何非客户或恶意攻击者访问、披露、违反 Tenable 云平台中存储数据的隐私和保护。此外,我们的产品使用多个数据访问控制和数据本地化,旨在保护您的数据并帮助您符合隐私义务。

数据匿名化

对于我们用于执行跨行业分析的扫描数据,任何可能识别客户身份的数据在使用前都会在 Tenable One 平台中被省略或匿名化处理。

数据访问权限

Tenable 采用多种数据访问控制机制,包括帐户锁定、双因素身份验证和 SAML。 对经过匿名处理的数据进行访问仅限于 Tenable Research 团队,并通过集中式目录系统进行控制。

数据本地化

客户扫描数据的收集和处理都在客户所在地区进行。结果经过匿名化处理,然后与类似数据一起汇集在我们的分析平台中。


认证和保证

Tenable 产品符合多个认证,包括 ISO 27001、NIAP 和隐私盾框架 (Privacy Shield Framework),帮助您浏览您的合规性并确保在云中拥有强大的安全保证。Tenable 也是 CSA STAR 计划的成员之一。

>FedRAMP

FedRAMP

Tenable One Vulnerability Management and Tenable One Web App Scanning received FedRAMP Authorization to Operate (ATO) in 2021, demonstrating our commitment to cloud security and compliance.

StateRAMP

StateRAMP

Tenable One Vulnerability Management is StateRAMP Authorized, demonstrating our commitment to the security of State and Local Government agencies.

云安全联盟 (CSA) STAR

Tenable 是 CSA STAR 计划的成员之一。CSA STAR 是业界最强大的云安全保障计划。To view the security controls for Tenable One Vulnerability Management, visit the CSA website.

ISO 27001

Tenable 的 ISO/IEC 27001:2022 认证涵盖 ISMS,它支持 Tenable 的法务领域、人力资源、信息技术、软件开发、最高管理层和客户支持职能。详细信息可在 Schellman 证书目录中公开提供。

Privacy Shield Framework

Tenable 已通过 Privacy Shield Framework 认证,并在将个人数据从欧盟和瑞士传输到美国时遵守所有数据保护要求。

国家信息保障合作伙伴计划

Tenable 的 Tenable Security Center、Nessus Manager、Nessus Network Monitor 和 Nessus Agent 产品均已通过 NIAP 认证

SOC 2

Tenable 的 SOC 2 报告是第三方审计所得出的结果,旨在评估 Tenable 是否符合服务组织控制 (SOC) 框架。Tenable 的 SOC 2 报告可应要求并按照 MNDA 提供。 请联系您的客户代表申请副本。

服务可用性

Tenable 提供业界首创的 99.95% 正常运行时间保证,确保您的服务永不停歇。Tenable 实施和执行若干措施,确保 Tenable.io 具有高度可用性,并可防范攻击或单纯的故障及中断,从而始终可以使用。

安全软件开发

Tenable 拥有专门的团队来推动安全软件开发生命周期 (SSDLC)。 他们会使用自动化的安全测试识别源代码、依赖关系和底层基础设施中的潜在漏洞,确保我们能够按时交付安全、高质量的产品。

治理

Tenable 的 SSDLC 团队可确保遵循我们流程中的安全控制机制,并使用自动化的安全测试来识别潜在漏洞。在发布产品前,所有测试必须符合严格的评分标准。

静态应用程序安全测试 (SAST)

Tenable 会分析应用程序源代码中的错误、技术负债和漏洞,确保我们产品的安全和质量。

依赖关系与第三方库扫描

Tenable 能够分析项目依赖关系,以确定漏洞和许可问题。

动态应用程序安全测试 (DAST)

Tenable 会定期针对我们的产品运行自动化 Web 应用程序扫描,以提早发现开发过程中的错误、漏洞利用和漏洞。

产品安全公告

Tenable 会在已知问题出现时发布特定于软件相关的问题,并为客户提供修复程序。有关更多信息,请单击此处

代码标准和基于角色的访问权限控制

Tenable 的基准源代码控制标准符合认证要求和行业最佳实践。这些标准包括:对等代码审查、基于角色的访问控制、最低特权、代码和存储库所有权、职责分离等。


漏洞管理

作为漏洞管理解决方案的领先提供商,Tenable 利用其平台执行内部扫描并分析笔记本电脑、基础设施和云环境中的漏洞。

常见问题

Tenable 如何保护我的数据?

Tenable 致力于保护所有客户数据的机密性,完整性和可用性。Tenable One Vulnerability Management 数据在传输和存储过程中均采用 TLS 加密算法进行加密。 应用程序基础设施层会应用 AES-256 加密。

Tenable 云平台建立在隔离的专用网络上,并使用多种网络控制机制,例如容器隔离、入站/内部流量限制、监控多个网络点的流量速率、来源和类型。

Tenable 还会实施多种访问控制措施,帮助客户控制数据访问和执行频繁的漏洞、Docker 容器和 Web 应用程序扫描,从而定期进行安全评估。

有关所采用安全测试的详细说明,请查看数据安全和隐私产品资料

Which customer data does Tenable One Vulnerability Management manage?

Ultimately, the customer data Tenable One Vulnerability Management manages has a single purpose: to deliver an exceptional experience as customers manage assets and vulnerabilities to secure their environments. To that end, Tenable One Vulnerability Management manages three categories of customer data:

  1. 资产和漏洞数据
  2. 环境性能数据
  3. 客户使用数据

Which customer asset and vulnerability data does Tenable One Vulnerability Management manage?

Tenable One Vulnerability Management inventories assets on customers' networks and manages asset attributes that may include IP address, MAC address, NetBIOS name, operating system and version, active ports and more.

Tenable One Vulnerability Management collects detailed current and historical vulnerability and configuration data, which may include criticality, exploitability and remediation status and network activity. Additionally, if customers enhance Tenable One Vulnerability Management data with integrations to third-party products, such as asset management systems and patch management systems, Tenable Vulnerabilty Management may manage data from those products.

Tenable 是否会分析或使用客户数据?

Tenable 对客户数据进行匿名化处理并加以分析,旨在确定行业趋势、漏洞增长和缓解趋势,以及安全事件趋势。例如,将漏洞的存在与其被利用情况相关联,会使 Tenable 客户获益匪浅。我们在云端收集的数据不会包括含有 PII 或个人数据的扫描数据。 对于我们用于执行跨行业分析的扫描数据,任何可能识别客户身份的数据在使用前都会在 Tenable One 平台中被省略或匿名化处理。Additional benefits of Tenable's data analysis include advanced analytics and improved correlation of customer data with industry and security events and trends. 收集和分析此类数据,还可让客户在行业或整体层面上,对照他人进行自我衡量。如果客户不希望 Tenable 收集其数据,Tenable 也将提供必要的拒绝方法。

客户能否选择拒绝健全和状态数据收集?

To maintain Tenable One Vulnerability Management performance and availability and deliver the best possible user experience, Tenable One Vulnerability Management collects customer-specific application status and health information. 其中包括扫描器与平台通信的频率、被扫描的资产数量和所部署软件的版本,以及其他用以尽快识别、解决潜在问题的常规遥测。

Tenable 利用健全及状态数据,及时检测并解决潜在问题,从而遵守 SLA 承诺。因此,客户无法选择拒绝此数据收集。

Which usage data does Tenable One Vulnerability Management collect?

Tenable 收集匿名用户使用数据,以评估和改进客户体验。此类数据包括页面访问、点击以及表达用户关于简化和改进用户体验意见的其他用户活动。

用户能否选择拒绝使用数据收集?

是。客户可要求不再允许容器参与收集过程。

客户数据会存储于何处?

Tenable uses data centers and services from Amazon Web Services (AWS) to provide and deliver Tenable One Vulnerability Management to customers. Collection and processing of customer scan data occurs inside the Tenable cloud platform within the geographic region where the customer's account is hosted, unless the customer explicitly selects a different geographic region for the data to reside. 目前的位置有:

  • 美国东部
  • 美国西部
  • U.S Central
  • 伦敦
  • 法兰克福
  • 悉尼
  • 新加坡
  • 加拿大
  • 日本

Tenable 会在未来支持其他国家/地区。

由于所有客户数据均存储在安全可靠、区域性的 AWS 服务中, AWS 所持有的欧盟数据保护认证也适用于 Tenable 云。 有关更多信息,请访问:https://aws.amazon.com/compliance/eu-data-protection/

客户能否强制将数据保留在特定位置/国家/地区?

是。数据会存储在创建帐户时所选的国家/地区。

How is customer data protected within Tenable One Vulnerability Management?

Tenable applies multiple security measures to deliver Tenable One Vulnerability Management data security and privacy. 有关所采用安全测试的详细说明,请查看数据安全和隐私产品资料

Tenable 如何执行安全开发?

数据安全和隐私产品资料提供了全面的详细信息。

Tenable 拥有一支专门的跨职能团队来推动安全软件开发生命周期 (SSDLC)。 为了以最快速度提供安全、高质量的产品,Tenable 利用自动化安全测试,在向客户发布软件之前识别出源代码、依赖组件和底层基础设施中任何潜在的漏洞。 Tenable 会利用静态应用程序安全测试 (SAST)、依赖组件和第三方库扫描 、动态应用程序测试 (DAST) 以及容器映像漏洞测试。 在整个开发流程中,遵守和强制执行严格的评分标准。

哪类客户应用程序安全功能可供使用?

Tenable 提供众多机制来帮助客户保证数据安全和控制评估,其中包括:

  • 数据在传输中和存储中均采用 AES-256 和 TLS 加密密码进行加密。 加密密钥经过安全存储,访问权限会受到限制。各种应用程序基础设施层均会应用加密,并禁止分享密钥。
  • Tenable 会在五 (5) 次登录尝试失败之后锁定帐户,以此防止暴力破解攻击。
  • 客户可通过 Twillo 所提供的服务来配置双重身份验证。
  • Customers can integrate Tenable One Vulnerability Management with their SAML deployment. Tenable One Vulnerability Management supports both IdP and SP initiated requests. 最后,用户可使用电子邮件地址在应用程序内部直接重置密码。
  • Customers can build custom connections to Tenable One Vulnerability Management using our documented APIs or SDKs. 访问可通过创建特定的 API“密钥”来进行授权和控制。 可支持将不同的密钥用于不同的集成,而无须共享用户凭证。
  • 我们在云端收集的数据不会包括任何含有 PII 或个人数据的扫描数据。 对于我们用于执行跨行业分析的扫描数据,任何可能识别客户身份的数据在使用前都会在 Tenable One 平台中被省略或匿名化处理。
  • 为防止数据拦截,所有与平台的通信均通过 SSL (TLS-1.2) 加密。 此外,旧版非安全 SSL 协商会遭到拒绝,以确保实现最高级别防护。

如何加密数据?

All data in all states in the Tenable One Vulnerability Management platform is encrypted with at least one level of encryption, using AES-256 and TLS encryption ciphers.

静态: 数据使用 AES-256 标准进行至少一层加密并存储于加密媒体上。

一些数据类别包括针对每个文件的二级加密。

传输状态: 数据在传输中使用具 4096 位密钥的 TLS v1.2 进行加密(包括内部传输)。

Tenable One Vulnerability Management Sensor Communication: 从传感器到平台的流量总是由传感器启动,并且仅在端口 443 出站。 流量使用具 4096 位密钥的 TLS 1.2 通过 SSL 通信进行加密。此举可免去更改防火墙的麻烦,并允许客户利用防火墙规则控制连接。

  • 扫描器至平台身份验证
    • 该平台为连接到容器的每个扫描程序随机生成一个 256 位长度的密钥,并在链接过程中将该密钥传递给扫描程序。
    • 扫描程序在请求作业、插件更新和更新为扫描程序二进制数据时,使用此密钥对控制器进行身份回验。
  • 扫描器至平台作业通信
    • 扫描程序每 30 秒即联系一次平台。
    • 如果存在作业,平台会生成一个 128 位的随机密钥。
    • 扫描程序从平台请求策略。
    • 控制器使用密钥加密策略,包括在扫描过程中使用的凭据。

备份/复制状态: 卷快照和数据副本存储所使用的加密级别与其来源相同,不低于 AES-256。 所有复制均通过提供商完成。 Tenable 不会将任何数据备份到场外物理媒体或物理系统。

索引状态: 索引数据使用 AES-256 标准进行至少一层加密并存储于加密媒体上。

扫描凭据:Are stored inside of a policy that is encrypted within the container's AES-256 global key. 扫描启动时,该策略会使用一个随机的 128 位密钥加密,并使用具 4096 位密钥的 TLS v1.2 进行传输。

密钥管理: 密钥集中存储,并使用基于角色的密钥进行加密,其访问受到限制。 存储的所有加密数据都可转为一个新的密钥。数据文件加密密钥在每个区域站点上均不相同,磁盘级密钥也是如此。 密钥严禁共享,且每年会对密钥管理程序进行审查。

客户能否上传自己的密钥?

客户不可对密钥管理进行配置。Tenable 管理密钥以及密钥轮换。

Tenable 是否已获得任何隐私或安全认证,如隐私盾或 CSA STAR?

Tenable 已获得以下认证:

  • 云安全联盟 (CSA) STAR
  • Privacy Shield Framework
  • ISO 27001
  • 国家信息保障合作伙伴计划 (NIAP)
  • FedRAMP authorization for Tenable One Vulnerability Management and Tenable One Web App Scanning

Tenable 如何保护个人身份信息 (PII)?

The Tenable One Vulnerability Management platform makes every effort not to collect PII data types in a format that would require additional certifications or security measures. 我们在云端收集的数据不会包括任何含有 PII 或个人数据的扫描数据。 对于我们用于执行跨行业分析的扫描数据,任何可能识别客户身份的数据在使用前都会在 Tenable One 平台中被省略或匿名化处理。这包括信用卡号、社会安全号码和其他自定义检查项。一旦 Tenable 插件捕获可能包含敏感信息或个人信息的字符串,该平台将自动混淆其中至少 50% 的字符,以保护可能具敏感性的数据。

客户数据是否独立?

Each customer's data is marked with a “container ID” that corresponds to a specific customer subscription. This container ID assures access to a customer's data is limited to only that customer.

Which security controls protect Tenable One Vulnerability Management?

Tenable 利用自主研发的解决方案按日、周或月对所有公司笔记本电脑、基础设施和云环境进行扫描。 All findings are analyzed, ticketed and tracked in accordance with the Tenable One Vulnerability Management policy. Tenable's vulnerability management program encompases authenticed, agent, web application and database scanning. 除此之外,我们还设有以下控制措施:

  • 由防火墙和网络分段来控制访问。
  • Automated tools and processes monitor the Tenable One Vulnerability Management platform for uptime, performance and to detect anomalous behavior.
  • 针对日志实行全天候自动化监测,Tenable 工作人员亦可全天候对事件作出响应。
  • 利用第三方对我们的应用程序、服务和业务整体进行渗透测试。
  • Tenable 会利用漏洞报告板,接收并响应广大安全研究人员社区发现的任何弱点或漏洞。 在发现的报告完成分类和响应后,Tenable 将发布安全公告,以便利客户、潜在客户和更广泛的社区。
  • Tenable 会通过严格的风险管理计划审查每一家第三方供应商。

How are Tenable One Vulnerability Management sensors secured?

The sensors that connect to the platform play a major role in a customer's security, collecting vulnerability and asset information. Protecting this data and ensuring the communication paths are secure is a core function of Tenable One Vulnerability Management. Tenable One Vulnerability Management supports several sensors today: Nessus 漏洞扫描器、被动扫描器和 Nessus 代理。

These sensors connect to the Tenable One Vulnerability Management platform after cryptographically authenticating and linking to Tenable One Vulnerability Management. Once linked, Tenable One Vulnerability Management manages all updates (plugins, code, etc.) to ensure the sensors are always up to date.

从传感器到平台的流量总是由传感器启动,并且仅在端口 443 出站。流量使用具 4096 位密钥的 TLS 1.2 通过 SSL 通信进行加密。此举可免去更改防火墙的麻烦,并允许客户利用防火墙规则控制连接。

  • 扫描器至平台身份验证
    • 该平台为连接到容器的每个扫描程序随机生成一个 256 位长度的密钥,并在链接过程中将该密钥传递给扫描程序。
    • 扫描程序在请求作业、插件更新和更新为扫描程序二进制数据时,使用此密钥对控制器进行身份回验。
  • 扫描器至平台作业通信
    • 扫描程序每 30 秒即联系一次平台。
    • 如果存在作业,平台会生成一个 128 位的随机密钥。
    • 扫描程序从平台请求策略。
    • 控制器使用密钥加密策略,包括在扫描过程中使用的凭据。

How is Tenable One Vulnerability Management availability managed?

The Tenable One Vulnerability Management services strive to provide a 99.95% or better uptime, and have delivered 100% uptime on the majority of services. Tenable 已发布 SLA,表明我们会确保所有用户均可使用该平台,并说明倘若发生计划外停机,我们会如何取信于客户。

“正常运行”状态简单取决于第三方托管的公共可用性测试,其定期测试所有服务的可用性。 有关现有和以前的服务运行时间相关信息,请访问 https://status.tenable.com/.

Tenable One Vulnerability Management makes extensive use of the AWS platform and other leading technologies to ensure our customers experience the best possible service and overall quality. 下方是为惠及客户所部署解决方案的部分列表:

  • Elasticsearch 集群: Elasticsearch 群集可用性高,可从主节点、lb 节点和至少一 (1) 个数据节点的丢失中恢复,而不会影响服务可用性。
  • Elastic Block Store: 用于获取每日快照并存储八 (8) 份副本
  • Kafka 生态系统: Kafka 和 Zookeeper 都可在群集中复制数据,提供任何节点应对灾难性故障的容错能力。
  • Postgres 实例: 管理后端微服务框架,保留 30 天的快照

复制的数据位于何处?

复制的数据存储在同一区域内。

具备哪些灾难恢复功能?

灾难是指可造成一或多个区域中数据或设备发生无法恢复之损失的事件。

Tenable One Vulnerability Management disaster recovery procedures have several levels and are designed to react to situations that may occur from anywhere between once in five years to once in 50 years. 根据灾难范围的不同,恢复程序用时 60 分钟至 24 小时不等。

何人可以访问客户数据?

客户可控制访问其数据的对象,包括为其人员分配角色和权限,并授权 Tenable 支持人员的暂时访问。

如何管理用户角色和权限?

Tenable One Vulnerability Management customer administrators can assign user roles (basic, scan operator, standard, scan manager, administrator and disabled) to manage permissions for major functions in Tenable One Vulnerability Management such as access to scans, policies, scanners, agents and asset lists. 客户还可以指定访问组,允许所在企业中的小组在汇总的扫描结果中查看特定资产和相关漏洞,并对特定目标运行扫描,查看单个扫描结果。

Tenable 人员能否访问客户数据?

可以。Tenable Technical Support restricts the Tenable One Vulnerability Management impersonation privilege to a subset of authorized senior roles. With customer permission, authorized senior members of Tenable's global support staff can impersonate user accounts, which allows them to perform operations in Tenable One Vulnerability Management as another user without needing to obtain that user's password.

Tenable 支持人员或客户可申请激活此功能。If Tenable Technical Support needs to impersonate a Tenable One Vulnerability Management user, a ticket is opened and tracked until closure. 技术支持会在确定需要模拟的业务后,向客户发送电子邮件。 客户需要通过电子邮件确认,技术支持可以进行用户模拟。 只有在获得客户批准的情况下,技术支持才可模拟用户。 支持中记录的每个问题均须授予权限。批准情况可在最初开启的工单内进行追踪。 Tenable 任何时候都不会以总体“确定”的方式操作以进行模拟。

Tenable 有明确的雇用和解雇流程。所有员工在雇用入职阶段均须签署保密协议;此外,所有帐户和访问密钥在离职时将立即予以撤销。All Tenable One Vulnerability Management operations staff are also required to pass a third-party background check.

何人可以使用模拟功能?

只有帐户管理员和得到授权的 Tenable 高级支持人员可以使用模拟功能。 出于安全目的,所有能够执行模拟功能的帐户均要求进行双重身份验证。 Tenable 会在内部审查模拟情况,而每位客户也可以审查对其帐户执行的模拟。 All impersonations are logged in audit logs, and all Tenable One Vulnerability Management customers can audit impersonations through the API. Tenable documents how to pull the audit logs in the following public document, https://developer.tenable.com/reference#audit-log. 请注意:上述审核日志中偶尔会出现自动帐户 ([email protected])。

Tenable 在排解技术问题时,数据是否会离开所在国家/地区?

Tenable 竭力确保客户数据受到保护,并通过与客户合作保证其策略得到贯彻,保障在必要区域的数据留存。 不过,用户模拟可能导致数据离开主位置。 在某些情况中,相关工作需要在当地的下班时间之后继续执行,因此会需要使用“全天候”流程。 还有某些情况,客户通过在非所在区域发送电子邮件给 Tenable 报告,或以其他方式违背自身政策。

对于使用得到 FedRAMP 授权认证 Tenable 产品的用户,此类数据一律会在美国存储。

Will Tenable support staff have access to a customer's internal network?

否。所有流量均由扫描器启动,并且仅用于出站。The scanners are installed behind the customer's firewall and customers can control access of the scanners via their firewall.

What is the Tenable One Vulnerability Management Data Retention Policy?

The data retention policy for Tenable One Vulnerability Management and other Tenable-hosted products is 12 months of retention for existing customers. 对于终止产品订阅的客户,客户数据会自终止日期起,保留 30 天的时间。 Tenable's data retention policy with respect to PCI scans matches then-current requirements set forth by the PCI Security Standards Council.

主动扫描数据可保留多长时间?

The ability to measure progress over time is a core function of the Tenable One Vulnerability Management platform. Tenable One Vulnerability Management will automatically store customer data for 12 months to allow customers to report over a one (1) year period of time.

If a customer discontinues the Tenable One Vulnerability Management service, how long is data retained?

如果客户的帐户到期或终止,Tenable 会保留当时的数据,但时间不会超过 30 天。此后,此类数据可能会被删除,并且无法恢复。

PCI 相关数据可保留多长时间?

根据 PCI 的规定,对于 PCI 合规验证流程中所涉及的数据,直到 PCI 认证日期之后至少 3 年方可删除。 Tenable retains this data for this time period, even if the customer chooses to delete their scans or account or terminates their Tenable One Vulnerability Management service.

How long is Tenable One Vulnerability Management usage data retained?

为确保最佳体验,只要客户容器保持启用状态,Tenable 就会收集此类信息。 一旦客户终止服务,对数据的保留将不会超过 30 天。

Does Tenable One Vulnerability Management have Common Criteria certification?

通用标准认证通常不适用于 SaaS 解决方案,因其更新频率不适合需用时六到九 (6-9) 个月才能完成的认证流程。 Tenable 的 Tenable Security Center、Nessus Manager、Nessus Agents 和日志关联引擎(LCE) 已获得通用标准认证。

了解
Tenable
实际应用

了解 Tenable 如何以 AI 的速度,为您的团队提供清晰指引,精准修复关键问题。