12月6日，螳螂科技正式发布《螳螂安全保障体系白皮书》，向社会公布螳螂科技在数据安全方面的流程、机制、技术及实践方法。

螳螂科技一直致力于为客户构建数据安全屏障，保障用户的数据安全和隐私保护。据白皮书显示，螳螂科技从信息安全保障、管理与组织、安全防护、安全监测、安全运行、应急恢复等维度，建立数据安全防护机制，为教育、医疗、家装等不同行业企业提供高标准的数据安全保障。

企业在使用螳螂系统过程中，无论是数据传输、数据存储、运维管理，还是物理环境、系统网络等，螳螂科技都提供了一整套全流程的安全防护体系。

在信息安全保障体系上，包括技术和管理两大部分，各部分既有机结合，又相互支撑。简单来说，就是构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用技术工手段及相关工具，进行系统建设和运行维护。

按照 ISMS 和 ISO20000 的标准，螳螂科技制定了一套完善的 IT 服务和安全管理体系规范，包括 ISMS 的 14个领域，如安全策略、安全组织、人员安全、资产安全、物理和环境安全、访问控制、密码管理、信息系统开发和获取等，同时满足了 ISO20000 体系的管理要求。

在网络安全防护上，螳螂科技在网络边界部署了完整的云防火墙，WAF应用防火墙和DDos防护来抵御互联网的恶意访问，同时具备日志溯源分析能力。在内部网络构建上，采用专有网络VPC实现相互隔离的网络环境，确保生产环境的网络独立。

在应用安全上，螳螂科技提供了完善的数据安全设计，包括全站HTTPS，代码与配置分离，完善的防爬策略和敏感信息管控。而在主机安全上，通过部署云态势感知服务，可以实时识别、分析、预警主机的各类安全威胁，实现防勒索、漏洞扫描修复、防病毒、防篡改。

在运维安全上，螳螂科技制定了严格安全运维规则制。同时所有研发和运维人员必须通过堡垒机提供的可信环境操作生产环境。 堡垒机提供了统一、高效、安全运维通道，用于集中管理生产环境各类资源，全程监控操作行为，实时还原运维场景，保障运维身份可鉴别、权限可管控、风险可阻断、操作可审计。

为了保障数据安全，螳螂科技在产品打造之初便以独有的数据加密算法来保护客户的数据安全，通过完善的授权与认证机制、层层权限分级、日志审计与溯源来做到全面安全防护。

白皮书显示，螳螂科技产品在项目开发流程中引入了 SDL(Security Development Lifecycle)，借鉴了微软推广SDL 的经验，并结合企业级安全需求以及螳螂科技自身的项目开发流程，控制项目整体的安全风险。另外，螳螂科技每年聘请外部专业安全公司，针对应用系统的渗透测试，及时发现并修复应用层面的安全漏洞。

（国家公安部监督认证：网络安全等级三级保护认证）

安全合规与隐私保护，是企业服务厂商的生命线。在安全合规方面，螳螂科技先后通过了国家公安部监督认证的网络安全等级三级保护认证。这一安全认证是zui权威的信息产品安全等级资格认证，其中三级是国家对非银行机构的zui高级认证，属于“监管级别”，认证要求十分严格，这也是目前SAAS行业获得三级信息系统安全等级保护证书较少的重要原因之一。

当下，越来越多的企业接入SaaS平台进行数字化管理，而“数据安全”也成为行业重点问题，螳螂科技一直重视数据安全体系构建，切实保护好每一位客户的数据资产，助力各行业快速、健康、安全的进行数字化升级。