CypSec Logo
CypSec

安全通告

面向政府、国防及关键基础设施客户的主权安全态势、漏洞披露计划及运营透明度说明。

安全概览

CypSec实施综合性安全计划,整合加密控制、运营安全措施及持续保障活动。我们的防御态势旨在保护所有部署模式下的敏感客户数据及运营完整性,涵盖从物理隔离涉密环境到主权云基础设施。

主权态势

客户自主控制的基础设施,具备司法管辖区数据驻留能力,零境外权威机构依赖。

负责任的披露

积极的漏洞报告计划,及时确认并予以适当表彰。

运营透明度

独立验证、全面审计追踪及监管合规文档。

负责任的披露

CypSec维持积极的漏洞披露计划,欢迎安全研究人员、渗透测试人员及道德黑客识别并报告我们基础设施、产品及服务的安全弱点。我们承诺及时确认、透明沟通并对负责任的披露予以适当表彰。

范围内

所有CypSec运营的域名、应用程序接口、客户门户、公开可访问的基础设施及授权软件产品。仅允许对注册后提供的范围内文档中明确列出的资产进行测试。

范围外

物理安全测试、针对CypSec人员的社会工程学攻击、未经明确书面授权的拒绝服务攻击,以及对客户环境或合作伙伴基础设施的测试。

提交报告

提交至我们安全团队的报告将在24小时内获得初步回复,72小时内完成分类评估。我们将在安全名人堂中予以公开表彰,对关键发现提供金钱奖励,并优先提供CypSec学院培训课程。

security@cypsec.de

经认证申请后可获取PGP密钥。响应时间不含周末及欧洲公共假日。

安全架构

我们的防御态势整合自动化监测、加密控制及主权基础设施隔离,以保护所有部署模式下的客户数据及运营完整性。

加密标准

抗量子算法(CRYSTALS-Dilithium、FALCON)、静态数据采用AES-256-GCM加密、传输数据采用TLS 1.3协议,以及经FIPS 140-3四级认证的硬件安全模块密钥管理。

基础设施隔离

物理隔离部署选项、具备司法管辖区数据控制的主权云驻留,以及消除所有系统边界隐式信任的零信任网络分段。

访问控制

所有管理界面强制多因素认证、基于最小权限原则的角色访问控制,以及具备行为异常检测的持续会话监测。

运营安全

持续防御运营,确保威胁检测、事件响应及针对政府和关键基础设施领域高级持续性威胁的韧性。

威胁情报

自动化开源情报收集、暗网凭证暴露监测,以及针对特定行业的威胁行为者追踪,并在客户环境间共享入侵指标。

主动防御

部署网络欺骗资产,包括蜜罐、蜜标及诱饵服务,为侦察活动及横向移动尝试提供早期预警。

事件响应

全天候安全运营中心(SOC),具备分级升级机制、自动化遏制协议,以及维护法律程序监管链的取证保全程序。

合规与保障

通过公认框架及第三方认证对安全控制进行独立验证,适用于监管提交及合同尽职调查。

客户保护

通用数据保护条例 欧盟GDPR
网络与信息系统安全指令 NIS2
NIST CSF及CIS控制措施 已对齐

评估活动

外部渗透测试 年度
内部红队演练 持续进行
加密审计 季度

评估报告通常可在适当的保密协议下向政府客户提供。审计追踪及安全遥测数据可通过主权SOC仪表板访问,具备完全司法管辖区控制。

供应链安全

CypSec与ASGAARD紧密合作,开展全面的供应商评估及软件供应链完整性核查,以防止第三方入侵对客户环境造成影响。

供应商审查

对所有具备管理权限的人员进行背景调查、对关键供应商进行安全问卷评估,以及具备审计权的合同安全要求。

软件完整性

对所有分发二进制文件进行加密签名、可重现构建验证、维护软件物料清单(SBOM),以及集成至CI/CD流水线的依赖项漏洞扫描。

硬件来源

安全启动链验证、硬件信任根认证,以及物理隔离部署设备的防篡改包装。

联系与升级

安全咨询

security@cypsec.de

24小时内回复

事件报告

incident@cypsec.de

可立即升级

执法机构

law.enforcement@cypsec.de

须持搜查令或法院命令

所有安全通信均严格保密。接受并鼓励加密提交。响应时间不含周末及欧洲公共假日。未经认证或非法请求将被丢弃。