633      財經資訊

阿裏雲安全白皮書都有哪些重要內容？

前不久，阿裏雲發布了《阿裏雲安全白皮書》的更新版。這本白皮書涵蓋了安全策略、組織安全、合規安全、數據安全、訪問控製、人員安全、物理安全、基礎設施安全、係統和軟件開發及維護、災難恢複及業務連續性十個方麵的主題。下麵我們就來看看這十個主題裏的重要內容：

一、安全策略

這個主題最核心的內容就是一句話：生產數據不出生產集群。（生產數據是指安全級別最高的數據類型，其類別主要包括用戶數據、業務數據、係統數據等）

阿裏雲以保護數據的保密性、完整性、可用性為目標，製定防範數據泄露、篡改、丟失等安全威脅的控製要求，根據不同類別數據的安全級別，設計、執行、複查、改進各項雲計算環境下的安全管理和技術控製措施。

二、組織安全

阿裏雲的安全團隊分為信息安全、安全審計和物理安全3個團隊。

信息安全團隊負責設計、開發和運營基於阿裏雲雲計算環境的雲安全服務（雲盾）；防禦各類對阿裏雲服務、係統和網絡的安全攻擊及入侵；製定和監督雲服務的安全開發流程。同時作為阿裏雲信息安全管理體係所有者代表方，在安全策略和流程方麵的設計、歸檔和執行中扮演重要角色。

安全審計團隊的職責是維護多個國際、國內安全體係及標準的有效性，滿足合規性要求。如 GB/T 22080-2008/ISO/IEC 27001:2005、《信息係統安全等級保護基本要求》、OCF等。

物理安全團隊的職責是保護阿裏雲全國範圍內的數據中心物理安全及雲計算業務基礎設施的高安全性。

三、合規安全

這部分的內容包括第三方認證和合規。前者主要有 ISO 27001、OCF“金牌”證書（以 ISO 27001 為基礎的雲安全評估）和信息安全等級保護。

合規是指根據國家信息安全相關法律、法規要求設置並維護和各信息安全監管機構之間的聯絡員和聯絡點。製定並實施程序，以確保所提供雲計算平台、雲計算產品、雲計算服務符合國家關於知識產權相關法律和法規要求。

此外，阿裏雲還與所有供應商簽署保密協議，並通過定期識別、記錄、評審保密協議中數據安全的相關控製要求，防止不正當披露、篡改和破壞數據。

四、數據安全

數據安全目前是用戶尤其是大型企業用戶最關注的安全問題。阿裏雲的雲服務運行在一個多租戶、分布式的環境，而不是將每個客戶的數據隔離到一台機器或一組機器。

在訪問方麵，用戶通過安全加密進行身份驗證，而阿裏雲運維人員則需經過集中的組和角色管理係統來定義和控製其對運維生產環境的訪問。每個運維工程師都有自己的唯一身份，經過數字證書和動態令牌雙因素認證後通過SSH連接到安全代理後進行操作，所有登陸、操作過程均被實時審計。

在隔離方麵，阿裏雲通過安全組實現不同用戶間的隔離需求。安全組通過一係列數據鏈路層、網絡層訪問控製技術，以實現對不同用戶虛擬化實例的隔離。

在存儲方麵，阿裏雲自主研發的大規模分布式操作係統“飛天”平台支持多種非結構化和結構化數據的存儲管理。從雲服務到“飛天”存儲棧，每一層收到的來自其它模塊的訪問請求都需要認證和授權，並且每一層上的訪問授權均支持最小權限訪問原則。

在銷毀方麵，阿裏雲的雲服務生產係統會自動消除原有物理服務器上的磁盤和內存數據，令原始用戶數據無法恢複。對於所有委外維修的物理磁盤均采用消磁操作，消磁過程全程視頻監控並長期保留相關記錄，並定期審計磁盤擦除記錄和視頻證據以滿足監控合規要求。

五、訪問控製

這裏的訪問控製是指阿裏雲員工的身份認證、授權控製和審計，以保護阿裏雲業務係統和辦公係統的安全。

六、人員安全

人員安全是指入職前員工的職業履曆和背景調查、入職後員工的行為準則、保密規定、商業道德和信息安全政策等。

七、物理和環境安全

（略）

八、基礎安全

分為6個部分：

1. 雲安全服務（雲盾）

雲盾的抗D能力無需多說，白皮書用了“全覆蓋”、“全天候”、“穩定”、“精準”和“全清洗”五個詞來定義其優勢。除了抗D以外，雲盾還提供網站端口安全檢測、網站WEB漏洞檢測和網站木馬檢測三大功能。

2. 漏洞管理

發現、跟蹤、追查和修複安全漏洞。通過數字化的“漏洞分”運營，對每個真實的漏洞進行分類、嚴重程度排序和跟蹤修複。同時，阿裏雲與各安全研究社區的成員保持聯係，受理外部漏洞舉報。

3. 安全事件管理

安全事件管理流程包含安全事件的受理渠道、處理進度、事後通告等過程。值得注意的是，除了網絡攻擊和入侵，阿裏雲還將重大雲服務故障也納入安全事件管理範圍。

4. 網絡安全

阿裏雲網絡安全策略采用多層防禦，包括流量控製與邊界隔離、限製設備對網絡的訪問、檢測和禁止惡意、建立內部流量匯聚點以更好的監控等。

5. 傳輸層安全

指HTTPS，信息在阿裏雲端到接受者計算機實現加密傳輸。

6. 操作係統安全

阿裏雲生產服務器均基於一個包括運行阿裏雲“飛天”必要的組件而定製的linux係統版本，該係統專為阿裏雲能夠保持控製在整個硬件和軟件棧，並支持安全應用程序環境。

九、係統和軟件開發及維護

這部分的內容包括雲服務安全基線、安全谘詢和審計，以及軟件生命周期安全三部分。

阿裏雲的安全開發流程參照軟件安全開發周期(SDL)建立，包括安全需求分析、安全設計、安全編碼、代碼審計環節和係統發布五個主要環節。

十、災難恢複及業務連續性

隨著業務與安全的聯係變得越來越緊密，災難恢複及業務連續性已經逐漸成為整體安全解決方案中的重要組成部分。

阿裏雲的災難恢複包括了數據的複製與備份、不同地理位置的數據中心，業務連續性則針對災難性事情事先作出計劃，並定期進行係統處理和轉移的模擬測試。

安全牛評

“安全正在成為公有雲產品的核心競爭力”這一理念，已經成為業內共識。而技術紅利、實戰積累、最高投入，為阿裏雲安全的三大優勢。基於這些優勢，阿裏雲提出了“強壯”、“智能”、“無縫”、“標準”和“保障”的雲上“5S”安全標準。

我們知道，由於安全環境的變化，一成不變的標準並不存在，正如本白皮書中的前言所指出：“隨著時間的推移，部分細節將隨著產品和服務的創新而改變。”但無論怎樣，擁有雄厚資源的阿裏雲，其安全理念和能力，將受到越來越多用戶的認可，並成為阿裏雲快速發展的關鍵推動力。

最後更新：2017-10-17 13:24:36

  上一篇： 解讀物聯網圈重磅成人禮！阿裏雲Link物聯網平台出擊“智聯網”！

  下一篇： 阿裏雲天池醫療AI大賽迎來最後決賽，醫療AI麵臨哪些機遇與阻礙