阿里云安全白皮书V1
云计算标准化白皮书
云计算标准化白皮书
云计算作为一种新的计算模式,已经被广泛应用于各个领域,并且在
市场上取得了很大的成功。
然而,由于云计算具有高度的灵活性和可扩展性,同时也面临着各种安全和隐私问题。
为了解决这些问题,云计算标准
化成为了一个必要的举措。
此外,云计算标准化还包括云计算性能和互操作性标准。
云计算性能
标准主要是为了评估云计算服务的性能和质量,例如延迟、吞吐量、可靠
性等。
这些标准可以帮助用户选择合适的云计算服务提供商,并保证云计
算服务的质量。
云计算互操作性标准主要是为了保证不同云计算系统之间的互操作性,使得用户可以在不同云计算平台之间无缝地迁移和操作数据。
例如,OpenStack是一个开源的云计算平台,它提供了一套云计算互操作性标准,使得不同云计算平台可以互相连通和通信。
总之,云计算标准化是云计算发展的重要方向。
通过制定和遵守云计
算标准,可以提高云计算的可靠性、安全性和互操作性,促进云计算在各
个领域的应用和发展。
同时,云计算标准化也可以帮助用户选择合适的云
计算服务提供商,并保障用户数据和隐私的安全。
阿里云计算技术白皮书
都提供三份副本,当单份数据损坏后可实现数据的自动拷贝。
具体原理图见下图:
云服务器是弹性计算产品的核心部分。
它主要为用户提供计算能力服务创建并启动一台
阿里云服务器控制面板管理界面:
●安全组统一防火墙设置,设置简单。
组内机器默认互通,组内机器数限制200,组
如上图:云服务器的整个生命周期,从云服务器的创建到释放。
远程管理方式
Linux 云服务器:通过ssh 公网IP 的方式连接云服务器; Windows 云服务器:通过远程桌面的方式连接云服务器; 操作系统选择
用户提交购买云服务器订单
资源套餐选择 带宽选择
操作系统选择
创建云服务器 查询可用公网IP
云服务器绑定公网IP
关闭云服务器 启动云服务器 重启云服务器 释放云服务器。
supET-打造共生型工业互联网平台生态白皮书
阿里云研究中心 白皮书 系列supET - 打造共生型工业互联网平台生态07 12 13 25前言2009年,阿里巴巴开始自主研发飞天操作系统,云计算开始进入中国制造企业的视野;2013年,淘工厂平台成立,借助大数据与算法成功实现上万家工厂与客户间精准贸易对接,展示了C2M的制造新范式;2017年,阿里云工业大脑问世,并利用工业智能技术为协鑫光伏带来1%的生产良率提升;2018年,阿里云工业IoT平台已与近200家合作伙伴达成合作协议,可支持多达500种工业设备的互联;同年,工业大脑开放平台发布,开放3大行业知识图谱、19个业务模型、以及20多个行业算法模型,不懂代码的工程师第一次可以独立开发企业专属的工业智能应用。
这一座座里程碑看似不相关联,且都按照各自的节奏发展, 但当这些不同的故事线拼接在一起,我们依稀看到了一个带有中国特色的工业互联网平台的雏形,从中可以找到构建平台的关键要素 – 连接、数据、洞察以及服务。
然而,这还仅仅是一个雏形。
工业互联网平台绝非是一个冰冷的技术堆砌,而是一个“有机生命体”,是不稳定的、多变的、并且是模糊化的,且需要不断的新陈代谢。
平台得以持续发展与壮大,核心在于“协作、赋能与共生”。
当平台上成千上万的组织、单元聚合在一起,共享资源、相互吸引、相互补充,形成集体智慧与利益共同体,平台才得以繁荣,同时个体利益也才能得到满足。
正是在这样一个背景下,2018年4月,阿里云牵头联合浙江中控和之江实验室等,启动supET工业互联网平台建设,旨在构筑包容、共赢、开放、协作的工业互联网平台生态,推动云计算、大数据、物联网、人工智能等新一代信息技术与工业的融合,为各行各业的企业提供普惠的、一站式的数字化、网络化、智能化服务,助推中国制造业转型升级。
工业互联网平台的前世今生工业互联网平台的前世今生第一章:工业互联网平台的前世今生来源: 阿里云研究中心图1: 工业互联网平台成熟度曲线来源: 阿里云研究中心图2: 工业互联网平台的飞轮效应0708探究工业互联网平台得以持续发展的核心,在于实现可盈利的规模化商业,商业化逻辑是实现供给侧与需求侧的大规模精准对接,商业增长的计算公式可总结为流量*转化率*复购率,三者间相互作用,形成飞轮效应。
工业互联网安全白皮书
工业互联网安全白皮书在当今数字化、智能化的时代浪潮中,工业互联网犹如一股强大的动力,推动着工业领域的深刻变革和创新发展。
然而,伴随着工业互联网的蓬勃兴起,安全问题也日益凸显,成为制约其发展的关键因素之一。
工业互联网将传统工业与互联网深度融合,实现了人、机、物的全面互联。
通过传感器、大数据、云计算等技术,企业能够实时监控生产流程、优化资源配置、提高生产效率。
但与此同时,这种广泛的连接也为网络攻击打开了新的大门。
一方面,工业互联网涉及众多关键基础设施,如电力、交通、石油化工等。
一旦遭受攻击,不仅会影响企业的正常生产运营,还可能对国家安全和社会稳定造成严重威胁。
例如,针对电力系统的网络攻击可能导致大面积停电,影响人们的日常生活和社会秩序。
另一方面,工业控制系统相较于传统的信息技术系统,其安全防护能力相对薄弱。
许多工业设备和系统在设计之初并未充分考虑网络安全问题,存在着诸多安全漏洞。
而且,由于工业生产环境的特殊性,设备更新换代周期长,难以及时进行安全补丁的升级和维护。
那么,工业互联网面临的安全威胁究竟有哪些呢?首先是网络攻击手段的不断进化。
黑客组织和不法分子利用高级持续性威胁(APT)、恶意软件、网络钓鱼等手段,对工业互联网进行有针对性的攻击。
其次,数据安全问题日益突出。
工业互联网中产生和传输的大量数据,包含了企业的核心机密和用户的个人信息,如果这些数据被窃取、篡改或泄露,将给企业带来巨大的损失。
此外,内部人员的误操作或恶意行为也不容忽视,他们可能因为疏忽或利益驱动,对工业互联网系统造成安全隐患。
为了应对这些安全挑战,我们需要采取一系列的防护措施。
首先,强化安全意识是至关重要的。
企业和员工要充分认识到工业互联网安全的重要性,加强安全培训,提高安全防范意识。
其次,建立完善的安全管理制度,明确责任分工,规范操作流程,从制度层面保障工业互联网的安全运行。
在技术层面,我们需要采用多种安全防护技术。
比如,部署防火墙、入侵检测系统、加密技术等,对网络进行实时监控和防护。
2023-边缘计算安全白皮书-1
边缘计算安全白皮书随着互联网技术的不断发展,边缘计算已成为当前网络领域的热点话题。
而边缘计算安全问题也引起了人们的广泛关注。
为此,一份名为“边缘计算安全白皮书”的报告应运而生,旨在解决边缘计算安全问题。
以下是边缘计算安全白皮书的主要内容及其分析。
一、引言边缘计算是一种新兴的计算架构,它利用网络中分布式的边缘设备处理和存储数据,从而减轻网络通信的压力。
但是,一方面边缘设备的数量巨大,另一方面边缘设备的安全性不能与传统计算机相比,这给边缘计算安全带来了巨大的挑战。
二、边缘计算的安全问题1、边缘设备的安全问题边缘设备的安全问题主要表现在设备硬件、软件、通信和操作方面。
其中,硬件和软件本身的缺陷、操作系统的脆弱性、数据传输中数据的被篡改和丢失等是边缘设备的安全隐患。
2、边缘计算的数据安全问题边缘计算中大量的数据流转导致了数据的安全问题。
这其中包括数据泄漏、数据篡改、数据丢失等问题。
这些问题可能由于恶意软件、黑客攻击、系统漏洞等因素导致。
三、边缘计算安全的解决方案1、加密与解密技术为了避免边缘设备的数据泄露问题,可以使用加密与解密技术,确保边缘设备传递的数据在传输过程中仅有目标设备能够解密和访问。
2、使用安全协议为了保证通信的安全,可以使用安全协议。
如TLS协议,确保数据传输过程的安全。
3、设备管理和认证在设备管理和认证方面,可以采用设备加密和认证技术来确保对设备进行授权操作。
四、结论边缘计算正成为新的发展趋势,但也面临着严峻的安全挑战。
本文详细分析了边缘计算安全问题,并提出了多种解决方案。
作为未来网络的重要组成部分,边缘计算还有很多问题值得探讨和研究,只有加强研究,才能更好地解决边缘计算的安全问题,为其发展提供更有力的保障。
云计算安全责任共担白皮书
云计算安全责任共担白皮书云计算作为新型基础设施建设的重要组成,关键作用日益凸显,市场规模呈现持续增长趋势。
同时,云计算安全态势日益严峻,安全性成为影响云计算充分发挥其作用的核心要素。
与传统IT系统架构不同,上云后安全迎来责任共担新时代,建立云计算安全责任共担模型,明确划分云计算相关方的责任成为关键。
白皮书首先介绍了云计算在市场发展、安全等方面的现状及趋势,分析安全责任承担在云计算安全发展中的必要性,以及安全责任共担模式的应用现状与痛点。
重点围绕公有云场景,白皮书建立了更加精细落地、普遍适用的云计算安全责任共担模型,确定责任主体,识别安全责任,对责任主体应承担的责任进行划分,以提升云计算相关方责任共担意识与承担水平。
最后,白皮书对云计算安全责任共担未来发展进行了展望,并分享了责任承担优秀案例。
一、云计算安全责任共担成共识 (1)(一)云计算作为新型基础设施,安全性成关键 (1)(二)安全责任共担,保障云计算全方位安全 (4)(三)云计算安全责任共担应用与发展有痛点 (10)二、云计算安全责任共担模型框架 (12)(一)模型应用场景 (13)(二)云计算安全责任主体 (14)(三)云计算安全责任分类 (14)三、云计算安全责任识别与划分 (16)(一)云计算安全责任识别 (16)(二)云计算安全责任划分 (20)四、云计算安全责任共担未来发展趋势展望 (28)附录1:公有云安全责任承担优秀案例 (30)(一)阿里云 (30)(二)华为云 (38)(三)腾讯云 (46)附录2:政务云安全责任承担优秀案例 (56)(一)浪潮云 (56)图1 中国云计算市场规模及增速 (2)图2 全球云服务安全市场规模 (3)图3 中国云服务安全市场规模 (4)图4 云计算威胁渗透示意图 (5)图5 AWS基础设施服务责任共担模型 (7)图6 AWS容器服务责任共担模型 (7)图7 AWS抽象服务责任共担模型 (7)图8 Azure责任共担模型 (8)图9 云计算服务模式与控制范围的关系 (9)图10 云服务商与云客户责任划分边界 (10)图11 CSA安全责任与云服务模式关系 (10)图12 云计算安全责任共担模型 (15)表目录表1 IaaS模式下云计算安全责任划分 (20)表2 IaaS模式下云计算安全责任协商划分参考 (25)表3 PaaS模式下云计算安全责任划分 (26)表4 SaaS模式下云计算安全责任划分 (27)表5 SaaS模式下云计算安全责任协商划分参考 (28)表6 浪潮政务云安全责任划分案例 (56)一、云计算安全责任共担成共识(一)云计算作为新型基础设施,安全性成关键随着互联网与实体经济深度融合,企业数字化转型成为必然趋势。
安全防范白皮书
安全防范白皮书摘要在当今数字化时代,信息安全已经成为人们关心的焦点。
无论是企业还是个人,都必须时刻保护自己的隐私和资料。
安全防范措施需要综合各方面因素,例如:技术、设备、制度、管理等。
本文将从这些方面出发,为读者介绍在数字时代下的安全防范。
技术密码安全为确保账户的安全性,我们需要使用强密码。
在选择密码时,应注意以下几点:1.长度:密码长度应在8至16位之间,而且必须包含数字、字母和特殊字符。
2.复杂度:密码应该避免使用生日、电话号码、名字等容易破解的信息,并且每个网站的密码都应该不同。
3.定期更换:密码应该定期更改,至少每三个月更新一次。
网络防御在日常生活和工作中,我们需要时刻保持重要资料和数据的安全。
为了使企业和个人信息更加安全,我们需要使用一些网络安全防御工具,例如:1.防病毒软件:电脑、手机、平板、路由器等网路设备都可以安装病毒软件,防止恶意病毒对你的设备造成危害。
2.防火墙:软件或硬件的防火墙可以阻止未经授权的访问,保护你的私人信息以及公司数据。
3.加密技术:加密器可以在传输信息的过程中保持信息的机密性,使未经授权访问者无法解密信息。
4.虚拟私人网络(VPN):VPN通常用于连接公共WiFi的情况下,来建立一个安全的网络连接。
设备电脑设备从电脑设备层面完善安全管理是至关重要的。
以下是一些基本措施:1.安装防病毒软件:正版的防病毒软件可以预防各种病毒和恶意软件的感染,保证设备的安全性。
2.安装操作系统和更新驱动程序:不安装无风险的操作系统,不更新设备的驱动程序可能存在一个或多个漏洞,会对计算机进行攻击,从而造成安全漏洞。
3.关闭不需要的服务端口:关闭不用的网络服务端口,可以减少被攻击的风险。
移动设备随着移动设备的普及,越来越多的人们使用手机、平板等智能设备。
以下是一些基本措施:1.启用设备锁:设备锁包括图案、密码、指纹识别等多种解锁方式,这些方法可以让你的设备更安全,防止他人用不正当的手段接触你的设备。
阿里云 云数据库RDS版 技术白皮书
阿里云云数据库RDS版技术白皮书法律声明阿里云提醒您在阅读或使用本文档之前仔细阅读、充分理解本法律声明各条款的内容。
如果您阅读或使用本文档,您的阅读或使用行为将被视为对本声明全部内容的认可。
1. 您应当通过阿里云网站或阿里云提供的其他授权通道下载、获取本文档,且仅能用于自身的合法合规的业务活动。
本文档的内容视为阿里云的保密信息,您应当严格遵守保密义务;未经阿里云事先书面同意,您不得向任何第三方披露本手册内容或提供给任何第三方使用。
2. 未经阿里云事先书面许可,任何单位、公司或个人不得擅自摘抄、翻译、复制本文档内容的部分或全部,不得以任何方式或途径进行传播和宣传。
3. 由于产品版本升级、调整或其他原因,本文档内容有可能变更。
阿里云保留在没有任何通知或者提示下对本文档的内容进行修改的权利,并在阿里云授权通道中不时发布更新后的用户文档。
您应当实时关注用户文档的版本变更并通过阿里云授权渠道下载、获取最新版的用户文档。
4. 本文档仅作为用户使用阿里云产品及服务的参考性指引,阿里云以产品及服务的“现状”、“有缺陷”和“当前功能”的状态提供本文档。
阿里云在现有技术的基础上尽最大努力提供相应的介绍及操作指引,但阿里云在此明确声明对本文档内容的准确性、完整性、适用性、可靠性等不作任何明示或暗示的保证。
任何单位、公司或个人因为下载、使用或信赖本文档而发生任何差错或经济损失的,阿里云不承担任何法律责任。
在任何情况下,阿里云均不对任何间接性、后果性、惩戒性、偶然性、特殊性或刑罚性的损害,包括用户使用或信赖本文档而遭受的利润损失,承担责任(即使阿里云已被告知该等损失的可能性)。
5. 阿里云网站上所有内容,包括但不限于著作、产品、图片、档案、资讯、资料、网站架构、网站画面的安排、网页设计,均由阿里云和/或其关联公司依法拥有其知识产权,包括但不限于商标权、专利权、著作权、商业秘密等。
非经阿里云和/或其关联公司书面同意,任何人不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表阿里云网站、产品程序或内容。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
阿里云安全白皮书V1.2前言 (3)概览 (3)阿里云安全策略解读 (3)组织安全 (4)合规安全 (5)数据安全 (6)访问控制 (8)人员安全 (9)物理和环境安全 (10)基础安全 (11)系统和软件开发及维护 (14)灾难恢复及业务连续性 (16)总结 (17)前言阿里云以打造互联网数据分享第一平台为使命,借助自主创新的大规模分布式存储和计算等核心云计算技术,为各行业、小企业、个人和开发者提供云计算(包括云服务器、开放存储服务、关系型数据库、开放数据处理服务、开放结构化数据服务、云盾、云监控等其他产品)产品及服务,这种随时、随地、随需的高效云产品和服务同时具备安全方面的优势。
阿里云提供这些云产品及服务的方式来自于阿里巴巴集团在电子商务行业的多年浸渍,而安全则是阿里云的首要和关键组件。
本白皮书将介绍阿里云在云安全方面的方法,具体涵盖安全策略、组织安全、合规安全、数据安全、访问控制、人员安全、物理安全、基础设施安全、系统和软件开发及维护、灾难恢复及业务连续性十个方面的主题。
在本文里面所描述的策略、流程和技术将以发布时为准。
随着时间的推移,部分细节将随着产品和服务的创新而改变。
概览阿里云遵循“生产数据不出生产集群”的安全策略,覆盖从数据存储、数据访问、数据传输到数据销毁等多个环节的数据安全控制要求,这些控制要求包含以下十个方面:(1)阿里云安全策略解读;(2)组织安全;(3)合规安全;(4)数据安全;(5)访问控制;(6)人员安全;(7)物理安全;(8)基础安全;(9)系统和软件开发及维护;(10)灾难恢复及业务连续性阿里云安全策略解读“生产数据不出生产集群”------阿里云基于阿里巴巴集团十多年信息安全风险管控经验,以保护数据的保密性、完整性、可用性为目标,制定防范数据泄露、篡改、丢失等安全威胁的控制要求,根据不同类别数据的安全级别(例如:生产数据是指安全级别最高的数据类型,其类别主要包括用户数据、业务数据、系统数据等),设计、执行、复查、改进各项云计算环境下的安全管理和技术控制措施。
组织安全阿里云安全团队由信息安全、安全审计、物理安全3个团队组成,阿里云通过这些团队高效、协同的工作来给广大用户、中小网站站长和开发者打造安全的云计算环境。
2.1信息安全团队阿里云全职信息安全团队由超过50名的WEB应用安全、系统和网络安全、安全开发专家组成。
这个团队负责设计、开发和运营基于阿里云云计算环境的云安全服务(云盾);防御各类对阿里云服务、系统和网络的安全攻击及入侵;制定和监督云服务的安全开发流程。
同时作为阿里云信息安全管理体系所有者代表方在安全策略和流程方面的设计、归档和执行中扮演重要角色。
(1)设计、开发和运营采用云计算架构和技术的云安全服务(云盾),对使用阿里云云服务的各类网站和应用,提供全自动防攻击和入侵的安全服务,例如防DDoS、防入侵、以及网站安全检测;(2)依据不同数据类别及其安全等级设计访问控制策略,制定技术隔离措施和访问控制管理流程;(3)依据代码、应用、系统、网络访问流程,审核访问申请,自动化监控可疑活动(例如:数据的非授权访问及修改)并实时审计;定期复查其执行情况;(4)制定安全开发流程,并依据数据安全级别界定所有云服务的各环节安全开发要求,通过配置管理系统保证各开发环节遵循其对应的安全要求,并在上线前完成安全加固、通过安全审核;(5)借助自动化运行在阿里云网络内部和外部的漏洞扫描程序,及时发现问题区域,并在预期的时间表内整治安全漏洞。
(6)遵循信息安全事件管理标准要求,依据对数据安全性的危害程度定义安全事件类别和响应流程,采用全天候系统和人工监控识别、分析和处理信息安全事件;(7)基于预防和纠正云安全威胁根本成因来制定所有安全策略和控制措施;(8)采用不断演练的方式评估安全策略和控制措施的适用性,并及时更新;(9)遵照阿里云安全策略,为员工开发和提供培训课程,包括个人信息保护、数据安全认证和安全开发领域;(10)通过第三方安全论坛接受外部安全专家的安全评估和建议;信息安全团队也积极参与阿里云之外的安全团体工作:(1)举办和参与学术峰会(例如:阿里云开发者大会、云安全国际联盟亚太和中国区峰会);(2)参与云安全国际标准的试点工作(例如:由英国标准协会和云安全国际联盟推出的OCF认证框架);(3)面向广大互联网门户网站、安全厂商、浏览器共享基础安全防护信息(例如:以下厂商使用云盾的反钓鱼技术提升自身钓鱼侦测能力。
腾讯、新浪、奇虎360、金山、趋势科技、遨游、微软(IE)、谷歌(Chrome)、苹果(Safari)、firefox、搜狗);(4)与顶尖高校合作开发云安全技术(例如清华、南大等);2.2安全审计团队安全审计团队是阿里云另外的一个全职安全团队,阿里云维护多个国际、国内安全体系及标准的有效性,通过审核和审计以满足合规性要求,如GB/T 22080-2008/ISO/IEC 27001:2005、《信息系统安全等级保护基本要求》、云安全国际认证CSA-STAR。
2.3物理安全团队物理安全团队是设立在杭州,面向全国的一个员工团队,致力于保护阿里云遍布全国的数据中心物理安全及云计算业务基础设施的高安全性。
合规安全3.1第三方认证:ISO27001:阿里云已取得ISO27001国际认证,我们的信息安全管理体系(ISMS)涵盖云计算基础设施、数据中心和云服务,包括弹性计算、RDS(关系型数据库服务)、ODPS(开放数据处理服务)、OSS(开放存储服务)、OTS (开放结构化数据服务)、云盾(云安全服务)以及云监控服务。
ISO 27001是一项被广泛采用的全球安全标准,采用以风险管理为核心的方法来管理公司和客户信息,并通过定期评估风险和控制措施的有效性来保证体系的持续运行。
为了获得认证,公司必须表明它有一个系统的和持续的方法来管理信息安全风险,保障公司及客户信息的保密性,完整性和可用性。
该认证的取得不但验证了阿里云云端技术框架、内部管理矩阵同国际信息安全最佳实践的符合性,同时也是对阿里云云产品和服务从设计到交付的透明度、云安全服务的自动化运营服务模式的肯定。
云安全国际认证(CSA-STAR):阿里云已获得全球首张云安全国际认证金牌(CSA-STAR),这是英国标准协会(简称bsi)向全球云服务商颁发的首张金牌。
这也是中国企业在信息化、云计算领域安全合规方面第一次取得世界领先成绩。
云安全国际认证(CSA-STAR)是一项全新而有针对性的国际专业认证项目,旨在应对与云安全相关的特定问题。
其以ISO/IEC 27001认证为基础,结合云端安全控制矩阵CCM的要求,运用bsi提供的成熟度模型和评估方法,为提供和使用云计算的任何组织,从沟通和利益相关者的参与;策略、计划、流程和系统性方法;技术和能力;所有权、领导力和管理;监督和测量等5个维度,综合评估组织云端安全管理和技术能力,最终给出“不合格-铜牌-银牌-金牌”四个级别的独立第三方外审结论。
“阿里云应为此项殊荣而感到骄傲。
阿里云在引领中国云计算服务市场的过程中,开创了多种云计算服务提供的模式。
”BSI中国区董事总经理高毅民说,“在云安全评估过程中,我们的专家团队对阿里云云计算服务的能力水平和成熟度进行了充分的验证,在没有不符合缺失的情况下,将金牌授予阿里云。
我们也确信市场会对其在安全和隐私领域的贡献给予回报。
”说到金牌认证的严谨性,云安全联盟(CSA)的CEO Jim Reavis认为,“我们很高兴,阿里云已经获得了第一个CSA STAR全球金牌认证,符合了它严格的安全要求。
这个认证,证实了阿里云在安全云计算中的技术领导地位。
我非常骄傲,能看到CSA安全的最佳实践被阿里云和其他处于领导地位的云供应商越来越多地采用。
”信息安全等级保护:阿里云已通过信息安全等级保护测评,测评涵盖弹性计算、OSS(开放存储服务)、基础网络、云搜索、云地图、云邮箱、云广告、云盾。
信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
3.2合规(1)阿里云同所有供应商均签署保密协议,并通过定期识别、记录、评审保密协议中数据安全的相关控制要求,(例如:如密、访问控制、防泄漏及完整性要求),防止不正当披露、篡改和破坏数据;(2)阿里云根据国家信息安全相关法律、法规要求设置并维护和各信息安全监管机构之间的联络员和联络点。
应制定并实施程序,以确保所提供云计算平台、云计算产品、云计算服务符合国家关于知识产权相关法律和法规要求;数据安全阿里云管理的数据资产,包括客户和企业自身在安全政策下管理的数据资产。
所有阿里云员工在处理数据资产时,必须遵守数据分类原则下的数据处理流程和准则。
阿里云的数据分类不同于传统IT环境下基于数据密级的分类模式,不但在分类对象方面覆盖数据资产和包含数据的对象,而且在数据类型方面也通过明确定义数据处理权限、管理者的区域、前后关系、法律上的约束条件、合同的上的限定条件、第三方的义务来防止数据未经授权的披露或滥用。
阿里云的云服务运行在一个多租户、分布式的环境,而不是将每个客户的数据隔离到一台机器或一组机器。
这个环境是由阿里云自主研发的大规模分布式操作系统“飞天”将成千上万台分布在各个数据中心、拥有相同体系结构的机器连接而成。
4.1访问与隔离:阿里云用户用过https协议登陆官网注册用户账号来选购云服务,同时阿里云通过AccessId和AccessKey安全加密对来对云服务用户进行身份验证;阿里云运维工程师对运维生产环境的访问则需经过集中的组和角色管理系统来定义和控制其访问生产服务的权限, 每个运维工程师都有自己的唯一身份(EmployeeID),经过数字证书和动态令牌双因素认证后通过SSH连接到安全代理后进行操作,所有登陆、操作过程均被实时审计。
阿里云通过安全组实现不同用户间的隔离需求,安全组通过一系列数据链路层、网络层访问控制技术实现对不同用户虚拟化实例的隔离以及对ARP攻击和以太网畸形协议访问的隔离。
4.2存储与销毁:阿里云的云服务将客户数据存储在“飞天”平台提供的多种存储系统中,“飞天”存储栈支持多种非结构化和结构化数据的存储管理,比如“盘古”分布式文件系统,以及由“盘古”演化出的“有巢”分布式文件系统。
从阿里云的云服务到“飞天”存储栈,每一层收到的来自其它模块的访问请求都需要认证和授权。
内部服务之间的相互认证是基于Kerberos安全协议来实现的,而对内部服务的访问授权是基于capability的访问控制机制来实现的。
内部服务之间的认证和授权功能由“飞天”平台内置的安全服务来提供的。