欢迎来到天天文库
浏览记录
ID:11525173
大小:187.91 KB
页数:16页
时间:2018-07-12
《阿里云安全策略解读》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、阿里云安全白皮书V1.0前言3概览3阿里云安全策略解读3组织安全4合规安全5数据安全6访问控制8人员安全9物理和环境安全9基础安全11系统和软件开发及维护14灾难恢复及业务连续性16总结16前言阿里云以打造互联网数据分享第一平台为使命,借助自主创新的大规模分布式存储和计算等核心云计算技术,为各行业、小企业、个人和开发者提供云计算(包括云服务器、开放存储服务、关系型数据库、开放数据处理服务、开放结构化数据服务、云盾、云监控等其他产品)产品及服务,这种随时、随地、随需的高效云产品和服务同时具备安全方
2、面的优势。阿里云提供这些云产品及服务的方式来自于阿里巴巴集团在电子商务行业的多年浸渍,而安全则是阿里云的首要和关键组件。本白皮书将介绍阿里云在云安全方面的方法,具体涵盖安全策略、组织安全、合规安全、数据安全、访问控制、人员安全、物理安全、基础设施安全、系统和软件开发及维护、灾难恢复及业务连续性十个方面的主题。在本文里面所描述的策略、流程和技术将以出版时为准。随着时间的推移,部分细节将随着产品和服务的创新而改变。概览阿里云遵循“生产数据不出生产集群”的安全策略,覆盖从数据存储、数据访问、数据传输到
3、数据销毁等多个环节的数据安全控制要求,这些控制要求包含以下十个方面:(1)阿里云安全策略解读;(2)组织安全;(3)合规安全;(4)数据安全;(5)访问控制;(6)人员安全;(7)物理安全;(8)基础安全;(9)系统和软件开发及维护;(10)灾难恢复及业务连续性阿里云安全策略解读“生产数据不出生产集群”------阿里云基于阿里巴巴集团十多年信息安全风险管控经验,以保护数据的保密性、完整性、可用性为目标,制定防范数据泄露、篡改、丢失等安全威胁的控制要求,根据不同类别数据的安全级别(例如:生产数据
4、是指安全级别最高的数据类型,其类别主要包括用户数据、业务数据、系统数据等),设计、执行、复查、改进各项云计算环境下的安全管理和技术控制措施。组织安全阿里云安全团队由信息安全、安全审计、物理安全3个团队组成,阿里云通过这些团队高效、协同的工作来给广大用户、中小网站站长和开发者打造安全的云计算环境。2.1信息安全团队阿里云全职信息安全团队由超过50名的WEB应用安全、系统和网络安全、安全开发专家组成。这个团队负责设计、开发和运营基于阿里云云计算环境的云安全服务(云盾);防御各类对阿里云服务、系统和网
5、络的安全攻击及入侵;制定和监督云服务的安全开发流程。同时作为阿里云信息安全管理体系所有者代表方在安全策略和流程方面的设计、归档和执行中扮演重要角色。(1)设计、开发和运营采用云计算架构和技术的云安全服务(云盾),对使用阿里云云服务的各类网站和应用,提供全自动防攻击和入侵的安全服务,例如防DDoS、防入侵、以及网站安全检测;(2)依据不同数据类别及其安全等级设计访问控制策略,制定技术隔离措施和访问控制管理流程;(3)依据代码、应用、系统、网络访问流程,审核访问申请,自动化监控可疑活动(例如:数据的
6、非授权访问及修改)并实时审计;定期复查其执行情况;(4)制定安全开发流程,并依据数据安全级别界定所有云服务的各环节安全开发要求,通过配置管理系统保证各开发环节遵循其对应的安全要求,并在上线前完成安全加固、通过安全审核;(5)借助自动化运行在阿里云网络内部和外部的漏洞扫描程序,及时发现问题区域,并在预期的时间表内整治安全漏洞。(6)遵循信息安全事件管理标准要求,依据对数据安全性的危害程度定义安全事件类别和响应流程,采用全天候系统和人工监控识别、分析和处理信息安全事件;(7)基于预防和纠正云安全威胁
7、根本成因来制定所有安全策略和控制措施;(8)采用不断演练的方式评估安全策略和控制措施的适用性,并及时更新;(9)遵照阿里云安全策略,为员工开发和提供培训课程,包括个人信息保护、数据安全认证和安全开发领域;(10)通过第三方安全论坛接受外部安全专家的安全评估和建议;信息安全团队也积极参与阿里云之外的安全团体工作:(1)举办和参与学术峰会(例如:阿里云开发者大会、云安全国际联盟亚太和中国区峰会);(2)参与云安全国际标准的试点工作(例如:由英国标准协会和云安全国际联盟推出的OCF认证框架);(3)面
8、向广大互联网门户网站、安全厂商、浏览器共享基础安全防护信息(例如:以下厂商使用云盾的反钓鱼技术提升自身钓鱼侦测能力。腾讯、新浪、奇虎360、金山、趋势科技、遨游、微软(IE)、谷歌(Chrome)、苹果(Safari)、firefox、搜狗);(1)与顶尖高校合作开发云安全技术(例如清华、南大等);2.2安全审计团队安全审计团队是阿里云另外的一个全职安全团队,阿里云维护多个国际、国内安全体系及标准的有效性,通过审核和审计以满足合规性要求,如GB/T22080-2008/ISO/IEC27001:
此文档下载收益归作者所有