阿里云发布数据安全白皮书 树立云计算数据安全规范

本篇文章1541字，读完约4分钟

6月29日，阿里巴巴云在云起会议暨成都峰会上发布了《数据安全白皮书》(以下简称《白皮书》)，首次披露了阿里巴巴云在保障用户数据安全方面所建立的流程、机制和具体实施措施。

借此机会，阿里巴巴云还对用户最关心的云上的数据传输、使用和存储做了详细的解释和承诺。并通过权威认证和审计报告，充分证明其在数据安全方面的合法合规性。

作为一家积极接受行业市场和监管考验的云服务提供商，阿里巴巴云率先以透明开放的方式建立信任关系，再次成为云计算行业的代表，也为展示云计算市场的健康发展发挥了积极作用。

“1+3”强安全运行管理和控制理念

从成立的第一天起，阿里巴巴云就把“用户安全”列为最重要的事情。白皮书称，阿里巴巴云在架构设计之初就同时考虑了安全架构，不仅将安全基因植入整个云平台和各种云产品，还将数据安全需求嵌入产品开发生命周期的每个环节。

经过七年的实践，阿里巴巴云总结出了“1+3”的强有力的安全运营管控理念，即通过“安全融入设计、自动监控与响应、红蓝对抗、持续改进”三种安全手段来实现保障用户数据安全的核心目标。根据白皮书，阿里巴巴云拥有强大的能力来监控和应对各种产品和业务的安全漏洞和威胁情报。

阿里巴巴云还积极邀请全球优秀的安全技术专家继续“红蓝军团”攻防对抗，将对抗结果与生产环境中遭受的威胁相结合，更新迭代威胁分析工具和安全评估方法，使数据安全防御形成一个不断迭代更新的良性循环体系。

数据是客户资产，阿里巴巴云不会用于其他目的

阿里巴巴云用户始终拥有了解和控制自己数据的完全权利。用户可以选择部署或存储其生产数据的云服务可用区域。未经用户授权，阿里巴巴云不会随意移动其生产数据的存储区域。

默认情况下，不同的用户，无论是cpu、内存、存储还是网络，都是相互隔离的。他们既不能看到对方的数据，也不能影响对方。“就像一个五星级酒店被分成多个房间一样，它们是独立的，彼此之间是封闭的，从而确保不同的租户不会相互干扰和数据隔离。”阿里巴巴云安全高级总监小李介绍说。

在数据交换、传输和共享方面，阿里巴巴云提供了标准的加密传输协议，以满足云平台与外界和系统之间传输敏感数据的需求。

世界领先的云计算安全技术

根据白皮书，所有可能接触到阿里巴巴云内部系统的开发人员、维护人员、客户服务人员和其他人员在每次登录时都有严格的身份认证，以确保账号和生产设备不会“被误用”、“被盗”和“被误用”。

在过去的七年中，阿里巴巴云积累了一支包括云底安全、云平台安全、合规内部控制和标准在内的专业团队，以确保用户的数据安全，并协助用户实现企业运营的合规目标。

如今，阿里巴巴云世界领先的热升级技术使得产品升级和错误修复不会影响客户的业务。去年年初，xen暴露在高风险漏洞中。阿里巴巴云采用了所有热门的升级方法来解决这个问题，而没有用户的感知。

现在，阿里巴巴云保护了中国35%的网站。2015年，阿里巴巴云安全团队监控了超过10万次ddos攻击，其中66次攻击流量超过300gbps，最大攻击峰值流量达到477gbps。

许多国际标准组织都肯定了阿里巴巴的云数据安全机制

云计算行业安全认证和行业合规性是任何云服务提供商正式运营的必要条件，也是提供云服务的资格保证。在安全性方面，阿里巴巴云获得了csa-star、iso20000、iso 27001和iso 22301认证，被誉为亚太地区最完整的云计算平台。

阿里巴巴云还通过了美国注册会计师协会(aicpa)和云安全联盟(csa)制定的soc2审计标准。该报告由国际审计师安永会计师事务所发布，其审计重点是数据安全。

此外，为了促进行业健康发展，阿里巴巴云还积极参与云计算和大数据的国际、国家和行业标准的编制，并在多个国际标准组织中占有重要席位。

来源：安莎通讯社