隨著等保2.0的腳步越來(lái)越近，云上等保受到越來(lái)越多人的關(guān)注。近日在成都舉行的云棲大會(huì)安全論壇上，牛君特意關(guān)注了阿里云云上系統(tǒng)的等保合規(guī)方案。

阿里云最早于2012年通過(guò) ISO 27001 認(rèn)證，并于2016年9月通過(guò)新的云計(jì)算安全等級(jí)保護(hù)三級(jí)測(cè)評(píng)。據(jù)阿里云安全專家行逸(易鑫)介紹，這是目前國(guó)內(nèi)首批、也是唯一一家通過(guò)國(guó)家權(quán)威機(jī)構(gòu)依據(jù)云等保要求聯(lián)合測(cè)評(píng)的公共云服務(wù)平臺(tái)。

阿里云安全資質(zhì)歷程：

2012 – ISO 27001

2012 – 等保三級(jí)

2013 – 云安全國(guó)際認(rèn)證金牌

2013 – 可信云服務(wù)認(rèn)證

2016 – 新版 ISO 20000 認(rèn)證

2016 – 阿里金融云通過(guò)SOC獨(dú)立審計(jì)

2016 – CNAS云計(jì)算國(guó)家標(biāo)準(zhǔn)測(cè)試

2016 – 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)

2016 – 新加坡國(guó)家標(biāo)準(zhǔn) MTCS T3級(jí)認(rèn)證

阿里云采用的是“云上系統(tǒng)合規(guī)責(zé)任共擔(dān)”機(jī)制，租戶的云上系統(tǒng)等保合規(guī)由客戶負(fù)責(zé)，阿里云負(fù)責(zé)的是云平臺(tái)等保合規(guī)。那么對(duì)于阿里云的租戶而言，如何幫助他們依據(jù)新的云等保要求，通過(guò)等保測(cè)評(píng)呢?

等級(jí)保護(hù)實(shí)施的基本流程包括，系統(tǒng)定級(jí)、建設(shè)整改、等級(jí)測(cè)評(píng)、系統(tǒng)備案和監(jiān)督檢查等五項(xiàng)工作。

首先，阿里云可提供等保備案證明、測(cè)評(píng)報(bào)告結(jié)論頁(yè)和客戶等級(jí)保護(hù)測(cè)評(píng)說(shuō)明等材料，協(xié)助租戶云上系統(tǒng)通過(guò)等保測(cè)評(píng)。

而且，為了便于阿里云云上系統(tǒng)能夠快速滿足等保合規(guī)的要求，阿里云通過(guò)建立“等保合規(guī)生態(tài)”，聯(lián)合阿里云合作伙伴咨詢機(jī)構(gòu)、各地測(cè)評(píng)機(jī)構(gòu)和公安機(jī)關(guān)，向阿里云客戶提供一站式、全流程等保合規(guī)解決方案。

等保合規(guī)方案工作分工

在整個(gè)測(cè)評(píng)流程中，最核心的是對(duì)信息系統(tǒng)進(jìn)行建設(shè)和整改，以建立起完善的安全管理和安全技術(shù)體系。前者包括策略、制度、機(jī)構(gòu)、人員、建設(shè)、運(yùn)維等，后者則從底向上，包括物理環(huán)境安全、網(wǎng)絡(luò)通信安全、設(shè)備與計(jì)算安全，和應(yīng)用與數(shù)據(jù)安全。

安全技術(shù)體系建立的主要手段包括使用安全產(chǎn)品、加固系統(tǒng)配置和開發(fā)安全控制。其中通過(guò)使用成熟的安全產(chǎn)品，可以快速滿足合規(guī)要求，同樣，阿里云可以提供完整的安全解決方案。

從物理到應(yīng)用四個(gè)層面的解決方案

安全牛評(píng)

阿里云的優(yōu)勢(shì)在于，擁有豐富的云上系統(tǒng)測(cè)評(píng)經(jīng)驗(yàn)，全線的安全防護(hù)產(chǎn)品，和一站式的整體解決方案，為云上租戶減少了測(cè)評(píng)工作中大量的溝通組織工作。同時(shí)，全面滿足合規(guī)要求的云安全產(chǎn)品也為用戶省去了挑選和部署的復(fù)雜工作，節(jié)省了在安全上的投入成本。