随着等保2.0的脚步越来越近,云上等保受到越来越多人的关注。近日在成都举行的云栖大会安全论坛上,牛君特意关注了阿里云云上系统的等保合规方案。
阿里云最早于2012年通过 ISO 27001 认证,并于2016年9月通过新的云计算安全等级保护三级测评。据阿里云安全专家行逸(易鑫)介绍,这是目前国内首批、也是唯一一家通过国家权威机构依据云等保要求联合测评的公共云服务平台。
阿里云安全资质历程:
2012 – ISO 27001
2012 – 等保三级
2013 – 云安全国际认证金牌
2013 – 可信云服务认证
2016 – 新版 ISO 20000 认证
2016 – 阿里金融云通过SOC独立审计
2016 – CNAS云计算国家标准测试
2016 – 支付卡行业数据安全标准(PCI-DSS)
2016 – 新加坡国家标准 MTCS T3级认证
阿里云采用的是“云上系统合规责任共担”机制,租户的云上系统等保合规由客户负责,阿里云负责的是云平台等保合规。那么对于阿里云的租户而言,如何帮助他们依据新的云等保要求,通过等保测评呢?
等级保护实施的基本流程包括,系统定级、建设整改、等级测评、系统备案和监督检查等五项工作。
首先,阿里云可提供等保备案证明、测评报告结论页和客户等级保护测评说明等材料,协助租户云上系统通过等保测评。
而且,为了便于阿里云云上系统能够快速满足等保合规的要求,阿里云通过建立“等保合规生态”,联合阿里云合作伙伴咨询机构、各地测评机构和公安机关,向阿里云客户提供一站式、全流程等保合规解决方案。
等保合规方案工作分工
在整个测评流程中,最核心的是对信息系统进行建设和整改,以建立起完善的安全管理和安全技术体系。前者包括策略、制度、机构、人员、建设、运维等,后者则从底向上,包括物理环境安全、网络通信安全、设备与计算安全,和应用与数据安全。
安全技术体系建立的主要手段包括使用安全产品、加固系统配置和开发安全控制。其中通过使用成熟的安全产品,可以快速满足合规要求,同样,阿里云可以提供完整的安全解决方案。
从物理到应用四个层面的解决方案
安全牛评
阿里云的优势在于,拥有丰富的云上系统测评经验,全线的安全防护产品,和一站式的整体解决方案,为云上租户减少了测评工作中大量的沟通组织工作。同时,全面满足合规要求的云安全产品也为用户省去了挑选和部署的复杂工作,节省了在安全上的投入成本。