阿里云正式通过美国注册会计师协会第三方数据安全审计
2016-6-29 15:22:55 中国产业信息研究网 http://www.china1baogao.com/
SOC (ServiceOrganization Controls) 审计是美国注册会计师协会,针对外包服务组织的系统和内部控制情况进行严格审计后出具的报告,可以充分证明企业内部控制设计合理性和执行有效性。此次针对阿里云的审计涉及 SOC2 和 CCM 两类。其中,SOC2 审计的是一家企业安全性、可用性、过程完整性、保密性或隐私性相关的服务控制。CCM 是国际上云计算行业通用的信息安全风险黄金标准。它定义了和云安全相关的通用安全控制要求及控制框架。
据悉,此次第三方机构针对阿里云的数据安全审计过程,涉及阿里云内部产品、研发、安全、服务等团队日常流程机制中的核心控制点共 217 项,对每一项进行逐一验证。这也是中国的云计算服务提供商,首次通过这一严苛审计。
阿里云安全事业部资深总监肖力表示:「阿里云已经建立了严密的数据安全管控体系,能帮助客户保障其数据的私密性、完整性和可用性。我们针对数据安全管控体系的设计是领先的,我们有自信可以通过第三方的审查。」
2015 年 7 月,阿里云在其发起的「数据保护倡议」中表明:「数据是客户资产,云计算平台不得移作它用。云计算平台有责任和义务建立严密的管控体系和内部审计制度,更应不懈地提高安全防护、容灾备份等方面的能力,帮助客户保障其数据的私密性、完整性和可用性。」作为数据保护倡议的发起者,阿里云一直用实践履行倡议中的责任,积极配合第三方对阿里云开展数据安全审计。
此前,阿里云在安全方面,已获得云安全国际认证金牌 (CSA-STAR)、ISO20000 认证、ISO 27001 和 ISO 22301 认证,一直在安全认证领域保持领先地位。
发布《数据安全白皮书》
另外,阿里云在云栖大会·成都峰会发布《数据安全白皮书》(以下简称白皮书),首次公开了阿里云在保障 230 万用户数据安全方面建立的流程、机制以及具体实践办法。借此机会,针对用户最关心的云上数据传输、使用和存储等问题,阿里云也给出了详实的解读和承诺。并通过权威的认证和审计报告,充分证明其在数据安全方面的合法合规性。
「1+3」的强力安全运营管控理念
从成立第一天起,阿里云就将「用户安全」列为最重要的事情。白皮书透露,阿里云在架构设计之初就同步考虑了安全架构,不仅将安全的基因植入到整个云平台和各个云产品中,更将数据安全要求嵌入产品开发生命周期的各个环节。
七年实践,阿里云总结出独有的「1+3」的强力安全运营管控理念,即通过「安全融入设计、自动化监控与响应、红蓝对抗与持续改进」这 3 个安全手段,实现保障用户数据安全这个核心目标。白皮书中写道,阿里云对各产品及业务的安全漏洞及威胁情报已经达到 100% 监控响应能力。
阿里云还积极邀请全球顶尖安全技术专家持续进行「红蓝军」攻防对抗,并将对抗结果与生产环境中所遭受的威胁结合,更新跌代威胁分析工具、安全评估方法论,让数据安全防御形成一个持续迭代更新的良性循环系统。
数据是客户资产,阿里云不会移作它用
阿里云用户对自身数据,一直具有完全的知情权和控制权。用户可自行选择其生产数据部署或存放的云服务可用区地点,未经用户授权,阿里云不会任意移动其生产数据的存储区域。
不同用户之间,无论是 CPU、内存,还是存储和网络都默认相互隔离,既看不到对方的数据,也不会相互影响。「就像一间五星级酒店被分割成多个房间,他们之间是相互独立和封闭的,从而确保不同租户互不干扰和数据隔离。」阿里云安全资深总监肖力介绍。
对于数据的交换、转移与分享,阿里云都提供了标准的加密传输协议,以方便云平台与外界以及系统间传输敏感数据的需求。
三不原则
白皮书介绍,所有开发、维护、客服以及其他可能接触到阿里云内部系统的人员,他们的每次登陆都有严密的身份识别,确保帐号与生产设备「不会误用」、「不被盗用」、「不能乱用」的三不原则!
七年时间,阿里云沉淀了一支包括云底层安全、云平台安全、合规内控及标准在内的专业团队,保障用户的数据安全并协助用户满足企业运营的合规目标。
如今,阿里云全球领先的热升级技术更使得产品升级、漏洞修复都不会影响客户业务。去年初,Xen 被爆存在高危漏洞。阿里云采用了全部热升级的方式,在用户没有感知的情况下,解决了此问题。
现在,阿里云保护着全国 35% 的网站。2015 年,阿里云安全团队共监控到 DDoS 攻击事件超过 10 万次,其中流量达到 300Gbps 以上的攻击次数有 66 次,最大攻击峰值流量达到 477Gbps。
- Google说,他们也可以让手机感受环境了
- 中国移动CEO李跃:5G部分技术会力争提前在4
- 互联网企业进军教育领域 并非只有线上教育一种形
- 蚂蚁金服旗下商家平台正式上线 做生意更简单了
- 看看一套比较入门的超高清蓝光播放系统到底要多少
- 这款手机app可以让你用IFTTT的方式来炒美
- Google Earth和Maps获得更锐利的
- Win10升级导致电脑变慢,微软赔偿用户1万美
- 网络安全法草案二审 拟进一步加强国家维护网络安
免责声明:
1、本网转载文章目的在于传递更多信息,我们不对其准确性、完整性、及时性、有效性和适用性等作任何的陈述和保证。本文仅代表作者本人观点,并不代表本网赞同其观点和对其真实性负责。
2、中国产业信息研究网一贯高度重视知识产权保护并遵守中国各项知识产权法律。如涉及作品内容、版权和其它问题,请马上与本网联系更正或删除,可在线反馈、可电邮(link@china1baogao.com)、可电话(0755-28749841)。