企业空间网络安全白皮书v1【参考】.docx

企业空间网络安全白皮书V1.0企业空间安全防护架构1云主机安全性说明：2前言2阿里云安全策略解读2组织安全3合规安全4数据安全6访问控制9人员安全10物理和环境安全10基础安全12系统和软件开发及维护15灾难恢复及业务连续性17运维系统安全保障18企业空间安全规则保障：19企业空间安全防护架构三重保护,层层设防,全方位保护用户信息安全 硬件网络 系统运维 产品内部安全控制阿里云 YBASE 内部安全规则组织安全 Linux+Mysql+Php 私密性设置合规安全 防火墙 数据隔离数据安全 发布范围设定访问控制 管理员权限设置人员安全 分布式存储物理和环境安全 数据加密存储基础安全 防跨站脚本攻击系统和软件开发及维护 服务器实时监控灾难恢复及业务连续性云主机安全性说明：前言企业空间使用的是阿里云主机，阿里云以打造互联网数据分享第一平台为使命，借助自主创新的大规模分布式存储和计算等核心云计算技术，为各行业、小企业、个人和开发者提供云计算（包括云服务器、开放存储服务、关系型数据库、开放数据处理服务、开放结构化数据服务、云盾、云监控等其他产品）产品及服务，这种随时、随地、随需的高效云产品和服务同时具备安全方面的优势。阿里云遵循“生产数据不出生产集群”的安全策略，覆盖从数据存储、数据访问、数据传输到数据销毁等多个环节的数据安全控制要求，这些控制要求包含以下十个方面：（1）阿里云安全策略解读；（2）组织安全；（3）合规安全；（4）数据安全；（5）访问控制；（6）人员安全；（7）物理安全；（8）基础安全；（9）系统和软件开发及维护；（10）灾难恢复及业务连续性阿里云安全策略解读“生产数据不出生产集群”------阿里云基于阿里巴巴集团十多年信息安全风险管控经验，以保护数据的必威体育官网网址性、完整性、可用性为目标，制定防范数据泄露、篡改、丢失等安全威胁的控制要求，根据不同类别数据的安全级别（例如：生产数据是指安全级别最高的数据类型，其类别主要包括用户数据、业务数据、系统数据等），设计、执行、复查、改进各项云计算环境下的安全管理和技术控制措施。组织安全阿里云安全团队由信息安全、安全审计、物理安全3个团队组成，阿里云通过这些团队高效、协同的工作来给广大用户、中小网站站长和开发者打造安全的云计算环境。2.1信息安全团队阿里云全职信息安全团队由超过50名的WEB应用安全、系统和网络安全、安全开发专家组成。这个团队负责设计、开发和运营基于阿里云云计算环境的云安全服务（云盾）；防御各类对阿里云服务、系统和网络的安全攻击及入侵；制定和监督云服务的安全开发流程。同时作为阿里云信息安全管理体系所有者代表方在安全策略和流程方面的设计、归档和执行中扮演重要角色。（1）设计、开发和运营采用云计算架构和技术的云安全服务（云盾），对使用阿里云云服务的各类网站和应用，提供全自动防攻击和入侵的安全服务，例如防DDoS、防入侵、以及网站安全检测；（2）依据不同数据类别及其安全等级设计访问控制策略，制定技术隔离措施和访问控制管理流程；（3）依据代码、应用、系统、网络访问流程，审核访问申请，自动化监控可疑活动（例如：数据的非授权访问及修改）并实时审计；定期复查其执行情况；（4）制定安全开发流程，并依据数据安全级别界定所有云服务的各环节安全开发要求，通过配置管理系统保证各开发环节遵循其对应的安全要求，并在上线前完成安全加固、通过安全审核；（5）借助自动化运行在阿里云网络内部和外部的漏洞扫描程序，及时发现问题区域，并在预期的时间表内整治安全漏洞。（6）遵循信息安全事件管理标准要求，依据对数据安全性的危害程度定义安全事件类别和响应流程，采用全天候系统和人工监控识别、分析和处理信息安全事件；（7）基于预防和纠正云安全威胁根本成因来制定所有安全策略和控制措施；（8）采用不断演练的方式评估安全策略和控制措施的适用性，并及时更新；（9）遵照阿里云安全策略，为员工开发和提供培训课程，包括个人信息保护、数据安全认证和安全开发领域；（10）通过第三方安全论坛接受外部安全专家的安全评估和建议；信息安全团队也积极参与阿里云之外的安全团体工作：（1）举办和参与学术峰会（例如：阿里云开发者大会、云安全国际联盟亚太和中国区峰会）；（2）参与云安全国际标准的试点