阿里云安全白皮书组织安全

阿里云安全团队由信息安全、安全审计、物理安全 3 个团队组成,阿里云通过这些团队高效、协同的工作来给广大用户、中小网站站长和开发者打造安全的云计算环境。
1 信息安全团队
阿里云全职信息安全团队由超过 50 名的 WEB 应用安全、系统和网络安全、安全开发专家组成。这个团队负责设计、开发和运营基于阿里云云计算环境的云安全服务(云盾);防御各类对阿里云服务、系统和网络的安全攻击及入侵;制定和监督云服务的安全开发流程。同时作为阿里云信息安全管理体系所有者代表方在安全策略和流程方面的设计、归档和执行中扮演重要角色。
(1) 设计、开发和运营采用云计算架构和技术的云安全服务(云盾),对使用阿里云云服务的各类网站和应用,提供全自动防攻击和入侵的安全服务,例如防 DDoS、防入侵、以及网站安全检测;
(2) 依据不同数据类别及其安全等级设计访问控制策略,制定技术隔离措施和访问控制管理流程;
(3) 依据代码、应用、系统、网络访问流程,审核访问申请,自动化监控可疑活动(例如:数据的非授权访问及修改)并实时审计;定期复查其执行情况;
(4) 制定安全开发流程,并依据数据安全级别界定所有云服务的各环节安全开发要求,通过配置管理系统保证各开发环节遵循其对应的安全要求,并在上线前完成安全加固、通过安全审核;
(5) 借助自动化运行在阿里云网络内部和外部的漏洞扫描程序,及时发现问题区域,并在预期的时间表内整治安全漏洞。
(6) 遵循信息安全事件管理标准要求,依据对数据安全性的危害程度定义安全事件类别和响应流程,采用全天候系统和人工监控识别、分析和处理信息安全事件;
(7) 基于预防和纠正云安全威胁根本成因来制定所有安全策略和控制措施;
(8) 采用不断演练的方式评估安全策略和控制措施的适用性,并及时更新;
(9) 遵照阿里云安全策略,为员工开发和提供培训课程,包括个人信息保护、数据安全认证和安全开发领域;
(10)通过第三方安全论坛接受外部安全专家的安全评估和建议;
信息安全团队也积极参与阿里云之外的安全团体工作:
(1) 举办和参与学术峰会(例如:阿里云开发者大会、云安全国际联盟亚太和中国区峰会);
(2) 参与云安全国际标准的试点工作(例如:由英国标准协会和云安全国际联盟推出的 OCF 认证框架);
(3) 面向广大互联网门户网站、安全厂商、浏览器共享基础安全防护信息(例如:以下厂商使用云盾的反钓鱼技术提升自身钓鱼侦测能力。腾讯、新浪、奇虎 360、金山、趋势科技、遨游、微软(IE)、谷歌(Chrome)、苹果(Safari)、firefox、搜狗);
(4) 与顶尖高校合作开发云安全技术(例如清华、南大等);
2 安全审计团队
安全审计团队是阿里云另外的一个全职安全团队,阿里云维护多个国际、国内安全体系及标准的有效性,通过审核和审计以满足合规性要求,如 GB/T 22080-2008/ISO/IEC 27001:2005、《信息系统安全等级保护基本要求》、OCF。
2.3 物理安全团队
物理安全团队是设立在杭州,面向全国的一个员工团队,致力于保护阿里云遍布全国的数据中心物理安全及云计算业务基础设施的高安全性。

阿里云安全白皮书组织安全:等您发表观点呢!

发表评论


快捷键:Ctrl+Enter