阿里云公共平台已完成等保三级认证,阿里金融云已完成等保四级安全认证。

阿里云等保现状

2016年9月,阿里云通过新的云计算安全等级保护三级要求的测评,是国内首个通过国家权威机构依据云等保要求联合测评的公共云服务平台。

按照新的云等保要求和监管部门的意见,在具体的云上应用等级保护合规和测评中,涉及阿里云平台侧的相关要求不再进行单独测评,可以直接引用阿里云平台的测评结论

阿里云将提供以下材料,协助租户云上系统通过等保测评:
  • 阿里云等保备案证明
  • 阿里云测评报告封面及结论页
  • 阿里云安全产品销售许可证(公安部)
图 1. 阿里公共云平台三级等保认证
图 2. 阿里金融云四级等保认证

阿里云安全产品

阿里云利用云盾、云防火墙和其他安全生态产品,可以提供完整的安全技术解决方案,相关的阿里云安全产品及其满足的等保要求如下。
领域 安全产品 功能简介 合规对应要求
网络和通信安全 VPC 阿里云专有网络,可以实现VLAN级隔离,并自定义IP地址分配(可选)。 满足等保要求中的网络架构、边界防护和访问控制等要求。
DDoS高防 提供网络链路可用性保证,提升DDoS防护阈值,提升业务连续性(必选)。 满足等保网络安全中访问控制和机构安全的要求,20G以上防护。
云防火墙 相比于传统防火墙以及安全组策略,云防火墙可以基于业务可视化、实现业务分区/分组,管理员可以清晰的甄别合法访问和非法访问,从而执行安全隔离和访问控制策略(必选)。 满足等保要求中的边界防护和访问控制等要求。
Web应用防火墙 可防护应用攻击、CC攻击等,可根据网站实际防护场景需求实现精准防护,多种防护算法结合防御,实现业务风控,并可快速更新漏洞补丁,保障您的网站业务不被侵害受损(必选)。 满足行业自身的安全需求且满足等保要求中的入侵防范等要求。
态势感知
  • 实时全球访问流量监控。
  • 实时监控整体安全。
  • 云上服务器全端口扫描、应用漏洞扫描、0day漏洞扫描、CMS漏洞扫描。
  • 服务器、数据库和应用后台弱口令探测。
  • 通过大数据分析的方法发现隐藏的入侵安全事件,并回溯入侵点。
  • 黑客恶意行为回放,对黑客入侵后的操作行为进行取证和记录。
  • 高级威胁检测,如:定点web攻击,针对性ECS密码爆破。
  • 利用社会工程学,对撞库攻击进行识别,保证业务账号安全。
  • 利用全网威胁情报对异常登录事件、非常用IP连接数据库进行识别。
  • 拖库行为发现,对数据库的异常下载进行告警。
(必选)
满足等保要求中安全审计和集中管控的要求。
云堡垒机 实现云上服务器的操作运维审计和账号权限管理。支持100资产和100会话。 满足等保要求中身份鉴别、访问控制和安全审计等要求。
设备和计算安全 安骑士
  • 跨平台支持配置四层(tcp、udp)七层(http)的自定义访问策略。
  • 共享云盾恶意IP库,实时拦截全网威胁访问源。
  • 全流量日志审计,秒级发现非法访问、主动外连等行为。
  • 扫描第三方应用(wordpress、discuz等)及windows系统漏洞信息。
  • 网站后门文件(webshell)检测及隔离。
  • 恶意进程检测及病毒、木马查杀。
  • SSH、RDP登录日志审计,异地登录提醒。
  • 对暴力破解密码的行为进行拦截。
  • 对服务器常见系统配置缺陷进行检测,包括可疑系统账户、弱口令、注册表等进行检测。

满足等保要求中关于入侵防范和恶意代码防范的要求。

数据库审 数据库审计,同时支持RDS云数据库、ECS自建数据库,符合等级保护二级标准,帮助用户满足合规性要求,支持3个数据库(RDS)实例。(必选)

满足等保要求中安全审计的要求。

应用与数据安全 数据加密 加密服务基于国家密码局认证的硬件加密机,提供了云上数据加解密解决方案,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对云上业务的数据进行可靠的加解密运算。

满足等保中对于数据保密性要求。

SSL证书服务 为HTTP网站提供转向HTTPS,加密应用层数据(必选)。 Globalsign通配符域名证书,满足等保要求中数据完整性和数据保密性的要求。
安全运维管理 漏洞扫描系统 满足等保要求中关于及时发现漏洞和进行漏洞升级要求(必选)。 定期进行全网络的扫描,及时发现各种漏洞包括主机、网络和应用漏洞,以便进行系统加固。