上海ISO質(zhì)量認(rèn)證辦理咨詢
服務(wù)第一,質(zhì)量第一,客戶至上
上海ISO9001證書(shū)全市最低價(jià)
官網(wǎng)出證時(shí)間3個(gè)月,我們20天出證書(shū)
企業(yè)包裝,客戶要求,招投標(biāo)必備
國(guó)際認(rèn)證,貿(mào)易公司走向世界的通行證
最權(quán)威,專業(yè),科學(xué)的認(rèn)證咨詢
證書(shū)的真實(shí)性,有效性,認(rèn)監(jiān)委網(wǎng)站可查
2015年11月,阿里云通過(guò)了由BSI(英國(guó)標(biāo)準(zhǔn)協(xié)會(huì))審核的ISO27001:2005(信息安全管理體系)認(rèn)證,成為國(guó)內(nèi)首家通過(guò)ISO27001認(rèn)證的云計(jì)算安全服務(wù)提供商。 阿里云介紹,ISO27001是目前國(guó)際上最權(quán)威、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安全標(biāo)準(zhǔn),本次認(rèn)證的通過(guò),標(biāo)志著阿里云的安全性得到國(guó)際上的認(rèn)可。針對(duì)云計(jì)算的安全性以及這一認(rèn)證的價(jià)值,站長(zhǎng)之家專訪了阿里巴巴集團(tuán)安全部的安全專家沈錫鏞先生。 沈錫鏞先生是云計(jì)算安全的專家及先行者,在云計(jì)算安全管理方面有很多分享。2012年加入阿里巴巴集團(tuán),著力于幫助快速成長(zhǎng)但缺乏標(biāo)準(zhǔn)化管理的云計(jì)算領(lǐng)域建立安全管理框架。 沈先生表示:“在云計(jì)算蓬勃發(fā)展的時(shí)代,一定要將這種新型的技術(shù)業(yè)務(wù)和信息安全管理體系進(jìn)行有效整合?!?br/> 站長(zhǎng)之家:前段時(shí)間公司通過(guò)了ISO27001認(rèn)證,為什么要申請(qǐng)這個(gè)認(rèn)證? 沈錫鏞:用戶使用云計(jì)算最大的障礙之一是對(duì)于安全的擔(dān)憂,如何讓客戶能放心的把數(shù)據(jù)和應(yīng)用部署在阿里云云計(jì)算平臺(tái)上,并且相信阿里云能保證客戶數(shù)據(jù)和應(yīng)用的機(jī)密性、完整性和可用性,靠王婆賣瓜自賣自夸是無(wú)法說(shuō)服用戶的,需要一個(gè)由第三方機(jī)構(gòu)頒發(fā)的審核證明,來(lái)證明其安全管理的有效性。 云計(jì)算安全目前仍然缺乏一個(gè)國(guó)際標(biāo)準(zhǔn),所以在現(xiàn)階段ISO27001認(rèn)證是一個(gè)最貼切的標(biāo)準(zhǔn),代表我們的內(nèi)部管理與國(guó)際安全要求完全接軌。其次ISO27001是一個(gè)基于信息安全風(fēng)險(xiǎn)管理為核心的體系,該體系對(duì)信息安全的管控思想就好比把西瓜片片切開(kāi)看看是否成熟一樣,讓組織信息安全管理水平暴露在審核方的顯微鏡下無(wú)所遁形,從體系的核心和管控思想兩個(gè)方面都符合阿里云作為云計(jì)算服務(wù)提供商期望提供給客戶的安全承諾。 站長(zhǎng)之家:在申請(qǐng)ISO27001認(rèn)證的過(guò)程中,阿里云推動(dòng)了哪些方面的標(biāo)準(zhǔn)化流程,有哪些收獲? 沈錫鏞:ISO27001認(rèn)證的過(guò)程其實(shí)是對(duì)阿里云既有的安全流程的固化和檢驗(yàn),舉例來(lái)說(shuō)針對(duì)ISO27001漏洞管理的相關(guān)條款要求,阿里云現(xiàn)有的安全分制度得以在各業(yè)務(wù)部門和集團(tuán)范圍內(nèi)予以強(qiáng)化,安全漏洞大大減少,其修復(fù)速度得到大幅度提升。在運(yùn)維方面因流程執(zhí)行不規(guī)范而導(dǎo)致的故障大大減少,舉例:自7月ISO27001體系投入運(yùn)行后再未發(fā)生因流程執(zhí)行不規(guī)范而導(dǎo)致安全故障。 站長(zhǎng)之家:阿里云國(guó)內(nèi)首家通過(guò)了ISO27001認(rèn)證,這對(duì)國(guó)內(nèi)云服務(wù)會(huì)有什么影響? 沈錫鏞:即使在云計(jì)算的背景下,云計(jì)算安全與傳統(tǒng)信息安全的安全目標(biāo)仍是相同:“保護(hù)信息資產(chǎn)的保密性、完整性、可用性”,故而諸如云服務(wù)商日常運(yùn)營(yíng)中涉及的信息安全風(fēng)險(xiǎn)管理;人力資源、物理、網(wǎng)絡(luò)和主機(jī)安全;業(yè)務(wù)連續(xù)性;數(shù)據(jù)中心運(yùn)維等方面都應(yīng)將滿足ISO27001:2005作為基線要求。 面對(duì)越來(lái)越嚴(yán)重的個(gè)人信息泄露、個(gè)人隱私保護(hù)及云計(jì)算帶來(lái)的相關(guān)法律和合規(guī)要求,云服務(wù)商應(yīng)建立遵循ISO27001:2005對(duì)于隱私保護(hù)和法律方面的合規(guī)管理要求。 從數(shù)據(jù)安全的角度,承載客戶數(shù)據(jù)、客戶應(yīng)用的云服務(wù)商也必須通過(guò)獲得ISO27001:2005認(rèn)證來(lái)逐步規(guī)范云計(jì)算市場(chǎng),設(shè)定準(zhǔn)入門檻。 站長(zhǎng)之家:ISO27001認(rèn)證,可以給開(kāi)發(fā)者及用戶帶來(lái)哪些好處? 沈錫鏞:阿里云的目標(biāo)是打造互聯(lián)網(wǎng)數(shù)據(jù)分享第一平臺(tái),成為以數(shù)據(jù)為中心的云計(jì)算服務(wù)公司。因此我們除了借助技術(shù)的創(chuàng)新,不斷提升計(jì)算能力與規(guī)模效益,將云計(jì)算變成真正意義上的公共服務(wù),使得廣大合作伙伴、中小企業(yè)、開(kāi)發(fā)者能夠受益于云計(jì)算帶來(lái)的便利和價(jià)值,也有義務(wù)從安全角度給廣大用戶和開(kāi)發(fā)者打造一個(gè)安全、健康的云生態(tài)系統(tǒng),使其在使用云計(jì)算的同時(shí)免除對(duì)安全的后顧之憂。 因此和很多選擇IDC或IT、信息安全部門通過(guò)認(rèn)證的云計(jì)算企業(yè)不同,阿里云本次認(rèn)證選擇了以諸多云產(chǎn)品為認(rèn)證對(duì)象,這就代表阿里云傳遞給廣大的開(kāi)發(fā)者和用戶一個(gè)信息,從云產(chǎn)品的設(shè)計(jì)、運(yùn)維到售賣,阿里云都接受并通過(guò)了業(yè)界最嚴(yán)苛和權(quán)威的第三方審核,保證我們向廣大公眾提供的云產(chǎn)品和服務(wù)安全可信。 站長(zhǎng)之家:獲得ISO27001認(rèn)證,意味著阿里云得到國(guó)際上的認(rèn)可,這對(duì)國(guó)外公司、服務(wù)、App應(yīng)用等進(jìn)入中國(guó)市場(chǎng)有什么吸引力嗎?阿里云在這方面是如何判斷的? 沈錫鏞:這種吸引力幾乎在第一時(shí)間就到來(lái),在得悉阿里云通過(guò)BSI審核的ISO27001體系認(rèn)證,由BSI和CSA聯(lián)合推出的OCF(Open Certificate Framework for cloud providers)第一時(shí)間就選擇了阿里云作為亞太地區(qū)第一家試點(diǎn)機(jī)構(gòu),為云安全的國(guó)際標(biāo)準(zhǔn)化進(jìn)程作出自己的貢獻(xiàn)。 國(guó)內(nèi)在信息技術(shù)的標(biāo)準(zhǔn)化方面一直采用的是關(guān)注和引進(jìn)的方式,并且即使引進(jìn)也在實(shí)際的業(yè)務(wù)開(kāi)展中未能較好的運(yùn)用和推廣。云計(jì)算業(yè)務(wù)的興起則是給了廣大中國(guó)企業(yè)一個(gè)新的契機(jī),因?yàn)樵摌I(yè)務(wù)并不是對(duì)信息技術(shù)的顛覆而是對(duì)由來(lái)已久的大型分布式計(jì)算技術(shù)的運(yùn)營(yíng)嘗試,阿里云作為具備自主開(kāi)發(fā)大型分布式操作系統(tǒng)的中國(guó)云計(jì)算企業(yè),有必要在未來(lái)云計(jì)算標(biāo)準(zhǔn)和規(guī)范的國(guó)際化進(jìn)程中占有一席之地。 站長(zhǎng)之家:安全是云服務(wù)的一個(gè)基本保障,能否結(jié)合ISO27001標(biāo)準(zhǔn),談?wù)劙⒗镌频陌踩允侨绾伪U系?例如數(shù)據(jù)存儲(chǔ)安全、防攻擊等方面。 沈錫鏞:阿里云的安全性雖然也存在內(nèi)部安全和外部安全兩個(gè)不同的緯度,但和其他企業(yè)不同地方在于阿里云的內(nèi)部安全和外部安全都遵行一個(gè)統(tǒng)一的“安全分”制度,具體來(lái)講安全部門會(huì)對(duì)所有業(yè)務(wù)部門、支撐部門從安全事件的發(fā)生率、安全漏洞的多寡角度去量化考核每個(gè)部門的安全得分,并納入公司績(jī)效考核的一部分。 在面向客戶交付的每個(gè)產(chǎn)品或服務(wù),阿里云按照ISO27001 附錄“A12信息系統(tǒng)開(kāi)發(fā)、獲取和維護(hù)”的要求,建立了軟件安全開(kāi)發(fā)周期(Security Development Lifecycle)安全開(kāi)發(fā)流程,(如下圖)來(lái)保證每個(gè)云產(chǎn)品的服務(wù)的安全性。 安全需求分析環(huán)節(jié):應(yīng)根據(jù)功能需求文檔進(jìn)行安全需求分析,針對(duì)業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程、技術(shù)框架進(jìn)行溝通,形成《安全需求分析建議》。 安全設(shè)計(jì)環(huán)節(jié):應(yīng)根據(jù)項(xiàng)目特征,與測(cè)試人員溝通安全測(cè)試關(guān)鍵點(diǎn),形成《安全測(cè)試建議》。 安全編碼環(huán)節(jié):應(yīng)參考例如OWASP指南、CERT安全編碼等材料編寫各類《安全開(kāi)發(fā)規(guī)范》,避免開(kāi)發(fā)人員出現(xiàn)不安全的代碼。 代碼審計(jì)環(huán)節(jié):應(yīng)盡可能使用代碼掃描工具并結(jié)合人工代碼審核,對(duì)產(chǎn)品代碼進(jìn)行白盒、黑盒掃描。 應(yīng)用滲透測(cè)試:應(yīng)在上線前參照例如OWASP標(biāo)準(zhǔn)進(jìn)行額外的滲透測(cè)試 。 系統(tǒng)發(fā)布:依據(jù)上述環(huán)節(jié)評(píng)價(jià)結(jié)果決定代碼是否發(fā)布。 而在ISO27001未覆蓋的虛擬化安全領(lǐng)域,例如虛擬服務(wù)器的隔離、虛擬服務(wù)器及映像的加固、虛擬服務(wù)器的銷毀,雖然以上需求因虛擬化服務(wù)器的服務(wù)類型已無(wú)法通過(guò)購(gòu)買安全設(shè)備實(shí)現(xiàn)隔離,但針對(duì)用戶和云服務(wù)商自身的安全需求仍可通過(guò)一系列的軟件手段實(shí)現(xiàn)安全隔離和訪問(wèn)控制。 針對(duì)不同用戶購(gòu)買的虛擬服務(wù)器之間的隔離需求,阿里云借助自主開(kāi)發(fā)的后羿系統(tǒng)在虛擬服務(wù)器生產(chǎn)環(huán)節(jié)給每個(gè)虛擬服務(wù)器打上標(biāo)簽,在運(yùn)營(yíng)環(huán)節(jié)通過(guò)不同用戶之間的虛擬服務(wù)器訪問(wèn)規(guī)則,和IP 信息包過(guò)濾系統(tǒng)(iptables)技術(shù)實(shí)現(xiàn)虛擬服務(wù)器之間、虛擬服務(wù)器和其物理機(jī)之間隔離。 例如針對(duì)虛擬服務(wù)器的安全加固,阿里云通過(guò)建立安全加固流程,默認(rèn)提供主機(jī)入侵檢測(cè)和補(bǔ)丁自動(dòng)更新服務(wù)等手段來(lái)保證虛擬服務(wù)器的安全;而針對(duì)虛擬服務(wù)器映像的安全加固,阿里云不但在其生產(chǎn)流程上加入安全審核環(huán)節(jié),來(lái)保證虛擬服務(wù)器映像能滿足最新的安全要求,而且目前已通過(guò)安全部門直接制作安全映像交付給運(yùn)營(yíng)部門;針對(duì)虛擬服務(wù)器的銷毀,阿里云采用虛擬化在線管理系統(tǒng)對(duì)虛擬服務(wù)器進(jìn)行管理保證其遷移后自動(dòng)消除原有物理服務(wù)器上磁盤和內(nèi)存數(shù)據(jù),并采用實(shí)時(shí)審計(jì)技術(shù)予以監(jiān)控流程的執(zhí)行。
Copyright 2016 上海信傲科技咨詢有限公司
地址:上海市靜安區(qū)共和新路3615號(hào)501-503
認(rèn)證咨詢:13901914577 電話:021-56405778
網(wǎng)址:http://m.hltdn.cn
郵箱:31647134@qq.com
傳真:021-66075263
給我留言 |ISO9001認(rèn)證 |ISO14001認(rèn)證
ICP備案號(hào):滬ICP備15030973號(hào)-2
Keywords: 上海ISO9000認(rèn)證