阿里云发布《数据安全白皮书》 披露云安全运营体系

　　6月29日，阿里云在云栖大会·成都峰会发布《数据安全白皮书》(以下简称白皮书)，首次公开了阿里云在保障230万用户数据安全方面建立的流程、机制以及具体实践办法。

　　针对用户最关心的云上数据传输、使用和存储等问题，阿里云也给出了解读和承诺。

　　“1+3”的安全运营管控理念

　　阿里云总结出“1+3”的安全运营管控理念，即通过“安全融入设计、自动化监控与响应、红蓝对抗与持续改进”这3个安全手段，实现保障用户数据安全这个核心目标。白皮书中写道，阿里云对各产品及业务的安全漏洞及威胁情报已经达到100%监控响应能力。

　　阿里云还邀请全球顶尖安全技术专家持续进行“红蓝军”攻防对抗，并将对抗结果与生产环境中所遭受的威胁结合，更新跌代威胁分析工具、安全评估方法论，让数据安全防御形成一个持续迭代更新的良性循环系统。

　　数据是客户资产 不会移作它用

　　用户可自行选择其生产数据部署或存放的云服务可用区地点，未经用户授权，阿里云不会任意移动其生产数据的存储区域。

　　不同用户之间，无论是CPU、内存，还是存储和网络都默认相互隔离，既看不到对方的数据，也不会相互影响。“就像一间五星级酒店被分割成多个房间，他们之间是相互独立和封闭的，从而确保不同租户互不干扰和数据隔离。”阿里云安全资深总监肖力介绍。

　　对于数据的交换、转移与分享，阿里云都提供了标准的加密传输协议，以方便云平台与外界以及系统间传输敏感数据的需求。

　　云计算安全技术获多组织认证

　　白皮书介绍，所有开发、维护、客服以及其他可能接触到阿里云内部系统的人员，他们的每次登陆都有严密的身份识别，确保帐号与生产设备“不会误用”、“不被盗用”、“不能乱用”的三不原则。

　　七年时间，阿里云沉淀了一支包括云底层安全、云平台安全、合规内控及标准在内的专业团队，保障用户的数据安全并协助用户满足企业运营的合规目标。阿里云的热升级技术更使得产品升级、漏洞修复都不会影响客户业务。

　　现在，阿里云保护着全国35%的网站。2015年，阿里云安全团队共监控到DDoS攻击事件超过10万次，其中流量达到300Gbps以上的攻击次数有66次，最大攻击峰值流量达到477Gbps。

　　而在安全方面，阿里云已获得云安全国际认证金牌(CSA-STAR)、ISO20000认证、ISO 27001 和ISO 22301认证，还通过了美国注册会计师协会(AICPA) 与云安全联盟(CSA)制定的SOC2审计标准。