四、 数据安全

用户的云上数据安全，是用户的生命线，也是云上安全能力的一个最重要具象表现。早在2015年7月，阿里云就发起了中国云计算服务商“数据保护倡议”。阿里云数据安全能力能够帮助用户防止数据泄露，并满足个人信息保护、等级保护2.0等合规要求。阿里云云通信对客户数据的整个生命周期管理有严格的要求，并配合先进的技术手段以保障客户数据的安全。

1. 数据采集安全

数据采集安全指的是在数据创建的源头就保障数据的识别和分类分级在第一时间能够完成，这样才能保证后续对云上数据的保护做到有的放矢。良好的数据分类分级能够保障后续的安全保护淮确性和效率。

其中：

第一步是对数据中的敏感信息，如个人验证信息（PII），进行发现和检测。

第二步是针对数据中的敏感信息，根据用户的使用场景，合规需求和安全要求，对数据进行分类分级，从而达到自知数据资产，并后续进行针对性保护的作用。

阿里云的敏感数据保护（Sensitive Data Discovery and Protection，简称SDDP）产品可在得到云上用户授权后，自动扫描和发现授权范围内的新增实例/库/表/列、对象存储文件桶/文件对象等不同级别数据信息。

通过关键字、规则、机器学习模型算法，精淮识别云环境内的敏感数据。SDDP根据敏感数据识别结果，可实现云上数据基于业务内容的分类以及基于敏感程度的分级，以供后续根据敏感分类分级结果在云上系统中对用户数据实现相关的保护机制。

2. 数据传输安全

数据传输安全是通过数据传输链路加密来保障的。传输加密是指云产品为用户访问（包括读取和上传）数据提供了SSL/TLS协议来保证数据传输的安全。

同时，阿里云的网关产品也提供传输链路的加密功能。VPN网关（VPN Gateway）服务，可通过传输链路加密通道将企业本地IDC和阿里云VPC安全可靠的连接起来。阿里云的证书服务（Alibaba Cloud Certificates Service），可以在云上签发第三方知名CA证书颁发机构的SSL证书，帮助用户实现其网站HTTPS化，使网站可信，防劫持、防篡改、防监听。

3. 数据存储安全

数据存储安全主要是通过数据落盘加密来保障的。阿里云提供云产品落盘存储加密能力给用户，并统一使用阿里云密钥管理服务（Key Management Service，简称KMS）进行密钥管理。阿里云的存储加密提供256位密钥的存储加密强度（AES256），满足敏感数据的加密存储需求。

4. 数据处理安全

数据处理安全主要体现在数据在使用中需要进行有效的隔离保护。隔离手段可以是用户侧通过使用加密计算环境实现隔离，可以通过各个产品中的权限管控等隔离手段实现，也可以通过在数据分类分级基础上的对数据脱敏使得未授权用户不得获取相关敏感信息来实现数据的隔离保护需求。

5. 数据销毁安全

阿里云在终止为云服务客户提供服务时，会及时删除云服务客户数据资产或根据相关协议要求返还其数据资产。阿里云数据清除技术满足行业标准，清除操作留有完整记录，确保客户数据不被未授权访问。