5月16日,阿里云“电子政务云平台系统”正式通过网络安全等级保护三级测评。这是等保2.0正式国家标准GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》发布后全国首个通过等保2.0国标测评的云平台。2016年阿里云成为全国首家等保2.0试点示范单位,是全国首个符合国家等级保护制度的云企业,并紧密跟踪等保2.0标准编制过程中的变化,每年依据等保2.0《基本要求》编制过程中的最新稿开展等级测评并顺利通过。
阿里云是等保2.0国标的深度参与单位,曾牵头负责云扩展部分的设计要求。与等保1.0相比,等保2.0在标准上更强调“一个中心,三重防护”的安全技术设计框架,一个中心指的是安全管理中心,三重防护分别是计算环境安全、区域边界安全和通信网络安全。阿里云的安全防护也都遵循了该安全技术框架的设计,采用统一的认证、权限管理、审计管理、安全管理中心进行云平台的内控和安全管理,并由专业的安全运营团队开展运营,保护平台的基座稳固。
遵循“三重防护”的要求,在计算环境安全方面,阿里云自研的“飞天分布式操作系统”承载了云上各类应用,从设计之初就严格遵守多租户隔离、严格的权限管控、数据的容灾备份等云产品的默认安全功能,可谓“安全源于设计”;在通信网络安全和区域边界安全方面,阿里云VPC、安全组和云防火墙为云平台和云客户的网络边界防护和隔离提供了安全保障。
遵循“一个安全管理中心”的要求,阿里云率先推出了亚洲第一个云安全中心,通过一个平台集中式安全管理,实现了云上资产全面安全预防、威胁检测、调查响应、主动防御为一体的自动化安全闭环,让云上客户的安全运营人员从海量告警分析中解放出来,帮助云上欠缺专业安全运营人员的客户自动化解决安全问题,让这种高等级的安全运营能力成为所有企业的基础设施能力之一,实现全方位默认安全防护。
等保2.0除了制度上升到法律层面,还加强了保护力度和明确罚则,等级保护对象扩展到云计算、大数据等新的技术领域,意味着云平台自身首先必须要按照最新的等保要求开展合规工作,云上的用户也要遵守国家法律的要求,选择合规的云平台,并对云上系统开展等保工作。
阿里云在全国范围内推出了云上等保合规解决方案,让阿里云上用户实现平台业务默认合规的同时,帮助客户快速开展等保的安全建设和整改,共同构筑健康的网络安全环境。
