ISO27001認證讓云更安全

2015年11月，阿里云通過了由BSI(英國標準協會)審核的ISO27001:2005(信息安全管理體系)認證，成為國內首家通過ISO27001認證的云計算安全服務提供商。

　　 阿里云介紹，ISO27001是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全標準，本次認證的通過，標志著阿里云的安全性得到國際上的認可。針對云計算的安全性以及這一認證的價值，站長之家專訪了阿里巴巴集團安全部的安全專家沈錫鏞先生。

　　 沈錫鏞先生是云計算安全的專家及先行者，在云計算安全管理方面有很多分享。2012年加入阿里巴巴集團，著力于幫助快速成長但缺乏標準化管理的云計算領域建立安全管理框架。

　　 沈先生表示：“在云計算蓬勃發展的時代，一定要將這種新型的技術業務和信息安全管理體系進行有效整合。”

　　站長之家：前段時間公司通過了ISO27001認證，為什么要申請這個認證?

　　沈錫鏞：用戶使用云計算最大的障礙之一是對于安全的擔憂，如何讓客戶能放心的把數據和應用部署在阿里云云計算平臺上，并且相信阿里云能保證客戶數據和應用的機密性、完整性和可用性，靠王婆賣瓜自賣自夸是無法說服用戶的，需要一個由第三方機構頒發的審核證明，來證明其安全管理的有效性。

　　云計算安全目前仍然缺乏一個國際標準，所以在現階段ISO27001認證是一個最貼切的標準，代表我們的內部管理與國際安全要求完全接軌。其次ISO27001是一個基于信息安全風險管理為核心的體系，該體系對信息安全的管控思想就好比把西瓜片片切開看看是否成熟一樣，讓組織信息安全管理水平暴露在審核方的顯微鏡下無所遁形，從體系的核心和管控思想兩個方面都符合阿里云作為云計算服務提供商期望提供給客戶的安全承諾。

　　 站長之家：在申請ISO27001認證的過程中，阿里云推動了哪些方面的標準化流程，有哪些收獲?

　　 沈錫鏞：ISO27001認證的過程其實是對阿里云既有的安全流程的固化和檢驗，舉例來說針對ISO27001漏洞管理的相關條款要求，阿里云現有的安全分制度得以在各業務部門和集團范圍內予以強化，安全漏洞大大減少，其修復速度得到大幅度提升。在運維方面因流程執行不規范而導致的故障大大減少，舉例：自7月ISO27001體系投入運行后再未發生因流程執行不規范而導致安全故障。

　　 站長之家：阿里云國內首家通過了ISO27001認證，這對國內云服務會有什么影響?

　　 沈錫鏞：即使在云計算的背景下，云計算安全與傳統信息安全的安全目標仍是相同：“保護信息資產的保密性、完整性、可用性”，故而諸如云服務商日常運營中涉及的信息安全風險管理;人力資源、物理、網絡和主機安全;業務連續性;數據中心運維等方面都應將滿足ISO27001:2005作為基線要求。

　　面對越來越嚴重的個人信息泄露、個人隱私保護及云計算帶來的相關法律和合規要求，云服務商應建立遵循ISO27001:2005對于隱私保護和法律方面的合規管理要求。

　　 從數據安全的角度，承載客戶數據、客戶應用的云服務商也必須通過獲得ISO27001:2005認證來逐步規范云計算市場，設定準入門檻。

　　 站長之家：ISO27001認證，可以給開發者及用戶帶來哪些好處?

　　 沈錫鏞：阿里云的目標是打造互聯網數據分享第一平臺，成為以數據為中心的云計算服務公司。因此我們除了借助技術的創新，不斷提升計算能力與規模效益，將云計算變成真正意義上的公共服務，使得廣大合作伙伴、中小企業、開發者能夠受益于云計算帶來的便利和價值，也有義務從安全角度給廣大用戶和開發者打造一個安全、健康的云生態系統，使其在使用云計算的同時免除對安全的后顧之憂。

　　 因此和很多選擇IDC或IT、信息安全部門通過認證的云計算企業不同，阿里云本次認證選擇了以諸多云產品為認證對象，這就代表阿里云傳遞給廣大的開發者和用戶一個信息，從云產品的設計、運維到售賣，阿里云都接受并通過了業界最嚴苛和權威的第三方審核，保證我們向廣大公眾提供的云產品和服務安全可信。

　　 站長之家：獲得ISO27001認證，意味著阿里云得到國際上的認可，這對國外公司、服務、App應用等進入中國市場有什么吸引力嗎?阿里云在這方面是如何判斷的?

　　 沈錫鏞：這種吸引力幾乎在第一時間就到來，在得悉阿里云通過BSI審核的ISO27001體系認證，由BSI和CSA聯合推出的OCF(Open Certificate framework for cloud providers)第一時間就選擇了阿里云作為亞太地區第一家試點機構，為云安全的國際標準化進程作出自己的貢獻。

　　 國內在信息技術的標準化方面一直采用的是關注和引進的方式，并且即使引進也在實際的業務開展中未能較好的運用和推廣。云計算業務的興起則是給了廣大中國企業一個新的契機，因為該業務并不是對信息技術的顛覆而是對由來已久的大型分布式計算技術的運營嘗試，阿里云作為具備自主開發大型分布式操作系統的中國云計算企業，有必要在未來云計算標準和規范的國際化進程中占有一席之地。

　　 站長之家：安全是云服務的一個基本保障，能否結合ISO27001標準，談談阿里云的安全性是如何保障的?例如數據存儲安全、防攻擊等方面。

　　 沈錫鏞：阿里云的安全性雖然也存在內部安全和外部安全兩個不同的緯度，但和其他企業不同地方在于阿里云的內部安全和外部安全都遵行一個統一的“安全分”制度，具體來講安全部門會對所有業務部門、支撐部門從安全事件的發生率、安全漏洞的多寡角度去量化考核每個部門的安全得分，并納入公司績效考核的一部分。

　　 在面向客戶交付的每個產品或服務，阿里云按照ISO27001 附錄“A12信息系統開發、獲取和維護”的要求，建立了軟件安全開發周期(Security Development Lifecycle)安全開發流程，(如下圖)來保證每個云產品的服務的安全性。

　　 安全需求分析環節：應根據功能需求文檔進行安全需求分析，針對業務內容、業務流程、技術框架進行溝通，形成《安全需求分析建議》。

　　 安全設計環節：應根據項目特征，與測試人員溝通安全測試關鍵點，形成《安全測試建議》。

　　 安全編碼環節：應參考例如OWASP指南、CERT安全編碼等材料編寫各類《安全開發規范》，避免開發人員出現不安全的代碼。

　　 代碼審計環節：應盡可能使用代碼掃描工具并結合人工代碼審核，對產品代碼進行白盒、黑盒掃描。

　　 應用滲透測試：應在上線前參照例如OWASP標準進行額外的滲透測試 。

　　 系統發布：依據上述環節評價結果決定代碼是否發布。

　　 而在ISO27001未覆蓋的虛擬化安全領域，例如虛擬服務器的隔離、虛擬服務器及映像的加固、虛擬服務器的銷毀，雖然以上需求因虛擬化服務器的服務類型已無法通過購買安全設備實現隔離，但針對用戶和云服務商自身的安全需求仍可通過一系列的軟件手段實現安全隔離和訪問控制。

　　 針對不同用戶購買的虛擬服務器之間的隔離需求，阿里云借助自主開發的后羿系統在虛擬服務器生產環節給每個虛擬服務器打上標簽，在運營環節通過不同用戶之間的虛擬服務器訪問規則，和IP 信息包過濾系統(iptables)技術實現虛擬服務器之間、虛擬服務器和其物理機之間隔離。

　　例如針對虛擬服務器的安全加固，阿里云通過建立安全加固流程，默認提供主機入侵檢測和補丁自動更新服務等手段來保證虛擬服務器的安全;而針對虛擬服務器映像的安全加固，阿里云不但在其生產流程上加入安全審核環節，來保證虛擬服務器映像能滿足最新的安全要求，而且目前已通過安全部門直接制作安全映像交付給運營部門;針對虛擬服務器的銷毀，阿里云采用虛擬化在線管理系統對虛擬服務器進行管理保證其遷移后自動消除原有物理服務器上磁盤和內存數據，并采用實時審計技術予以監控流程的執行。

今天通過對《ISO27001認證讓云更安全》的學習，相信你對認證有更好的認識。如果要辦理相關認證，請聯系我們吧。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202012/ccaa_16042.html