5月16日,阿里雲“電子政務雲平臺系統”正式通過網絡安全等級保護三級測評。這是等保2.0正式國家標準GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》發佈後全國首個通過等保2.0國標測評的雲平臺。2016年阿里雲成爲全國首家等保2.0試點示範單位,是全國首個符合國家等級保護制度的雲企業,並緊密跟蹤等保2.0標準編制過程中的變化,每年依據等保2.0《基本要求》編制過程中的最新稿開展等級測評並順利通過。
阿里雲是等保2.0國標的深度參與單位,曾牽頭負責雲擴展部分的設計要求。與等保1.0相比,等保2.0在標準上更強調“一箇中心,三重防護”的安全技術設計框架,一箇中心指的是安全管理中心,三重防護分別是計算環境安全、區域邊界安全和通信網絡安全。阿里雲的安全防護也都遵循了該安全技術框架的設計,採用統一的認證、權限管理、審計管理、安全管理中心進行雲平臺的內控和安全管理,並由專業的安全運營團隊開展運營,保護平臺的基座穩固。
遵循“三重防護”的要求,在計算環境安全方面,阿里雲自研的“飛天分佈式操作系統”承載了雲上各類應用,從設計之初就嚴格遵守多租戶隔離、嚴格的權限管控、數據的容災備份等雲產品的默認安全功能,可謂“安全源於設計”;在通信網絡安全和區域邊界安全方面,阿里雲VPC、安全組和雲防火牆爲雲平臺和雲客戶的網絡邊界防護和隔離提供了安全保障。
遵循“一個安全管理中心”的要求,阿里雲率先推出了亞洲第一個雲安全中心,通過一個平臺集中式安全管理,實現了雲上資產全面安全預防、威脅檢測、調查響應、主動防禦爲一體的自動化安全閉環,讓雲上客戶的安全運營人員從海量告警分析中解放出來,幫助雲上欠缺專業安全運營人員的客戶自動化解決安全問題,讓這種高等級的安全運營能力成爲所有企業的基礎設施能力之一,實現全方位默認安全防護。
等保2.0除了制度上升到法律層面,還加強了保護力度和明確罰則,等級保護對象擴展到雲計算、大數據等新的技術領域,意味着雲平臺自身首先必須要按照最新的等保要求開展合規工作,雲上的用戶也要遵守國家法律的要求,選擇合規的雲平臺,並對雲上系統開展等保工作。
阿里雲在全國範圍內推出了雲上等保合規解決方案,讓阿里雲上用戶實現平臺業務默認合規的同時,幫助客戶快速開展等保的安全建設和整改,共同構築健康的網絡安全環境。