陈雪秀（阿里云高级安全专家）：
主题：云安全标准实践

各位专家、各位同仁，大家下午好！因为前面在高院长的演讲和陈兴蜀老师的演讲中，更多的都给大家讲到了关于云计算的网络安全审查，我们作为三家通过审查的单位之一，阿里云计算有限公司，我们的电子政务云通过审查，我们作为企业，如何通过这个审查，以及对审查工作的心得体会和我们在标准应用实践过程中的心得体会跟大家一起来分享。

刚才陈院长讲的里面已经提到，我们的电子政务云已经通过了审查，在我们通过审查过程中，我们是一朵社区云，这朵社区云是可以为电子政务行业提供行业服务，它与政务云是完全独立的，我们通过了增强级的安全审查，根据31168这个标准，在增强型的时候是有562条指标，比一般级多了112条指标。在这个过程中我们作为一个企业经过近两年的实践，还是付出了很多的努力。

整个阿里云我们是从09年进行成立，我们成立之初为了保障我们企业内部安全，为阿里巴巴集团提供基础设施服务，包括为淘宝、天猫。2010年的时候，在我们的业界有一些好的认为我们整个基础设施，因为我们最初提出了HLE的战略，有这样的应用和实践，我们开始为社会提供服务。

到了2012年的时候，我们在安全领域形成了非常大的突破，我们作为公有云突破了CSA的C—STAR的认证。单点我们达到5000K的集群，去年我们达到1.2万K，今年就更多了，我们的资源调度能力和协调能力，在世界大赛排名中我们的调度和排序能力也取得了世界级第一的能力。

2014到2015年，基于云计算的基础设施，我们推出了机遇大数据的服务，我们称为云数据大计算，把IT作为基础设施，更多强调它的计算能力。

2016年我们提到要从IT到DT时代的转变，我们阿里云的云标都换了，原来是一个桔色的，是一个云，现在变成了中括号里面一个省略号，这个省略号代表了无限的想象空间，让大数据成为数据时代的基础资源、基础能力。

同时，我们把我们在云计算和大数据的能力赋予党政企业和党政机关。我们为党政机关提供服务，包括我们在各个地方建立我们的政务云平台。是一种交互的形式。2015年建立了阿里云电子政务云平台，这朵云是阿里云自己运营的，也是我们通过了安全审查的云平台，同时我们还跟一些国家级的政府部委机关，公安、海关、税务、人社等等进行合作，把我们政务云平台输出到用户的场景下，真正让用户在私有云的环境下，或者在自己的场景下去运营和维护。

我们在今年公布通过审查的是我们2015年建的，原来叫北京市海淀政务云，目前叫阿里云电子政务云平台，中国信息研究院研究员左小栋说，通过审查代表了一种可信的能力，它的安全平台承载了非涉秘的敏感信息和非涉秘政务信息。我们做到增强级是希望为党政用户提供更安全的数据的安全保护能力和业务联系性的保障能力。

党政机关使用云计算服务是面临困境的，我使用的时候，就把我的数据、应用放到了云平台上，我和云服务商之间的责任是怎么划分的，IaaS、PaaS模式不同，资源池化、多租户隔离、按需分配等等特点也会有威胁和挑战，我们2013年公布9大安全风险和套占，2014年公布了12大的威胁和挑战。

对于这样一些安全的问题，对于我们在跟云服务商和信息的服务上面都带来了很大的问题，比如说客户和安全的责任如何界定、如何划分，虽然31167给了一定的指导，但是我们到底怎么落实？我们如何进行安全的防护，如何进行安全的监管，我们都是需要有一些标准来做抓手、来做依据的。31167和31168这个标准给了我们这样一个指导。

首先在31167这个标准中，他是从政府用户角度出发，他在规划阶段到选择云服务商，到部署云中，怎么样签订安全合同，保障双方SLA的旅行。

31168这个标准是对云服务商的要求角度出发，提出了能力的要求，通过安全审查来达到提升你的安全能力的要求，作为企业来说，我们认为这一次的安全审查工作是非常客观公正权威的，因为这一次的审查工作是需要企业自证、第三方审查和专家评审三方结合的方式。

对于企业自证，在整个的31167中，贯穿了整个客户上云，以及在云上业务安全运营的生命周期的活动，31168涵盖了十个大方面的562条指标，我在企业自证过程中，我势必要梳理我所有的人员组织的关系，我要梳理我的安全管理体系，梳理我的安全服务体系，梳理我的安全保障机制、安全解决方案、梳理我的各种运行机制。

在这个过程中，企业自证是对自己安全的梳理、安全的自查、自省、安全提升的过程，也是提升企业内部人员安全意识的过程。在整个过程中我们内部举办大小的沟通会有一百多次，在整个过程中，是对全员的安全意识的提升，也体现了企业的诚信度，因为我要提供证据，这些证据要由第三方审核，你提供的证据是不是合理的、是不是真实的。包括第三方单位还采用现代化的工具、测试的方法、测试的手段，包括工艺测试、深度测试等等，在自查的基础上提升、验证，来更加权威和公正的验证你的能力。

专家评审更体现了客观性和公正性。通过这样严格的审查，我们认为在一定程度上可以打消政府用户来使用云服务的困惑和困扰。解决云服务过程中一直受到安全可信质疑的问题。

31167这个标准制订界定了服务模式和部署模式，阿里云对应的标准是公有云，金融云和政务云是社区云，我们输出给用户场景下的海关、公安、税务等等一些云属于私有云，阿里云在政务云的过程中属于一种社区云，我们还分为场内社区云和场外社区云，场外社区云是阿里云为主体的，是电子政务云。宁夏、河南、贵阳经信委属于他们场内的社区云。

31167标准中明确了安全的原则，对于用户，你在选择云服务商的时候，尤其对于政府用户，一定是先审后用的原则，政府用户在上云的时候，一定要通过审查的云服务商作为你选择的主体，你上云的过程中你的安全责任是不变的，对安全的管理权限是不变的。四不变原则你应该遵循，你更应该慎重选择安全的云服务商上云。

同时根据自己选择的云服务的模式和安全的不同，你应该增强自身的安全保障措施。同时，对云服务商来说，这个标准我们首先应该经过审查，平均我们应该通过与用户之间的合同的履行，接受用户对我们持续的监管，包括未来会有持续监管，以及我们自身企业要不断通过这些标准来自我自查、自我完善，达到我的安全能力能够持续提升。

同时，也应该给政府用户足够的空间，他们能上能下。在这一点上，信标委也推出了云计算服务的两项关于接口的标准。只要云服务商按照通用的国家的标准来做，至少你在可一致性上、互操作性上能够达到这样的要求。

31167标准中明确给出了责任界定模型，给出了不同服务模式上云服务商和云客户之间的安全边界在哪里，不同责任边界代表了双方不同责任的界定，代表了双方应该满足的责任。这个模型对于我们现在可能提出来的不只是IaaS、PaaS、SaaS，以及DaaS，你是不同的产品，是数据库、是中间件等等，不同情况下，我们结合标准到底如何界定安全责任。

我们认为是由安全管理权限决定的安全责任。对于一个Iaas服务而言，你对虚机的操作系统，云服务商不具有管理权限，对于这样而言，他对虚机操作系统的安全配置、安全加固应该是在云客户一方，对于底层平台的硬件，云客户没有安全的管理权限以及安全处置的权限，这样的责任一定是在云服务商一方。

无论是什么样的服务模式，什么样的产品，一旦决定产品权限，就确定了责任。阿里确定了一个权限模型，我们把基础设施、物理IT的资源以及生成资源的飞天操作系统和服务，我们把它定义为我们的云平台，基于我们的云平台我们可以提供不同的服务。在这样的服务上面，我们与用户去划分安全责任，由安全主体来界定。

对于安全责任划分，我作为一个云服务商，我要保障我自己平台的安全、平台的合规，并且平台对于关键技术、关键应用的自主可控的能力，并且保障在互操作和可一致性上，保证用户的需求。同时，大家也会提到，对于云上客户的安全，云服务商虽然责任在客户，我们认为云服务商也应该能够提供一种能力，这种能力就是帮助用户合规，帮助用户来满足自己业务的安全和需求。我们会从后面来介绍这样一个责任分担模型。对于云平台安全，31168这个标准是不断提升政务云平台安全能力上的，其他云在自查过程中也借鉴的，是一个非常好的抓手和依据。

首先保障人员的可信可控，去年我给大家介绍的时候，还说我是阿里巴巴集团的，就是因为云安全服务审查，我们作为阿里巴巴集团的基础安全部，我们全部变成了阿里云的安全事业部，因为当时在审查的过程中，虽然基础安全部也是为阿里云的安全提供一个安全保障、这样的工作能力，但是在整个管理的权限上面，不是由阿里云的总裁进行直接管理的，势必在一些重大事件的应急、调度、保障能力上的时候会有一些影响。由于这样的问题，阿里巴巴集团基础安全部全部做组织结构调整，划分为阿里云的事业部，就是我们这些安全部的同学，今天成为阿里云的员工。通过这样的严格审查，是保障我们每个人员的背景是可信可控和可管。

安全最重要的问题还是人员的问题，阿里巴巴在供应链和系统开发过程中，阿里云的飞天操作系统是中国863计划中一期的成果。在整个过程中，飞天是有自主知识产权的，我们核心的代码是自主掌握和可控的，我们也是有软件的著作权的。

对于政务云而言，我们在选择硬件服务商和供应商的时候，也尽量的保障我们的服务商和供应商是可控的。保证生产环节是安全可控的，保证供应链是可持续的，打造了从硬件层到计算操作系统层以及上层的服务层整个供应链的安全能力。保障我们有一个服务化的模式和自主化的掌控的能力。在去年的时候，报出来了一个XEN的高危漏洞，这对世界所有的云服务商影响蛮大，那个时候公布出来，AWS都还影响到了多少比例的服务器需要进行重启。

阿里云由于我们在供应链管理和保障过程中，我们在修复过程中做到对用户完全无感知。这对我们整个的核心技术、代码安全和软硬件供应链安全里面比较重要的保障。

软件开发过程中我们遵循了SDL的过程，把安全需求、安全评审、安全审核、安全开发、安全监测、安全上线，都是有安全的团队和我们开发的团队贯穿到整个生命周期过程中，在开发过程中保证使安全缺陷降到最低，一些代码问题可以在初始的开发阶段去解决。

在系统和通讯安全，我们在安全审计中打造了一个云平台的整体安全防护能力，通过我们构建了基于这样不同层次的纵深的安全防御体系，包括网络层的网络防护基础以及基于虚拟网络技术安全的隔离技术，租户隔离技术，对于平台的漏洞热修复能力，逃逸入侵行为的大数据分析和监测的能力，以及对数据安全的保障能力，打造我们云平台安全防护的技术体系。

同时在安全管理方面，实现三权分立，安全员、管理员、认证人员管理的时候必须拨VPN进行远程管理和操作的，我们所有的数据不能出生产集群的。在管理过程中，2012年的时候就通过了C—Star的认证，今年我们还通过了20000信息安全服务的2013版。

为了保障我们的管理能力、业务连续性的执行能力，我们也通过了22301业务连续性的认证能力。之所以有这样一些能力，才保证了我们在配置管理、运维管理、应急响应和事件处置方面，能够在自身处置、体系上面达到了增强级的安全管理的要求。

在数据安全和安全审计，在技术上可以保障自动化的为云上用户的数据提供多备份的存储机制，可以通过与第三方合作提供加密服务，保障云上用户加密存储，通过加密协议，保障政务用户在传输过程中的安全。2015年作为云服务，我们首家做出了数据安全的承诺。

作为一个云服务商是永远都不会去碰用户的数据的。2016年我们为了让大家验证我们的承诺有没有旅行，我们通过了安永给我们做的数据审计，保证了我们在提供服务过程中确实履行了承诺。

阿里云除了自身平台安全，我们在金融云平台通过了等宝四级的测试认证。同时，也为我们云上用户的合规做了储备，我们通过了PCI DSS的认证，在金融云上面，很多支付类的用户，他在接口和支付过程中，他必须要满足支付行业的要求，从平台角度，我们作为一个服务商，我们为了用户的合规做了技术和机制的储备。

同时，黑塔是对医疗行业合规的机制。我们也在云上通过了黑塔的审计。同时，还通过了SOC1、SOC2的统计，在新加坡还通过了MTCS T3级的审计，这个审计类似于中国的网络安全审查，它在新加坡是相当于大型的国企、党政机关，你在新加坡上云的时候必须通过MTCS的审计，就像我们政务云一样，今天政府用户要上云，你首先要通过安全审查的云平台，把你的政务系统部署在这样的云平台上面。

对于责任分担模型上面，我们首先是除了自己平台合规安全，还要支持用户安全。云盾就是对用户的业务安全、网络安全以及主机安全、内容安全提出来的整体的安全的解决方案和防护机制。我们今年也推出了态势感知、先知计划，在今年的云栖大会上公布了混合云法案。

我们的云平台同时也为我们自己内部提供服务，为了保障他们的业务安全，我们把经验输出给云上的用户。

我们云盾的安全防护，我们认为不能满足云上的用户合规和服务的需求，既然云服务商为政府提供服务、为各个行业用户提供服务，最终目标是保障用户安全、用户业务系统可连续、用户业务系统的安全，我们引入了一个非常庞大的合规生态体系，用来满足我们用户安全的需求，来助力用户的安全。

大家在介绍过程中对于不同服务模式一直有一个误区，刚才陈兴蜀教授在介绍的时候说，在持续监管过程中，客户应该根据你自己选择的安全服务模式，要去了解你应该采取的安全机制和安全措施。这个我是非常赞同的。

我们的某一朵云已经具备了两地三中心的架构，但是是不是云天然的用户就具备两地三中心的能力？不是，如果你买了单节点、单机房的虚机，这样高架构的可用性的安全防护能力实际上对于你用户并没有真正的让用户得到。

因为用户没有天然的根据你的业务特点去部署、去选择。云上用户的安全生态真正去助力云上安全合规的保障机制。通过这样一个安全审查过程中以及我们对31167和31168标准的理解，我们认为通过整个标准和审查工作，使我们的服务、产品和管理都得到了自身的提升和安全的改进，包括人员的安全意识。

通过客观在第三方的安全审查工作，从外部、技术上、管理上、方方面面验证了我们的安全防护能力，使我们的安全防护能力得到进一步安全的提升。我们认为这两个标准以及这项工作应该是指导一个企业实践的云服务安全能力持续提升的PDC的过程。

我们能够这样，也是源于我们对安全工作的重视，以及我们安全的十年储备，以及我们对安全生态的尊重和良好的合作的关系。感谢大家！