1. 聚能聊>
  2. 话题详情

阿里云完成德国C5云安全标准评审,云上安全应该如何保护?

12月14日,德国联邦信息安全局宣布阿里云完成德国C5云安全(Cloud Computing Compliance Controls Catalog)标准评审。这样,阿里云成为全球首家,也是唯一一家审计报告覆盖所有C5标准基础要求和附加要求的云服务提供商。
d0b13633d0b1c5c962a3f04df4718a1095115e13
德国C5标准评审是由德国德国联邦信息安全局发起一项数据保护标准,也是业界公认云服务领域最全面、要求最严格的数据保护标准。114项基础要求覆盖物理安全,资产管理、运维管理、鉴权与访问控制、加密到秘钥管理等17个方面;同时还有52条附加项,对渗透测试周期、密码管理强度、客户安全管理灵活性提出更高的要求。

德国联邦信息安全局官网点评:阿里云作为全球领先的云服务提供商,首家完成C5标准的附加要求,表明整个欧洲云计算市场的数据保护标准正以C5为中心,向更高的要求演进。德国BSI主席Arne Sch?nbohm表示:“信息安全是数字化转型过程中的重要成功动因,而C5做为云市场的重要决策依据,为公司的数字化转型提供了决策依据“ 。

C5也是阿里云在安全合规上取得的第三个“全球第一”。早在2013年,阿里云即获得全球第一张CSA STAR 金牌认证,在国内云计算行业发展初期,阿里云在合规上 “全球夺金”,打破了对中国云服务提供商“输在起跑线上”的偏见。2016年,全球首张ISO 22301国际认证也花落阿里云,阿里云在当时已成为合规资质最全的亚洲云服务提供商。加上此次成为全球唯一完成德国C5云安全认证覆盖所有要求的中国云服务提供商,阿里云已在安全、合规领域奠定其全球领先地位。

在国内,阿里云更是数据安全领域的标杆。2016年,阿里云电子政务云平台即首批通过中央网信办云安全审查(增强级)。此外,还作为公安部试点,通过了云等级保护的四级测评。

阿里云一直将坚守数据隐私保护视为公司第一原则。2015年7月,阿里云发布《数据保护倡议书》,明确表示绝对不碰用户数据。阿里云总裁胡晓明承诺,过去、现在、未来,阿里云都会严格遵守倡议书中的约定。该倡议也是中国云计算服务商首次定义行业标准,针对用户普遍关注的数据安全问题,进行清晰地界定。

大家一起聊一聊:
除了本文提到的安全标准,大家说一说自己还知道那些安全标准?
信息系统上云应该注意哪些方面?
大家认为云上信息系统安全责任的界面应该是怎么划分的?哪部分是云服务商负责,哪部分应该用户自己负责?

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    淘公仔 x 2

  • 奖品二

    阿里云代金券 x 1

  • 奖品三

    手机话费 x 1

52个回答

1

笨笨的粽子妞 已获得淘公仔 复制链接去分享

除了本文提到的安全标准,大家说一说自己还知道那些安全标准?
CSA-STAR
信息系统上云应该注意哪些方面?
首先应考虑安全问题,尤其是涉密信息。要根据自己的业务状况考虑上什么云。再就是哪些应用可以上云,哪些应用达不到上云的基本条件。要对具体应用进行有效评估,从哪些方面进行评估,评估标准如何也是需要考虑的。
大家认为云上信息系统安全责任的界面应该是怎么划分的?哪部分是云服务商负责,哪部分应该用户自己负责?
感觉业务场景与应用方面的属于客户自己负责,而平台支持与数据保密归云服务商负责。

想要公仔,谢啦!!☆⌒(*^-゜)v

0

夏之冰雪 已获得淘公仔 复制链接去分享

1. 除了本文提到的安全标准,大家说一说自己还知道那些安全标准?
OWASP ASVS
OWASP安全编码规范快速参考指南
还有,就是不知道《网络安全法》规定,算不算标准。
《信息安全技术工业控制系统产品信息安全通用评估准则》,这个还在定制,不知道什么时候发布。

2. 信息系统上云应该注意哪些方面?
内网外网安全措施,核心数据加密,业务隔离,安全监控,云WAF部署等。
云上系统的定期安全检测,定期更新等也要做。

3. 大家认为云上信息系统安全责任的界面应该是怎么划分的?哪部分是云服务商负责,哪部分应该用户自己负责?
可以按照 业务/非业务 区分,比如业务安全由用户负责,非业务安全由厂商负责。
也可以按照 系统问题/非系统问题 区分,比如操作系统补丁、底层库漏洞(如ssl)等,这些由厂商负责,其它都由用户负责。

当然,有的厂商(比如阿里云)做的很良心,业务本身出现漏洞,攻击者将木马上传到网站,阿里云会发短信通知我有恶意文件存在。帮助我解决了安全隐患,这点真心感谢。

夏之冰雪 回复

想要个公仔,谢谢了~

shdati 回复

黑科技哈。虎虎

评论
0

aoteman675 已获得阿里云代金券 复制链接去分享

1、除了本文提到的安全标准,大家说一说自己还知道那些安全标准?
网络安全法和IPSec
2、信息系统上云应该注意哪些方面?
数据加密、解密、存储安全,数据存储使用私有云,达到物理隔离。敏感数据在业务上隔离,使用VPN通道和网路传输加密协议。
3、大家认为云上信息系统安全责任的界面应该是怎么划分的?哪部分是云服务商负责,哪部分应该用户自己负责?
云系统由云服务商负责,比如IaaS,PaaS,SaaS,只要是云服务商提供给用户的部分都要负责。用户在云服务商提供的基础上增加的应用服务由用户自己负责搭建及维护。例如阿里云提供了云服务器ECS,那么阿里云只对ECS安全负责,不会对用户自己搭建的应用服务业务提供安全及应用服务的数据负责,由用户自行架构和搭建应用防火墙。

0

我的中国 已获得手机话费 复制链接去分享

除了本文提到的安全标准,大家说一说自己还知道那些安全标准?
TCSEC和网络安全法

信息系统上云应该注意哪些方面?
代码BUG、上云环境

大家认为云上信息系统安全责任的界面应该是怎么划分的?哪部分是云服务商负责,哪部分应该用户自己负责?
云上的系统问题云服务商有必要提供漏洞修补和提醒的义务,但是购买后的使用方面出现的问题用户来复杂,比如我写的代码环境怎么搭建谁去维护这方面就是用户自己了。

0

1106613257548497 复制链接去分享

阿里云挺不错的

王凤永 回复

好想回家睡觉

评论
0

1677113570396049 复制链接去分享

  1. 除了本文提到的安全标准,大家说一说自己还知道那些安全标准?
    OWASP ASVS

OWASP安全编码规范快速参考指南
还有,就是不知道《网络安全法》规定,算不算标准。
《信息安全技术工业控制系统产品信息安全通用评估准则》,这个还在定制,不知道什么时候发布。

  1. 信息系统上云应该注意哪些方面?
    内网外网安全措施,核心数据加密,业务隔离,安全监控,云WAF部署等。

云上系统的定期安全检测,定期更新等也要做。

  1. 大家认为云上信息系统安全责任的界面应该是怎么划分的?哪部分是云服务商负责,哪部分应该用户自己负责?
    可以按照 业务/非业务 区分,比如业务安全由用户负责,非业务安全由厂商负责。

也可以按照 系统问题/非系统问题 区分,比如操作系统补丁、底层库漏洞(如ssl)等,这些由厂商负责,其它都由用户负责。

当然,有的厂商(比如阿里云)做的很良心,业务本身出现漏洞,攻击者将木马上传到网站,阿里云会发短信通知我有恶意文件存在。帮助我解决了安全隐患,这点真心感谢。

夏之冰雪 回复

给你的copy打99分,多1分怕你骄傲。。。

评论
0

1483612440305339 复制链接去分享

可以

0

1277914370539357 复制链接去分享

首先我不是黑客,也不会IT专业人士,但是作为使用阿里云服务的一员,我只知道,我把东西放在你这里,东西被偷了,保管东西的人责任肯定有,首先,找回损失,其次修复系统,加强漏洞管理,吸取经验

0

wisdom-ac 复制链接去分享

除了本文提到的安全标准,大家说一说自己还知道那些安全标准?
对于小白来讲,提不出要求,因为连基本地安全标准的知识都没有。签协议时一堆一堆的文字,看着头疼,还是格式条款改都改不了。想不出这个问题讨论有什么意义?还不如直接告诉人们在哪里能找到标准说明。根据用户的不同级别提供晋级式的引导学习手册。那么努力的去研发什么区域宠物猫还不如做点实事。

大家认为云上信息系统安全责任的界面应该是怎么划分的?哪部分是云服务商负责,哪部分应该用户自己负责?
既然是提供平台服务,云的安全可不得全部有阿里云负责么?就好像人民安全得国家负责一样,总不能让人民自己负责吧?中国人民走向全球,咱祖国爸爸还跟着保护,设置个什么大使馆之类的。阿里云既然提供服务,既然要成立云王国,既然要大家入籍,可不得承担起全部责任,哪有什么还要人民负责的,这类说出来让人笑话的问题。人民的税收没少交给你们好吧。什么叫“为人民服务”啊?拿出点态度出来好吧。

0

尘お缘 复制链接去分享

😘

0

内幕帝 复制链接去分享

1.除了本文提到的安全标准,大家说一说自己还知道那些安全标准?
OWASP ASVS
OWASP安全编码规范快速参考指南
还有,就是不知道《网络安全法》规定,算不算标准。
《信息安全技术工业控制系统产品信息安全通用评估准则》,这个还在定制,不知道什么时候发布。
信息系统上云应该注意哪些方面?
内网外网安全措施,核心数据加密,业务隔离,安全监控,云WAF部署等。
云上系统的定期安全检测,定期更新等也要做。
大家认为云上信息系统安全责任的界面应该是怎么划分的?哪部分是云服务商负责,哪部分应该用户自己负责?
可以按照 业务/非业务 区分,比如业务安全由用户负责,非业务安全由厂商负责。
也可以按照 系统问题/非系统问题 区分,比如操作系统补丁、底层库漏洞(如ssl)等,这些由厂商负责,其它都由用户负责。
当然,有的厂商(比如阿里云)做的很良心,业务本身出现漏洞,攻击者将木马上传到网站,阿里云会发短信通知我有恶意文件存在。帮助我解决了安全隐患,这点真心感谢。

0

和尚也长发 复制链接去分享

我们对于客户场景做了深入体察,基于客户需求而做了产品家族的全面升级和创新。”阿里云网络产品家族负责人祝顺民表示。从产品服务的角度而言,阿里云将为客户提供最为广泛的网络能力支持,不论什么行业,规模多大,位于哪个地区,都能通过阿里云构建可靠、安全、高速的企业级网络。

0

和尚也长发 复制链接去分享

我们对于客户场景做了深入体察,基于客户需求而做了产品家族的全面升级和创新。”阿里云网络产品家族负责人祝顺民表示。从产品服务的角度而言,阿里云将为客户提供最为广泛的网络能力支持,不论什么行业,规模多大,位于哪个地区,都能通过阿里云构建可靠、安全、高速的企业级网络。

0

宇宙宙长 复制链接去分享

除了本文提到的安全标准,大家说一说自己还知道那些安全标准?
TCSEC和网络安全法
信息系统上云应该注意哪些方面?
代码BUG、上云环境
大家认为云上信息系统安全责任的界面应该是怎么划分的?哪部分是云服务商负责,哪部分应该用户自己负责?
云上的系统问题云服务商有必要提供漏洞修补和提醒的义务,但是购买后的使用方面出现的问题用户来复杂,比如我写的代码环境怎么搭建谁去维护这方面就是用户自己了。

0

1611113682654808 复制链接去分享

刚注册阿里云,很不错啊感觉

0

1611113682654808 复制链接去分享

刚注册阿里云,很不错啊感觉

0

非凡的云端 复制链接去分享

阿里云的服务器都没配置防火墙,安全问题是如何考虑的呢?

0

1722213660069975 复制链接去分享

阿里云走出国门!国人骄傲!

0

微wx笑 复制链接去分享

1、除了本文提到的安全标准,大家说一说自己还知道那些安全标准?
用户就是标准
2、信息系统上云应该注意哪些方面?
这些用户需要知道吗?
3、大家认为云上信息系统安全责任的界面应该是怎么划分的?哪部分是云服务商负责,哪部分应该用户自己负责?
云提供了越来越多的功能,让用户使用门槛越来越低,
虽然低但还是有门槛,有没有能力做到无门槛化呢?
是不是可以增设一种保险,云服务商负责全部呢?

0

趴趴在此 复制链接去分享

阿里走出国门,杭州人民的骄傲,值得信赖

3