網(wǎng)站安全防御(WAF)服務(wù)由WAF引擎中心、運營(yíng)監控中心以及云用戶(hù)控制中心組成,依托云計算架構,具備高彈性、大冗余特點(diǎn),能夠根據接入網(wǎng)站的多少和訪(fǎng)問(wèn)量級進(jìn)行WAF集群的彈性擴容,提供全面的WEB安全防御和“0day”漏洞24小時(shí)快速響應服務(wù)。
口令暴力破解攻擊防御服務(wù)針對大量基于暴力破解網(wǎng)站賬戶(hù)口令的入侵行為而設計,支持WINDOWS系統和LINUX系統上的SSH,RDP,TELNET,FTP協(xié)議。依托大數據分析和計算能力對架設在云服務(wù)器上的網(wǎng)站密碼錯誤事件實(shí)時(shí)分析和全端口屏蔽攔截。
網(wǎng)站木馬檢測服務(wù)通過(guò)對HTML和javascript引擎解密惡意代碼,同特征庫匹配識別,同時(shí)支持通過(guò)模擬瀏覽器訪(fǎng)問(wèn)頁(yè)面分析惡意行為,發(fā)現網(wǎng)站未知木馬,實(shí)現木馬檢測的“0”誤報。
網(wǎng)站W(wǎng)EB漏洞檢測服務(wù)的檢測漏洞類(lèi)型覆蓋OWASP、WASC、CNVD分類(lèi),系統支持惡意篡改檢測,支持Web2.0、AJAX、各種腳本語(yǔ)言、PHP、ASP、NET 和 Java 等環(huán)境,支持復雜字符編碼、chunk,gzip,deflate等壓縮方式、多種認證方式(Basic、NTLM、Cookie、SSL 等),支持代理、HTTPS 、DNS綁定掃描等,支持流行的百余種第三方建站系統獨有漏洞掃描。
合規安全
金融機構作為監管最為嚴格的行業(yè),是否選擇使用云服務(wù)關(guān)鍵在于如何建立對云服務(wù)商的信任,而無(wú)論從阿里云還是金融機構角度來(lái)看,客觀(guān)、公正的第三方權威認證是雙方建立信任的基礎,因此阿里云通過(guò)覆蓋國際和國內、傳統IT安全和云計算安全的一系列第三方認證構建起金融機構同云服務(wù)商間的安全紐帶。
ISO27001:是2005年誕生的一項被廣泛采用的全球安全標準,采用以風(fēng)險管理為核心的方法來(lái)管理公司和客戶(hù)信息,并通過(guò)定期評估風(fēng)險和控制措施的有效性來(lái)保證體系的持續運行。阿里云于2012年已取得ISO27001國際認證,與傳統IDC運營(yíng)商僅將認證范圍局限于物理基礎設施不同,阿里云的認證訪(fǎng)問(wèn)不但覆蓋為金融云提供物理基礎設施的所有IDC,并且涵蓋了金融云當前或未來(lái)可能使用到的所有云服務(wù),包括彈性計算、RDS(關(guān)系型數據庫服務(wù))、ODPS(開(kāi)放數據處理服務(wù))、OSS(開(kāi)放存儲服務(wù))、OTS(開(kāi)放結構化數據服務(wù))、云盾(云安全服務(wù))以及云監控服務(wù)。
云安全國際認證(CSA-STAR):是一項全新而有針對性的國際專(zhuān)業(yè)認證項目,由全球標準奠基者——英國標準協(xié)會(huì )(bsi)和國際云安全權威組織云安全聯(lián)盟(CSA)聯(lián)合推出,旨在應對與云安全相關(guān)的特定問(wèn)題。其以ISO/IEC 27001認證為基礎,結合云端安全控制矩陣CCM的要求,運用成熟度模型和評估方法,對提供和使用云計算的任何組織,綜合評估組織云端安全管理和技術(shù)能力,最終給出“不合格-銅牌-銀牌-金牌”四個(gè)級別的獨立第三方外審結論。阿里云已獲得全球首張云安全國際認證金牌(CSA-STAR),這是bsi向全球云服務(wù)商頒發(fā)的首張金牌。這也是中國企業(yè)在信息化、云計算領(lǐng)域安全合規方面第一次取得世界領(lǐng)先成績(jì)。
信息安全等級保護:阿里云已通過(guò)公安部信息安全等級保護測評,其中彈性計算、RDS(關(guān)系型數據庫服務(wù))、ODPS(開(kāi)放數據處理服務(wù))、OSS(開(kāi)放存儲服務(wù))、OTS(開(kāi)放結構化數據服務(wù))OSS(開(kāi)放存儲服務(wù))、基礎網(wǎng)絡(luò )等支撐系統均通過(guò)等保三級測評。
阿里云金融云IT基礎架構評估:阿里云金融云已通過(guò)由綠盟科技實(shí)施的IT基礎架構評估,本次安全評估內容以《電子銀行安全評估指引》、《網(wǎng)上銀行系統信息安全通用規范》以及《金融行業(yè)信息系統信息安全等級保護測評指南》、《保險信息安全風(fēng)險評估指標體系規范》、《證券公司網(wǎng)上證券信息系統技術(shù)指引》中所規定的技術(shù)評估內容為綱,從信息安全技術(shù)體系的角度對阿里金融云基礎架構存在的風(fēng)險進(jìn)行評估。本次評估對象包括云計算服務(wù)器ECS、負載均衡SLB、關(guān)系型數據庫服務(wù)RDS、開(kāi)放存儲服務(wù)OSS、開(kāi)放數據處理服務(wù)ODPS和相關(guān)基礎網(wǎng)絡(luò )設備等。評估成績(jì)?yōu)橐患墐?yōu)等。
穩定快捷
眾所周知,911事件的發(fā)生,提高了大家對災備重要性的認知,尤其是金融行業(yè),比如 “德意志銀行”和“紐約銀行”,德意志銀行因為擁有異地災備中心,快速恢復了業(yè)務(wù),而紐約銀行卻因為數據丟失被迫進(jìn)行破產(chǎn)清盤(pán)。因此,在銀監會(huì )發(fā)布的《商業(yè)銀行數據中心監管指引》中明確提出:商業(yè)銀行應于取得金融許可證后兩年內,設立生產(chǎn)中心;生產(chǎn)中心設立兩年內,設立災備中心。
一直以來(lái),金融行業(yè)對災備建設的又愛(ài)又恨,愛(ài)的是在“數據安全”上多買(mǎi)了一份保險,不怕一萬(wàn)只怕萬(wàn)一,恨的是這份保單成本太昂貴,還很容易掉鏈子,難以?xún)冬F,所以基本上能看到這樣一種情形,大多數銀行基于成本的考慮,只對核心的業(yè)務(wù)進(jìn)行了災備,外圍業(yè)務(wù)只能被迫接受中斷,而對于已經(jīng)建立了異地災備的系統,雖然在人行發(fā)布的《銀行業(yè)信息系統災難恢復管理規范》中指出“單位每年應至少組織一次實(shí)戰演練”,但是真正能做到演練的極少,原因在于需要花費昂貴的成本聘請咨詢(xún)團隊、系統集成團隊、進(jìn)行復雜的系統整合開(kāi)發(fā),在真正演練時(shí)還要組織一大堆廠(chǎng)商standby,耗資巨大。建立災備中心但無(wú)法進(jìn)行演練,成了金融行業(yè)的一個(gè)通病。
阿里金融云服務(wù)輸出于金融業(yè)務(wù),除了它顯而易見(jiàn)的超高彈性外,還在“數據安全”和“業(yè)務(wù)連續性”上提供了更多的優(yōu)勢。其中,災備服務(wù)便是增值服務(wù)之一。
