2015年11月，阿里云通過了由BSI(英國標(biāo)準(zhǔn)協(xié)會)審核的ISO27001:2005(信息安全管理體系)認(rèn)證，成為國內(nèi)首家通過ISO27001認(rèn)證的云計算安全服務(wù)提供商。
　　 阿里云介紹，ISO27001是目前國際上最權(quán)威、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安全標(biāo)準(zhǔn)，本次認(rèn)證的通過，標(biāo)志著阿里云的安全性得到國際上的認(rèn)可。針對云計算的安全性以及這一認(rèn)證的價值，站長之家專訪了阿里巴巴集團(tuán)安全部的安全專家沈錫鏞先生。
　　 沈錫鏞先生是云計算安全的專家及先行者，在云計算安全管理方面有很多分享。2012年加入阿里巴巴集團(tuán)，著力于幫助快速成長但缺乏標(biāo)準(zhǔn)化管理的云計算領(lǐng)域建立安全管理框架。
　　 沈先生表示：“在云計算蓬勃發(fā)展的時代，一定要將這種新型的技術(shù)業(yè)務(wù)和信息安全管理體系進(jìn)行有效整合。”
　　站長之家：前段時間公司通過了ISO27001認(rèn)證，為什么要申請這個認(rèn)證?
　　沈錫鏞：用戶使用云計算最大的障礙之一是對于安全的擔(dān)憂，如何讓客戶能放心的把數(shù)據(jù)和應(yīng)用部署在阿里云云計算平臺上，并且相信阿里云能保證客戶數(shù)據(jù)和應(yīng)用的機(jī)密性、完整性和可用性，靠王婆賣瓜自賣自夸是無法說服用戶的，需要一個由第三方機(jī)構(gòu)頒發(fā)的審核證明，來證明其安全管理的有效性。
　　云計算安全目前仍然缺乏一個國際標(biāo)準(zhǔn)，所以在現(xiàn)階段ISO27001認(rèn)證是一個最貼切的標(biāo)準(zhǔn)，代表我們的內(nèi)部管理與國際安全要求完全接軌。其次ISO27001是一個基于信息安全風(fēng)險管理為核心的體系，該體系對信息安全的管控思想就好比把西瓜片片切開看看是否成熟一樣，讓組織信息安全管理水平暴露在審核方的顯微鏡下無所遁形，從體系的核心和管控思想兩個方面都符合阿里云作為云計算服務(wù)提供商期望提供給客戶的安全承諾。
　　 站長之家：在申請ISO27001認(rèn)證的過程中，阿里云推動了哪些方面的標(biāo)準(zhǔn)化流程，有哪些收獲?
　　 沈錫鏞：ISO27001認(rèn)證的過程其實是對阿里云既有的安全流程的固化和檢驗，舉例來說針對ISO27001漏洞管理的相關(guān)條款要求，阿里云現(xiàn)有的安全分制度得以在各業(yè)務(wù)部門和集團(tuán)范圍內(nèi)予以強(qiáng)化，安全漏洞大大減少，其修復(fù)速度得到大幅度提升。在運維方面因流程執(zhí)行不規(guī)范而導(dǎo)致的故障大大減少，舉例：自7月ISO27001體系投入運行后再未發(fā)生因流程執(zhí)行不規(guī)范而導(dǎo)致安全故障。
　　 站長之家：阿里云國內(nèi)首家通過了ISO27001認(rèn)證，這對國內(nèi)云服務(wù)會有什么影響?
　　 沈錫鏞：即使在云計算的背景下，云計算安全與傳統(tǒng)信息安全的安全目標(biāo)仍是相同：“保護(hù)信息資產(chǎn)的保密性、完整性、可用性”，故而諸如云服務(wù)商日常運營中涉及的信息安全風(fēng)險管理;人力資源、物理、網(wǎng)絡(luò)和主機(jī)安全;業(yè)務(wù)連續(xù)性;數(shù)據(jù)中心運維等方面都應(yīng)將滿足ISO27001:2005作為基線要求。
　　面對越來越嚴(yán)重的個人信息泄露、個人隱私保護(hù)及云計算帶來的相關(guān)法律和合規(guī)要求，云服務(wù)商應(yīng)建立遵循ISO27001:2005對于隱私保護(hù)和法律方面的合規(guī)管理要求。
　　 從數(shù)據(jù)安全的角度，承載客戶數(shù)據(jù)、客戶應(yīng)用的云服務(wù)商也必須通過獲得ISO27001:2005認(rèn)證來逐步規(guī)范云計算市場，設(shè)定準(zhǔn)入門檻。
　　 站長之家：ISO27001認(rèn)證，可以給開發(fā)者及用戶帶來哪些好處?
　　 沈錫鏞：阿里云的目標(biāo)是打造互聯(lián)網(wǎng)數(shù)據(jù)分享第一平臺，成為以數(shù)據(jù)為中心的云計算服務(wù)公司。因此我們除了借助技術(shù)的創(chuàng)新，不斷提升計算能力與規(guī)模效益，將云計算變成真正意義上的公共服務(wù)，使得廣大合作伙伴、中小企業(yè)、開發(fā)者能夠受益于云計算帶來的便利和價值，也有義務(wù)從安全角度給廣大用戶和開發(fā)者打造一個安全、健康的云生態(tài)系統(tǒng)，使其在使用云計算的同時免除對安全的后顧之憂。
　　 因此和很多選擇IDC或IT、信息安全部門通過認(rèn)證的云計算企業(yè)不同，阿里云本次認(rèn)證選擇了以諸多云產(chǎn)品為認(rèn)證對象，這就代表阿里云傳遞給廣大的開發(fā)者和用戶一個信息，從云產(chǎn)品的設(shè)計、運維到售賣，阿里云都接受并通過了業(yè)界最嚴(yán)苛和權(quán)威的第三方審核，保證我們向廣大公眾提供的云產(chǎn)品和服務(wù)安全可信。
　　 站長之家：獲得ISO27001認(rèn)證，意味著阿里云得到國際上的認(rèn)可，這對國外公司、服務(wù)、App應(yīng)用等進(jìn)入中國市場有什么吸引力嗎?阿里云在這方面是如何判斷的?
　　 沈錫鏞：這種吸引力幾乎在第一時間就到來，在得悉阿里云通過BSI審核的ISO27001體系認(rèn)證，由BSI和CSA聯(lián)合推出的OCF(Open Certificate Framework for cloud providers)第一時間就選擇了阿里云作為亞太地區(qū)第一家試點機(jī)構(gòu)，為云安全的國際標(biāo)準(zhǔn)化進(jìn)程作出自己的貢獻(xiàn)。
　　 國內(nèi)在信息技術(shù)的標(biāo)準(zhǔn)化方面一直采用的是關(guān)注和引進(jìn)的方式，并且即使引進(jìn)也在實際的業(yè)務(wù)開展中未能較好的運用和推廣。云計算業(yè)務(wù)的興起則是給了廣大中國企業(yè)一個新的契機(jī)，因為該業(yè)務(wù)并不是對信息技術(shù)的顛覆而是對由來已久的大型分布式計算技術(shù)的運營嘗試，阿里云作為具備自主開發(fā)大型分布式操作系統(tǒng)的中國云計算企業(yè)，有必要在未來云計算標(biāo)準(zhǔn)和規(guī)范的國際化進(jìn)程中占有一席之地。
　　 站長之家：安全是云服務(wù)的一個基本保障，能否結(jié)合ISO27001標(biāo)準(zhǔn)，談?wù)劙⒗镌频陌踩允侨绾伪Ｕ系?例如數(shù)據(jù)存儲安全、防攻擊等方面。
　　 沈錫鏞：阿里云的安全性雖然也存在內(nèi)部安全和外部安全兩個不同的緯度，但和其他企業(yè)不同地方在于阿里云的內(nèi)部安全和外部安全都遵行一個統(tǒng)一的“安全分”制度，具體來講安全部門會對所有業(yè)務(wù)部門、支撐部門從安全事件的發(fā)生率、安全漏洞的多寡角度去量化考核每個部門的安全得分，并納入公司績效考核的一部分。
　　 在面向客戶交付的每個產(chǎn)品或服務(wù)，阿里云按照ISO27001 附錄“A12信息系統(tǒng)開發(fā)、獲取和維護(hù)”的要求，建立了軟件安全開發(fā)周期(Security Development Lifecycle)安全開發(fā)流程，(如下圖)來保證每個云產(chǎn)品的服務(wù)的安全性。
　　 安全需求分析環(huán)節(jié)：應(yīng)根據(jù)功能需求文檔進(jìn)行安全需求分析，針對業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程、技術(shù)框架進(jìn)行溝通，形成《安全需求分析建議》。
　　 安全設(shè)計環(huán)節(jié)：應(yīng)根據(jù)項目特征，與測試人員溝通安全測試關(guān)鍵點，形成《安全測試建議》。
　　 安全編碼環(huán)節(jié)：應(yīng)參考例如OWASP指南、CERT安全編碼等材料編寫各類《安全開發(fā)規(guī)范》，避免開發(fā)人員出現(xiàn)不安全的代碼。
　　 代碼審計環(huán)節(jié)：應(yīng)盡可能使用代碼掃描工具并結(jié)合人工代碼審核，對產(chǎn)品代碼進(jìn)行白盒、黑盒掃描。
　　 應(yīng)用滲透測試：應(yīng)在上線前參照例如OWASP標(biāo)準(zhǔn)進(jìn)行額外的滲透測試 。
　　 系統(tǒng)發(fā)布：依據(jù)上述環(huán)節(jié)評價結(jié)果決定代碼是否發(fā)布。
　　 而在ISO27001未覆蓋的虛擬化安全領(lǐng)域，例如虛擬服務(wù)器的隔離、虛擬服務(wù)器及映像的加固、虛擬服務(wù)器的銷毀，雖然以上需求因虛擬化服務(wù)器的服務(wù)類型已無法通過購買安全設(shè)備實現(xiàn)隔離，但針對用戶和云服務(wù)商自身的安全需求仍可通過一系列的軟件手段實現(xiàn)安全隔離和訪問控制。
　　 針對不同用戶購買的虛擬服務(wù)器之間的隔離需求，阿里云借助自主開發(fā)的后羿系統(tǒng)在虛擬服務(wù)器生產(chǎn)環(huán)節(jié)給每個虛擬服務(wù)器打上標(biāo)簽，在運營環(huán)節(jié)通過不同用戶之間的虛擬服務(wù)器訪問規(guī)則，和IP 信息包過濾系統(tǒng)(iptables)技術(shù)實現(xiàn)虛擬服務(wù)器之間、虛擬服務(wù)器和其物理機(jī)之間隔離。
　　例如針對虛擬服務(wù)器的安全加固，阿里云通過建立安全加固流程，默認(rèn)提供主機(jī)入侵檢測和補丁自動更新服務(wù)等手段來保證虛擬服務(wù)器的安全;而針對虛擬服務(wù)器映像的安全加固，阿里云不但在其生產(chǎn)流程上加入安全審核環(huán)節(jié)，來保證虛擬服務(wù)器映像能滿足最新的安全要求，而且目前已通過安全部門直接制作安全映像交付給運營部門;針對虛擬服務(wù)器的銷毀，阿里云采用虛擬化在線管理系統(tǒng)對虛擬服務(wù)器進(jìn)行管理保證其遷移后自動消除原有物理服務(wù)器上磁盤和內(nèi)存數(shù)據(jù)，并采用實時審計技術(shù)予以監(jiān)控流程的執(zhí)行。