隨著等保2.0的腳步越來越近，云上等保受到越來越多人的關注。近日在成都舉行的云棲大會安全論壇上，牛君特意關注了阿里云云上系統的等保合規方案。

阿里云最早于2012年通過 ISO 27001 認證，并于2016年9月通過新的云計算安全等級保護三級測評。據阿里云安全專家行逸(易鑫)介紹，這是目前國內首批、也是唯一一家通過國家權威機構依據云等保要求聯合測評的公共云服務平臺。

阿里云安全資質歷程：

2012 – ISO 27001

2012 – 等保三級

2013 – 云安全國際認證金牌

2013 – 可信云服務認證

2016 – 新版 ISO 20000 認證

2016 – 阿里金融云通過SOC獨立審計

2016 – CNAS云計算國家標準測試

2016 – 支付卡行業數據安全標準(PCI-DSS)

2016 – 新加坡國家標準 MTCS T3級認證

阿里云采用的是“云上系統合規責任共擔”機制，租戶的云上系統等保合規由客戶負責，阿里云負責的是云平臺等保合規。那么對于阿里云的租戶而言，如何幫助他們依據新的云等保要求，通過等保測評呢?

等級保護實施的基本流程包括，系統定級、建設整改、等級測評、系統備案和監督檢查等五項工作。

首先，阿里云可提供等保備案證明、測評報告結論頁和客戶等級保護測評說明等材料，協助租戶云上系統通過等保測評。

而且，為了便于阿里云云上系統能夠快速滿足等保合規的要求，阿里云通過建立“等保合規生態”，聯合阿里云合作伙伴咨詢機構、各地測評機構和公安機關，向阿里云客戶提供一站式、全流程等保合規解決方案。

等保合規方案工作分工

在整個測評流程中，最核心的是對信息系統進行建設和整改，以建立起完善的安全管理和安全技術體系。前者包括策略、制度、機構、人員、建設、運維等，后者則從底向上，包括物理環境安全、網絡通信安全、設備與計算安全，和應用與數據安全。

安全技術體系建立的主要手段包括使用安全產品、加固系統配置和開發安全控制。其中通過使用成熟的安全產品，可以快速滿足合規要求，同樣，阿里云可以提供完整的安全解決方案。

從物理到應用四個層面的解決方案

安全牛評

阿里云的優勢在于，擁有豐富的云上系統測評經驗，全線的安全防護產品，和一站式的整體解決方案，為云上租戶減少了測評工作中大量的溝通組織工作。同時，全面滿足合規要求的云安全產品也為用戶省去了挑選和部署的復雜工作，節省了在安全上的投入成本。