网站安全防御(WAF)服务由WAF引擎中心、运营监控中心以及云用户控制中心组成,依托云计算架构,具备高弹性、大冗余特点,能够根据接入网站的多少和访问量级进行WAF集群的弹性扩容,提供全面的WEB安全防御和“0day”漏洞24小时快速响应服务。
口令暴力破解攻击防御服务针对大量基于暴力破解网站账户口令的入侵行为而设计,支持WINDOWS系统和LINUX系统上的SSH,RDP,TELNET,FTP协议。依托大数据分析和计算能力对架设在云服务器上的网站密码错误事件实时分析和全端口屏蔽拦截。
网站木马检测服务通过对HTML和javascript引擎解密恶意代码,同特征库匹配识别,同时支持通过模拟浏览器访问页面分析恶意行为,发现网站未知木马,实现木马检测的“0”误报。
网站WEB漏洞检测服务的检测漏洞类型覆盖OWASP、WASC、CNVD分类,系统支持恶意篡改检测,支持Web2.0、AJAX、各种脚本语言、PHP、ASP、NET 和 Java 等环境,支持复杂字符编码、chunk,gzip,deflate等压缩方式、多种认证方式(Basic、NTLM、Cookie、SSL 等),支持代理、HTTPS 、DNS绑定扫描等,支持流行的百余种第三方建站系统独有漏洞扫描。
合规安全
金融机构作为监管最为严格的行业,是否选择使用云服务关键在于如何建立对云服务商的信任,而无论从阿里云还是金融机构角度来看,客观、公正的第三方权威认证是双方建立信任的基础,因此阿里云通过覆盖国际和国内、传统IT安全和云计算安全的一系列第三方认证构建起金融机构同云服务商间的安全纽带。
ISO27001:是2005年诞生的一项被广泛采用的全球安全标准,采用以风险管理为核心的方法来管理公司和客户信息,并通过定期评估风险和控制措施的有效性来保证体系的持续运行。阿里云于2012年已取得ISO27001国际认证,与传统IDC运营商仅将认证范围局限于物理基础设施不同,阿里云的认证访问不但覆盖为金融云提供物理基础设施的所有IDC,并且涵盖了金融云当前或未来可能使用到的所有云服务,包括弹性计算、RDS(关系型数据库服务)、ODPS(开放数据处理服务)、OSS(开放存储服务)、OTS(开放结构化数据服务)、云盾(云安全服务)以及云监控服务。
云安全国际认证(CSA-STAR):是一项全新而有针对性的国际专业认证项目,由全球标准奠基者——英国标准协会(bsi)和国际云安全权威组织云安全联盟(CSA)联合推出,旨在应对与云安全相关的特定问题。其以ISO/IEC 27001认证为基础,结合云端安全控制矩阵CCM的要求,运用成熟度模型和评估方法,对提供和使用云计算的任何组织,综合评估组织云端安全管理和技术能力,最终给出“不合格-铜牌-银牌-金牌”四个级别的独立第三方外审结论。阿里云已获得全球首张云安全国际认证金牌(CSA-STAR),这是bsi向全球云服务商颁发的首张金牌。这也是中国企业在信息化、云计算领域安全合规方面第一次取得世界领先成绩。
信息安全等级保护:阿里云已通过公安部信息安全等级保护测评,其中弹性计算、RDS(关系型数据库服务)、ODPS(开放数据处理服务)、OSS(开放存储服务)、OTS(开放结构化数据服务)OSS(开放存储服务)、基础网络等支撑系统均通过等保三级测评。
阿里云金融云IT基础架构评估:阿里云金融云已通过由绿盟科技实施的IT基础架构评估,本次安全评估内容以《电子银行安全评估指引》、《网上银行系统信息安全通用规范》以及《金融行业信息系统信息安全等级保护测评指南》、《保险信息安全风险评估指标体系规范》、《证券公司网上证券信息系统技术指引》中所规定的技术评估内容为纲,从信息安全技术体系的角度对阿里金融云基础架构存在的风险进行评估。本次评估对象包括云计算服务器ECS、负载均衡SLB、关系型数据库服务RDS、开放存储服务OSS、开放数据处理服务ODPS和相关基础网络设备等。评估成绩为一级优等。
稳定快捷
众所周知,911事件的发生,提高了大家对灾备重要性的认知,尤其是金融行业,比如 “德意志银行”和“纽约银行”,德意志银行因为拥有异地灾备中心,快速恢复了业务,而纽约银行却因为数据丢失被迫进行破产清盘。因此,在银监会发布的《商业银行数据中心监管指引》中明确提出:商业银行应于取得金融许可证后两年内,设立生产中心;生产中心设立两年内,设立灾备中心。
一直以来,金融行业对灾备建设的又爱又恨,爱的是在“数据安全”上多买了一份保险,不怕一万只怕万一,恨的是这份保单成本太昂贵,还很容易掉链子,难以兑现,所以基本上能看到这样一种情形,大多数银行基于成本的考虑,只对核心的业务进行了灾备,外围业务只能被迫接受中断,而对于已经建立了异地灾备的系统,虽然在人行发布的《银行业信息系统灾难恢复管理规范》中指出“单位每年应至少组织一次实战演练”,但是真正能做到演练的极少,原因在于需要花费昂贵的成本聘请咨询团队、系统集成团队、进行复杂的系统整合开发,在真正演练时还要组织一大堆厂商standby,耗资巨大。建立灾备中心但无法进行演练,成了金融行业的一个通病。
阿里金融云服务输出于金融业务,除了它显而易见的超高弹性外,还在“数据安全”和“业务连续性”上提供了更多的优势。其中,灾备服务便是增值服务之一。
