阿里云全世界里第一个获得AV认证金牌的公司 阿里云技术为小米贷安全护航

推广员的生活

	阿里云全世界里第一个获得AV认证金牌的公司 阿里云技术为小米贷安全护航 3月14日，英国标准协会（bsi）正式向阿里云颁发了最新版ISO/IEC 20000-1:2011国际认证。 此前，阿里云已通过ISO 27001、CSA STAR等认证和等级保护三级测评，成为亚太地区认证合规最完备的云计算平台。 自成立之日起，阿里云就非常注重云计算服务和安全管理的合法合规。 到底什么是合规？ 为什么用户越来越重视云计算企业的合规认证资质？ 我们邀请到资深信息安全专家孙维来为大家做一次风趣易懂的解读吧。 什么是合规？ 大伙有没有想过，早上出门时，爱人往你包里塞的一盒鲜奶，它从牧场到餐桌，要经过多少道工序和检测，才能放心地被大家饮用？ 在牧场时，奶牛如何被喂养，啥时候挤奶，奶源采集后如何进行生产加工，质检怎么把关，这些就是合规的事。 当年部分奶粉品牌在合规检测的时候使用三聚氰胺骗过凯氏定氮这项检测，从而导致毒奶粉肆虐，这就是不合规导致的灾难性后果。 大型奶企检测试验一般会用到FTIR和FOSS乳成分分析仪，岛津液相，安捷伦气相，德国耶拿石墨炉，Soleris实时光电快速微生物检测系统。 总而言之这是一堆牛逼的设备，通过这些设备来检测牛奶的各组分含量、药物残留、重金属残留、非法添加物、抗生素、微生物等。 当一桶鲜奶送到实验室后，检测人员会按照GB4789的规定，在无菌室的超净台迅速地对鲜奶进行检测。 上面提到的GB4789就是我们国家食品微生物的检验标准，我们在超市里陪老婆买回来的食品和饮料，都要通过该标准的检测，这是食品安全领域的合规。 同样在信息安全领域也有很多合规。 有产品类、人员类和机构类的各类合规，通过合规之后获得相应的资质和证书，这就是认证。 信息安全领域有哪些认证？ 先来说说产品类认证。 国际上的产品认证大家耳熟能详的基本还是围绕AV产品这块。 别笑那么坏，这里的AV是指Anti-Virus反病毒产品。 实际上安全产品类的认证覆盖范围很广，不能做的几乎很少。 说到国际上顶尖认证机构，最具盛名的当属美国的NSS Labs和英国West Coast Labs(西海岸实验室)。 NSS Labs的测试认证分为Recommended（推荐）、Neutral（中立）和Caution（警惕）三个等级，能获得推荐级别的产品基本上还是棒棒哒，至于中立级别的你爱用不用，警惕级别的劝你还是别用了。 而西海岸实验室的通过难度不算太高，但测试比较有特色。 近几年业界有个共识，西海岸有些“高收费，高通过”的趋势。 小道消息，最近西海岸实验室在我兔也设了一个符合中国国情和具备中国特色的实验室，至于能力如何，我就不得而知了。 反病毒这块的测评认证机构算是最多的，像英国的VB100、奥地利的AV-Comparatives和德国的AV-Test都是比较权威的，业内人士应该都听说过，在此就不赘述。 国内安全产品认证首推中国信息安全测评中心。 该机构依据CC国际通用准则（GB/T 18336:2015）来对安全产品进行分级评估。 从90年代开始至今，CC应该算是产品测评认证领域的开山祖师爷了，虽是祖师爷，但也在与时俱进。 另外还有工信部的入网许可证、中国信息安全认证中心的信息安全产品认证、公安部销售许可证、国家保密局涉密证书、国家密码局密码检测证书和军网认证证书等等。 这里边很多证书是市场准入门槛，一部分是控标所用，还有一部分确确实实能提升产品本身的安全功能和安全性。 至于人员类信息安全认证更是多如牛毛。 安全行业毕竟不像金融业，不需要考啥从业资格证。 关于考证这个事在圈内也算一个有趣的现象，不屑于考证的鄙视花钱买证的，拿国外认证的鄙视拿国内认证的。 个人觉得应该因人而异，如果对职业生涯帮助较大，为什么不去拿？ 如果已经在行业内做到了顶尖水平，即便你以前是妇科圣手或者泌尿外科医生，在行业内一样受人尊敬。 接下来聊聊机构类的信息安全认证，关于机构类认证大致分三类： 1、门槛准入类 小李公司年会抽奖中了一台福特野马，看着那拉轰的车身，小李口水流了一地，但是会后小李犯难了，自己还没有驾照，无证驾驶可是违法行为，心痒了半天只能打电话喊老爸开回家，驾照就是开车上路的准入门槛。 机构要从事信息安全类服务，就得具备相应的资质。 安全服务方面，国测和认证中心颁发了信息安全服务类资质，包括安全工程、风险评估、安全集成、应急处理和安全运维等几大类。 一些个公司没有资质服务照做，结果发现提交的报告客户上级监管机构压根就不认，这些坑大家一定得避免，特别是一些金融机构信息系统评估服务。 等保测评方面，由各省推荐，公安部等保评估中心授权的测评机构才能从事等级保护测评工作。 等级保护的核心标准是GB/T 22239。 等级保护是一项基本国策，定级为三级和三级以上系统必须每年进行一次测评，当然三级系统有大有小，小的可能就是一个城市的政府门户网站，大的可能是拥有海量计算资源和网络节点的阿里云。 同样是三级，负责给阿里云做三级等保测评的机构投入的工作量可能是前者的好多倍。 2、机构普适类 顾名思义，这类认证可以适用于大多数企业和机构，而且这类认证大多数是国际认证。 我这里分别介绍安全类认证ISO/IEC 27001-2013和IT服务类认证ISO/IEC 20000:1-2011。 ISO27001是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证，算是安全管理体系认证的开山之作，一直到今天仍是各大企业信息安全认证的首选。 如果今天有人咨询我想通过认证来提升企业信息安全能力，我的回答肯定是27001。 ISO27001它的目标是帮助企业建设、运行、维护和改进信息安全管理体系。 通过ISO27001的实施，为企业建立和执行各类安全管理措施和流程。 形象一点描述，自从上了ISO27001，员工安全意识强了，安全工作更规范了，安全问题更少了，企业变得更安全了。 ISO20000是目前最权威的认证企业IT运营和IT服务提供能力的国际标准。 它的目标是以合适的成本提供满足客户质量要求的IT服务，从流程、人员和技术三方面提升IT的效率和效用。 一言以蔽之，就是告诉你一套方法，教你采用什么流程满足客户和业务的需要。 让类似某订票网发生过的员工误操作不再发生，让各类投诉处理得更快，让企业内部安全漏洞修补的效率更高，让混乱不再存在，让救火队卸甲归田，这就是ISO20000的职责所在。 如果把企业比作一辆汽车，ISO27001就是保证汽车更安全，ISO20000就是保证汽车跑得更快而且问题更少，这就是合规的力量。 阿里云在保持业务高速发展的同时，还能保证服务的安全交付，ISO27001功不可没。 如何确保云计算业务在跑得稳的同时，还能更快更高效，这也是最近阿里云一举通过ISO20000认证的原因所在。 3、行业增强类 这类认证是针对特定行业的安全认证，像支付卡行业的国际安全认证PCI-DSS标准，国内少数支付企业就会通过获得认证来增强自己产品和服务的安全性，比如支付宝。 而有关云安全的认证也是越来越受到关注和重视，云安全认证首推CSA STAR认证。 该认证包含三块内容： 第一块是与AICPA联合的CSA STAR Attestation，该认证基于AICPA (Trust Service Principles, AT 101)和CSA云控制矩阵，用来指导SOC 2的执行； 第二块是CSA STAR Certification，由CSA指定第三方认证机构基于ISO27001+CSA云控制矩阵来进行评估，算是最正宗的CSA云安全认证； 第三块是针对我大天朝的CSA C-STAR评估，基于GB/T 22080-2008+等级保护基本要求+GB/Z 28828-2012以及CSA的云控制矩阵。 国内有一家公司获得了全球第一张云安全国际认证金牌（CSA-STAR），大伙觉得是谁，不用猜，还是阿里云。 关于云计算安全评估还有两个ISO27000系列的标准可以进行认证，分别是： 《ISO27017:2015基于27002的云计算服务的信息安全控制措施实用规则》 《ISO27018:2014公共云计算服务的数据保护控制措施实用规则》 ISO27017:2015针对云服务的信息安全控制提供了实施指导。 ISO27018:2014是首个专注于云中个人数据保护的国际行为准则。 基于ISO27002，并针对适用于公有云个人可识别信息(PII)的ISO27002控制体系提供了实施指南。 国内也发布了两个云计算服务的相关标准，《GB/T 31167-2014信息安全技术云计算服务安全指南》和《GB/T 31168-2014信息安全技术云计算服务安全能力要求》，至于谁来执行，暂时没看到更多信息。 为什么要强调合规？ 合规不能保证绝对安全，但合规是安全的基础，也是当前提升企业安全保障能力的重要途径，这也是越来越多的企业青睐认证的缘由。 大家应该清楚合规和安全的关系，开车上路就必须得持有驾照，必须得系安全带，这就是交通领域的合规，但是你即使完全合规，也不能100%保证不发生安全事故。 合规的意义是什么，让你掌握驾驶技能、交通法规和安全驾驶技巧。能够像安全带一样，在发生交通事故时把伤害降低到最低，合规是安全的基石，做与不做差别很大。 再回到信息安全领域，甲方会遇到很多的合规需求，像等级保护、pci dss、iso27001等等，但一部分人对合规的认知有所偏差，认为满足合规就安全了，其实还远远不够，合规是让你的信息安全保障能力达到一个基本60分、70分、80分的水平，但是70分和80分不是安全建设的目标和终点。 最后再讲一句，金杯银杯不如客户的口碑，把合规带来的能力变成附加值，反馈客户，普惠大众，这才是合规的价值。 互联网金融火了，随之而来的是黑客们尾随的脚步。数据显示，国内已有上百家互联网金融平台，由于受到黑客攻击，导致网站系统瘫痪、客户数据外泄、数据恶意篡改。由于行业的特殊性，互联网金融平台在遭遇攻击、网站无法打开时，往往引发投资人的对平台跑路的恐慌，产生集中挤兑，间接导致平台“死亡”。 有人形容黑客攻击，犹如悬在互联网金融头上的一把利剑。每个互联网金融平台在发展自身业务的同时，如何避免黑客的侵袭，保障平台和客户的数据、资料以及资金安全? 小米贷选择了与全球领先的云计算技术和服务提供商——阿里云合作，用其独有的云盾以及云监控服务，预防各种黑客攻击。 “安全是所有客户的第一个问题。基于十年积累的攻防技术，阿里云研发了云盾产品，为客户提供了基于云端的DDOS防护，主机入侵防护，安全体检，数据库防火墙等一整套云安全服务。”阿里云金融事业部总监徐敏介绍，金融云微金融专区在数据安全、数据加密、数据使用和审计方面更加严格。面对互联网金融行业被黑客频繁攻击的现状，阿里云为小米贷开放了独立的机房集群，与公有云物理隔离。此外，通过同城灾备服务，客户数据将自动在同城异地机房进行备份，若一处机房出现故障，备份机房可分钟级切换。 对于小米贷所有的客户数据和资料，阿里云金融云微金融专区采用了云端数据备份技术，具备固定的数据保全机制，客户在其中的数据都将完整地予以保存，这也完全符合监管部门对于互联网金融行业安全性的要求，为规范运营的网贷平台提供了一份信用背书。 小米贷是一家成立近两年的互联网金融理财平台，其创始人均为在金融界和互联网界从业多年的资深人员。为了保障每一位投资人的信息和资金安全，小米贷自上线之初就注重平台的安全性建设。平台上每一个投资项目详情均公开透明，并做好完备的风控工作，投资人资金均由新浪支付进行第三方资金托管，为投资者提供低风险的投资理财服务。

一生一缘一份

	很好，服务很好，耐心细致，下次还会来的

雨落听尊

	服务好教程很全面我想要的都有下次还来你家买

糖果夜猫

	有道理。。。

雨落听尊

	看帖回帖是美德！

来自遗憾

	就按要求完成了！力荐！！

wll371009414

	都说颜值很重要，开始我还不太相信，等到店铺装修好了，看到的那一刻，觉得确实大气不一般，整体的风格和感觉都是我想要的，希望生意越来越好

闲散之人shine

	，很高端的视觉效应，很耐心，设计的很不错，高端大气上档次啊，是自己喜欢的

和谐南滑

	小卖家，虽然店铺很难看，但是还是害怕装修会不会没有效果，客服台热情了！就做了一个，付款了后其实蛮忐忑的，结

俊事家

	有创意了，设计出来的样式很符合我们想要的风格，画面精美，做出来的效果不错，谢谢店家的耐心服务，很满意。