Tag: 數據安全

阿里雲發布《數據安全白皮書》 首次披露完整雲安全運營體系

    阿里雲發布《數據安全白皮書》 首次披露完整雲安全運營體系   中國成都,2016 年6 月29 日 - 阿里雲在「雲棲大會 • 成都峰會」上發布《數據安全白皮書》(以下簡稱「白皮書」),首次公開了阿里雲在保障230 萬用戶數據安全方面建立的流程、機制以及具體實踐辦法。同日,阿里雲表示,已正式通過美國註冊會計師協會(AICPA) 與雲安全聯盟(CSA)制定的SOC2 審計標準。這也是中國的雲計算服務提供商首次通過這一嚴格的審計標準。 阿里雲安全事業部資深總監肖力表示:「阿里雲已經建立了嚴密的數據安全管控體系,能幫助客戶保障其數據的私密性、完整性和可用性。我們針對數據安全管控體系的設計是領先的,我們有自信可以通過第三方的審查。」 「1+3」的強力安全運營管控理念 白皮書透露,阿里雲在架構設計之初就同步考慮了安全架構,不僅將安全的基因植入到整個雲平台和各個雲產品中,更將數據安全要求嵌入產品開發生命週期的各個環節。 七年實踐,阿里雲總結出獨有的「1+3」強力安全運營管控理念,即通過「安全融入設計、自動化監控與響應、紅藍對抗與持續改進」這3 個安全手段,實現保障用戶數據安全這一核心目標。白皮書透露,阿里雲對各產品及業務的安全漏洞及威脅情報已經達到100%監控響應能力。 阿里雲還積極邀請全球頂尖安全技術專家持續進行「紅藍軍」攻防對抗,並將對抗結果與生產環境中所遭受的威脅結合,更新迭代威脅分析工具、安全評估方法論,讓數據安全防禦形成一個持續迭代更新的良性循環系統。 數據是客戶資產,阿里雲不會移作它用 阿里雲用戶對自身數據,一直具有完全的知情權和控制權。用戶可自行選擇其生產數據部署或存放的雲服務可用區地點,未經用戶授權 ,阿里雲不會任意移動其生產數據的存儲區域。 不同用戶之間,無論是CPU、內存,還是存儲和網絡都默認相互隔離,既看不到對方的數據,也不會相互影響。 「就像一間五星級酒店被分割成多個房間,他們之間是相互獨立和封閉的,從而確保不同租戶互不干擾和數據隔離。」阿里雲安全資深總監肖力介紹。 對於數據的交換、轉移與分享,阿里雲都提供了標準的加密傳輸協議,以方便雲平台與外界以及系統間傳輸敏感數據的需求。 全球領先的雲計算安全技術 白皮書介紹,所有開發、維護、客服以及其他可能接觸到阿里雲內部系統的人員,他們的每次登錄都有嚴密的身份識別,確保帳號與生產設備「不會誤用」、「不被盜用」、「不能亂用」的三不原則。 七年時間,阿里雲沉澱了一支包括雲底層安全、雲平台安全、合規內控及標准在內的專業團隊,保障用戶的數據安全並協助用戶滿足企業運營的合規目標。如今,阿里雲全球領先的熱升級技術更使得產品升級、漏洞修復均不會影響客戶業務。 現在,阿里雲保護著全國35%的網站。 2015 年,阿里雲安全團隊共監控到DDoS 攻擊事件超過10 萬次,其中流量達到300Gbps 以上的攻擊次數有66 次,最大攻擊峰值流量達到477Gbps。 國際多家標準組織認可阿里雲數據安全機制 在安全方面,阿里雲已獲得雲安全國際認證金牌(CSA-STAR)、ISO20000 認證、ISO 27001 和...

BT推出全新「黑客預演」服務,保障全球金融業數據安全

BT推出全新「黑客預演」服務,保障全球金融業數據安全 英國電信攜CREST STAR安全認證,保護金融機構免受網絡攻擊威脅 英國電信(BT)今日宣佈在全球推出全新「BT Assure Ethical Hacking for Finance(BT金融黑客預演)」安全服務,為測試曝露於網絡攻擊的金融服務機構能否抵禦攻擊而設計。 持有零售商、投資銀行以及保險公司等大量極具價值的個人敏感資料之金融服務機構,成為意圖不軌的黑客及網絡罪犯之主要攻擊目標。近幾年,隨著越來越多的零售金融服務擴展至互聯網、電子交易平台迅速崛起,此風險也隨之與日俱增。 全新金融黑客預演服務採用成熟的方法論模仿「黑帽(black hats)」技術或惡意攻擊者的行為,針對銀行 IT 系統的不同入口點以及機構中已知的弱點進行一系列測試。測試範圍包括向流動裝置及硬件,由膝上型電腦以至打印機、內部及外部網絡,數據庫及複雜的企業資源規劃系統發動釣魚詐騙攻擊。BT除了測試與驗證可能存取網絡的系統之外,更檢測人為故障所導致的風險,例如借助社交工程測試員工對相關政策是否有適當的應用。 零售銀行的網絡威脅 BT推出此項新服務基於與美國大型金融機構長達近20年的密切合作所積累的黑客預演專業經驗。在嚴格的契約規則所允許的範圍內,BT的黑客預演已經能夠針對數以萬計的社交安全與信用卡卡號進行數據庫轉儲、攔截與修改流動支票存款數據、逆轉工程師專屬加密流、生成大量來自其他測試帳戶的包含詳細支付資訊的有效禮品卡、讓員工通過打開郵件簡單地創建管理員帳戶、退出遠端存取會話並對系統進行外殼訪問(包括後續建立公司通道)、在未授權測試帳戶之間轉移資金或通過攻擊裝置間通訊獲得所有使用者的完整帳戶數據。 該服務的最終目標是識別可能對機構主要業務流程甚至品牌和聲譽造成威脅的行為。 最新推出的「Assure金融黑客預演」服務將使BT得以使用CREST 認證的STAR(Simulated Targeted Attack andResponse,模擬針對性攻擊及回應)服務,為金融服務公司建立最可靠的安全解決方案,以確保敏感客戶數據的安全。BT是世界認可的第一批由CREST官方授權提供STAR服務的公司之一。 與英格蘭銀行(BoE)、英國政府及業界聯手,CREST開發提供受控定制以及情報主導網絡安全測試的STAR架構。STAR結合先進的滲透測試及威脅情報服務,更精確地複製針對關鍵資產的網絡安全威脅。 BT安全部總裁Mark Hughes BT安全部總裁Mark Hughes指出:「機密的財務資訊對於黑客們有著強大的誘惑,因此,沒有什麼公司比銀行更吸引網絡犯罪。嚴重的黑客攻擊在帶來直接經濟損失的同時,更可能對企業聲譽帶來無可挽回的負面影響。人們更多關注的是零售銀行業務的風險行為,但對為大型企業客戶提供貨幣兌換和大型貿易交易的投資銀行或批發銀行來說,這種風險帶來的威脅同樣值得關注。我們鼓勵所有金融機構進行一系列嚴格的網絡安全模擬預演,BT的黑客預演顧問將給予相關諮詢,幫助金融機構將網絡防禦做到最好。」 BT擁有實力雄厚、屢獲殊榮的全球安全專家團隊。團隊中的黑客預演顧問會通過標準方法模擬黑客攻擊、報告已識別的安全漏洞,並提供清晰的補救指引,讓客戶能夠迅速修復應用程式及受影響系統。 ...