9月19日,在第三届国家网络安全宣传周上,中央网信办宣布,经过多轮评议,阿里云电子政务云平台通过党政部门云计算服务网络安全审查(增强级),成为国内首批能以社区云模式承载敏感类信息及重要政务业务的全国性云平台。
据悉,阿里云是首批参与党政部门云计算服务网络安全审查的服务商之一。依据国家标准《云计算服务安全能力要求》要求,中央网信办组织中国电子标准化研究院赛西实验室进行第三方安全审查,分别从开发与供应链安全、系统与通信保护、维护、应急响应与灾备、审计、风险评估与持续监控等10个重点方面展开了安全审查。经过一年半的最终评定,阿里云电子政务云平台满足GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》的要求,并认定为“增强级”。
通过该网络安全审查认证,意味着阿里云在安全性、可控性等方面获国家最高网络安全管理机构认可,符合党政部门采购云计算服务的标准要求,有利于维护国家网络安全,提高资源利用率和为民服务效率与水平。这也是阿里云在信息化、云计算领域安全合规方面再一次取得领先成绩。
据介绍,党政部门云计算服务网络安全审查旨在解决政府选择云服务商的安全可信问题。2014年,中央网信办出台了《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2014〕14号)。明确了党政部门使用社会化云计算服务的安全要求为“安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境”。并基于此启动了国内首次面向云服务商的网络安全审查工作。
安全已成为阿里云的核心竞争优势之一。从核心层面坚持自主研发飞天云计算操作系统,并凝练阿里巴巴集团十年安全技术积累推出云盾产品服务,在漏洞检测、DDoS防护、内核安全等领域树立了全新标杆。
每一天,阿里云实时保护全中国35%的网站,这使得阿里云具备国内最丰富的攻防对抗数据和样本。再辅以强大的人工智能、机器学习和计算能力,阿里云能够及时从海量的安全数据中抓取到攻击线索、漏洞信息和威胁情报等高价值信息,提升云上用户的整体安全水平。
阿里云极度重视客户数据安全,是云计算行业首个发布《数据保护倡议书》的单位。该倡议书明确界定:数据所有权绝对属于客户,云计算平台不得将这些数据移作他用,并保障其数据的私密性、完整性和可用性。这也是国内云计算行业第一次进行行业自律。阿里云还与生态合作伙伴联合推出首个符合国家密码管理局要求的云端硬件加密服务。
“在安全评估过程中,我们的专家团队对阿里云云计算服务的能力水平和成熟度进行了充分的验证。阿里云在安全和隐私领域的设计符合网信办对政务云的强安全需求。”中国信息安全研究院副院长左晓栋表示。
阿里云总裁胡晓明表示:“此次网络安全审查,对于中国推进云计算、大数据在党政部门及国计民生领域的应用,有着深远意义,给予我们极大的信心。阿里云所构建的政务云应用模式,是由社会、政府、平台运营商、阿里云、应用集成商、ISV多方共同参与的可持续运营的商业模式。在这样一种多方社会资源共创的过程中,安全可信是第一位的。”
近年来,云上贵州、数据浙江、公安部、海关总署、交通部、12306、中石化、国税总局、人力资源及社会保障部、中国气象局、智慧宁夏、广东政务云、江苏政务云、北京海淀政务云、河南中原云、海南南海云、甘肃政务云、四川双流政务云、浙江高院等党政央企部门与阿里云的合作,已成为政务云应用的典范。