10月25日，2016云安全高層論壇暨云安全聯(lián)盟大中華區(qū)峰會在北京舉行。會上公布了通過C-STAR云安全國際認(rèn)證的企業(yè)名單，金山云憑借其數(shù)據(jù)中心、云主機、負(fù)載均衡、虛擬專用網(wǎng)絡(luò)、云存儲、數(shù)據(jù)庫等服務(wù)及產(chǎn)品的出色評估結(jié)果，通過C-STAR云安全國際認(rèn)證。

右二為金山云張娜領(lǐng)取CSAC-STAR認(rèn)證證書

C-STAR是一項全新且有針對性的國際專業(yè)認(rèn)證，同時也是全球認(rèn)可的國內(nèi)最高級別的云安全認(rèn)證，該認(rèn)證由云安全聯(lián)盟(CloudSecurityAlliance，CSA)和廣州賽寶認(rèn)證中心服務(wù)有限公司共同進(jìn)行，將中國國家信息安全標(biāo)準(zhǔn)和云安全聯(lián)盟的云控制矩陣相融合，是對云服務(wù)提供商極為嚴(yán)格的第三方評估。

C-STAR云安全認(rèn)證是繼國家信息安全等保三級、ISO9001、ISO27001、可信云安全等認(rèn)證后，金山云獲得的又一云安全認(rèn)證。此次獲得認(rèn)證，標(biāo)志著金山云安全能力和水平的進(jìn)一步提升，體現(xiàn)了其可靠、安全的云計算服務(wù)能力已達(dá)到業(yè)界領(lǐng)先水平。

圖為金山云獲得C-STAR云安全國際認(rèn)證證書

云時代下企業(yè)迸發(fā)安全新需求

云時代的到來，給人們生活、商業(yè)模式等帶來巨大改變。與此同時，安全事件也呈現(xiàn)指數(shù)級增長，若干企業(yè)遭遇安全危機，損失慘重，這就要求企業(yè)具備完善的安全管理體系。

基于此，C-STAR對云廠商提出更高的要求，要求云廠商擁有全面系統(tǒng)的云安全體系。C-STAR云安全評估的管控要求極為嚴(yán)格，評估過程采用國際先進(jìn)的成熟度等級評價模型，涵蓋應(yīng)用和接口安全、審計保證與合規(guī)性、業(yè)務(wù)連續(xù)性管理和操作彈性、變更控制和配置管理、數(shù)據(jù)安全和信息生命周期管理、加密和密鑰管理、治理和風(fēng)險管理、身份識別和訪問管理、基礎(chǔ)設(shè)施和虛擬化安全、安全事件管理、供應(yīng)鏈管理、威脅和脆弱性管理等16個控制域的全方位安全評估。通過對以上安全管控機制的審查，云計算公司成為安全領(lǐng)域毋庸置疑的先驅(qū)者。

信息安全是企業(yè)最關(guān)心的問題之一。對于公司內(nèi)部的安全防護(hù)，金山云投入了專業(yè)的安全團(tuán)隊，負(fù)責(zé)基礎(chǔ)架構(gòu)與IDC、運維、業(yè)務(wù)、數(shù)據(jù)、應(yīng)急響應(yīng)等方面的安全工作。金山云嚴(yán)格隔離辦公和生產(chǎn)環(huán)境的網(wǎng)絡(luò)環(huán)境，同時進(jìn)行嚴(yán)格的權(quán)限管理和身份認(rèn)證。員工對金山云服務(wù)器的訪問，均通過雙因素認(rèn)證以及堡壘機控制，確保了操作的安全以及可審計。金山云部署例行的漏洞掃描，對金山云資產(chǎn)進(jìn)行全方位的漏洞掃描與巡檢，漏洞的處理實現(xiàn)全部自動化，可以在最短時間全面地發(fā)現(xiàn)金山云架構(gòu)的安全問題并修復(fù)。同時金山云有完善的數(shù)據(jù)管理與保護(hù)、使用、銷毀流程和方法，可有效防止數(shù)據(jù)未經(jīng)授權(quán)的訪問和轉(zhuǎn)移。金山云安全應(yīng)急響應(yīng)團(tuán)隊全天候監(jiān)控全球重大漏洞，保證第一時間響應(yīng)，并及時修補系統(tǒng)漏洞。此外，金山云基礎(chǔ)架構(gòu)的設(shè)計采取了多層安全保護(hù)以及風(fēng)險防控措施，在出現(xiàn)未知漏洞的情況下，也可以有效保護(hù)用戶的業(yè)務(wù)及數(shù)據(jù)安全。

金山云如何為用戶撐起“保護(hù)傘”？

金山云有完善的云計算基礎(chǔ)架構(gòu)安全以及用戶業(yè)務(wù)安全保護(hù)保障體系，可以為用戶提供全方位的從物理到應(yīng)用層面的防護(hù)。同時，金山云認(rèn)為，用戶云上業(yè)務(wù)的安全，是云服務(wù)提供商和用戶需要共同努力來解決的問題。對此，金山云采取安全責(zé)任共擔(dān)的機制，與用戶密切溝通和合作，共同保障安全。金山云負(fù)責(zé)保障云計算基礎(chǔ)架構(gòu)層面的安全，即包括物理、網(wǎng)絡(luò)、虛擬化架構(gòu)、數(shù)據(jù)安全、控制臺等；用戶則負(fù)責(zé)自身業(yè)務(wù)部署、運維的安全，金山云提供必要的安全產(chǎn)品和服務(wù)，保證業(yè)務(wù)層面的安全。雙管齊下，共同為企業(yè)撐起安全防護(hù)的“保護(hù)傘”。

圖為金山云安全體系架構(gòu)圖

金山云為用戶提供DDoS防攻擊中心、服務(wù)器安全、漏洞掃描、WAF（Web應(yīng)用防火墻）以及滲透測試服務(wù)，可以很好地滿足用戶業(yè)務(wù)安全防護(hù)的需求。

防攻擊中心為用戶提供基礎(chǔ)DDoS防御以及大流量的DDoS攻擊防御能力，可抵擋最高500Gbps的流量攻擊。防攻擊中心每天為用戶抵御近萬次攻擊，有效地保護(hù)了用戶的業(yè)務(wù)持續(xù)性，并且可以有效對攻擊進(jìn)行取證和溯源。

金山云服務(wù)器安全客戶端由金山云與安全狗聯(lián)合開發(fā)，可以精準(zhǔn)查殺各類網(wǎng)頁木馬以及主流病毒，并實施抵御各類腳本攻擊，與云端同步，檢測系統(tǒng)高危漏洞并及時修復(fù)。通過云端與客戶端的集合，并實現(xiàn)宿主資源占用最小化。

金山云漏洞掃描提供包括服務(wù)器及web應(yīng)用在內(nèi)的全方位漏洞掃描，覆蓋OWASP、CNVD的各種安全漏洞類型，云端同步升級檢測規(guī)則；對重大漏洞，特別是Apachestrcusts2這類帶有RCE(遠(yuǎn)程命令執(zhí)行)的漏洞，及Discuz、WordPress等第三方應(yīng)用的漏洞，智能爬蟲支持動態(tài)頁面抓?。唤鹕皆瓢踩珗F(tuán)隊24小時監(jiān)控全球安全漏洞，第一時間發(fā)布風(fēng)險通告以及進(jìn)行安全補丁升級

金山云Web應(yīng)用防火墻WAF（WebApplicationFirewall，簡稱WAF）提供OWASP常見的Web威脅防護(hù)，保障用戶網(wǎng)站安全。對于常見的Web基礎(chǔ)漏洞，Web應(yīng)用防火墻為用戶全面檢測SQL注入、XSS跨站腳本、文件包含、命令執(zhí)行等OWASP常見威脅，并屏蔽SqlMap等常見掃描工具，防止系統(tǒng)漏洞被他人惡意利用。產(chǎn)品控制臺為用戶聚合提供七天攻擊數(shù)據(jù)，滿足安全運維需求，用戶可自主選擇防護(hù)規(guī)則。

金山云滲透測試服務(wù)，在用戶授權(quán)下，通過模擬惡意黑客的攻擊方法進(jìn)行非破壞性測試，以此來評估計算機網(wǎng)絡(luò)系統(tǒng)安全漏洞以及風(fēng)險等級。

金山云的安全產(chǎn)品，除服務(wù)器安全需要部署客戶端，其他均為零部署，一鍵配置并開啟，無需更改網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，極大地方便了用戶。

金山云通過C-STAR權(quán)威認(rèn)證，充分證明其安全管理及技術(shù)水平已經(jīng)達(dá)到業(yè)界領(lǐng)先。金山云將以專業(yè)、透明的安全管理體系和強大的技術(shù)作為保障，竭力為用戶提供放心、可信的云計算服務(wù)。