金山云通过C-STAR最高级别云安全国际认证

10月25日，2016云安全高层论坛暨云安全联盟大中华区峰会在北京举行。会上公布了通过C-STAR云安全国际认证的企业名单，金山云凭借其数据中心、云主机、负载均衡、虚拟专用网络、云存储、数据库等服务及产品的出色评估结果，通过C-STAR云安全国际认证。

右二为金山云张娜领取CSAC-STAR认证证书

C-STAR是一项全新且有针对性的国际专业认证，同时也是全球认可的国内最高级别的云安全认证，该认证由云安全联盟(CloudSecurityAlliance，CSA)和广州赛宝认证中心服务有限公司共同进行，将中国国家信息安全标准和云安全联盟的云控制矩阵相融合，是对云服务提供商极为严格的第三方评估。

C-STAR云安全认证是继国家信息安全等保三级、ISO9001、ISO27001、可信云安全等认证后，金山云获得的又一云安全认证。此次获得认证，标志着金山云安全能力和水平的进一步提升，体现了其可靠、安全的云计算服务能力已达到业界领先水平。

图为金山云获得C-STAR云安全国际认证证书

云时代下企业迸发安全新需求

云时代的到来，给人们生活、商业模式等带来巨大改变。与此同时，安全事件也呈现指数级增长，若干企业遭遇安全危机，损失惨重，这就要求企业具备完善的安全管理体系。

基于此，C-STAR对云厂商提出更高的要求，要求云厂商拥有全面系统的云安全体系。C-STAR云安全评估的管控要求极为严格，评估过程采用国际先进的成熟度等级评价模型，涵盖应用和接口安全、审计保证与合规性、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理、加密和密钥管理、治理和风险管理、身份识别和访问管理、基础设施和虚拟化安全、安全事件管理、供应链管理、威胁和脆弱性管理等16个控制域的全方位安全评估。通过对以上安全管控机制的审查，云计算公司成为安全领域毋庸置疑的先驱者。

信息安全是企业最关心的问题之一。对于公司内部的安全防护，金山云投入了专业的安全团队，负责基础架构与IDC、运维、业务、数据、应急响应等方面的安全工作。金山云严格隔离办公和生产环境的网络环境，同时进行严格的权限管理和身份认证。员工对金山云服务器的访问，均通过双因素认证以及堡垒机控制，确保了操作的安全以及可审计。金山云部署例行的漏洞扫描，对金山云资产进行全方位的漏洞扫描与巡检，漏洞的处理实现全部自动化，可以在最短时间全面地发现金山云架构的安全问题并修复。同时金山云有完善的数据管理与保护、使用、销毁流程和方法，可有效防止数据未经授权的访问和转移。金山云安全应急响应团队全天候监控全球重大漏洞，保证第一时间响应，并及时修补系统漏洞。此外，金山云基础架构的设计采取了多层安全保护以及风险防控措施，在出现未知漏洞的情况下，也可以有效保护用户的业务及数据安全。

金山云如何为用户撑起“保护伞”？

金山云有完善的云计算基础架构安全以及用户业务安全保护保障体系，可以为用户提供全方位的从物理到应用层面的防护。同时，金山云认为，用户云上业务的安全，是云服务提供商和用户需要共同努力来解决的问题。对此，金山云采取安全责任共担的机制，与用户密切沟通和合作，共同保障安全。金山云负责保障云计算基础架构层面的安全，即包括物理、网络、虚拟化架构、数据安全、控制台等；用户则负责自身业务部署、运维的安全，金山云提供必要的安全产品和服务，保证业务层面的安全。双管齐下，共同为企业撑起安全防护的“保护伞”。

图为金山云安全体系架构图

金山云为用户提供DDoS防攻击中心、服务器安全、漏洞扫描、WAF（Web应用防火墙）以及渗透测试服务，可以很好地满足用户业务安全防护的需求。

防攻击中心为用户提供基础DDoS防御以及大流量的DDoS攻击防御能力，可抵挡最高500Gbps的流量攻击。防攻击中心每天为用户抵御近万次攻击，有效地保护了用户的业务持续性，并且可以有效对攻击进行取证和溯源。

金山云服务器安全客户端由金山云与安全狗联合开发，可以精准查杀各类网页木马以及主流病毒，并实施抵御各类脚本攻击，与云端同步，检测系统高危漏洞并及时修复。通过云端与客户端的集合，并实现宿主资源占用最小化。

金山云漏洞扫描提供包括服务器及web应用在内的全方位漏洞扫描，覆盖OWASP、CNVD的各种安全漏洞类型，云端同步升级检测规则；对重大漏洞，特别是Apachestrcusts2这类带有RCE(远程命令执行)的漏洞，及Discuz、WordPress等第三方应用的漏洞，智能爬虫支持动态页面抓取；金山云安全团队24小时监控全球安全漏洞，第一时间发布风险通告以及进行安全补丁升级

金山云Web应用防火墙WAF（WebApplicationFirewall，简称WAF）提供OWASP常见的Web威胁防护，保障用户网站安全。对于常见的Web基础漏洞，Web应用防火墙为用户全面检测SQL注入、XSS跨站脚本、文件包含、命令执行等OWASP常见威胁，并屏蔽SqlMap等常见扫描工具，防止系统漏洞被他人恶意利用。产品控制台为用户聚合提供七天攻击数据，满足安全运维需求，用户可自主选择防护规则。

金山云渗透测试服务，在用户授权下，通过模拟恶意黑客的攻击方法进行非破坏性测试，以此来评估计算机网络系统安全漏洞以及风险等级。

金山云的安全产品，除服务器安全需要部署客户端，其他均为零部署，一键配置并开启，无需更改网络拓扑结构，极大地方便了用户。

金山云通过C-STAR权威认证，充分证明其安全管理及技术水平已经达到业界领先。金山云将以专业、透明的安全管理体系和强大的技术作为保障，竭力为用户提供放心、可信的云计算服务。