應用程序及相關數據作為承載云上業務的主體，一方面蘊含了重大業務價值，另一方面應用上云后云上攻擊的成本和實施門檻大大降低，更易受到惡意訪問，因此保證應用程序及相關數據的機密性、完整性和可用性對于云上業務平穩、安全地運行十分重要。

應用級別分類

云上業務應用的數量是十分巨大的，每個應用具備的業務價值和重要性是不同的，企業內部應梳理業務架構，評估業務鏈路中各應用的重要程度進行應用分類，以此為參考進行安全防護的成本分配投入，企業可以更有針對性地制定安全策略和措施，將資源和注意力集中在最關鍵的應用上，以最大程度地保護業務運作的安全性和可持續性。下面列舉了一個參考示例：

1. 核心業務應用： 這些應用是企業業務的核心，直接關系到業務的正常運轉和收益。例如，金融機構的核心銀行系統、電子商務平臺的交易系統等。對這類應用的安全性要求非常高，任何安全漏洞或中斷都可能導致企業巨大的經濟損失和聲譽損害。

2. 敏感信息應用： 這些應用處理包含敏感數據的業務流程。例如，醫院的病人信息管理系統、律所的案件管理系統等。對這類應用的安全性要求也很高，泄露或篡改敏感信息可能會導致法律風險、隱私侵犯和聲譽受損。

3. 支撐業務應用： 這些應用在組織的日常運營中提供輔助功能，如人力資源管理系統、內部協作平臺等。對這類應用的安全性要求較高，安全漏洞可能導致員工信息泄露、機密文件泄露或內部混亂。

4. 其他業務應用： 這些應用是組織運營中的其他業務系統，對運營的重要性相對較低。例如，企業的客戶關系管理系統、會議管理系統等。對這類應用的安全性要求適度，需要保障數據的完整性和可用性，但對機密性和攻擊風險的關注程度相對較低。

定期進行滲透測試

對于云上業務來說，滲透測試是保障應用安全的一個重要方面。滲透測試是一種模擬真實攻擊的黑盒安全測試，通過模擬攻擊者的行為，幫助企業發現應用存在的安全隱患，從而有效地減少未知的安全風險，提高應用的安全性。同時，滲透測試不應該只是一次性的，而應該是定期進行的。隨著企業應用的不斷更新迭代，使用的新技術、新組件會帶來新的安全風險；另一方面，攻擊者的惡意訪問手段總是不斷進化。以上兩個現實情況導致了應用安全持續遭到挑戰，即使應用在某一時期內通過了滲透測試，也不能確保永遠處在一個安全的狀態。

阿里云提供了先知（安全眾測）服務，通過加入先知平臺，企業可以自主設置高、中、低危漏洞的獎勵金額和獎勵范圍，通過平臺眾多可靠的白帽子來及時發現應用系統中存在的安全問題，包括業務應用邏輯漏洞、權限問題等安全工具無法有效檢測的漏洞，并給出修復方案，幫助企業修復這些漏洞。滲透測試的服務流程如下：

定期的漏洞檢測和評估

漏洞是指在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統或者應用。漏洞檢測和評估旨在發現應用中存在的安全漏洞，并評估其對應用安全性的影響，幫助企業及時修復漏洞，提高應用的安全性。漏洞檢測分為自動化工具和人工發現兩種，自動化工具只能檢測常見的已知的漏洞，存在誤報和漏報，也無法深入考量在企業業務場景下的修復建議。針對人工漏洞檢測，阿里云提供安全管家服務，根據企業安全需求，定制化實行漏洞檢測方案，由安全專家從應用系統及組件和應用代碼兩個方面檢測安全漏洞，制定修復方案。

另一方面，針對自動化漏洞檢測，阿里云提供云安全中心服務，從Linux軟件漏洞、Windows系統漏洞、Web-CMS漏洞、應用漏洞、應急漏洞五個類別，通過OVAL規則、Web掃描器、軟件成分分析、POC驗證等手段，檢測識別應用系統中存在的漏洞，并提供對應的修復建議。

應用安全保護

應用安全的第一道防線是保護，從企業和阿里云兩個角度，雙方都需要做好應用安全保護的工作。 從企業角度來說，企業需要在應用開發之初就遵循一定的安全開發策略，盡量縮小攻擊面。如，應用通信使用安全通信協議代替明文協議、對重要敏感數據使用加密算法存儲、應用返回統一定制化錯誤頁面、核心代碼封裝防篡改、前后端分離防止暴露后臺地址等。

阿里云有著十年以上的安全攻防經驗，有著諸如淘寶、天貓、支付寶等大量成功應用案例。從阿里云應用安全防護的角度，可分為網站和移動應用（APP）安全保護。

網站應用安全

網站應用安全，阿里云有著四大安全產品支柱，分別從流量安全、DDoS安全、應用安全、主機安全四個維度形成云安全體系，分別對應云防火墻、DDoS防護、Web應用防火墻、云安全中心。 云防火墻通過檢測網絡流量識別惡意攻擊行為，包含互聯網邊界防火墻、VPC邊界防火墻、主機邊界防火墻，三者配合使用可統一監控數據訪問行為，精細化管理互聯網、VPC、主機間的訪問控制策略，形成互聯網邊界-虛擬網絡邊界-主機邊界三層縱深防御體系。

DDoS防護包含多款子產品，結合阿里云多年DDoS攻防經驗，滿足企業各類DDoS防護場景的需求。DDoS原生防護在不改變業務架構的前提下直接為企業應用大幅提升DDoS防護能力，最高可提供Tbps級別原生防護能力。DDoS高防（新BGP&國際）屬于阿里云提供的DDoS攻擊代理防護服務，通過修改DNS解析將業務應用的訪問流量調度到DDoS高防清洗中心，為中國內地提供超過8 Tbps、非中國內地提供超過2 Tbps的海量防御帶寬資源。

Web應用防火墻對網站業務流量進行惡意特征識別和防護過濾，只保留正常安全的流量回源到源站應用，從而避免網站應用被惡意入侵導致安全問題，保護業務應用安全和數據安全。具體來說，Web應用防火墻覆蓋大部分常見Web應用攻擊，具有精準訪問控制、掃描防護、CC防護、Bot管理、區域封禁、自定義響應等功能，能滿足多行業、多業務場景的應用安全防護需求。

云安全中心關注多云場景下的主機、容器、虛擬機等工作負載的安全防護，提供云上資產管理、配置核查、主動防御、安全加固、云產品配置評估和安全可視化等核心能力，同時結合云上海量日志、分析模型和超強算力，構建了云上強大的安全態勢感知的綜合能力平臺，可有效發現和阻止病毒傳播、黑客攻擊、勒索加密、漏洞利用、AK泄露、挖礦等風險事件，幫助企業全方位提高安全應急響應能力。

移動應用安全

隨著移動應用的普及和越來越多的用戶的敏感數據在其中的存儲，保護移動應用的安全性變得尤為重要。安全漏洞和攻擊威脅可能導致用戶數據泄露、個人隱私暴露、金融損失以及身份盜竊等風險。阿里云提供多種安全服務SDK，企業移動應用客戶端通過調用SDK接口向對應云安全服務發起請求，云服務端執行安全防護流程后返回響應，移動應用客戶端向移動應用服務端提交響應繼續業務流程。舉例說明，阿里云安全認證服務，提供輕量級的多重認證接入服務，幫助企業實現賬戶密碼防護和無密碼認證，提高用戶認證體驗和安全性。阿里云移動應用加固，從防護移動應用的反編譯和逆向工程著手，Android應用通過APK/AAB包加固、類安全加固，IOS應用通過控制流平坦化、分支偽造、花指令及壞指令、指針加密等加固，有效提高移動應用被逆向破解的難度。

開發安全培訓

應用開發階段建議圍繞開發人員進行開發安全培訓，安全培訓也是SDL流程的起點，通過安全培訓可以有效的在開發階段避免一些常規問題，再配合后期的業務安全測試、滲透測試，能夠有效縮短開發周期，保障開發上線安全。

開發安全培訓通常有標準的培訓內容和課程，對于企業而言開發安全培訓應該遵循以下幾點：

1. 明確開發安全紅線，了解哪些該做，哪些不該做，通過紅線來明確開發安全的邊界；

2. 制定開發安全培訓的流程，通過建立認證機制，確保開發工程師有主觀能動性進行培訓課程的學習和理解；

3. 高危漏洞等定期進行案例的培訓和分享；

4. 制定開發安全規范、代碼規范等合規檢查。

針對開發安全的培訓內容，建議重點關注以下內容：