阿里云安全責任

阿里云負責云操作系統(tǒng)、云產(chǎn)品等基礎設施軟件及數(shù)據(jù)的安全、分布式云操作系統(tǒng)及云服務產(chǎn)品安全，并為用戶提供保護云端應用及數(shù)據(jù)的技術手段。責任包括：

• 云盒搭載的云平臺軟件安全：保障云服務產(chǎn)品及底層依賴組件的安全性，及時發(fā)現(xiàn)安全漏洞并修復，合理配置云平臺并持續(xù)進行風險評估，發(fā)現(xiàn)并阻止針對平臺和云服務產(chǎn)品的入侵行為。

• 云盒與中心云連接的網(wǎng)絡邊界安全：阻止利用上云連接入侵中心云或云盒的行為。

• 訪問控制與維護管理安全：日常遠程運維和數(shù)據(jù)隱私遵從阿里公共云的標準和流程，不觸及用戶業(yè)務數(shù)據(jù)。設備維修、擴容、裁撤流程中，采取措施保障用戶業(yè)務數(shù)據(jù)安全。

• 為用戶提供認證、鑒權、審計、安全防護、數(shù)據(jù)保護等安全產(chǎn)品和解決方案。

用戶安全責任

云盒物理服務器部署在用戶本地機房，并由用戶創(chuàng)建公網(wǎng)入口，需要用戶在公共云用戶安全責任基礎上保證物理環(huán)境及設施、本地網(wǎng)絡環(huán)境的安全性。

• 安全組織和人員：負責明確責任部門、責任人和聯(lián)系人以加強網(wǎng)絡安全威脅監(jiān)測與處置工作；確定安全策略，并制定內(nèi)部安全管理制度和操作規(guī)程，確保落地。

• 物理與環(huán)境安全：保障云盒運行物理環(huán)境安全，落實門禁、監(jiān)控等防控措施，防止鄰近網(wǎng)絡和物理攻擊、破壞。防止上云連接物理鏈路被破壞。保留日志并配合阿里云審計。

• 網(wǎng)絡通信安全：連接公網(wǎng)時，用戶應負責防護來自公網(wǎng)的安全威脅。維護好用戶創(chuàng)建的虛擬網(wǎng)絡、虛擬服務器、自建應用及自身數(shù)據(jù)的安全。維護安全策略、漏洞修復，按照等保、行業(yè)安全規(guī)范、阿里云的安全實踐落實網(wǎng)絡安全和信息安全保護措施。

• 配置安全：正確理解和使用云產(chǎn)品的功能、遵循云產(chǎn)品的安全配置建議，防止不安全的配置和使用帶來安全隱患。

• 數(shù)據(jù)保護：負責對用戶業(yè)務數(shù)據(jù)采取數(shù)據(jù)分級分類保護等安全管理措施，履行數(shù)據(jù)出境評估等合規(guī)義務。

• 訪問控制和維護管理安全：維護好用戶身份、角色，管理好資源控制訪問權限，保管好云資源訪問憑證。信息內(nèi)容安全：用戶應負責管理云盒上存儲、傳播的信息內(nèi)容安全，防止云盒被用于實施犯罪或傳播違法犯罪活動的信息。

等保合規(guī)

云盒已通過網(wǎng)絡安全等級保護要求（三級）安全計算環(huán)境安全要求。

安全認證

云盒已通過國際權威認證機構(gòu)頒發(fā)的，包含信息安全和隱私、質(zhì)量和服務、業(yè)務連續(xù)性、云安全等多項認證，如ISO27001、ISO27701、ISO27017、ISO27018、CSA STAR、ISO9001、ISO20000、ISO22301、BS10012、ISO27799、ISO29151等認證要求。