阿里公共云网络安全等级保护2.0合规能力白皮书V1.0.doc

总 述 《阿里公共云网络安全等级保护 2.0 合规能力技术白皮书》从网络安全合规责任划分、 云安全合规能力评估、阿里公共云典型场景(IaaS)的合规实施分析及白皮书使用建议等方 面做了详细阐述。借助该技术白皮书，云服务客户能够快速： ? 确定不同云计算服务模式下的网络安全合规要求和安全建设责任边界； ? 了解阿里公共云的安全能力，包括云平台原生安全能力，以及云产品和阿里云安全 产品提供的安全能力； ? 依托并合理配置阿里公共云提供的安全能力，同时结合云服务客户业务应用系统的 安全防护能力建设，构筑满足网络安全等级保护的安全合规体系。 本技术白皮书正文共分为五个部分，各部分内容具体安排如下： 第一部分为概述，对本技术白皮书的目的及主要内容进行简要介绍。 第二部分描述了在不同云计算服务模式下，阿里云分服务模式的产品划分、网络安全 等级保护定级情况以及基于云安全责任模型对云服务商和云服务客户在网络安全等级保 护基本要求条款适用性选择。 第三部分介绍了阿里云安全合规能力评估模型，并对阿里公共云平台、云产品以及云 安全产品的安全能力进行阐述。 第四部分以 IaaS 模式下云服务客户典型场景为例，分析了云服务客户落实网络安全 等级保护制度时，如何确定等级保护对象，如何引用云平台等级测评结论，以及识别云服 务客户业务系统安全防护能力与网络安全等级保护基本要求间的符合程度。 第五部分从行业应用角度对技术白皮书的应用方法进行了解读，阐述了如何利用技术 白皮书快速识别网络安全等级保护基本要求适用条款，以及分析符合基本要求需建设的 安全能力。 附录部分，附录 A 介绍了不同云计算服务模式下的典型阿里云产品；附录 B 提供了 在不同云计算服务模式下，云服务客户定级对象应满足的网络安全等级保护基本要求条 款；附录 C 描述了云产品和云安全产品及其安全能力(措施)与网络等级保护基本要求间的 对应关系。 I 声 明 阿里云提醒您在阅读或使用本文档之前仔细阅读、充分理解下列各条款的内容： ? 通过阿里云提供的授权通道下载、获取本文档，且仅能用于自身合法合规的业务活动， 未经阿里云同意，任何单位、公司或个人不得擅自摘抄、翻译、复制本文档内容，不 得以任何方式或途径进行传播和宣传。 ? 由于产品/服务升级、调整或其他原因，本文档内容有可能变更，您应当实时通过授 权渠道下载、获取最新版的用户文档。 ? 本文档仅作为用户使用阿里云产品及服务的参考性指引，阿里云尽最大努力提供相应 的介绍及操作指引，但阿里云在此明确声明对本文档内容的准确性、完整性、适用性、 可靠性等不作任何明示或暗示的保证；任何单位、公司或个人因为下载、使用或信赖 本文档而发生任何差错或经济损失的，阿里云不承担任何法律责任。 ? 本文档第二、三部分（含附录 B）由公安部信息安全等级保护评估中心拥有其知识产 权，其余部分归阿里云计算有限公司依法拥有。未经双方事先书面同意，任何人不得 为了任何营销、广告、促销或其他目的使用、公布或复制公安部信息安全等级保护评 估中心和阿里云的名称。 ? 期望能够给本文档的阅读者提供有用的参考，限于编制时间仓促，内容难免疏漏和不 足，诚望不吝赐教、斧正，以便后续改进和完善。 ? 任何意见或建议敬请联系：aliyun_compliance@。 主要编制人 张振峰 张志文 黄少青 姜友贵 陈吴栋 李 阳 崔旭东 张 鹏 蒋 晓 张 瑜 特别感谢 张宇翔 李 明 肖 力 董 侃 郑原斌 II 目 录 总 述............................................................................................................................................................I 声 明..........................................................................................................................................................II 1 概述....................................................................................................................................................- 1 - 2 安全合规责任..............................................................