安全，值得信赖!《用友云安全白皮书》正式发布

日前，在“用友云 赋能中国企业”为主题的大会上，以“企业服务都在这”为目标的用友云正式对外发布并上线运营。用友云定位于社会化商业应用基础设施，由PaaS、SaaS、BaaS、DaaS以及与软件的融合服务等组成，并聚合大量由生态伙伴，提供面向细分领域的社会化商业应用云服务。

安全是企业级服务的生命线，为保证用户能够享受到安全的云服务，用友云联合阿里云以及其他相关生态伙伴，搭建了一整套完善的云安全治理以及防护体系。基于此，用友云正式发布了《用友云安全白皮书》(以下简称《白皮书》)，向用户展示用友云安全的每一个细节。

安全是用友云的基准生命线

早在数年前，云安全联盟(CSA)就发布了七大云安全威胁，包括：云计算的滥用、恶用、拒绝服务攻击，不安全的接口和API，恶意的内部员工，共享技术产生的问题，数据泄漏，账号和服务劫持，未知的安全场景。通过分析，我们发现这些威胁的出现主要是由于云服务的不透明性和“无边界性”、云安全标准体系的暂时缺失以及云安全威胁的服务化。

《白皮书》介绍，用友云制定了“可信、可靠、保障、贴心”的核心服务理念。用友开放在企业服务领域30年的能力积累，联合安全领域的领先服务商，按照国家安全标准和业界领先的安全实践进行严密的战略、流程和技术的设计与实现，构建了从安全管理、安全运维到安全技术全方位的安全体系，为客户和伙伴提供社会级的安全保障，覆盖从物理环境、访问控制、配置管理、应急响应、安全审计、持续监控、供应链等多个环节的安全控制要求，全方位解决现阶段存在的安全问题。据用友云安全负责人介绍，用友云成立了专门的安全管理委员会和安全专家工作组，实行安全问题一票否决制，并将保障用户在用友云上的数据安全、业务安全作为基准生命线。

从管理到运维，让用友云内部每一个决策都是安全的

值得指出的是，在已披露的云安全事件当中，相当数量的安全事件是由于云服务内部出现问题导致的。主要原因便是云服务的不透明性和安全标准的缺失。

众所周知，云服务提供商基本上都是以不可见的方式提供计算处理或数据存储的服务。这就造成了服务商使用的技术不可控的结果，用户会担心服务商以用户未知的方式越权访问用户数据的情况发生。事实上，大量的数据泄露都是由于内部员工有意或者无意的“错误操作”造成的。

另一方面，随着IT系统不断地迁移到云计算环境上，过去的等级保护体系出现了一些不太适用的情况。因此，GB/T22239.2专门针对云计算作了扩展要求，形成全新的云等保体系。目前，尽管有阿里云、腾讯云、华为云等少数企业通过了云等保认证，但离全面落地仍有差距。

用友云通过建设完善的安全管理+安全运维体系来保障用友云内部的每一个员工、每一个决策乃至每一次操作都是安全的。

《白皮书》显示，用友云安全管理主要包括用友云的合规性建设。用友云符合ISO/IEC 27001/27002与等级保护基本要求，并根据国家下发的《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等开展用友云建设工作，并推动相关安全体系的建设与实施。目前，用友云IaaS服务提供商阿里云与时俱进，已经完成了云等保的认证工作。

用友云运维工作符合ITIL的规范要求和标准，并在安全运维方面进行了加强。据《白皮书》介绍，用友云产品的运营团队统一对外提供运营服务，以确保运营的安全。在这方面主要涉及用友云合作伙伴和客户的安全运营管理，所有进驻用友云的客户和伙伴都在用友云安全运营的指引下工作。具体包括：实名认证、企业资质认定、企业信用考察、合同条约审定、法律法规的审查、法务工作的指导等。

立体化云安全技术全力防护外部安全威胁

外部的云安全威胁同样咄咄逼人。云计算的发展让网络攻击来得更加凶猛，但是安全防御却变得更加困难。

一方面，在普通人眼中神秘的黑客技术像其他普通服务一样，在网络中大肆售卖，也就是威胁服务化。傻瓜式的操作可以让几乎完全不同黑客技术的人同样可以发起具有一定破坏能力的网络攻击。另一方面，云服务正在使企业的IT规模呈几何指数的扩大，云计算的互联互通与边界模糊化带来了全新的安全场景和前所未有的安全挑战，传统的边界控制设备变得软弱无力。企业需要重塑安全边界，寻求新的解决方案。

对于安全技术来说，任何一家企业都做不到独大的局面，因此用友云联合阿里云以及业界领先的安全厂商，采用了业界领先的、全面的安全防护技术和产品来确保云安全，包括物理安全、基础架构安全、应用安全、数据安全、身份认证和访问安全，从底层基础设施到上层的业务和数据，覆盖了云安全问题的方方面面。其中，阿里云作为用友云的IaaS服务提供商，负责云服务底层基础架构和网络安全问题，用友云安全团队以及其他安全合作伙伴则负责上层的应用安全与业务安全部分。

另外，随着云计算的不断发展，云安全策略同样日新月异。通过对国内外领先的云安全技术发展趋势分析，我们看到今后云安全将朝着更加注重云平台API的价值、安全可视化以及云管端联动的方向发展。用友云会根据上述变化及时调整自己的策略，在安全治理、认证合规、云安全架构、产品/服务、内部流程保障、物理环境等各个环节，给客户和合作伙伴提供周密完整的安全保障，在构建“企业服务都在这”的用友云的同时，保障用户享受到安全、值得信赖的用友云服务。