国庆即来，而国庆之后即是一年一度的杭州云栖大会，在距大会不到两周的节点上，一场以“云上安全 中国力量”的阿里云安全发布会在京神秘召开，更有神秘的“幕后智多星”首次公开亮相。同时，会议邀请到调研机构IDC分析师、ofo高管的参与，与阿里云安全相关负责人共话云安全建设问题。

云安全是未来信息安全的主战场

如今，我们处在高速变革的时代，在这一过程中，IT逐渐成为像网络一样的基础设施资源，为企业和个人所用。但信息技术带来效率的同时也带来了困扰和问题，尤以信息安全问题首当其冲。而随着云计算的高速发展，云安全也从幕后走到了台前。作为基础设施，云计算平台自身对安全的保护等级和能力要求要比传统的IT架构要高得多，从另一方面，一旦提升了云安全保护能力和等级，那么基于这个云平台进行创新的所有用户的安全等级均能够得到提升，因而在未来云安全势必成为信息安全的主战场。

对此观点，来自调研机构IDC的分析师赵明宇表示认同。据赵明宇介绍，在今年上半年，IDC一直针对云安全领域进行了诸多研究。调查结果显示，2016年全年，全球因云安全造成的损失已逾一千亿美元；在中国，因安全事故造成的损失也超过一百亿美元。根据2017年的数据，2013年到2021年，公有云份额预计增加至20倍，未来，诸多的安全技术也将会迁移至云上，安全在云上通过服务的形式来交付。

那么云端的安全情况如何？IDC数据表明，60%的漏洞来源于应用程序，这为黑客实施网络犯罪打开了大门。同时，从2015年到2016年，勒索软件的种类从29中增加到247种，网络黑产一直在不断地扩大。安全也逐渐成为用户选择云服务的一个重要理由。而云端安全的建设涉及国家、云服务提供商及代理商，还有用户共同分担责任。

那么用户和云服务提供商应该怎样分配责任？以IaaS、PaaS和SaaS来分，IaaS提供虚拟机，无需责任共担；对于PaaS即开发者所用的平台环境，终端安全和数据安全要靠用户内部员工自己管理；对于SaaS，云服务提供商要保障内部SaaS数据，以及保障本身的应用的安全。

在过去一年里，IDC对云安全建设总结出六大趋势：首先，新兴安全技术正应用在云平台之上，这是广大云平台应该考虑的，不仅停留在网络、应用层面上，而是更多以万物互联的思路保障更广泛的安全；第二，企业安全管理逐渐成为企业的重要战略，各种数据泄露事件的爆发更是凸显安全策略的重要性；第三，云服务商将逐渐成为最权威的云服务MSSP，未来云服务商将作为集咨询、运维等一系列安全管理为一体的服务商；第四，政府正加大监管力度，细化行业合规和标准；第五，云安全部门正在从支持部门转型为业务部门，并开始为企业盈利，如今诸多云服务提供商的安全产品通过SaaS服务来交付，这一趋势将愈演愈烈；最后，云服务商正积极地加大对安全生态的建设，云安全需要诸多技术提供商共同合作，从底层物理安全到上层的物联网安全，涵盖内容保罗万象，云服务商在承担生态建设责任的同时，更需要汇聚更多安全技术和产品服务来保障企业上云后的全方位安全。

互联网+背后的中国力量：阿里云重磅发布安全架构

2009年，阿里云成立，到2011-2012年已逐渐有商业化用户（当时以中小企业开发者、网站为主）使用，到2013-2014年，很多互联网公司（包括大量游戏公司）开始拥抱云计算；再到2015-2016年，传统行业机构如银行、政府的用户也开始逐步接受云计算。未来，也必将会有越来越多的企业将业务放在云上，除对成本和效能的考虑外，安全也是企业考虑上云的一个重要因素。

从云的角度来看，云平台提供的基础设施服务对企业来讲是极为核心的产品，因而从产品的角度讲，在设计整个平台，包括设计云产品的时候，既已把默认的安全和相关的安全规范囊括在内，以让产品足够的安全，只有这样安全的云平台才能帮助企业解决问题，让企业专注于自身业务发展上。

目前，全国有40%的网站部署在阿里云上，逾20万的企业用户使用阿里云服务。国内的大流量DDoS攻击，有超过50%是阿里云安全在帮助用户进行防御；去年阿里云安全帮助云上用户修复约87万的漏洞。这一切离不开“幕后智多星”——阿里云安全运营中心的支持，从漏洞修复到实时监控再到DDoS攻击，背后是阿里云凭借AI技术，来实现对整个云平台及其安全情况的实时感知。阿里云安全运营中心每天分析超过60TB的数据以确认是否存在威胁，一经发现，则立即响应，帮助企业在第一时间发现风险，及时予以规避。

对于传统IDC安全体系来说已发展较为成熟，面对复杂的云环境，企业迫切需要一套完整的安全体系。鉴于此，阿里云重磅发布云安全架构，涵盖诸多层面，包括业务安全、安全运营、数据安全、网络安全、应用安全、主机安全、账户安全、云产品安全、虚拟化安全、硬件安全、物理安全，其中，云产品安全、虚拟化安全、硬件安全和物理安全由阿里云提供各种服务和产品，帮助企业解决安全问题。

阿里云推出完整云安全架构

与传统IDC架构下的不同首先体现在硬件安全方面，如果芯片能够提供安全功能可以说是顶级的安全保护，阿里云在芯片安全方面投入大量资源，接下来会推出芯片级加密服务，在CPU层面提供直接加密的服务。其次，所有的云产品都具备“默认安全”属性，如ECS、OSS存储、RDS等产品在出厂之前已进行整个安全框架和代码级的设计，确保产品是“默认安全”的。第三，针对数据安全问题，最重要的是要做好加密，阿里云提供完整的全链路数据加密方案，目前ECS支持整个存储盘的加密，包括RDS等，另一方面芯片级的加密包括引入第三方的硬件加密机为用户提供不同安全等级的加密服务。最后，阿里云云盾经过多年积累，能够不光提供云服务，包括账户安全到安全运营、到数据安全、再到整个生态建设方面，都能够帮助企业用户解决多种安全问题。

除重磅发布安全架构外，阿里云正式发布最新安全白皮书，以帮助用户在使用整个安全产品及云产品的过程中拥有最佳的安全实践，其中对安全事件的具体每个组件、环节都有详尽叙述。

总结来看，进入云时代，阿里云致力打造一个强大、智能、默认安全、合规且确保数据安全的云平台，帮助企业突破安全带来的业务发展瓶颈，同时将通过自身及整个生态一同合作的力量打造一个更安全的互联网环境。