阿里云数据安全（阿里云数据安全和隐私保护白皮书）

本文目录一览：

• 1、阿里云用户信息泄露，再揭用户隐私保障痛点
• 2、crm数据库存在阿里云服务器安全吗,会不会数据被crm库公司采集
• 3、阿里云等云服务器怎样保证数据安全？
• 4、安全工信部通报阿里云，未及时上报重大漏洞，国资云建设刻不容缓
• 5、阿里云盾（云安全）是什么？有什么作用？
• 6、阿里云服务器安全性怎么样?有什么安全防护措施

阿里云用户信息泄露，再揭用户隐私保障痛点

在万物互联、全面上云的时代，用户隐私和数据安全谁来保障？

在2019阿里云峰会上海站，阿里云智能总裁张建锋提出，全面上云的拐点到了，2019年是从传统IT向云计算全面转移的分水岭。近期，阿里云被爆，就在这一年双11，该公司员工将用户信息泄露给了第三方合作伙伴。

对此，阿里云8月23日回应称，根据自查，该事件应为2019年双11前后，阿里云一名电销员工违反公司纪律，利用工作便利私下获取客户联系方式，并透露给分销商员工，从而引发一名客户投诉。

一云服务厂商人员告诉第一 财经 ，此类事件在行业中挺常见，但在大公司并不常见。

上海大邦律师事务所高级合伙人游云庭接受第一 财经 采访时表示，本案暴露出阿里云内部的数据流程管控可能存在重大问题。首先是权限设置问题，“阿里云是不是对公司的用户注册数据获取有权限设置？涉案的员工级别上是不是可以接触到这些数据？如果其权限本来就能够接触到这些数据，公司是不是对数据的访问有内部的操作记录；如果其无权接触这些数据，那么其利用了公司数据访问怎样的漏洞才能获取这些数据？”

据悉，上述电销员工是阿里众多外包员工的一员，该事件已于去年内部处理。

除了此次爆出的阿里云，互联网行业究竟发生过多少类似的案件？在互联网时代，用户基本处于“裸奔”状态，大数据知道用户喜好，掌握衣食住行各类数据，各类软件频繁监测用户行为。

在互联网信息服务投诉平台公布的2021年5月投诉情况显示，2021年5月，投诉平台共收到投诉21585件，其中，互联网企业17392件、基础电信企业4193件。在互联网企业投诉中 ， 个人信息保护类投诉2560件，占比14.7%。

除了个人，如今大部分企业都已开展云业务、进行云转型，但许多企业依旧担心数据丢失或泄露，尤其是当涉及到员工和客户的数据迁移上云时，企业会变得更加敏感。此前就有业内人士表示，一些政企客户对于互联网企业提供的云服务始终存有疑虑，担心数据问题。

而此次阿里云用户信息泄露事件也引发其他云计算用户担忧，如果注册信息都能泄漏，那在云平台存放的业务数据还能安全吗？

游云庭表示，一般而言，银行、电信企业，以及大的互联网公司都对用户注册信息的权限有非常高的级别设置，普通员工根本无法获取。“如果阿里云本身有这些权限设置，这个员工是利用编造的理由取得这些数据的，那就是其对员工的合规培训没有做好；如果阿里云内部管理比较混乱，本身员工就都可以获取用户注册信息的，那就违反了网络安全法相关等级保护的规定。”

《中华人民共和国网络安全法》第四十条规定，网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

一份浙江省通信管理局7月5日对阿里云事件投诉人的答复函显示，经调查核实，2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司，阿里云计算有限公司的行为违反了《中华人民共和国网络安全法》第四十二条规定，根据《中华人民共和国网络安全法》第六十四条规定，我局已责令阿里云计算有限公司改正。

《中华人民共和国网络安全法》第四十二条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

8月23日阿里云回应称：公司严禁员工向第三方泄露用户注册信息，已根据公司制度对该事件进行严肃处理，并遵照浙江省通信管理局要求积极整改，对人员管理层面上的不足进行强化改进。有阿里员工告诉第一 财经 ，公司已经做了制度和管理上的改进，包括系统权限方面。

如何减少此类事件？游云庭认为，要制定健全的信息保护制度，并且要对员工加强培训，让员工合规处理用户信息。

用户隐私近年也越来越受到重视。8月20日，《中华人民共和国个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。第十条规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

crm数据库存在阿里云服务器安全吗,会不会数据被crm库公司采集

安全，不会。

1、crm数据库存在阿里云服务器是很安全的，采用大规模分布式计算系统，每份数据多个副本，单份损坏可以在短时间内快速恢复，目的就是保证crm数据安全。在无地震等重大自然灾害下，云服务器数据可靠性可达99.999%。

2、数据不会被crm库公司采集，因为crm数据库存在阿里云服务器上，只有阿里云服务器有采集信息的权限，crm库公司是没有采集权限的。

阿里云等云服务器怎样保证数据安全？

云服务器不能保证100%的数据安全，最重要的是企业自身要提高安全防护意识。

将数据存储在云中要采用完善的加密措施，并制定相应方案，分析哪一类数据可以放在云中，哪些不能放在云中，以免引起不必要的麻烦；

在搭建站点和应用环境时，要安装必要的监控软件和杀毒软件、防火墙设施，来保障云中数据的安全；

为应对突然宕机、系统中毒或人为失误导致的数据丢失，建议采用更为保险的云快照服务，挂载搭档回滚，灵活恢复所需，全方位保护您的数据安全；

正规的云计算服务商会提供许多安全防御方案，针对恶意软件和流量攻击，也有多种数据备份与恢复措施。

安全工信部通报阿里云，未及时上报重大漏洞，国资云建设刻不容缓

中科院云计算中心分布式存储联合实验室特讯： 近期，工信部网络安全管理局通报，暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患报告不及时， 再次为国家数据安全敲响警钟，国资云建设刻不容缓、势在必行。

近期，工业和信息化部网络安全管理局通报称，阿里云计算有限公司（简称“阿里云”）是工信部网络安全威胁信息共享平台合作单位。近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇严重安全漏洞的时间线：

11月24日

阿里云在阿帕奇（Apache）开放基金会下的开源日志组件Log4j2内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

获得消息后，奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称，该漏洞正在被“积极利用”，并且概念验证代码也已被发布。

12月9日

中国工信部收到有关网络安全专业机构报告，发现阿帕奇Log4j2组件存在严重安全漏洞，立即召集阿里云、网络安全企业、网络安全专业机构等开展研判，并向行业单位进行风险预警。

12月9日

阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞，漏洞利用细节公开，但更新后的Apache Log4j2.15.0-rc1版本被发现仍存在漏洞绕过。

12月10日

中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞；阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。

12月10日

阿里云在官网公告披露，安全团队发现Apache Log4j2.15.0-rc1版本存在漏洞绕过，要求用户及时更新版本，并向用户介绍该漏洞的具体背景及相应的修复方案。

12月14日

中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。

12月22日

工信部通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

在服务器的组件中，日志组件是应用程序中不可缺少的部分。而其中Apache（阿帕奇）的开源项目log4j是一个功能强大的日志组件，被广泛应用。

由于Apache Log4j存在递归解析功能，未取得身份认证的用户，可以从远程发送数据请求输入数据日志，轻松触发漏洞，最终在目标上执行任意代码。即 攻击者只要提交一段代码，就可以进入对方服务器，而且可以获得最高权限，控制对方服务器。通俗说，黑客通过这个普遍存在的漏洞，可以在服务器上做任何事。

有关报道显示，黑客在72小时内利用Log4j2漏洞，向全球发起了超过84万次的攻击。利用这个漏洞，攻击者几乎可以获得无限的权利——比如他们可以 提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。

国外网友以漫画说明Log4j2的重要性

该漏洞CVSS评分达到了满分10分，IT 通信（互联网）、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及，全球互联网大厂、 游戏 公司、电商平台等都有被影响的风险。 比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、百度，网易、新浪以及特斯拉等全球大厂，悉数中招，众多媒体将这个漏洞形容成“史诗级”“核弹级”漏洞，可以说相当贴切。

据工信部官网消息，今年9月1日，工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到，根据《网络产品安全漏洞管理规定》，网络产品提供者应当及时向平台报送相关漏洞信息，鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。

此次事件中，作为我国云计算服务的头部供应商的阿里云，11月24日发现计算机史上最大的漏洞，是先向国外的Apache基金会报告，而未及时向主管部门报送漏洞信息。工信部得知情况，已经是12月9日，中间已经过了15天。这十五天，中国的互联网简直是在裸奔。这期间已经有黑客掌握了这个漏洞，在利用这个漏洞进行网络攻击。作为新基建重要一环的云计算平台，更加应以谨慎的心态承担起保障网络安全的责任。

国资云建设 安全自主可控为上

互联网时代，国家安全自然延伸到了网络。各个国家，都在想办法堵自己漏洞，找别人家的漏洞，甚至是隐藏的后门。同样的漏洞，那就是看谁率先掌握。国外的开源软件层出不穷的漏洞，隐没难寻的后门，应用于国家重要机构或事关 社会 民生的部门，其潜在危害难以估量。我们除了想方设法被动收集修复漏洞，还要大力发展和利用自主安全可控的技术，才能在互联网领域寻求战略平衡，保障国家安全。

所以说，阿里云的这次行动足以为戒，忽视国家各项数据安全法律法规，国家安全责任意识淡漠，将国家网络安全置于巨大的危机之中。试问这样的第三方云服务商，如何让国家机构、央企国企放心将数据业务托管？

风险就在那里，警告从未缺席。国资云以安全自主可控、平稳可靠运行为上，才能确保国家安全，尽到 社会 责任。第三方云服务商难以超越企业自身的稳健盈利，更不要说将国家安全、公共利益、亿万民众福祉放在首位。国资云的建设将第三方云服务商排除在外，是互联网竞争环境的使然，也是数据安全责任的担当，更是时代赋予的使命。

“国资云”建设 大势所趋

经过深入研究分析，北京交通大学信息管理理论与技术国际研究中心（ICIR）认为， “国资云”建设是大势所趋，原因主要有以下三方面：

一是“国资云”建设是国有资产管理的需要。国企数据资源属于国有资产，应纳入国资监管和统一管理，保护国有数据资产安全是建设国资云的核心目的；

二是“国资云”建设是保障国家重要数据安全的需要。近期，《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》相继颁布实施，将数据安全提升到前所未有的高度，而国有企业的许多数据事关国家关键信息基础设施安全；

三是“国资云”建设是信创工程落地的重要抓手。在“国资云”数据中心逐步加大CPU、操作系统、存储、数据库、中间件等国产信创产品比重，并鼓励国产信创业务系统与“国资云”数据中心基础设施适配应用，从基础到应用全方位推进信创工程步伐。

因此，“国资云”建设的重要意义在业界已达成高度共识。

国资云赋能云上安全 G-Cloud增强国企竞争力

国有企业是中国特色 社会 主义的重要物质基础和政治基础，是我们党执政兴国的重要支柱和依靠力量，国有企业不仅具有鲜明的政治属性，也具有强烈的经济属性和物质属性，坚定不移地将国有企业做强做大做优是党和人民对国有企业的基本要求。因此，国有企业更需要资产不断保值增值，规模不断发展壮大，盈利水平不断提高，这就要求国有企业必需使用最先进的生产工具，创造出最先进的生产力，保持在国际国内市场中的竞争力。

而云计算平台就是当前最先进的生产工具。云计算平台中除了计算、存储、网络、虚拟化等Iaas服务相对比较成熟外，在Paas、Saas层面的技术创新速度非常快，产品迭代周期不断缩短，不同的厂商提供的云平台服务在技术领先性、服务稳定性、用户覆盖面等方面具有非常大的差异。

在激烈的市场竞争中，企业选择了什么类型、什么厂商的云服务，在一定程度上意味着企业使用了什么工具和武器，在很大程度上决定了企业的生产效率、管理效率和市场效率，也就决定了企业的竞争力。

国资云赋能云上安全，打造排除第三方云服务商的行业专属私有云。 中科院云计算中心自主研发的G-Cloud云操作系统，首要胜在安全。 其次G-Cloud在智慧城市、智慧医疗、智慧教育、智慧交通等领域的成功案例，将有助于充分激活国企强劲的竞争力、影响力、带动力。

2021年11月， 国资云平台中科云（东莞） 科技 有限公司正式成立，由中科院、东莞市政府等多方投资的上市企业国云 科技 控股，国资背景加持，官方认可，国内顶尖 科技 机构技术背书，使用国内首个自主产权、安全可控的G-Cloud云操作系统，建设“国资云”， 赋能千行百业数字化转型升级，最大化优化国有资本布局，提高国有资本运营效能、产业互联和商业创新！

中科云凝聚服务政企信息化、数字化建设的核心团队， 联合产学研用各方力量，融合大数据、云计算、物联网等新一代信息技术，在政府、医疗、教育、交通、智能制造等多行业、多领域提供新型基础设施建设、数据分布式存储服务，助力国资国企规模和实力的持续增长，实现高质量发展。

阿里云盾（云安全）是什么？有什么作用？

阿里云盾（云安全）是阿里巴巴集团多年来安全技术研究积累的成果，结合阿里云云计算平台强大的数据分析能力。为中小网站提供如安全漏洞检测、网页木马检测以及面向云服务器用户提供的主机入侵检测、防DDOS等一站式安全服务。阿里云盾每天保护着全国超过37%的网站，致力于成为互联网安全的基础设施，云盾旗下包括DDoS高防、web应用防火墙、服务器安全(安骑士)、先知、态势感知等安全产品及服务。

一直以来，阿里云将网络安全视为生命，曾先后多次推出安全防护功能，比如：DDOS高防、CC安全防护、云监控、安全组等系列功能。云盾防护不仅丰富了阿里云安全防护产品线，更进一步保障了用户网站及数据安全。

阿里云盾使用重要知识点：

1. 云盾提供什么服务？

2. 云盾控制台补丁管理使用方法

3. 云盾开启补丁管理功能 （web shell自动修复功能）

购买云服务器 ECS 即可免费使用云盾的基础功能，帮您轻松应对各种攻击、安全漏洞问题，确保云服务稳定正常。

DDoS防护

包含1-5G的DDos防护和基础Web攻击，防护类型包括CC、SYN flood、UDP flood等所有DDoS攻击方式；提供5分钟到7天范围的防护带宽报表，并且提供实时防护带宽展示；根据业务自动计算清洗阀值。

服务器安全

包含高危漏洞修复、登录检测和防密码破解、木马文件云查杀等防入侵功能。支持各云平台 Windows、Linux 云服务器安装部署。

应用防火墙

基于阿里云百万个应用做大数据分析，对各种web攻击做出快速响应，让黑客无可乘之机；专业安全团队每天更新防护规则，告别天天担忧的日子。

信息安全

提供多种违规内容的实时监控和检测；可分时段、分方式进行消息提醒，灵活配置接收邮箱或手机；提供“疑似违规”及“违规记录”模块，方便用户快速查阅及操作。

阿里云盾热门产品：

云安全中心（态势感知） ：有效保护主机安全，让安全运维变得简单，防勒索防篡改。

Web应用防火墙(WAF) ：中国区市场占有第一的云WAF,适用于网站、小程序、H5等的安全防护。

SSL证书 ：网站必备安全产品，解决网站在浏览器显示”不安全“的提示。

DDoS防护 ：覆盖全球的DDoS防护网络，快速解决攻击造成的延迟、业务中断。

阿里云服务器安全性怎么样?有什么安全防护措施

大多用户在选购云服务器的时候首先考虑的就是阿里云服务器,不仅是因为阿里云服务器是国内知名度最高的云服务器品牌,还有一个重要原因就是阿里云服务器有一定的安全性保障吧。阿里云服务器本身自带一些安全防护措施。

1、免费开通云盾,提供网络安全、服务器安全等基础防护

DDoS 基础防护 ：

提供最高 5G 的 DDoS 防护能力,可防御 SYN flood、UDP flood、ICMP flood、ACK flood 常规 DDoS 攻击。

2、服务器安全功能： 安骑士

包含暴力破解密码拦截、木马查杀、异地登录提醒、高危漏洞修复的防入侵功能

免费提供云监控,并支持多种实时预警

3、站点监控：

提供对 http、ping、dns、tcp、udp、smtp、pop、ftp 等服务的可用性和响应时间的统计、监控、报警服务。

4、云服务监控：

提供对云服务的监控报警服务,对用户开放自定义监控的服务,允许用户自定义个性化监控需求

报警及联系人管理：提供对报警规则,报警联系人的统一、批量管理服务。支持多报警方式：短信、邮件、旺旺、接口回调。

除了以上自带的安全性防护措施之外,用户也可以选购阿里云安全类产品,进一步加强云服务器的安全。

1、阿里云云盾(AntiDDos)

功能：防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Flood、CC攻击等3到7层DDos攻

击。

2、安骑士（阿里云查、杀毒软件）

功能：轻量级服务器安全运维管理产品。在服务器上运行Agent插件,正常状态下只占用1%的CPU、

10MB内存。可以自动识别服务器Web目录,对服务器的Web目录进行后门文件扫描,支持通用

Web软件漏洞扫描和Windows系统漏洞扫描,对服务器常见系统配置缺陷进行检测,包括可疑

系统账户、弱口令、注册表等。

3、 云盾Web应用防火墙 —WAF(Web Application Firewall)

功能：基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、Web服务器插件漏洞、木马

上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意CC攻击等。除了具有强大的Web

防御能力,还可以指定网站的专属防护,能轻松应对各类Web应用攻击。

1、服务器初始安全防护

安装服务器时,要选择绿色安全版的防护软件,以防有被入侵的可能性。对网站提供服务的服务器,软件防火墙的安全设置最高,防火墙只要开放服务器端口,其他的一律都关闭,你要访问网站时防火墙会提示您是否允许访问,在根据实际情况添加允许访问列表。这样至少给系统多一份安全。

2、修改服务器远程端口。

修改你的远程连接端口,例如 windows 的 3389,Linux 的 22 端口。应用服务尽量不要对公网开放,尤其是中间件服务,除了 web 服务所提供的 80,443 端口之外都应该尽量不要对公网开放默认端口,例如 MySQL 的 3306 ,Redis 的 6379 等等。

3、设置复杂密码。

一但服务器IP被扫描出来默认端口,非法分子就会对服务器进行暴力破解,利用第三方字典生成的密码来尝试破解服务器密码,如果您的密码足够复杂,非法分子就需要大量的时间来进行密码尝试,也许在密码未破解完成,服务器就已经进入保护模式,不允许登陆。

4、随时修补网站漏洞

如果网站出现漏洞时不及时处理,网站就会出现一系列的安全隐患,这使得服务器很容易受到病毒入侵,导致网络瘫痪,所以,平时要养成良好的习惯,时刻关注是否有新的需修补的漏洞。

5、多服务器保护

一个网站可以有多个服务器,网站被攻击时,那么我们就可以选择不一样的方式进行防范,针对不同的服务器,我们应该设置不同的管理,这样即使一个服务器被攻陷,其他的服务还可以正常使用。

6、利用好防火墙技术

现在防火墙发展已经很成熟了,防火墙可以选择安全性检验强的,检验的时间会较长,运行的过程会有很大负担。如果选择防护性低的,那么检验时间会比较短。我们在选择防护墙时,要根据网络服务器自身的特点选择合适的防火墙技术。

7、定时为数据进行备份。

定时为数据做好备份,即使服务器被破解,数据被破坏,或者系统出现故障崩溃,你只需要进行重装系统,还原数据即可,不用担心数据彻底丢失或损坏。