網(wǎng)站安全防御（WAF）服務(wù)由WAF引擎中心、運(yùn)營(yíng)監(jiān)控中心以及云用戶控制中心組成，依托云計(jì)算架構(gòu)，具備高彈性、大冗余特點(diǎn)，能夠根據(jù)接入網(wǎng)站的多少和訪問(wèn)量級(jí)進(jìn)行WAF集群的彈性擴(kuò)容，提供全面的WEB安全防御和“0day”漏洞24小時(shí)快速響應(yīng)服務(wù)。

　　口令暴力破解攻擊防御服務(wù)針對(duì)大量基于暴力破解網(wǎng)站賬戶口令的入侵行為而設(shè)計(jì)，支持WINDOWS系統(tǒng)和LINUX系統(tǒng)上的SSH,RDP,TELNET,FTP協(xié)議。依托大數(shù)據(jù)分析和計(jì)算能力對(duì)架設(shè)在云服務(wù)器上的網(wǎng)站密碼錯(cuò)誤事件實(shí)時(shí)分析和全端口屏蔽攔截。

　　網(wǎng)站木馬檢測(cè)服務(wù)通過(guò)對(duì)HTML和javascript引擎解密惡意代碼，同特征庫(kù)匹配識(shí)別，同時(shí)支持通過(guò)模擬瀏覽器訪問(wèn)頁(yè)面分析惡意行為，發(fā)現(xiàn)網(wǎng)站未知木馬，實(shí)現(xiàn)木馬檢測(cè)的“0”誤報(bào)。

　　網(wǎng)站W(wǎng)EB漏洞檢測(cè)服務(wù)的檢測(cè)漏洞類型覆蓋OWASP、WASC、CNVD分類，系統(tǒng)支持惡意篡改檢測(cè)，支持Web2.0、AJAX、各種腳本語(yǔ)言、PHP、ASP、NET 和 Java 等環(huán)境，支持復(fù)雜字符編碼、chunk,gzip,deflate等壓縮方式、多種認(rèn)證方式（Basic、NTLM、Cookie、SSL 等），支持代理、HTTPS 、DNS綁定掃描等，支持流行的百余種第三方建站系統(tǒng)獨(dú)有漏洞掃描。

　　合規(guī)安全

　　金融機(jī)構(gòu)作為監(jiān)管最為嚴(yán)格的行業(yè)，是否選擇使用云服務(wù)關(guān)鍵在于如何建立對(duì)云服務(wù)商的信任，而無(wú)論從阿里云還是金融機(jī)構(gòu)角度來(lái)看，客觀、公正的第三方權(quán)威認(rèn)證是雙方建立信任的基礎(chǔ)，因此阿里云通過(guò)覆蓋國(guó)際和國(guó)內(nèi)、傳統(tǒng)IT安全和云計(jì)算安全的一系列第三方認(rèn)證構(gòu)建起金融機(jī)構(gòu)同云服務(wù)商間的安全紐帶。

　　ISO27001：是2005年誕生的一項(xiàng)被廣泛采用的全球安全標(biāo)準(zhǔn)，采用以風(fēng)險(xiǎn)管理為核心的方法來(lái)管理公司和客戶信息，并通過(guò)定期評(píng)估風(fēng)險(xiǎn)和控制措施的有效性來(lái)保證體系的持續(xù)運(yùn)行。阿里云于2012年已取得ISO27001國(guó)際認(rèn)證，與傳統(tǒng)IDC運(yùn)營(yíng)商僅將認(rèn)證范圍局限于物理基礎(chǔ)設(shè)施不同，阿里云的認(rèn)證訪問(wèn)不但覆蓋為金融云提供物理基礎(chǔ)設(shè)施的所有IDC，并且涵蓋了金融云當(dāng)前或未來(lái)可能使用到的所有云服務(wù)，包括彈性計(jì)算、RDS（關(guān)系型數(shù)據(jù)庫(kù)服務(wù)）、ODPS（開放數(shù)據(jù)處理服務(wù)）、OSS（開放存儲(chǔ)服務(wù)）、OTS（開放結(jié)構(gòu)化數(shù)據(jù)服務(wù)）、云盾（云安全服務(wù)）以及云監(jiān)控服務(wù)。

　　云安全國(guó)際認(rèn)證（CSA-STAR）：是一項(xiàng)全新而有針對(duì)性的國(guó)際專業(yè)認(rèn)證項(xiàng)目，由全球標(biāo)準(zhǔn)奠基者——英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（bsi）和國(guó)際云安全權(quán)威組織云安全聯(lián)盟（CSA）聯(lián)合推出，旨在應(yīng)對(duì)與云安全相關(guān)的特定問(wèn)題。其以ISO/IEC 27001認(rèn)證為基礎(chǔ)，結(jié)合云端安全控制矩陣CCM的要求，運(yùn)用成熟度模型和評(píng)估方法，對(duì)提供和使用云計(jì)算的任何組織，綜合評(píng)估組織云端安全管理和技術(shù)能力，最終給出“不合格-銅牌-銀牌-金牌”四個(gè)級(jí)別的獨(dú)立第三方外審結(jié)論。阿里云已獲得全球首張?jiān)瓢踩珖?guó)際認(rèn)證金牌（CSA-STAR），這是bsi向全球云服務(wù)商頒發(fā)的首張金牌。這也是中國(guó)企業(yè)在信息化、云計(jì)算領(lǐng)域安全合規(guī)方面第一次取得世界領(lǐng)先成績(jī)。

　　信息安全等級(jí)保護(hù)：阿里云已通過(guò)公安部信息安全等級(jí)保護(hù)測(cè)評(píng)，其中彈性計(jì)算、RDS（關(guān)系型數(shù)據(jù)庫(kù)服務(wù)）、ODPS（開放數(shù)據(jù)處理服務(wù)）、OSS（開放存儲(chǔ)服務(wù)）、OTS（開放結(jié)構(gòu)化數(shù)據(jù)服務(wù)）OSS（開放存儲(chǔ)服務(wù)）、基礎(chǔ)網(wǎng)絡(luò)等支撐系統(tǒng)均通過(guò)等保三級(jí)測(cè)評(píng)。

　　阿里云金融云IT基礎(chǔ)架構(gòu)評(píng)估：阿里云金融云已通過(guò)由綠盟科技實(shí)施的IT基礎(chǔ)架構(gòu)評(píng)估，本次安全評(píng)估內(nèi)容以《電子銀行安全評(píng)估指引》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》以及《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》、《保險(xiǎn)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系規(guī)范》、《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》中所規(guī)定的技術(shù)評(píng)估內(nèi)容為綱，從信息安全技術(shù)體系的角度對(duì)阿里金融云基礎(chǔ)架構(gòu)存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估。本次評(píng)估對(duì)象包括云計(jì)算服務(wù)器ECS、負(fù)載均衡SLB、關(guān)系型數(shù)據(jù)庫(kù)服務(wù)RDS、開放存儲(chǔ)服務(wù)OSS、開放數(shù)據(jù)處理服務(wù)ODPS和相關(guān)基礎(chǔ)網(wǎng)絡(luò)設(shè)備等。評(píng)估成績(jī)?yōu)橐患?jí)優(yōu)等。

　　穩(wěn)定快捷

　　眾所周知，911事件的發(fā)生，提高了大家對(duì)災(zāi)備重要性的認(rèn)知，尤其是金融行業(yè)，比如 “德意志銀行”和“紐約銀行”，德意志銀行因?yàn)閾碛挟惖貫?zāi)備中心，快速恢復(fù)了業(yè)務(wù)，而紐約銀行卻因?yàn)閿?shù)據(jù)丟失被迫進(jìn)行破產(chǎn)清盤。因此，在銀監(jiān)會(huì)發(fā)布的《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》中明確提出：商業(yè)銀行應(yīng)于取得金融許可證后兩年內(nèi)，設(shè)立生產(chǎn)中心；生產(chǎn)中心設(shè)立兩年內(nèi)，設(shè)立災(zāi)備中心。

　　一直以來(lái)，金融行業(yè)對(duì)災(zāi)備建設(shè)的又愛(ài)又恨，愛(ài)的是在“數(shù)據(jù)安全”上多買了一份保險(xiǎn)，不怕一萬(wàn)只怕萬(wàn)一，恨的是這份保單成本太昂貴，還很容易掉鏈子，難以兌現(xiàn)，所以基本上能看到這樣一種情形，大多數(shù)銀行基于成本的考慮，只對(duì)核心的業(yè)務(wù)進(jìn)行了災(zāi)備，外圍業(yè)務(wù)只能被迫接受中斷，而對(duì)于已經(jīng)建立了異地災(zāi)備的系統(tǒng)，雖然在人行發(fā)布的《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》中指出“單位每年應(yīng)至少組織一次實(shí)戰(zhàn)演練”，但是真正能做到演練的極少，原因在于需要花費(fèi)昂貴的成本聘請(qǐng)咨詢團(tuán)隊(duì)、系統(tǒng)集成團(tuán)隊(duì)、進(jìn)行復(fù)雜的系統(tǒng)整合開發(fā)，在真正演練時(shí)還要組織一大堆廠商standby，耗資巨大。建立災(zāi)備中心但無(wú)法進(jìn)行演練，成了金融行業(yè)的一個(gè)通病。

　　阿里金融云服務(wù)輸出于金融業(yè)務(wù)，除了它顯而易見(jiàn)的超高彈性外，還在“數(shù)據(jù)安全”和“業(yè)務(wù)連續(xù)性”上提供了更多的優(yōu)勢(shì)。其中，災(zāi)備服務(wù)便是增值服務(wù)之一。