網(wǎng)站安全防御（WAF）服務(wù)由WAF引擎中心、運(yùn)營監(jiān)控中心以及云用戶控制中心組成，依托云計(jì)算架構(gòu)，具備高彈性、大冗余特點(diǎn)，能夠根據(jù)接入網(wǎng)站的多少和訪問量級進(jìn)行WAF集群的彈性擴(kuò)容，提供全面的WEB安全防御和“0day”漏洞24小時快速響應(yīng)服務(wù)。

　　口令暴力破解攻擊防御服務(wù)針對大量基于暴力破解網(wǎng)站賬戶口令的入侵行為而設(shè)計(jì)，支持WINDOWS系統(tǒng)和LINUX系統(tǒng)上的SSH,RDP,TELNET,FTP協(xié)議。依托大數(shù)據(jù)分析和計(jì)算能力對架設(shè)在云服務(wù)器上的網(wǎng)站密碼錯誤事件實(shí)時分析和全端口屏蔽攔截。

　　網(wǎng)站木馬檢測服務(wù)通過對HTML和javascript引擎解密惡意代碼，同特征庫匹配識別，同時支持通過模擬瀏覽器訪問頁面分析惡意行為，發(fā)現(xiàn)網(wǎng)站未知木馬，實(shí)現(xiàn)木馬檢測的“0”誤報。

　　網(wǎng)站W(wǎng)EB漏洞檢測服務(wù)的檢測漏洞類型覆蓋OWASP、WASC、CNVD分類，系統(tǒng)支持惡意篡改檢測，支持Web2.0、AJAX、各種腳本語言、PHP、ASP、NET 和 Java 等環(huán)境，支持復(fù)雜字符編碼、chunk,gzip,deflate等壓縮方式、多種認(rèn)證方式（Basic、NTLM、Cookie、SSL 等），支持代理、HTTPS 、DNS綁定掃描等，支持流行的百余種第三方建站系統(tǒng)獨(dú)有漏洞掃描。

　　合規(guī)安全

　　金融機(jī)構(gòu)作為監(jiān)管最為嚴(yán)格的行業(yè)，是否選擇使用云服務(wù)關(guān)鍵在于如何建立對云服務(wù)商的信任，而無論從阿里云還是金融機(jī)構(gòu)角度來看，客觀、公正的第三方權(quán)威認(rèn)證是雙方建立信任的基礎(chǔ)，因此阿里云通過覆蓋國際和國內(nèi)、傳統(tǒng)IT安全和云計(jì)算安全的一系列第三方認(rèn)證構(gòu)建起金融機(jī)構(gòu)同云服務(wù)商間的安全紐帶。

　　ISO27001：是2005年誕生的一項(xiàng)被廣泛采用的全球安全標(biāo)準(zhǔn)，采用以風(fēng)險管理為核心的方法來管理公司和客戶信息，并通過定期評估風(fēng)險和控制措施的有效性來保證體系的持續(xù)運(yùn)行。阿里云于2012年已取得ISO27001國際認(rèn)證，與傳統(tǒng)IDC運(yùn)營商僅將認(rèn)證范圍局限于物理基礎(chǔ)設(shè)施不同，阿里云的認(rèn)證訪問不但覆蓋為金融云提供物理基礎(chǔ)設(shè)施的所有IDC，并且涵蓋了金融云當(dāng)前或未來可能使用到的所有云服務(wù)，包括彈性計(jì)算、RDS（關(guān)系型數(shù)據(jù)庫服務(wù)）、ODPS（開放數(shù)據(jù)處理服務(wù)）、OSS（開放存儲服務(wù)）、OTS（開放結(jié)構(gòu)化數(shù)據(jù)服務(wù)）、云盾（云安全服務(wù)）以及云監(jiān)控服務(wù)。

　　云安全國際認(rèn)證（CSA-STAR）：是一項(xiàng)全新而有針對性的國際專業(yè)認(rèn)證項(xiàng)目，由全球標(biāo)準(zhǔn)奠基者——英國標(biāo)準(zhǔn)協(xié)會（bsi）和國際云安全權(quán)威組織云安全聯(lián)盟（CSA）聯(lián)合推出，旨在應(yīng)對與云安全相關(guān)的特定問題。其以ISO/IEC 27001認(rèn)證為基礎(chǔ)，結(jié)合云端安全控制矩陣CCM的要求，運(yùn)用成熟度模型和評估方法，對提供和使用云計(jì)算的任何組織，綜合評估組織云端安全管理和技術(shù)能力，最終給出“不合格-銅牌-銀牌-金牌”四個級別的獨(dú)立第三方外審結(jié)論。阿里云已獲得全球首張?jiān)瓢踩珖�際認(rèn)證金牌（CSA-STAR），這是bsi向全球云服務(wù)商頒發(fā)的首張金牌。這也是中國企業(yè)在信息化、云計(jì)算領(lǐng)域安全合規(guī)方面第一次取得世界領(lǐng)先成績。

　　信息安全等級保護(hù)：阿里云已通過公安部信息安全等級保護(hù)測評，其中彈性計(jì)算、RDS（關(guān)系型數(shù)據(jù)庫服務(wù)）、ODPS（開放數(shù)據(jù)處理服務(wù)）、OSS（開放存儲服務(wù)）、OTS（開放結(jié)構(gòu)化數(shù)據(jù)服務(wù)）OSS（開放存儲服務(wù)）、基礎(chǔ)網(wǎng)絡(luò)等支撐系統(tǒng)均通過等保三級測評。

　　阿里云金融云IT基礎(chǔ)架構(gòu)評估：阿里云金融云已通過由綠盟科技實(shí)施的IT基礎(chǔ)架構(gòu)評估，本次安全評估內(nèi)容以《電子銀行安全評估指引》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》以及《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)測評指南》、《保險信息安全風(fēng)險評估指標(biāo)體系規(guī)范》、《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》中所規(guī)定的技術(shù)評估內(nèi)容為綱，從信息安全技術(shù)體系的角度對阿里金融云基礎(chǔ)架構(gòu)存在的風(fēng)險進(jìn)行評估。本次評估對象包括云計(jì)算服務(wù)器ECS、負(fù)載均衡SLB、關(guān)系型數(shù)據(jù)庫服務(wù)RDS、開放存儲服務(wù)OSS、開放數(shù)據(jù)處理服務(wù)ODPS和相關(guān)基礎(chǔ)網(wǎng)絡(luò)設(shè)備等。評估成績?yōu)橐患墐?yōu)等。

　　穩(wěn)定快捷

　　眾所周知，911事件的發(fā)生，提高了大家對災(zāi)備重要性的認(rèn)知，尤其是金融行業(yè)，比如 “德意志銀行”和“紐約銀行”，德意志銀行因?yàn)閾碛挟惖貫?zāi)備中心，快速恢復(fù)了業(yè)務(wù)，而紐約銀行卻因?yàn)閿?shù)據(jù)丟失被迫進(jìn)行破產(chǎn)清盤。因此，在銀監(jiān)會發(fā)布的《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》中明確提出：商業(yè)銀行應(yīng)于取得金融許可證后兩年內(nèi)，設(shè)立生產(chǎn)中心；生產(chǎn)中心設(shè)立兩年內(nèi)，設(shè)立災(zāi)備中心。

　　一直以來，金融行業(yè)對災(zāi)備建設(shè)的又愛又恨，愛的是在“數(shù)據(jù)安全”上多買了一份保險，不怕一萬只怕萬一，恨的是這份保單成本太昂貴，還很容易掉鏈子，難以兌現(xiàn)，所以基本上能看到這樣一種情形，大多數(shù)銀行基于成本的考慮，只對核心的業(yè)務(wù)進(jìn)行了災(zāi)備，外圍業(yè)務(wù)只能被迫接受中斷，而對于已經(jīng)建立了異地災(zāi)備的系統(tǒng)，雖然在人行發(fā)布的《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》中指出“單位每年應(yīng)至少組織一次實(shí)戰(zhàn)演練”，但是真正能做到演練的極少，原因在于需要花費(fèi)昂貴的成本聘請咨詢團(tuán)隊(duì)、系統(tǒng)集成團(tuán)隊(duì)、進(jìn)行復(fù)雜的系統(tǒng)整合開發(fā)，在真正演練時還要組織一大堆廠商standby，耗資巨大。建立災(zāi)備中心但無法進(jìn)行演練，成了金融行業(yè)的一個通病。

　　阿里金融云服務(wù)輸出于金融業(yè)務(wù)，除了它顯而易見的超高彈性外，還在“數(shù)據(jù)安全”和“業(yè)務(wù)連續(xù)性”上提供了更多的優(yōu)勢。其中，災(zāi)備服務(wù)便是增值服務(wù)之一。