应用安全

应用程序及相关数据作为承载云上业务的主体，一方面蕴含了重大业务价值，另一方面应用上云后云上攻击的成本和实施门槛大大降低，更易受到恶意访问，因此保证应用程序及相关数据的机密性、完整性和可用性对于云上业务平稳、安全地运行十分重要。

应用级别分类

云上业务应用的数量是十分巨大的，每个应用具备的业务价值和重要性是不同的，企业内部应梳理业务架构，评估业务链路中各应用的重要程度进行应用分类，以此为参考进行安全防护的成本分配投入，企业可以更有针对性地制定安全策略和措施，将资源和注意力集中在最关键的应用上，以最大程度地保护业务运作的安全性和可持续性。下面列举了一个参考示例：

1. 核心业务应用： 这些应用是企业业务的核心，直接关系到业务的正常运转和收益。例如，金融机构的核心银行系统、电子商务平台的交易系统等。对这类应用的安全性要求非常高，任何安全漏洞或中断都可能导致企业巨大的经济损失和声誉损害。

2. 敏感信息应用： 这些应用处理包含敏感数据的业务流程。例如，医院的病人信息管理系统、律所的案件管理系统等。对这类应用的安全性要求也很高，泄露或篡改敏感信息可能会导致法律风险、隐私侵犯和声誉受损。

3. 支撑业务应用： 这些应用在组织的日常运营中提供辅助功能，如人力资源管理系统、内部协作平台等。对这类应用的安全性要求较高，安全漏洞可能导致员工信息泄露、机密文件泄露或内部混乱。

4. 其他业务应用： 这些应用是组织运营中的其他业务系统，对运营的重要性相对较低。例如，企业的客户关系管理系统、会议管理系统等。对这类应用的安全性要求适度，需要保障数据的完整性和可用性，但对机密性和攻击风险的关注程度相对较低。

定期进行渗透测试

对于云上业务来说，渗透测试是保障应用安全的一个重要方面。渗透测试是一种模拟真实攻击的黑盒安全测试，通过模拟攻击者的行为，帮助企业发现应用存在的安全隐患，从而有效地减少未知的安全风险，提高应用的安全性。同时，渗透测试不应该只是一次性的，而应该是定期进行的。随着企业应用的不断更新迭代，使用的新技术、新组件会带来新的安全风险；另一方面，攻击者的恶意访问手段总是不断进化。以上两个现实情况导致了应用安全持续遭到挑战，即使应用在某一时期内通过了渗透测试，也不能确保永远处在一个安全的状态。

阿里云提供了先知（安全众测）服务，通过加入先知平台，企业可以自主设置高、中、低危漏洞的奖励金额和奖励范围，通过平台众多可靠的白帽子来及时发现应用系统中存在的安全问题，包括业务应用逻辑漏洞、权限问题等安全工具无法有效检测的漏洞，并给出修复方案，帮助企业修复这些漏洞。渗透测试的服务流程如下：

定期的漏洞检测和评估

漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统或者应用。漏洞检测和评估旨在发现应用中存在的安全漏洞，并评估其对应用安全性的影响，帮助企业及时修复漏洞，提高应用的安全性。漏洞检测分为自动化工具和人工发现两种，自动化工具只能检测常见的已知的漏洞，存在误报和漏报，也无法深入考量在企业业务场景下的修复建议。针对人工漏洞检测，阿里云提供安全管家服务，根据企业安全需求，定制化实行漏洞检测方案，由安全专家从应用系统及组件和应用代码两个方面检测安全漏洞，制定修复方案。

另一方面，针对自动化漏洞检测，阿里云提供云安全中心服务，从Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞、应急漏洞五个类别，通过OVAL规则、Web扫描器、软件成分分析、POC验证等手段，检测识别应用系统中存在的漏洞，并提供对应的修复建议。

应用安全保护

应用安全的第一道防线是保护，从企业和阿里云两个角度，双方都需要做好应用安全保护的工作。 从企业角度来说，企业需要在应用开发之初就遵循一定的安全开发策略，尽量缩小攻击面。如，应用通信使用安全通信协议代替明文协议、对重要敏感数据使用加密算法存储、应用返回统一定制化错误页面、核心代码封装防篡改、前后端分离防止暴露后台地址等。

阿里云有着十年以上的安全攻防经验，有着诸如淘宝、天猫、支付宝等大量成功应用案例。从阿里云应用安全防护的角度，可分为网站和移动应用（APP）安全保护。

网站应用安全

网站应用安全，阿里云有着四大安全产品支柱，分别从流量安全、DDoS安全、应用安全、主机安全四个维度形成云安全体系，分别对应云防火墙、DDoS防护、Web应用防火墙、云安全中心。 云防火墙通过检测网络流量识别恶意攻击行为，包含互联网边界防火墙、VPC边界防火墙、主机边界防火墙，三者配合使用可统一监控数据访问行为，精细化管理互联网、VPC、主机间的访问控制策略，形成互联网边界-虚拟网络边界-主机边界三层纵深防御体系。

DDoS防护包含多款子产品，结合阿里云多年DDoS攻防经验，满足企业各类DDoS防护场景的需求。DDoS原生防护在不改变业务架构的前提下直接为企业应用大幅提升DDoS防护能力，最高可提供Tbps级别原生防护能力。DDoS高防（新BGP&国际）属于阿里云提供的DDoS攻击代理防护服务，通过修改DNS解析将业务应用的访问流量调度到DDoS高防清洗中心，为中国内地提供超过8 Tbps、非中国内地提供超过2 Tbps的海量防御带宽资源。

Web应用防火墙对网站业务流量进行恶意特征识别和防护过滤，只保留正常安全的流量回源到源站应用，从而避免网站应用被恶意入侵导致安全问题，保护业务应用安全和数据安全。具体来说，Web应用防火墙覆盖大部分常见Web应用攻击，具有精准访问控制、扫描防护、CC防护、Bot管理、区域封禁、自定义响应等功能，能满足多行业、多业务场景的应用安全防护需求。

云安全中心关注多云场景下的主机、容器、虚拟机等工作负载的安全防护，提供云上资产管理、配置核查、主动防御、安全加固、云产品配置评估和安全可视化等核心能力，同时结合云上海量日志、分析模型和超强算力，构建了云上强大的安全态势感知的综合能力平台，可有效发现和阻止病毒传播、黑客攻击、勒索加密、漏洞利用、AK泄露、挖矿等风险事件，帮助企业全方位提高安全应急响应能力。

移动应用安全

随着移动应用的普及和越来越多的用户的敏感数据在其中的存储，保护移动应用的安全性变得尤为重要。安全漏洞和攻击威胁可能导致用户数据泄露、个人隐私暴露、金融损失以及身份盗窃等风险。阿里云提供多种安全服务SDK，企业移动应用客户端通过调用SDK接口向对应云安全服务发起请求，云服务端执行安全防护流程后返回响应，移动应用客户端向移动应用服务端提交响应继续业务流程。举例说明，阿里云安全认证服务，提供轻量级的多重认证接入服务，帮助企业实现账户密码防护和无密码认证，提高用户认证体验和安全性。阿里云移动应用加固，从防护移动应用的反编译和逆向工程着手，Android应用通过APK/AAB包加固、类安全加固，IOS应用通过控制流平坦化、分支伪造、花指令及坏指令、指针加密等加固，有效提高移动应用被逆向破解的难度。

开发安全培训

应用开发阶段建议围绕开发人员进行开发安全培训，安全培训也是SDL流程的起点，通过安全培训可以有效的在开发阶段避免一些常规问题，再配合后期的业务安全测试、渗透测试，能够有效缩短开发周期，保障开发上线安全。

开发安全培训通常有标准的培训内容和课程，对于企业而言开发安全培训应该遵循以下几点：

1. 明确开发安全红线，了解哪些该做，哪些不该做，通过红线来明确开发安全的边界；

2. 制定开发安全培训的流程，通过建立认证机制，确保开发工程师有主观能动性进行培训课程的学习和理解；

3. 高危漏洞等定期进行案例的培训和分享；

4. 制定开发安全规范、代码规范等合规检查。

针对开发安全的培训内容，建议重点关注以下内容：