阿里云数据安全 和隐私保护白皮书 Protect Data and Privacy in Alibaba Cloud Enable Trust in Digital Economy Era h t i g b u m o c . 5 信任， 新一代基础设施建设 的终极目标 m o b u th c . 5 i g 阿里云数据安全和隐私保护白皮书 Protect Data and Privacy in Alibaba Cloud Enable Trust in Digital Economy Era 目录 前言 03 阿里云数据隐私保护架构图 04 阿里云地域、可用区基础设施建设 05 阿里云云上数据保护工具 33 阿里云如何管理云上数据 59 阿里云遵守数据安全和隐私法规 79 阿里云基础设施相关概念 06 数据安全生命周期防护图 34 客户数据分类 60 阿里云数据安全合规 80 敏感数据识别 35 可用区（Availability Zones） 地域（Regions） 阿里云地域&可用区一览表 阿里云机房物理安防体系 08 安防设备 安保团队 安防体系 访问管理 停机维护 基础设施层数据风险收敛 存储数据保护 11 12 数据写入稳定性 存储介质管理 存储数据加密 冗余数据备份保护 网络数据安全 18 21 计算安全 可信计算 阿里云可信计算环境 基础设施容灾体系 机房容灾 云产品容灾 数据库容灾 36 数据全流程加密 37 数据的静态脱敏 数据的动态脱敏 认证与访问控制安全 传输安全 基于KMS的密钥安全 基于加密服务的密钥安全 凭据安全 合规和安全等级 数据访问权限管理 b u th 数据操作审计管理 41 i g 43 48 55 安全分析 资源变更追踪 合规性审计 数据防泄漏 62 数据安全通用要求 个人隐私合规 阿里云的安全承诺 82 67 阿里云内部操作管理 阿里云云上审计管理 身份认证管理 授权机制 27 阿里云如何将客户数据分开 阿里云在保留和删除客户数据时遵循的政策 阿里云如何处理政府请求 阿里云对外数据合作中的安全保障 阿里云云上运维操作管理 多层次的传输加密 多场景的落盘加密能力 运行时加密 数据处理、交换过程中的脱敏 m o c . 5 阿里云云上数据管理体系 数据分类分级 密钥管理服务 遍布全球的边缘节点：低延时传输 物理网络数据安全管控 云上数据传输加密 计算安全 结构化数据 自定义规则 非结构化文本 图片文件 客户注册数据 客户业务数据 客户公开信息 客户对业务数据的权利与义务 71 客户业务数据的云上权利 72 业务数据归属权 业务数据存储 业务数据使用规范 业务数据删除权 客户对业务数据保护的义务 73 阿里云如何保护个人隐私数据 75 个人隐私数据收集 个人隐私数据存储 个人隐私数据使用 个人隐私信息保护管理体系 57 数据异常检测 异常事件处理与统计 11 02 前言 阿里云数据隐私保护框架 数据安全是个工程化问题，并不是单点的技术，对云厂商来说更是这样。数据 保护工程是从物理机房、IaaS基础设施安全建设，到提供PaaS、SaaS的自动 化数据保护能力，到严格的细粒度数据安全权限、系统和制度，到满足全球合 规和资质为保障，一个需要精细设计的体系化工作，是我们希望通过这个白皮 书来传达的观点。 数据的价值是流动时产生的，不能被使用和分析的数据，没有意义。数据安 全，是为了推动数据可以被高效流动而核心打造的是一套信任机制。不碰用户 数据是阿里云的红线，也是最低要求。核心是赋予数据权利和义务，让其所有 者、共享者、监管者可以基于这些信任，释放数据的价值，这是阿里云数据安 全的理念。 所以，在这里最新发布的阿里云数据安全和隐私保护框架，我们可以看到在顶 层架构设计层面，阿里云已经完整覆盖了基于地域和可用区概念，构建的基础 设施和平台层的数据风险收敛能力。平台之上，围绕安全、合规、隐私三大命 题，阿里云为用户提供原生的、高度自动化、高透明度的保护能力，致力构建 值得信任的安全计算环境，促进数据在被保护的状态下流动起来、使用起来。 信任的基础是明确其中的权利和义务。在分类分级的前提下，我们对数据的所 有权、归属权、使用规范、删除权等做了细粒度约定，并通过法律法规、资质 认证等多种手段保障权利和义务的履行。因此，阿里云也是亚太区拥有最全合 规和隐私资质的云厂商。 全球范围内，数据安全与隐私保护的工具、客户使用场景和技术区别并不太 大。具体到一些细粒度的技术点，比如：数据血缘保证流转时的安全，记录数 据之间的复杂链路；敏感数据在存储、使用时加了机器可以看到而肉眼无法识 别的盲水印；基于深度神经网络和机器学习的数据识别，以提升数据发现和分 类分级的能力；API隐身提升数据访问时的安全，等等。 m o b u th c . 5 i g 驱动力却有很大的不同。作为全球领先的云厂商，阿里云一直致力构建最安全 的云环境，建立用户的信任，保障全球客户都能安全上云。我们也希望和用户 一起，以尊重数据的态度来保护好数据。 激活信任释放数据的价值，是构建数字经济时代企业核心竞争力的关键点。 阿里巴巴集团副总裁，阿里云安全总经理 肖力 2021年10月 03 04 阿里云基础设施相关概念 阿里云全球地域、 可用区基础设施建设 阿里云遍布全球的基础设施致力于提供给客户高可用、低延迟、高安全的云上 服务，并满足各区域的合规要求，帮助客户能够在任何地方、任何时间，自主地 选择不同地域、不同可用区提供的云服务来安全的处理业务，联系客户和合作 伙伴。 阿里云的基础设施包含地域和可用区，二者的关系如下： 阿里云 地域 m o 地域 可用区 b u th i g c . 5 可用区 Availability Zones 地域 Regions 可用区 可用区 可用区 可用区 可用区 可用区（Availability Zones，简称AZ）是指在同一地域内，电力和网络互相 隔离的物理区域，可以理解为同一地域内唯一的物理位置。每个地域都包含一 个或多个可用区，彼此之间可以实现故障隔离以保护应用和程序安全。 同一可用区内，实例之间的网络延时更小、速度更快。客户可以选择多可用区 部署，提升容灾抗性。 地域指的是阿里云物理数据中心，一个地域内可以包含多个可用区。客户在选 择地域并完成资源创建之后便不能再更换地域。例如客户可以选择华北2区作 为区域创建资源，该地域内共有10个可用区，任意一个可用区均可供客户选 择使用。 跨地域间的通信需要通过运营商网络，速度会较可用区间通讯稍慢。对于延时 要求高的客户，可选择将主要业务部署在同一地域内。 此外，对于数据经济活跃及高潜力地区，阿里云全新发布了本地Region，与 中心地域采用一致的飞天架构，作为公共云的小型化输出。支持部署阿里云计 算、存储、数据库、网络、安全五大产品线四十多款产品，可以较为完备地支 撑云计算多种应用场景需求。 05 本地地域具有小型化、一致性、低延时、低成本的特点，致力为数字经济发展 水平较高的地区，提供IT中心架构低延时平迁上云，数据实时交互等能力，促 进企业便捷上云用云。 06 阿里云 地域&可用区一览表 阿里云机房物理安防体系 阿里云当前基础设施建设已面向全球四大洲，开服运营24个公共云地域、 78个可用区，此外还设有4个金融云、政务云专属地域，并且在持续进行 新地域规划和建设，从而更好的满足企业数字化转型中多样化的业务和场 景需求。 阿里云地域中的每个数据中心，都处于严密的分层管理之下，以保证可用区 &地域云服务的高可用性。 阿里云地理位置完整列表可在官网“全球基础设施布局”中查看。 所有数据中心处于封闭园区，外围部分均配备有电子围蔽围栏、红外入侵 检测仪、车辆准入障碍仪、高清摄像头等设备，全天候进行防入侵检测，能 够及时追踪入侵者行踪并第一时间触发事件告警。 中国内地 地域名称 所在城市 Region ID 可用区数量 华北 1 青岛 cn-qingdao 2 华北 2 北京1 cn-beijing 12 华北 3 张家口 cn-zhangjiakou 3 华北 5 呼和浩特 cn-huhehaote 2 华北 6 乌兰察布 cn-wulanchabu 3 华东 1 杭州 cn-hanzghou 8 华东 2 上海 cn-shanghai 8 华南 1 深圳 cn-shenzhen 6 华南 2 河源 cn-heyuan 2 华南 3 广州 cn-guangzhou 2 西南 1 成都 cn-chengdu 2 华东 5 南京 ( 属于本地地域 , 邀测中） cn-nanjing 1 其它国家和地区 07 机房内部按照功能分区进行布局，IT区域分为服务器机房区、核心网络与传 输区、布线区动力区分为高压市电引入区、变压器室、UPS及电池区、油机 室；安防监控区分为消防控制室、瓶组室、监控室；辅助区域分为人员操作 办公室、库房、拆箱区域，不同区域之间进行了访问权限控制，采用电子门 禁卡、生物识别技术、金属探测仪、X光扫描仪、高分辨率摄像头等仪器设 备对人员及携带物品进出进行严格的监管，杜绝未经审核的人员、物品进 出数据中心，从物理层面保证数据安全。 m o b u th c . 5 安防设备 i g 阿里云数据中心采取了一系列的安全设备，覆盖人员、车辆、仪器、运维等管控： 人脸门禁：一人一卡，刷卡+刷人脸双认证，确保为本人通过 人行道闸：一人一卡，刷卡+刷人脸双认证，确保为本人通过 金属探测门：金属物品探测，将告警上传至运营中心 地域名称 所在城市 Region ID 可用区数量 中国香港 香港 cn-Hong Kong 3 亚太东南 1 新加坡 ap-southeast-1 3 亚太东南 2 悉尼 ap-southeast-2 2 亚太东南 3 吉隆坡 ap-southeast-3 2 亚太东南 5 雅加达 ap-southeast-5 3 manTrap系统：人员捕获系统，安检、权限管控一体化 亚太南部 1 孟买 ap-south-1 2 SOC运营管理平台（一人一卡，工单授权管理，实现线上线下安全风险事前/事 亚太东北 1 东京 ap-northeast-1 2 美国西部 1 硅谷 us-west-1 2 美国东