物理安全
物理安全
d)应对介质分类标识，存储在介质库或 存储介质进行了分类标识管理； 档案室中。 介质存储地点： 存储仓库 ； 机房设置了视频监控报警系统，7*24 e)主机房应安装必要的防盗报警设施。 无死角监控，监控室 24 小时有专人值 守。 a)机房建筑应设置避雷装置。 b)机房应设置交流电源地线。
阿里云客户等级保护测评说明
阿里云测评情况/需要客户测评机构测 安全层面 安全控制点 内容 评的说明
阿里云测评得分/测评需要客户测评机 构开展
物理安全
物理位置的 选择
a)机房和办公场地应选择在具有防震、 防风和防雨等能力的建筑内。
机房所在大楼具有防震、防雨和防风能 阿里云该项测评得分 5 分。 力，并通过了机房专业验收，提供了 《机房验收报告》。
物理安全
防水和防潮
b)应采取措施防止雨水通过机房窗户、 机房设有漏水检测带，通过人工巡检和 阿里云该项测评得分 5 分。 屋顶和墙壁渗透。 远程监控结合的方式检测积水和渗透。
物理安全
防水和防潮
c)应采取措施防止机房内水蒸气结露和 机房设置了漏水传感器，通过艾默生监 阿里云该项测评得分 5 分。 地下积水的转移与渗透。 控ห้องสมุดไป่ตู้统可以进行防水检测和报警。
阿里云测评得分/测评需要客户测评机 构开展
阿里云提供了安全审计服务，应测评客 阿里云该项测评得分 5 分，但该项应测 VPC、安全组配置）开展了审计。 阿里云提供了访问控制服务，可以对客 阿里云该项测评得分 5 分，但该项应测
间、用户、事件类型、事件是否成功及 户是否采用，对云上的虚拟资源（包括 评客户的虚拟网络情况。
阿里云测评情况/需要客户测评机构测 安全层面 安全控制点 内容 评的说明 则配置等）的对应关系，不应测试的是 阿里云平台自身的物理网络拓扑。 阿里云平台的物理网络拓扑涉及到整个 云平台，出于信息安全保密原因，也不 便向所有客户规模披露。
阿里云测评得分/测评需要客户测评机 构开展
该项应测试的是阿里云客户是否根据业 阿里云该项测评得分 5 分，但该项应测 d)应根据各部门的工作职能、重要性和 务情况、系统情况、安全需求在云上虚 评客户的虚拟网络情况。 网络安全 结构安全 所涉及信息的重要程度等因素，划分不 拟网络合理的利用 VPC 的策略、安全组 同的子网或网段，并按照方便管理和控 策略，或自行采购的虚拟防火墙进行规 制的原则为各子网、网段分配地址段 则配置，实现虚拟网络里的区域划分和 区域之间的网络访问控制。 该项应测试阿里云客户是否采用了云盾 阿里云该项测评得分 5 分，但该项应测 a)应在网络边界处监视以下攻击行为： 或安全生态中的虚拟安全防护设备，并 评客户的虚拟网络情况。 网络安全 入侵防范 端口扫描、强力攻击、木马后门攻击、 配置相应的规则，进行网络入侵防范。 拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等 阿里云提供了基础的云盾 DDOS 防护 （免费版本有一定的阈值限制） ，应查
阿里云测评得分/测评需要客户测评机 构开展 阿里云该项测评得分 5 分，但该项应测 评客户的虚拟网络情况。
c)应按用户和系统之间的允许访问规 网络安全 访问控制 则，决定允许或拒绝用户对受控系统进 行资源访问，控制粒度为单个用户
阿里云该项测评得分 5 分，但该项应测 评客户的虚拟网络情况。
阿里云该项测评得分 5 分，但该项应测 评客户的虚拟网络情况。
机房设置了七氟丙烷自动消防系统，自 阿里云该项测评得分 5 分。 物理安全 防火 a)机房应设置灭火设备和火灾自动报警 动检测火情、自动报警，并自动灭火； 系统。 七氟丙烷有专门的钢瓶间存放，并且有 人工操作的二氧化碳气体灭火设施。 物理安全 防水和防潮 a)水管安装，不得穿过机房屋顶和活动 机房周围无水管安装， 地板下。 未在机房屋顶和活动地板安装水管。 阿里云该项测评得分 5 分。
物理安全
电磁防护
网络安全
结构安全
阿里云测评情况/需要客户测评机构测 安全层面 安全控制点 内容 评的说明 的，可以查看该项的测评得分，但因阿 里云实体交换机、路由器型号、配置信 息涉及到平台的供应链保密信息，以及 出于安全因素考虑（平台的硬件设备型 号、固件版本不应大规模想客户透露， 防止来自黑客的针对性 APT 攻击，这也 是确保平台的实体网络安全，从而确保 客户的系统安全） ，不便把完整的测评 结构披露。 该项应测评阿里云客户购买的 ECS 公 网络安全 结构安全 b)应保证接入网络和核心网络的带宽满 足业务高峰期需要 网带宽是否满足其业务高峰需求。 因阿里云为全国多 ISP BGP 接入的网 络，带宽上不会成为阿里云客户带宽瓶 颈。
物理安全
电力供应
足关键设备在断电情况下的正常运行要 临时供电。 求。 a)电源线和通信线缆应隔离铺设，避免 互相干扰。 电源线、通信线缆通过机柜顶部桥架隔 阿里云该项测评得分 5 分。 离铺设，并且电源线缆强弱电也是隔 离。 阿里云客户没有使用实体网络设备，在 阿里云该项测评得分 5 分，但该项应测 VPC 环境下，采用的是虚拟网络设备 （虚拟路由、虚拟交换机） ，阿里云的 虚拟网络设备采用的是分布式系统提 a)应保证关键网络设备的业务处理能力 供，根据阿里云业务需求（不是客户的 具备冗余空间，满足业务高峰期需要 业务需求，是阿里云平台总体业务的需 求）进行容量扩充，不会造成客户“网 络设备”的处理性能瓶颈。 该项在阿 里云平台自身的测评中，实体网络的物 理交换机和路由器的能力是经过测评 评客户的虚拟网络情况。
阿里云提供了云监控范围，应测评阿里 阿里云该项测评得分 5 分，但该项应测 值、告警是否配置得当。
况、网络流量、用户行为等进行日志记 云客户是否对网络流量进行了监控，阈 评客户的虚拟网络情况。
阿里云测评情况/需要客户测评机构测 安全层面 安全控制点 内容 评的说明 b)审计记录应包括:事件的日期和时 网络安全 安全审计 其他与审计相关的信息
物理安全
防静电
a)关键设备应采用必要的接地防静电措 机房安装了防静电地板，主要设备采用 阿里云该项测评得分 5 分。 施。 了必要的接地防静电措施。
a)机房应设置温、湿度自动调节设施， 机房部署了多台精密空调，能够实现自 阿里云该项测评得分 5 分。 物理安全 温湿度控制 使机房温、湿度的变化在设备运行所允 动调节温湿度，机房温度控制在 18-25 许的范围之内。 度之间，湿度保持在 60%-70%之间。
阿里云测评得分/测评需要客户测评机 构开展
阿里云该项测评得分 5 分，但该项应测 评客户的虚拟网络情况。
该项应测评的是阿里云客户是否根据云 阿里云该项测评得分 5 分，但该项应测 网络安全 结构安全 c)应绘制与当前运行情况相符的网络拓 上虚拟资源的情况，绘制逻辑的拓扑 扑结构图 图，以及该逻辑拓扑图与云上资源互联 关系、网络 ACL（VPC 配置、安全组规 评客户的虚拟网络情况。
网络安全
网络设备防 护
b)应对网络设备的管理员登录地址进行 限制
阿里云测评情况/需要客户测评机构测 安全层面 安全控制点 内容 评的说明
阿里云测评得分/测评需要客户测评机 构开展
应查看客户的访问控制服务的启用及配 阿里云该项测评得分 5 分，但该项应测 网络安全 网络设备防 护 c)网络设备用户的标识应唯一 置是否合理，子账号与客户负责对网络 评客户的虚拟网络情况。 安全策略（VPC、安全组）的人员是否 有唯一对应关系。 网络设备防 护 d)身份鉴别信息应具有不易被冒用的特 点，口令应有复杂度要求并定期更换 应测评客户如何管理云账号的，包括子 阿里云该项测评得分 5 分，但该项应测 账号，检查其密码策略及口令定期更换 评客户的虚拟网络情况。 情况。 阿里云的对云账号的登录失败处理进行 阿里云该项测评得分 5 分，但该项应测 了风控策略，包括 5 次尝试失败锁定， 评客户的虚拟网络情况。 以及严格的解锁流程，对高危操作还要 网络安全 网络设备防 护 e)应具有登录失败处理功能，可采取结 求二次验证（如短信验证码） 。且客户 束会话、限制非法登录次数和当网络登 可以根据需求配置是否采用动态口令 录连接超时自动退出等措施 TOKEN 进行二次验证。 阿里云控制台设置了登录超时的会话， 时间默认 30 分钟。
阿里云该项测评得分 5 分。
物理安全
物理安全 物理安全
防雷击 防雷击
机房建筑具有防雷措施，措施：大楼顶 阿里云该项测评得分 5 分。 部避雷圈 ； 机房配电设置了防浪涌模块。 阿里云该项测评得分 5 分。
阿里云测评情况/需要客户测评机构测 安全层面 安全控制点 内容 评的说明
阿里云测评得分/测评需要客户测评机 构开展
网络安全
网络设备防 护
a)应对登录网络设备的用户进行身份鉴 别
户登录的云资源的权限进行严格的主子 评客户的虚拟网络情况。 账号分权和身份鉴别（包括二次验 证） ，应测评客户是否采用，和合理配 置策略。 阿里云提供了访问控制服务，可以对客 阿里云该项测评得分 5 分，但该项应测 户登录的云资源的权限进行严格的主子 评客户的虚拟网络情况。 账号分权和身份鉴别（包括二次验 证） ，应测评客户是否采用，和合理配 置策略。 在公共云上，客户连接阿里云平台都是 通过互联网，因此此项与传统场景下的 网络运维有所区别。
物理安全
物理访问控 制
进入园区需要到保安部登记，然后在传 阿里云该项测评得分 5 分。 a)机房出入口应安排专人值守，控制、 达室登记并领取胸牌，然后进入机房有 两道电子门禁系统，用于控制、鉴别和 鉴别和记录进入的人员。 记录人员。 进入机房的来访人员有申请和审批流 程： 来访人员身份证号、姓名报给阿 阿里云该项测评得分 5 分。
阿里云测评情况/需要客户测评机构测 安全层面 安全控制点 内容 评的说明
阿里云测评得分/测评需要客户测评机 构开展
查看主要设备或设备的主要部件设备固 阿里云该项测评得分 5 分。 物理安全 防盗窃和防 破坏 b)应将设备或主要部件进行固定，并设 定情况： 通过螺丝固定在机柜上 ； 置明显的不易除去的标记。 具有明显的不易除去的标记； 标签类型：资产纸质标签； 防盗窃和防 破坏 防盗窃和防 破坏 防盗窃和防 破坏 c)应将通信线缆铺设在隐蔽处，可铺设 在地下或管道中。 电源线、通信线缆通过机柜顶部桥架隔 阿里云该项测评得分 5 分。 离铺设，并且电源线缆强弱电也是隔 离。 阿里云该项测评得分 5 分。