什么是信息安全？

信息安全是保护所有企业信息（无论是数字形式还是物理形式）的过程。组织保护与其运营和客户相关的信息，以维护其品牌声誉、客户信任度和法规遵从性。信息安全概述了有助于确保只有经过适当授权才能查看、复制、更改或销毁所有信息的流程、工具和技术。

信息安全通过确保组织私有数据和业务系统的完整性、可用性和机密性来为组织提供支持。信息安全之所以重要，原因有以下几点。

实现业务连续性

有效的信息系统让企业即使遭遇意外安全事件，也能持续访问数据和系统。业务连续性规划包括使用一系列安全软件、制定事件发生时执行的策略，以及实施有助于保护组织的技术保障措施。

建立客户信任

信息安全能降低意外安全事件的发生概率，让企业能够为客户提供不间断服务。如果组织有持续遵守治理规范、遵循最佳实践和实施安全开发流程的历史记录，就向客户表明其重视用户数据并会对其进行保护。

缓解安全风险

根据所处的行业，企业可能需要应对多种潜在风险。信息安全有助于实施技术和流程控制，以管理和缓解这些风险。

组织可集成新的安全管理技术，从而降低意外安全事件发生的概率并提升公司的风险管理能力。

保护品牌声誉

信息安全通过增强品牌可靠提供服务、保护客户隐私和满足运营需求的能力来维护品牌声誉。意外安全事件的发生可能损害品牌声誉，而有效的信息安全措施能降低这种情况发生的可能性。  

每个企业都要遵循几项重要的信息安全原则。

保密性

保密性有助于确保只有获得授权的人员才能访问任何私有企业数据。这一原则兼具技术性和物理性，您既可以对数字文件实施访问控制，也可以防止未授权人员进入办公室。保密性还延伸到加密技术的应用、传输中数据和静态数据的保护，以及确保所有公司数据都受到保护。

完整性

完整性是指公司内数据在整个生命周期中的准确性、可靠性和一致性。该原则旨在通过确保数据的准确性以及未在所有者不知情的情况下被篡改来对其进行保护。在信息系统中加强数据完整性是指采用数字数据签名、加密哈希、将数据存储在不可变账本中以及在数据的整个生命周期内进行验证等方式。

可用性

可用性有助于确保授权用户能够无延迟、无中断地访问所需的任何数据。该原则旨在通过实施备份和恢复策略，确保数据随时可访问。此外，可用性还包括防范第三方干扰、监控数据中心存储的运行状态，以及在数据架构中设计容错能力。

不可否认性

不可否认性有助于确保与数据相关的每一项操作都被跟踪、监控和记录。通过将不可否认性嵌入信息安全系统，企业可以为每条数据建立审计跟踪记录。每当用户与信息交互、修改、访问信息或批准其移动和更改时，这些操作都会被记录到不可变账本中。

信息保障

信息保障是通过确保任务关键型业务得到支持来保护信息系统的实践。这是一项更广泛的原则，涉及评估和遵守 ISO 27001 等安全框架、积极管理任何新出现风险、定期测试安全系统以及持续监控潜在威胁。 

信息安全管理系统（ISMS）定义了组织在数据的整个生命周期中管理其信息安全的方式。该系统通常会定义人员、流程和技术的协同模式，为企业内所有信息系统提供全面的安全控制。

作为合规计划的一部分，国际标准和框架提供描述性和规范性指导，帮助组织提升信息和数据安全性。我们在下面给出了一些标准和框架示例，您的组织可以遵循这些标准和框架。

ISO-27001

ISO-27001 围绕四个主要主题展开：组织、人员、物理安全改进和技术安全改进。其中每个类别都旨在通过不同方式增强安全性，例如：

• 在人员层面，为员工提供安全培训。
• 在物理层面，为办公场所实施严格的访问控制策略。
• 在技术层面，对静态数据和传输中数据实施加密。

每一项措施都有助于提升信息安全标准。

• AWS 已通过 ISO/IEC 27001:2022 合规性认证。这意味着我们会在内部系统评估信息安全风险，并将威胁和漏洞的影响纳入考量。
• 设计并实施一套全面的信息安全控制措施并进行其他形式的风险管理，消除客户和架构安全风险。
• 制定一个总体性管理流程，以帮助确保信息安全控制措施能够持续满足我们的需求。

PCI-DSS

PCI-DSS 是另一项广泛应用的标准，旨在确保所有信用卡支付相关操作（包括财务数据的存储、传输和处理）均以安全方式进行。所有存储、处理或传输持卡人数据（CHD）或敏感身份验证数据（SAD）的实体，包括商家、处理机构、收单机构、发卡机构和服务提供商，都必须获得 PCI-DSS 标准认证。

您可以查看当前 PCI DSS 范围内的 AWS 服务列表。

HIPAA/HITECH

HIPAA（健康保险流通与责任法案）是美国联邦法律，旨在保障个人健康信息（PHI）的安全、确保数据机密性并防止未授权披露。HIPAA 适用于“受保实体”（包括健康计划、医疗信息交换所以及以电子方式传输健康信息的医疗服务提供商）及其业务伙伴。

您可以查看当前 HIPAA 范围内的 AWS 服务列表。

FedRAMP

FedRAMP（联邦风险与授权管理计划）是一项美国政府层面的计划，旨在对联邦机构使用的云产品和云服务的安全性评测、授权以及持续监控进行标准化。

您可以查看当前 FedRAMP 范围内的 AWS 服务列表。

GDPR

GDPR（通用数据保护条例）是一个欧盟法律框架，旨在保护欧盟居民的数据安全。 这是一项全球标准，任何希望以任何方式与欧盟客户开展业务的企业都必须遵守 GDPR。GDPR 旨在推动数据最小化、帮助确保数据收集具有合法依据，并赋予用户请求删除其数据的权利。

AWS 客户可以根据 GDPR 的规定，使用所有 AWS 服务来处理上传到其 AWS 账户下的 AWS 服务的个人数据（定义见 GDPR），即客户数据。

FIPS 140-3

FIPS 140-3 是一个加密模块，所有在联邦领域运营的美国机构都必须使用该模块。该标准是 FedRAMP 的一部分，要求企业采用广泛的保护和预防安全措施。

AWS 按服务提供大量 FIPS 端点。

信息安全方案主要分为几大类，它们协同工作以保护工作负载和应用程序。

数据保护

数据保护指所有有助于保护敏感信息、账户和工作负载免受未经授权访问的服务。核心数据保护服务包括传输中数据和存储数据的加密、密钥管理和敏感数据恢复。

网络和应用程序保护

网络和应用程序保护技术与企业在网络安全控制点部署的所有战略和策略相关。这些技术有助于识别传入流量、对其进行过滤，并阻止任何未授权连接访问您的网络。核心技术包括防火墙、VPN、端点检测以及其他能增强网络安全性的应用程序级边界防护。

身份和访问管理

身份和访问管理（IAM）安全工具能帮助企业管理访问控制、分配权限级别，并确定哪些账户可以访问敏感数据。身份控制有助于确定特定账户的访问权限级别，以及该级别允许查看和操作的内容。它涉及数据级控制和账户权限系统。

合规性与审计

合规性与审计是指遵循最佳实践、监控环境并帮助确保整个组织符合合规标准的能力。您需要审计和遵守的具体标准会因贵企业所处行业而异。

物理安全控制

物理安全控制与实体办公场所、服务器和业务空间相关的另一种访问控制形式。它包括安全的场地设计、可用性规划以及物理访问策略的实施。物理和环境安全还延伸至访问监控、活动记录，以及确保保留数据轨迹以供企业审计。 

企业使用云服务时，安全性和合规性将成为云服务提供商和公司的共同责任。这种双重责任被称为责任共担模式，指双方为确保云安全，各自必须完成的相应任务。

客户负责管理客户数据、平台、应用程序、身份和访问管理、客户数据加密以及网络配置等任务。云服务提供商负责在云中运行任何服务的任何基础设施，包括其运行的硬件、软件和网络。

责任共担的具体性质取决于企业选择合作的云服务提供商。这种责任划分通常被理解为“云本身”的安全与“云中”的安全。

对于 AWS 而言，保证安全性是我们的首要任务。AWS 以建设安全性领先的全球云基础设施为宗旨，以满足构建、迁移和管理应用程序和工作负载的需要。这得益于我们数百万客户的信任，其中包括政府、医疗保健和金融服务等对安全最敏感的组织。

确保安全性是 AWS 和客户的共同责任。这种共担模式有助于减轻客户的运营负担，因为从主机操作系统和虚拟层到服务运营所在设施的物理安全性，各种组件都由 AWS 负责运行、管理和控制。我们支持各种安全标准和合规性认证，包括 PCI-DSS、HIPAA/HITECH、FedRAMP、GDPR 和 FIPS 140-3，可以帮助客户满足全球各地的合规要求。我们还为您提供对自身数据的完全控制权，让您可以决定数据的使用方式、访问权限以及加密方式。

AWS 安全服务可以进一步支持您在云中的信息安全工作。例如：

• AWS 审计和配置服务让您可以全面了解合规状态并持续监控您的环境。
• AWS Identity and Access Management（IAM）等 AWS 数据保护服务让您能够安全地管理对 AWS 服务和资源的访问。 AWS CloudTrail 和 Amazon Macie 支持合规性、检测和审计，而 AWS CloudHSM 和 AWS Key Management Service（KMS）则允许您安全地生成和管理加密密钥。 AWS Control Tower 可以提供对数据驻留的管理和控制。
• AWS 检测和响应服务能帮助您增强安全态势，并简化整个 AWS 环境中的安全运营。
• AWS 身份服务有助于您安全地批量管理身份、资源和权限。
• AWS 网络和应用程序保护服务能帮助您在组织的网络控制点执行精细的安全策略。

立即创建免费账户，开始使用 AWS 上的信息安全服务。