華為云安全整體解決方案

1、華為云安全整體解決方案目錄3華為云安全服務：提供全棧的安全防護2華為云：做最安全的公有云1企業(yè)上云的安全顧慮4安全解決方案：構建縱深的云安全體系5安全案例重大安全事件簡介10月8月域名服務商Dyn遭遇DDoS攻擊，美國西海岸大規(guī)模斷網8月3月孟加拉銀行被黑客轉走8100萬美元6月美國民主黨被黑客入侵，電子郵件及文檔被披露達美航空數百航班被取消，上千航班被延誤，無數乘客滯留電纜廠商Leoni AG遭BEC，被騙4460萬美元9月知名安全研究人員 Brian Krebs 的安全博客網站被DDoS攻擊，攻擊帶寬達665Gbps9月主機托管公司OVH，遭到達1Tbps的DDoS攻擊比利時銀行Crela

2、n遭BEC攻擊，損失7千萬歐元16年1月2月9月Memcached DDoS爆發(fā)，CloudFlare遭遇1.35TB攻擊8月4月國內某知名視頻網站1億賬戶信息在網絡黑市出售5月WannaCry全球爆發(fā)，至少150個國家、30萬名用戶中招HBO發(fā)生大規(guī)模數據泄露事件，至少1.5TB的數據被黑客掌握美國最大征信機構之一Equifax，1.43億消費者信息泄露10月雅虎30億賬戶泄露18年1月Intel CPU內核高危漏洞爆發(fā)暗網拋售多家中國互聯網巨頭數據，數據條數達到10億以上17年1月3月Facebook超過5000萬用戶信息被泄露云上客戶的安全訴求企業(yè)上云的關鍵安全訴求CSA Top 威脅高

3、級持續(xù)性威脅數據丟失盡職調查不足濫用和惡意使用云服務拒絕服務（DoS）共享的技術漏洞數據泄露身份、憑證和訪問管理不足不安全的接口和應用程序編程接口系統(tǒng)漏洞賬戶劫持惡意的內部人員業(yè)務連續(xù)不中斷:防網絡攻擊防黑客入侵法律遵從、合規(guī)運維全程可管控：配置安全策略風險識別和處置操作可審計、追溯數據保密不擴散：防外部竊取內部非授權員工不可見云服務商不可見目錄3華為云安全服務：提供全棧的安全防護2華為云：做最安全的公有云1企業(yè)上云的安全顧慮4安全解決方案：構建縱深的云安全體系5安全案例防火墻VPNWAFIPSAnti-DDoS基礎設施安全邊界防御安全數據安全主機安全虛擬網絡安全IaaSPaaSSaaS云服務

4、安全 自研服務 合作生態(tài)運營安全運營牌照租戶生命周期服務生命周期責任邊界合同管理可信云認證信息安全等保ISO27001CSA STAR分析響應檢測運維安全感知租戶安全云平臺安全運營管理交易管理合規(guī)安全（標準和認證）安全服務PCISOC華為云全棧防護體系全球唯一具備軟硬件一體化優(yōu)勢的云安全服務提供商華為云平臺網絡安全防護能力安全日志收集安全威脅與事件響應WAFVPNHost Guard主機防御CMDBFirewallAnti-DDOS漏洞掃描應用日志堡壘機信安系統(tǒng)IPS銀河系統(tǒng)（安全大數據與人工智能）安全運維人員SOCWAF/IPS網絡監(jiān)控7X24 安全威脅與事件檢測、分析與響應統(tǒng)一平臺華北Re

5、gion華東RegionAnti-DDOS信安系統(tǒng)網絡監(jiān)控IPSWAF其他.華南RegionAnti-DDOS信安系統(tǒng)網絡監(jiān)控IPSWAF其他.內控審計人員外部第三方審計華為公司內部IT基礎設施安全部門已經合并至Cloud BU，同一個平臺、同一個團隊，利用30年積累的安全能力，為華為公司和華為云租戶提供全球最高等級的安全保護華為云平臺網絡安全安全區(qū)域劃分與隔離DMZ公共服務區(qū)Public Service資源交付區(qū)POD （Point of Delivery）數據存儲區(qū)OBS （Object Based Storage）運維管理區(qū)OM （Operations Management）業(yè)務平面劃分

6、與隔離租戶數據平面業(yè)務控制平面平臺運維平面BMC管理平面(Baseboard Management Controller)數據存儲平面網絡邊界防護Anti-DDoSIDS/IPSWAFO&MDMZPODOBSPublic ServiceInternetAdmin LAN(Intranet)WAFNGFW & IPSAnti-DDoSInternet Inspection CenterAnti-DDoSClean CenterManagement CenterFWIPS/IDSVPN CloudBotnetHackerWorm Anti-DDoS Firewall IPS/IDS WAF IPs

7、ec / SSL VPN華為云平臺網絡邊界安全防護WAF華為云平臺虛擬化安全vCPU 隔離虛擬化平臺基于業(yè)界通用的硬件輔助虛擬化技術（Intel VT-x）實現?；谟布摂M化的CPU 隔離主要是指虛擬化平臺與虛擬機之間的隔離，虛擬機內部的權限分配和虛擬機與虛擬機之間的隔離。內存隔離虛擬化平臺負責為虛擬機提供內存資源，保證每個虛擬機只能訪問到其自身的內存。虛擬化平臺管理虛擬機內存與真實物理內存之間的映射關系，保證虛擬機內存與物理內存之間形成一一映射關系。I/O 隔離虛擬化平臺還給虛擬機提供了虛擬I/O 設備，包括磁盤、網卡、鼠標、鍵盤等。虛擬化平臺為每個虛擬機提供獨立的設備，避免多個虛擬機共享

8、設備造成的信息泄露。CPUMemoryNIC物理資源層vNICvMemoryvCPUvNICvMemoryvCPUvNICvMemoryvCPUvNICvMemoryvCPUVM虛擬機vCPUvMemoryvNICOSvCPUvMemoryvNICOSvCPUvMemoryvNICOSvCPUvMemoryvNICOS虛擬化資源池VM虛擬機VM虛擬機VM虛擬機華為云平臺數據安全平臺層數據訪問隔離IAM 權限訪問控制數據隔離機制傳輸加密Data CenterVPNTLS數據存儲加密KMSVBSIMSEVSOBS數據刪除機制內存刪除將內存重新分配給用戶之前，會對分配的內存進行清零操作，即寫“零”處

9、理物理磁盤報廢處理當物理磁盤報廢時，華為云通過對存儲介質進行消磁、折彎或破碎等方式清除數據，并對數據清除操作保存完整記錄磁盤數據刪除華為云對銷戶虛擬卷采用清零措施，確保數據不可恢復Cloud 數據存儲加密使用KMS密鑰進行加密華為云平臺 API 安全身份認證&鑒權認證方式支持以下2種:Token 認證AK/SK 認證傳輸保護TLS 1.2Perfect Forward Secrecy (PFS)API流量控制網關提供針對API級別和租戶級別的分鐘級流控配置。API 注冊: 只有在API 網關上注冊的API接口，才能被租戶訪問。ACL 規(guī)則限制：允許租戶自行配置特定的租戶信息和網段信息防重放攻擊

10、:當API網關接受過期請求時，將會執(zhí)行拒絕措施防止重放攻擊。防暴力破解:當接受某個AK/SK 請求時，API 網關的防暴力破解機制一旦監(jiān)測到失敗請求次數已超出API 網關所設定允許次數，會拒絕該請求并執(zhí)行限時鎖定。API GatewayTenantPublic Services Zone DMZ區(qū)Service AService BService CAPI 防護機制安全運維：運維體系日志收集日志分析賬號統(tǒng)一管理攻擊取證智能檢測與分析漏洞掃描存儲云平臺云服務計算服務器安全運維體系 風險管理智能分析 安全信息與事件管理特權賬號責任到人定向監(jiān)控實時響應統(tǒng)一管理集中存儲實時響應入侵偵測入侵回溯情報預警

11、定期評估漏洞發(fā)現可視報表華為云平臺內控管理能力華為公司建立了嚴格的內控管理制度，從流程和技術兩個方面，約束了華為云平臺運維管理人員的行為規(guī)范，并通過月度遵從性測試、半年度內控成熟度評估、內部獨立審計等，確保華為云內外合規(guī)，信守對客戶“不碰數據”的承諾。公司流程技術及關鍵控制點訪問控制華為云客戶網絡接入授權管理規(guī)定辦公計算機、網絡、應用系統(tǒng)、存儲介質及辦公外設安全管理規(guī)定系統(tǒng)賬號/權限管理流程未經客戶書面授權，不得以任何形式訪問客戶的任何數據運維人員只有使用華為公司的設備，通過雙因子認證才能訪問運維網絡，并且僅能通過運維堡壘機訪問目標系統(tǒng)運維人員全過程不接觸目標系統(tǒng)的特權賬號和密碼，由堡壘機進行

12、自動托管，并在每次會話結束后自動更新密碼運維數據只能通過專用通道傳輸，通道內的數據保留60天無法刪除，并由信息安全管理專員對傳輸的數據獨立稽查運維人員權限每半年審視一次，崗位調動時原有權限通過IAM系統(tǒng)即時清理變更管理華為云變更管理流程華為云事件管理流程運維堡壘機與工單系統(tǒng)聯動，只有處于Open狀態(tài)的事件或者變更，才能觸發(fā)堡壘機獲得授權登錄目標系統(tǒng)審計IT系統(tǒng)安全日志管理要求所有系統(tǒng)必須開啟安全日志，每筆日志記錄內容至少需要包含日期、時間、訪問嘗試類型、訪問發(fā)起的IP及ID、被訪問對象等安全日志集中存儲保存的時間不低于半年人員管理華為云現網運維人員安全管理規(guī)定與行為規(guī)范關于網絡安全與用戶隱私保

13、護關鍵崗位的管理要求外部人員信息安全管理指南華為云運維人員上崗前必須簽署信息安全承諾書所有員工必須每年必須完成一次網絡安全與用戶隱私保護考試對于有權限接觸數據的關鍵崗位人員，上崗前需要經過額外的安全背景審查外包人員除遵守上述要求外，在IT賬號上對外包人員進行標識，技術上限制外包人員無法獲得關鍵權限問責網絡安全違規(guī)問責制度按照違規(guī)行為分為四個問責級別，最嚴重違規(guī)將解除勞動合同，追究法律責任面向全球構建合規(guī)，滿足全球用戶合規(guī)需求TUV Trusted CloudCSA-STARISO27001IDC/ISPTrusted CloudISOESARISITSSTrusted CloudOTC華為云9

14、5%各服務安全需求滿足度從80%提升到95%31+分解為31+大類安全規(guī)范1000+分解為1000+條測試用例50+分解為50+安全技術基線200+每年持續(xù)投入200+人進行安全改進第三方多次要求第三方機構對云平臺進行安全測試德國PSA認證123654華為云在全球獲得的部分安全認證華為云通過德國PSA案例20+全球權威認證，持續(xù)增加，滿足全球不同行業(yè)、不同區(qū)域合規(guī)需求等?？尚旁凭W絡安全審查目錄3華為云安全服務：提供全棧的安全防護2華為云：做最安全的公有云1企業(yè)上云的安全顧慮4安全解決方案：構建縱深的云安全體系5安全案例數據加密木馬上傳非授權訪問SQL注入進不來XSS跨站惡意插件 自動學習應用安

15、全數據庫安全自動發(fā)現動態(tài)脫敏全面控防精準審計看不到拿不走強合規(guī)性國際標準算法第三方HSM密鑰管理數據加密數據庫安全應用安全網絡通道加密數據接入控制數據數據安全應用安全主機安全Anti-DDoSDDoS高防漏洞管理資產管理基線檢查Web應用防火墻主機掃描密鑰管理密鑰對登陸數據脫敏數據專屬加密EVS/VBS/IMS/OBS/RDS加密網絡安全化理念為實踐更懂企業(yè)云安全需求，長期服務企業(yè)的安全品質云防火墻端云協(xié)同防護安全管理主機安全體檢態(tài)勢感知安全監(jiān)測證書管理云堡壘機安全風險和方案安全服務入侵檢測應急響應網站安全體檢安全加固中間件（含DB）掃描Web掃描弱密碼掃描業(yè)務邏輯掃描編碼掃描數據庫審計數據庫

16、防火墻以數據安全為中心，構建一系列企業(yè)級精品安全服務網頁防篡改DDoS高防服務是針對游戲、金融、電商等用戶遭受的大流量DDoS攻擊，推出的付費增值服務源站被防護服務器高防中心接入高防VIP1IP1DNS服務=IP1=VIP1流量回源用戶DDoS高防服務：T級攻擊下，業(yè)務無損防御T級清洗能力，7大清洗節(jié)點，彈性防護按天付費全球云清洗資源調度，端云協(xié)同，近源清洗云清聯盟全球情報共享，DDoS攻擊協(xié)同防御海量攻擊防護獨有“V-ISA”信譽體系，七層報文過濾， 唯一實現“100%防御，業(yè)務零影響”可精確防御100+種DDoS攻擊，防御類型業(yè)界最多最強單設備性能1.96Tbps，逐包檢測，攻擊秒級響應精

17、準攻擊防御優(yōu)質骨干網接入，全國回源延遲小于50ms高防清洗調度平臺線路可用監(jiān)控，異地調度支持同線路不同區(qū)域、不同線路IP切換，高防業(yè)務穩(wěn)定可靠極速可靠訪問17年專業(yè)DDoS防護經驗，平均每周防護1000+次以上攻擊運營商領域多年深厚積累，調度響應快，骨干網絡運維經驗豐富專業(yè)運營團隊網絡安全主機安全應用安全數據安全安全管理企業(yè)主機安全（HSS）：云服務器貼身安全管家主機安全Agent主機安全管理中心Console資產管理云上/云下主機漏洞管理基線檢查入侵檢測統(tǒng)一安全管理資產、配置、漏洞精準檢測安全風險可視化，態(tài)勢可感知安全資產變動實時通知安全風險管理智能入侵檢測企業(yè)安全合規(guī)100%賬戶暴力破解防

18、護先進WebShell檢測庫與沙箱基于AI的高級惡意程序檢測獨家支持網頁防篡改業(yè)界標桿的10+配置基線檢查滿足等保合規(guī)測評要求滿足PCI-DSS文件完整性要求大企業(yè)10000+同時穩(wěn)定運行實踐，減少90%被攻擊次數，100%保護主機安全*支持華為云、非華為云、私有云、數據中心部署網絡安全主機安全應用安全數據安全安全管理Web應用防火墻：Web服務的“最佳搭檔”技術創(chuàng)新獨創(chuàng) 雙引擎檢測（規(guī)則+AI）獨創(chuàng)“動態(tài)”防爬蟲算法精準 IP+Cookie雙重驗證阻斷CC攻擊Web服務器（華為云）防護引擎集群WEB流量流量回源正常用戶Web應用防火墻華北華東華南香港租戶VPC華為云攻擊者WEB攻擊流量“WA

19、F的主要好處就是可以防范企業(yè)開發(fā)的Web應用代碼中“自己造成的”安全漏洞，并且防范主流Web應用軟件中的安全漏洞。”Gartner 2017將www.XX.com流量引流至華為云Web應用防火墻Web服務器（非華為云）華為云外部專業(yè)可靠異地容災隱私屏蔽7*24小時專人值守簡單易用零維護成本配置界面簡潔易懂安全專家答疑解惑網絡安全主機安全應用安全數據安全安全管理漏洞掃描服務：“無死角”發(fā)現漏洞簡單易用零維護成本：無組件安裝，零運維極簡UI：界面簡潔易懂專家咨詢：安全專家在線答疑解惑漏洞掃描服務(VSS)編碼安全性檢查主機掃描Web掃描邏輯掃描數據庫掃描安全基線弱口令中間件掃描服務器華為云租戶VP

20、C服務器非華為云引擎集群華為云探測報文探測報文監(jiān)測全面一機多能：擁有Web/主機/系統(tǒng)/數據庫/安全基線/弱口令等多種掃描能力編碼檢查：消滅漏洞于程序開發(fā)階段“無死角”掃描：支持公/私網IP掃描快速高效多引擎協(xié)同：彈性擴縮，快速高效更新快速：漏洞庫平均更新時間48h按需掃描：“無害”V.S.“深度”網絡安全主機安全應用安全數據安全安全管理數據加密服務（DEW）：實現云上數據透明、可控、可管理密鑰加密ECS數據密鑰1用戶主密鑰1數據密鑰2數據密鑰3數據密鑰4數據密鑰5數據加密IMSOBSEVSVBS用戶主密鑰2用戶主密鑰3用戶主密鑰4用戶主密鑰5密鑰管理服務（KMS）專屬加密服務（Dedicat

21、ed HSM）虛擬HSM虛擬HSM獨享HSM業(yè)務虛擬機ECMECMAPPECMECMAPPECSECS加密芯片加密芯片加密芯片租戶A租戶BVIP業(yè)務虛擬機ECMECMAPPECS密鑰對登陸高安全性：只有租戶可以訪問和操作高性價比：總運營成本（TCO）相比線下下降75%以上獨享芯片加密：保障業(yè)務性能合規(guī)性滿足：支持國密或FIPS140-2 Level 3成本更低：按需付費 數據加密：集成多個云服務，加密用戶數據密鑰管理：國內最豐富的密鑰管理特性密鑰保護：采用經過認證的HSM作為信任根網絡安全主機安全應用安全數據安全安全管理數據庫安全服務（DBSS）：全方位防護云上數據庫數據庫數據庫防火墻權責分離

22、SQL注入防御數據訪問控制數據庫安全實時脫敏保證敏感數據不外泄動態(tài)數據脫敏敏感數據根據策略配置和要求，自動定位和分類敏感數據發(fā)現提供列表級的管理活動和訪問活動監(jiān)控數據庫審計數據庫安全服務介紹普通數據RDS 管理界面?zhèn)€人病歷1、主備規(guī)則同步2、浮動IP，故障自動接管用戶/攻擊者DBSS服務華為云RDS數據用戶自建數據庫主DBSS普通用戶醫(yī)院醫(yī)生攻擊者備DBSS12防護某醫(yī)院案例敏感數據發(fā)現并動態(tài)脫敏網絡安全主機安全應用安全數據安全安全管理安全專家服務（SES）：因為專業(yè)，所以放心全面的專家服務完整的解決方案專業(yè)的合作伙伴事前安全評估，排查隱患事中安全監(jiān)測，監(jiān)控風險事后應急響應，消除威脅為每一條漏

23、洞提供安全建議提供網絡安全、數據安全、應用安全、主機安全立體解決方案建議23國家級信息安全測試機構CISSP、CISA資質專家1為用戶業(yè)務提供安全體檢、安全加固、安全監(jiān)測以及應急響應等一站式服務下單咨詢資質核驗明確范圍購買服務全面體檢查漏補缺報告審核方案建議網絡安全主機安全應用安全數據安全安全管理安全中心（Security Center）安全風險指數獨家加權算法，為用戶提供直觀的風險評級資產安全狀況安全狀況一目了然，快速找出安全短板威脅事件統(tǒng)計覆蓋DDoS、暴力破解、Web攻擊等主流威脅資產威脅趨勢幫助用戶密切洞悉風險資產變化情況攻擊來源排名呈現Top攻擊來源，為攻擊溯源提供判斷依據攻防態(tài)勢盡

24、收眼底，提供極致SecOPS體驗網絡安全主機安全應用安全數據安全安全管理云堡壘機服務：云上安全運維管家授權總部的企業(yè)員工分支機構的企業(yè)員工遠程第三方運維人員現場第三方運維人員服務器網絡設備云主機應用程序數據庫主賬號一主賬號二主賬號三主賬號四從賬號A從賬號D從賬號C從賬號B從賬號E操作與審計訪問控制免于安裝無須安裝部署，一站式運維和安全管理，簡化運維和安全操作，降低企業(yè)運維和安全成本易于審計可視化所有操作和行為，并提供實時監(jiān)控、錄屏、回放等功能，保障資產的可控無限并發(fā)云堡壘機多種版本，支持20到無限資產，不限并發(fā)數，企業(yè)無需擔心運維的并發(fā)壓力安全合規(guī)滿足“網絡安全法”等的規(guī)定，企業(yè)必須采取信息系

25、統(tǒng)風險內控與審計措施的要求，滿足企業(yè)合規(guī)需求網絡安全主機安全應用安全數據安全安全管理SSL證書管理服務：實現網站和應用的安全傳輸SSL證書管理（SSL Certificate Manager， SCM）是華為聯合全球知名數字證書服務機構，為Web網站、APP服務器提供的一站式安全套接層（SSL）證書和傳輸層安全（TLS）證書的全生命周期管理服務，實現網站的可信身份認證與安全數據傳輸證書簽發(fā)機構SSL證書管理ELBECS網站bhttps手機接入瀏覽器接入網站ahttpsWAFDNS與基礎服務聯動證書管理網站可信應用可信數據傳輸保護防止仿冒合法應用保護完整性4大證書品牌國內最全5種證書類型覆蓋各類

26、場景1鍵推送簡單易用1證多域名自由組合網絡安全主機安全應用安全數據安全安全管理安全生態(tài)網絡安全主機安全數據安全應用安全安全管理安全超市DDoS高防WAFHSSKMS數據庫防火墻安全服務政務行業(yè)視頻行業(yè)安全解決方案等保合規(guī)方案解決方案云行業(yè)解決方案通用安全解決方案生態(tài)的基礎目錄3華為云安全服務：提供全棧的安全防護2華為云：做最安全的公有云1企業(yè)上云的安全顧慮4安全解決方案：構建縱深的云安全體系5安全案例SAP安全解決方案結合華為多年企業(yè)級安全實戰(zhàn)積累，圍繞SAP典型安全風險及業(yè)務架構特點，為客戶打造專業(yè)、穩(wěn)定、可靠的安全解決方案。網絡隔離及訪問控制VPC、網絡ACLSAP系統(tǒng)安全（生產、開發(fā)/測

27、試）主機安全、VPN/DC、下一代防火墻SAP Hybirs安全WAF、Anti-DDoS運維安全堡壘機安全管理安全體檢、漏洞掃描、態(tài)勢感知、秘鑰管理Web安全防護云WAF支持超強編碼還原能力，檢測率高，誤報率低智能人機識別，防御CC提供獨家網頁防篡改能力高防IP & CC防御獨家“ISA(IP/Session/APP)”信譽機制，支持防護攻擊類型最多七層過濾、逐包檢測、逐層清洗，業(yè)界最細檢測粒度縱深CC防御：基礎&高防DDOS、云WAF均支持CC防御特性數據庫安全服務基于反向代理及機器學習機制，提供防SQL注入攻擊、敏感數據發(fā)現、數據脫敏和數據庫審計等功能，保障云上數據庫安全移動安全生態(tài)專業(yè)的移動安全服務提供商，適配華為云，提供從開發(fā)至運營，全生命周期的移動App安全服務，有效防止破解外掛、客戶端仿冒等威脅游戲安全解決方案電商安全解決方案數據是電商客戶的最重要資源，華為云恪守數據中立原則，推出多種以數據安全為核心的安全服務，針對電商行業(yè)特點，幫助電商客戶構建數據的全棧防護網