堅守雲安全評估標準,守護政務安全,華爲雲亮相國家網絡安全周
(原標題:堅守雲安全評估標準,守護政務安全,華爲雲亮相國家網絡安全周)
9月15日,由中國網 信辦網絡安全協調局指導,中國網絡安全審查技術與認證中心主辦的雲計算服務安全分論壇在福州海峽國際會展中心正式舉辦。會上總結了近年來我國雲計算安全管理成效,宣貫雲安全政策標準和管理框架,以優秀雲服務安全管理應用案例實踐爲重點用戶、雲廠商提供重要指引。
會上,華爲雲安全總裁左文樹作了《華爲政務雲安全評估實踐》主題分享,左文樹表示,網絡安全是數字化轉型的基礎,是數字世界的底座。如何在日益複雜的網絡安全環境下守住安全底線和紅線,爲政企數字化提供可靠的安全保障,是各組織、企業和雲服務商需要解決的嚴峻問題。
華爲雲安全總裁左文樹現場演講
自四部委聯合發佈《雲計算服務安全評估辦法》等系列標準和要求以來,華爲雲積極響應並參與雲計算服務安全評估工作。目前,華爲雲多個政務雲已經通過雲計算服務安全評估,爲政企客戶的數字化業務夯實雲底座。
在長期嚴苛的安全形勢下,華爲雲構建了完善的安全體系
每年,華爲雲平臺防禦的威脅攻擊量超數千億次,DDoS攻擊峰值流量最高可達3T。在這樣嚴苛的安全形勢下,華爲雲構建了完善的安全防護體系。華爲雲在全球設立了三大運營中心,7*24小時守護100+數據中心,實現國家攻防演練0失分,數據泄露0事件,威脅攻擊分鐘級閉環。
同時,華爲雲嚴格解讀《雲計算服務安全評估辦法》要求,對華爲政務雲平臺的評估主要圍繞三大方面:業務連續性和供應鏈安全報告、客戶數據可遷移性分析報告、雲計算服務系統安全計劃(在GB/T 31168標準上是核心要求)。針對以上三方面能力要求,華爲雲以完善業務連續性和供應鏈安全能力、客戶數據遷移能力、雲治理與技術能力爲目標,全面支撐華爲政務雲安全評估。
左文樹介紹,數據遷移的風險控制是雲評估重點要求之一,華爲雲遷移服務通過“7階12步”方法,端到端覆蓋雲遷移各環節,包括數據遷移的各個場景。華爲雲遷移服務具備原子化方案和場景化能力,可以實現全業務快速上雲,保障數據遷移安全,保障數據主權。
GB/T 31168是雲評估的核心標準,在安全組織與人員、系統開發與供應鏈安全、配置管理、審計、物理與環境保護、訪問控制、風險評估與持續監控等10個領域提出了嚴格要求。在積極參與雲安全評估之餘,華爲還將這些要求融入自身的雲安全治理體系、雲安全技術體系,通過這種“嵌入式”的方式,華爲政務雲實現了“上線即達標”的目標。
系統開發與供應鏈安全是GB/T 31168關鍵要求之一,華爲雲將軟件工程能力沉澱到雲服務DevSecOps流程中,通過10大類92項可信公共能力,達成雲服務從持續規劃->持續開發與發佈->持續運營與運維的端到端DevSecOps業務流,覆蓋GB/T 31168中關於開發過程、標準和工具等關鍵要求。此外,華爲雲軟件供應鏈安全解決方案,保障供應鏈涉及的採購、開發和交付全流程,覆蓋GB/T 31168中關於供應鏈安全等關鍵要求,讓軟件供應鏈安全、合規、可持續。
安全治理體系方面,華爲雲建立了一套端到端的網絡安全保障體系,通過將要求“嵌入”全流程的方式以保障安全效果的“確定性”;安全組織與人員上,華爲CEO掛帥、強化組織,做到了網絡安全“人人有責”。華爲雲在四個端到端治理(配置管理、證書管理、漏洞治理、賬號治理),實現了安全風險全場景、全鏈路、全生命週期覆蓋。
安全技術體系方面,華爲雲秉持“三分建設,七分運營”的理念,通過構築“一箇中心,七層防線”,在滿足雲安全評估技術要求的同時,達到“攻擊不癱,數據不丟,監管合規“的目標;通過嚴謹的管理流程、先進的技術手段,將數字化帶來的“不確定性”通過運維變成“確定性”,做到可防、可控、可治,保障政務雲業務安全穩定運行。
華爲雲視“安全、穩定、高質量”爲生命線,踐行DevSecOps流程,將安全可信理念應用於產品的全生命週期,構建端到端安全可信的雲平臺;華爲雲構築七層防線,通過縱深防禦爲雲上業務“穿盔戴甲”,是最安全可信的雲之一。
華爲雲安全運營的核心服務——“安全雲腦“,具備統一管理雲上雲下資產、智能化安全分析和一體化安全事件處置能力,通過流程和工具將人員經驗服務化、事件處置自動化,實現70%的威脅1分鐘閉環、99%的威脅事件5分鐘閉環。華爲雲安全運營能力服務化,助力政務雲實現安全運營高起點、高效率,讓安全運營更輕鬆、雲上業務更安全。
華爲積極投入多雲同構工作,以“提升雲評估效率、縮短評估週期”。華爲提出了“4個統一”支撐多雲同構的方案,分別是【統一運維】——建立政務雲專屬運維中心、【統一團隊】——部署政務雲專屬運維團隊、【統一規範】——運維中心統一的規範、【統一架構】-——政務雲方案HCSO,預計評估工作量可以下降80%,評估效率提升5倍。
9月10日-16日,華爲雲安全團隊攜全棧雲原生安全服務、安全雲腦等重磅產品及解決方案亮相網絡安全博覽會展館,通過DEMO演示生動的展示了華爲雲全棧安全服務立體的安全防護能力、安全運營方案與優秀實踐,吸引了政府領導、嘉賓、媒體的高度關注。網絡安全週期間,華爲雲安全還積極參與了全國各地的網安周工作,參加各地的網絡安全主題展活動。
華爲雲堅持技術創新引領產業發展,推動雲原生在行業大規模實踐,並努力成爲值得客戶信賴的雲。華爲雲將繼續貫徹雲計算服務安全評估標準,完善安全能力,爲政企客戶的雲上業務保駕護航。