华为云首家通过信息安全服务资质认证

6月29日,在海南举行的第二届全国信息安全企业家高峰论坛上,华为云获得了中国信息安全测评中心(简称测评中心)颁发的首批信息安全服务资质(云计算安全一级)(简称资质),表明华为云能够为用户提供优质的安全服务。会上,华为云安全总经理杨松发表了《华为云三大安全体系,保障云上数据安全》的演讲,分享了资质对应的安全实践特别是数据保护上的实践。

  华为云安全总经理杨松接受资质认证证书
  一、资质的通过意味着什么
  测评中心是经中央批准成立的国家信息安全权威测评机构,资质则是由测评中心推出的,旨在对云服务商的安全服务资格状况、技术实力和云计算安全服务实施质量等方面进行综合客观评定的认证,反映了云服务商在云安全服务上的保障能力。
  该次认证,华为云测评了交付能力等七种能力,且首个覆盖了国内全部站点、全部IaaS、PaaS、SaaS服务。
  测评中心在测评结果中写道,资质的获得,表明华为云安全服务理念清晰、技术路线正确、队伍素质好, 落地了多个云安全相关的大型项目,具有丰富的云安全实践,优秀的项目技术活动规划、实施、监督、验证、质量控制、风险管理能力。
  杨松表示,能够获得测评中心的肯定,感到非常荣幸,华为云在安全上积累了丰富的经验,为多个行业提供了成熟的服务,资质的获得,从第三方权威机构的角度,对我们的安全服务能力和实践进行了客观认证。
  二、资质对应的优秀安全实践
  演讲提炼了华为云的三大安全体系,以启发和帮助用户完整、系统地构建符合业务需要的安全体系。
  
  华为云安全总经理杨松在现场发表演讲
  (一) 防攻击体系
  为帮助用户防止外部恶意攻击,华为云围绕攻击者可能的攻击路径,发布了基于AI的20多款安全服务产品,让用户像搭积木一样,选择其中一款或数款组建符合业务需要的安全体系,堵住攻击。
  比如,网站遭到大流量攻击,性能下降、访问卡顿,可选择DDoS高防对恶意流量进行拦截,保障来到网站的流量都是正常的;为了明了云主机的安全情况,可在主机上安装企业主机安全服务,实时发现弱口令、恶意程序、网页防篡改等,降低主机安全风险;信息安全攻击的75%都发生在Web应用层上,为帮助用户防御应用层攻击,华为云web应用防火墙提供了精准的防御。
  此外,还有帮助用户一站式过等保的安全等保、感知全网安全态势的态势感知、提升运维审计效率的堡垒机服务等等,让用户快速搭建符合自身业务需要的防御体系,哪里短板补哪里。
  (二) 数据保护体系
  为帮助用户保护数据,防止数据泄露,围绕云上数据的全生命周期,华为云提供了从访问认证、敏感数据识别、防攻击、防泄漏到审计组成的环环相扣的基于AI的数据保护方案。
  特别是今年3月份华为云发布的全球首个敏感数据检测服务(结构数据),提供了云上敏感数据的识别和分类技术,为用户进行数据安全保护治理提供了武器,目前已在华为云内测。其使用方便、结果简明:
  1、选择要处理的敏感数据可能存在的地方
  目前提供了对象存储(OBS)和关系型数据库(RDS)的敏感数据发现,支持OBS和RDS的一键导入。
  2、配置检测规则
  内置了如GDPR、PCI-DSS、SOX、政企领域等合规要求的模板,按这些法规的要求检测资产中的可能存在的敏感数据;也支持定义规则,自行设置哪些是用户认为的敏感数据。
  3、执行扫描任务
  按设置好的规则,在指定的资产中自动发现、标示、统计如身份证、邮件地址、银行卡号等敏感数据所在的位置和数量,并给出保护建议。
  4、生成合规报告
  对敏感数据进行分析,提供统计报告,让用户能有针对性地进行数据保护。
  
  在敏感数据发现和检测过程中,服务本身不会更改数据库或应用程序中的任何内容,也不会造成数据库的性能问题或信息泄露。服务构建了大数据流式计算平台,较传统敏感数据检测手段性能提高5倍以上,将检测任务缩短至分钟级甚至秒级。
  (三) 可信云平台和云服务体系
  为让用户享受安全可信的云平台和云服务,华为云按照全球各区域最权威的安全标准,对技术到流程到人员管理到安全制度等各方面进行不断完善。仅2018年,华为云就获得了各类权威安全合规认证超过十个,平均一个月拿下一个。
  截止目前,华为云已获得46个权威合规认证,包括该次获得的信息安全服务资质。
  三、安全创新不停歇
  杨松最后表示,成绩属于过去,不代表现在,更不代表将来,雄关漫道真如铁,而今迈步从头越,华为云在安全服务上的创新不会停止,为用户提供领先的安全服务的努力不会停歇。