9月15日,由中国网 信办网络安全协调局指导,中国网络安全审查技术与认证中心主办的云计算服务安全分论坛在福州海峡国际会展中心正式举办。会上总结了近年来我国云计算安全管理成效,宣贯云安全政策标准和管理框架,以优秀云服务安全管理应用案例实践为重点用户、云厂商提供重要指引。

会上,华为云安全总裁左文树作了《华为政务云安全评估实践》主题分享,左文树表示,网络安全是数字化转型的基础,是数字世界的底座。如何在日益复杂的网络安全环境下守住安全底线和红线,为政企数字化提供可靠的安全保障,是各组织、企业和云服务商需要解决的严峻问题。

打开网易新闻 查看更多图片

华为云安全总裁左文树现场演讲

自四部委联合发布《云计算服务安全评估办法》等系列标准和要求以来,华为云积极响应并参与云计算服务安全评估工作。目前,华为云多个政务云已经通过云计算服务安全评估,为政企客户的数字化业务夯实云底座。

在长期严苛的安全形势下,华为云构建了完善的安全体系

每年,华为云平台防御的威胁攻击量超数千亿次,DDoS攻击峰值流量最高可达3T。在这样严苛的安全形势下,华为云构建了完善的安全防护体系。华为云在全球设立了三大运营中心,7*24小时守护100+数据中心,实现国家攻防演练0失分,数据泄露0事件,威胁攻击分钟级闭环。

同时,华为云严格解读《云计算服务安全评估办法》要求,对华为政务云平台的评估主要围绕三大方面:业务连续性和供应链安全报告、客户数据可迁移性分析报告、云计算服务系统安全计划(在GB/T 31168标准上是核心要求)。针对以上三方面能力要求,华为云以完善业务连续性和供应链安全能力、客户数据迁移能力、云治理与技术能力为目标,全面支撑华为政务云安全评估。

左文树介绍,数据迁移的风险控制是云评估重点要求之一,华为云迁移服务通过“7阶12步”方法,端到端覆盖云迁移各环节,包括数据迁移的各个场景。华为云迁移服务具备原子化方案和场景化能力,可以实现全业务快速上云,保障数据迁移安全,保障数据主权。

GB/T 31168是云评估的核心标准,在安全组织与人员、系统开发与供应链安全、配置管理、审计、物理与环境保护、访问控制、风险评估与持续监控等10个领域提出了严格要求。在积极参与云安全评估之余,华为还将这些要求融入自身的云安全治理体系、云安全技术体系,通过这种“嵌入式”的方式,华为政务云实现了“上线即达标”的目标。

系统开发与供应链安全是GB/T 31168关键要求之一,华为云将软件工程能力沉淀到云服务DevSecOps流程中,通过10大类92项可信公共能力,达成云服务从持续规划->持续开发与发布->持续运营与运维的端到端DevSecOps业务流,覆盖GB/T 31168中关于开发过程、标准和工具等关键要求。此外,华为云软件供应链安全解决方案,保障供应链涉及的采购、开发和交付全流程,覆盖GB/T 31168中关于供应链安全等关键要求,让软件供应链安全、合规、可持续。

安全治理体系方面,华为云建立了一套端到端的网络安全保障体系,通过将要求“嵌入”全流程的方式以保障安全效果的“确定性”;安全组织与人员上,华为CEO挂帅、强化组织,做到了网络安全“人人有责”。华为云在四个端到端治理(配置管理、证书管理、漏洞治理、账号治理),实现了安全风险全场景、全链路、全生命周期覆盖。

安全技术体系方面,华为云秉持“三分建设,七分运营”的理念,通过构筑“一个中心,七层防线”,在满足云安全评估技术要求的同时,达到“攻击不瘫,数据不丢,监管合规“的目标;通过严谨的管理流程、先进的技术手段,将数字化带来的“不确定性”通过运维变成“确定性”,做到可防、可控、可治,保障政务云业务安全稳定运行。

华为云视“安全、稳定、高质量”为生命线,践行DevSecOps流程,将安全可信理念应用于产品的全生命周期,构建端到端安全可信的云平台;华为云构筑七层防线,通过纵深防御为云上业务“穿盔戴甲”,是最安全可信的云之一。

华为云安全运营的核心服务——“安全云脑“,具备统一管理云上云下资产、智能化安全分析和一体化安全事件处置能力,通过流程和工具将人员经验服务化、事件处置自动化,实现70%的威胁1分钟闭环、99%的威胁事件5分钟闭环。华为云安全运营能力服务化,助力政务云实现安全运营高起点、高效率,让安全运营更轻松、云上业务更安全。

华为积极投入多云同构工作,以“提升云评估效率、缩短评估周期”。华为提出了“4个统一”支撑多云同构的方案,分别是【统一运维】——建立政务云专属运维中心、【统一团队】——部署政务云专属运维团队、【统一规范】——运维中心统一的规范、【统一架构】-——政务云方案HCSO,预计评估工作量可以下降80%,评估效率提升5倍。

9月10日-16日,华为云安全团队携全栈云原生安全服务、安全云脑等重磅产品及解决方案亮相网络安全博览会展馆,通过DEMO演示生动的展示了华为云全栈安全服务立体的安全防护能力、安全运营方案与优秀实践,吸引了政府领导、嘉宾、媒体的高度关注。网络安全周期间,华为云安全还积极参与了全国各地的网安周工作,参加各地的网络安全主题展活动。

华为云坚持技术创新引领产业发展,推动云原生在行业大规模实践,并努力成为值得客户信赖的云。华为云将继续贯彻云计算服务安全评估标准,完善安全能力,为政企客户的云上业务保驾护航。