华为云安全解决方案

1、华为云安全解决方案技术创新，变革未来重大安全事件简介10月8月域名服务商Dyn遭遇DDoS攻击，美国西海岸大规模断网8月3月孟加拉银行被黑客转走8100万美元6月美国民主党被黑客入侵，电子邮件及文档被披露达美航空数百航班被取消，上千航班被延误，无数乘客滞留电缆厂商Leoni AG遭BEC，被骗4460万美元9月知名安全研究人员 Brian Krebs 的安全博客网站被DDoS攻击，攻击带宽达665Gbps9月主机托管公司OVH，遭到达1Tbps的DDoS攻击比利时银行Crelan遭BEC攻击，损失7千万欧元16年1月2月9月Memcached DDoS爆发，CloudFlare遭遇1.35TB

2、攻击8月4月国内某知名视频网站1亿账户信息在网络黑市出售5月WannaCry全球爆发，至少150个国家、30万名用户中招HBO发生大规模数据泄露事件，至少1.5TB的数据被黑客掌握美国最大征信机构之一Equifax，1.43亿消费者信息泄露10月雅虎30亿账户泄露18年1月Intel CPU内核高危漏洞爆发暗网抛售多家中国互联网巨头数据，数据条数达到10亿以上17年1月3月Facebook超过5000万用户信息被泄露目录3华为云安全服务：提供全栈的安全防护2华为云：做最安全的公有云1企业上云的安全顾虑4安全解决方案：构建纵深的云安全体系5安全案例云上客户的安全诉求企业上云的关键安全诉求CSA

3、Top 威胁高级持续性威胁数据丢失尽职调查不足滥用和恶意使用云服务拒绝服务（DoS）共享的技术漏洞数据泄露身份、凭证和访问管理不足不安全的接口和应用程序编程接口系统漏洞账户劫持恶意的内部人员业务连续不中断:防网络攻击防黑客入侵法律遵从、合规运维全程可管控：配置安全策略风险识别和处置操作可审计、追溯数据保密不扩散：防外部窃取内部非授权员工不可见云服务商不可见目录3华为云安全服务：提供全栈的安全防护2华为云：做最安全的公有云1企业上云的安全顾虑4安全解决方案：构建纵深的云安全体系5安全案例防火墙VPNWAFIPSAnti-DDoS基础设施安全边界防御安全数据安全主机安全虚拟网络安全IaaSPaaS

4、SaaS云服务安全 自研服务 合作生态运营安全运营牌照租户生命周期服务生命周期责任边界合同管理可信云认证信息安全等保ISO27001CSA STAR分析响应检测运维安全感知租户安全云平台安全运营管理交易管理合规安全（标准和认证）安全服务PCISOC华为云全栈防护体系全球唯一具备软硬件一体化优势的云安全服务提供商华为云平台网络安全防护能力安全日志收集安全威胁与事件响应WAFVPNHost Guard主机防御CMDBFirewallAnti-DDOS漏洞扫描应用日志堡垒机信安系统IPS银河系统（安全大数据与人工智能）安全运维人员SOCWAF/IPS网络监控7X24 安全威胁与事件检测、分析与响应统

5、一平台华北Region华东RegionAnti-DDOS信安系统网络监控IPSWAF其他.华南RegionAnti-DDOS信安系统网络监控IPSWAF其他.内控审计人员外部第三方审计华为公司内部IT基础设施安全部门已经合并至Cloud BU，同一个平台、同一个团队，利用30年积累的安全能力，为华为公司和华为云租户提供全球最高等级的安全保护华为云平台网络安全安全区域划分与隔离DMZ公共服务区Public Service资源交付区POD （Point of Delivery）数据存储区OBS （Object Based Storage）运维管理区OM （Operations Management

6、）业务平面划分与隔离租户数据平面业务控制平面平台运维平面BMC管理平面(Baseboard Management Controller)数据存储平面网络边界防护Anti-DDoSIDS/IPSWAFO&MDMZPODOBSPublic ServiceInternetAdmin LAN(Intranet)WAFNGFW & IPSAnti-DDoSInternet Inspection CenterAnti-DDoSClean CenterManagement CenterFWIPS/IDSVPN CloudBotnetHackerWorm Anti-DDoS Firewall IPS/IDS

7、WAF IPsec / SSL VPN华为云平台网络边界安全防护WAF华为云平台虚拟化安全vCPU 隔离虚拟化平台基于业界通用的硬件辅助虚拟化技术（Intel VT-x）实现。基于硬件虚拟化的CPU 隔离主要是指虚拟化平台与虚拟机之间的隔离，虚拟机内部的权限分配和虚拟机与虚拟机之间的隔离。内存隔离虚拟化平台负责为虚拟机提供内存资源，保证每个虚拟机只能访问到其自身的内存。虚拟化平台管理虚拟机内存与真实物理内存之间的映射关系，保证虚拟机内存与物理内存之间形成一一映射关系。I/O 隔离虚拟化平台还给虚拟机提供了虚拟I/O 设备，包括磁盘、网卡、鼠标、键盘等。虚拟化平台为每个虚拟机提供独立的设备，避免

8、多个虚拟机共享设备造成的信息泄露。CPUMemoryNIC物理资源层vNICvMemoryvCPUvNICvMemoryvCPUvNICvMemoryvCPUvNICvMemoryvCPUVM虚拟机vCPUvMemoryvNICOSvCPUvMemoryvNICOSvCPUvMemoryvNICOSvCPUvMemoryvNICOS虚拟化资源池VM虚拟机VM虚拟机VM虚拟机华为云平台数据安全平台层数据访问隔离IAM 权限访问控制数据隔离机制传输加密Data CenterVPNTLS数据存储加密KMSVBSIMSEVSOBS数据删除机制内存删除将内存重新分配给用户之前，会对分配的内存进行清零操作

9、，即写“零”处理物理磁盘报废处理当物理磁盘报废时，华为云通过对存储介质进行消磁、折弯或破碎等方式清除数据，并对数据清除操作保存完整记录磁盘数据删除华为云对销户虚拟卷采用清零措施，确保数据不可恢复Cloud 数据存储加密使用KMS密钥进行加密华为云平台 API 安全身份认证&鉴权认证方式支持以下2种:Token 认证AK/SK 认证传输保护TLS 1.2Perfect Forward Secrecy (PFS)API流量控制网关提供针对API级别和租户级别的分钟级流控配置。API 注册: 只有在API 网关上注册的API接口，才能被租户访问。ACL 规则限制：允许租户自行配置特定的租户信息和网段

10、信息防重放攻击:当API网关接受过期请求时，将会执行拒绝措施防止重放攻击。防暴力破解:当接受某个AK/SK 请求时，API 网关的防暴力破解机制一旦监测到失败请求次数已超出API 网关所设定允许次数，会拒绝该请求并执行限时锁定。API GatewayTenantPublic Services Zone DMZ区Service AService BService CAPI 防护机制安全运维：运维体系日志收集日志分析账号统一管理攻击取证智能检测与分析漏洞扫描存储云平台云服务计算服务器安全运维体系 风险管理智能分析 安全信息与事件管理特权账号责任到人定向监控实时响应统一管理集中存储实时响应入侵侦测入

11、侵回溯情报预警定期评估漏洞发现可视报表华为云平台内控管理能力华为公司建立了严格的内控管理制度，从流程和技术两个方面，约束了华为云平台运维管理人员的行为规范，并通过月度遵从性测试、半年度内控成熟度评估、内部独立审计等，确保华为云内外合规，信守对客户“不碰数据”的承诺。公司流程技术及关键控制点访问控制华为云客户网络接入授权管理规定办公计算机、网络、应用系统、存储介质及办公外设安全管理规定系统账号/权限管理流程未经客户书面授权，不得以任何形式访问客户的任何数据运维人员只有使用华为公司的设备，通过双因子认证才能访问运维网络，并且仅能通过运维堡垒机访问目标系统运维人员全过程不接触目标系统的特权账号和密码

12、，由堡垒机进行自动托管，并在每次会话结束后自动更新密码运维数据只能通过专用通道传输，通道内的数据保留60天无法删除，并由信息安全管理专员对传输的数据独立稽查运维人员权限每半年审视一次，岗位调动时原有权限通过IAM系统即时清理变更管理华为云变更管理流程华为云事件管理流程运维堡垒机与工单系统联动，只有处于Open状态的事件或者变更，才能触发堡垒机获得授权登录目标系统审计IT系统安全日志管理要求所有系统必须开启安全日志，每笔日志记录内容至少需要包含日期、时间、访问尝试类型、访问发起的IP及ID、被访问对象等安全日志集中存储保存的时间不低于半年人员管理华为云现网运维人员安全管理规定与行为规范关于网络安

13、全与用户隐私保护关键岗位的管理要求外部人员信息安全管理指南华为云运维人员上岗前必须签署信息安全承诺书所有员工必须每年必须完成一次网络安全与用户隐私保护考试对于有权限接触数据的关键岗位人员，上岗前需要经过额外的安全背景审查外包人员除遵守上述要求外，在IT账号上对外包人员进行标识，技术上限制外包人员无法获得关键权限问责网络安全违规问责制度按照违规行为分为四个问责级别，最严重违规将解除劳动合同，追究法律责任面向全球构建合规，满足全球用户合规需求TUV Trusted CloudCSA-STARISO27001IDC/ISPTrusted CloudISOESARISITSSTrusted Cloud

14、OTC华为云95%各服务安全需求满足度从80%提升到95%31+分解为31+大类安全规范1000+分解为1000+条测试用例50+分解为50+安全技术基线200+每年持续投入200+人进行安全改进第三方多次要求第三方机构对云平台进行安全测试德国PSA认证123654华为云在全球获得的部分安全认证华为云通过德国PSA案例20+全球权威认证，持续增加，满足全球不同行业、不同区域合规需求等保可信云网络安全审查目录3华为云安全服务：提供全栈的安全防护2华为云：做最安全的公有云1企业上云的安全顾虑4安全解决方案：构建纵深的云安全体系5安全案例数据加密木马上传非授权访问SQL注入进不来XSS跨站恶意插件

15、自动学习应用安全数据库安全自动发现动态脱敏全面控防精准审计看不到拿不走强合规性国际标准算法第三方HSM密钥管理数据加密数据库安全应用安全网络通道加密数据接入控制数据数据安全应用安全主机安全Anti-DDoSDDoS高防漏洞管理资产管理基线检查Web应用防火墙主机扫描密钥管理密钥对登陆数据脱敏数据专属加密EVS/VBS/IMS/OBS/RDS加密网络安全化理念为实践更懂企业云安全需求，长期服务企业的安全品质云防火墙端云协同防护安全管理主机安全体检态势感知安全监测证书管理云堡垒机安全风险和方案安全服务入侵检测应急响应网站安全体检安全加固中间件（含DB）扫描Web扫描弱密码扫描业务逻辑扫描编码扫描数

16、据库审计数据库防火墙以数据安全为中心，构建一系列企业级精品安全服务网页防篡改DDoS高防服务是针对游戏、金融、电商等用户遭受的大流量DDoS攻击，推出的付费增值服务源站被防护服务器高防中心接入高防VIP1IP1DNS服务=IP1=VIP1流量回源用户DDoS高防服务：T级攻击下，业务无损防御T级清洗能力，7大清洗节点，弹性防护按天付费全球云清洗资源调度，端云协同，近源清洗云清联盟全球情报共享，DDoS攻击协同防御海量攻击防护独有“V-ISA”信誉体系，七层报文过滤， 唯一实现“100%防御，业务零影响”可精确防御100+种DDoS攻击，防御类型业界最多最强单设备性能1.96Tbps，逐包检测，

17、攻击秒级响应精准攻击防御优质骨干网接入，全国回源延迟小于50ms高防清洗调度平台线路可用监控，异地调度支持同线路不同区域、不同线路IP切换，高防业务稳定可靠极速可靠访问17年专业DDoS防护经验，平均每周防护1000+次以上攻击运营商领域多年深厚积累，调度响应快，骨干网络运维经验丰富专业运营团队网络安全主机安全应用安全数据安全安全管理企业主机安全（HSS）：云服务器贴身安全管家主机安全Agent主机安全管理中心Console资产管理云上/云下主机漏洞管理基线检查入侵检测统一安全管理资产、配置、漏洞精准检测安全风险可视化，态势可感知安全资产变动实时通知安全风险管理智能入侵检测企业安全合规100%

18、账户暴力破解防护先进WebShell检测库与沙箱基于AI的高级恶意程序检测独家支持网页防篡改业界标杆的10+配置基线检查满足等保合规测评要求满足PCI-DSS文件完整性要求大企业10000+同时稳定运行实践，减少90%被攻击次数，100%保护主机安全*支持华为云、非华为云、私有云、数据中心部署网络安全主机安全应用安全数据安全安全管理Web应用防火墙：Web服务的“最佳搭档”技术创新独创 双引擎检测（规则+AI）独创“动态”防爬虫算法精准 IP+Cookie双重验证阻断CC攻击Web服务器（华为云）防护引擎集群WEB流量流量回源正常用户Web应用防火墙华北华东华南香港租户VPC华为云攻击者WEB

19、攻击流量“WAF的主要好处就是可以防范企业开发的Web应用代码中“自己造成的”安全漏洞，并且防范主流Web应用软件中的安全漏洞。”Gartner 2017将www.XX.com流量引流至华为云Web应用防火墙Web服务器（非华为云）华为云外部专业可靠异地容灾隐私屏蔽7*24小时专人值守简单易用零维护成本配置界面简洁易懂安全专家答疑解惑网络安全主机安全应用安全数据安全安全管理漏洞扫描服务：“无死角”发现漏洞简单易用零维护成本：无组件安装，零运维极简UI：界面简洁易懂专家咨询：安全专家在线答疑解惑漏洞扫描服务(VSS)编码安全性检查主机扫描Web扫描逻辑扫描数据库扫描安全基线弱口令中间件扫描服务器

20、华为云租户VPC服务器非华为云引擎集群华为云探测报文探测报文监测全面一机多能：拥有Web/主机/系统/数据库/安全基线/弱口令等多种扫描能力编码检查：消灭漏洞于程序开发阶段“无死角”扫描：支持公/私网IP扫描快速高效多引擎协同：弹性扩缩，快速高效更新快速：漏洞库平均更新时间48h按需扫描：“无害”V.S.“深度”网络安全主机安全应用安全数据安全安全管理数据加密服务（DEW）：实现云上数据透明、可控、可管理密钥加密ECS数据密钥1用户主密钥1数据密钥2数据密钥3数据密钥4数据密钥5数据加密IMSOBSEVSVBS用户主密钥2用户主密钥3用户主密钥4用户主密钥5密钥管理服务（KMS）专属加密服务（

21、Dedicated HSM）虚拟HSM虚拟HSM独享HSM业务虚拟机ECMECMAPPECMECMAPPECSECS加密芯片加密芯片加密芯片租户A租户BVIP业务虚拟机ECMECMAPPECS密钥对登陆高安全性：只有租户可以访问和操作高性价比：总运营成本（TCO）相比线下下降75%以上独享芯片加密：保障业务性能合规性满足：支持国密或FIPS140-2 Level 3成本更低：按需付费 数据加密：集成多个云服务，加密用户数据密钥管理：国内最丰富的密钥管理特性密钥保护：采用经过认证的HSM作为信任根网络安全主机安全应用安全数据安全安全管理数据库安全服务（DBSS）：全方位防护云上数据库数据库数据库

22、防火墙权责分离SQL注入防御数据访问控制数据库安全实时脱敏保证敏感数据不外泄动态数据脱敏敏感数据根据策略配置和要求，自动定位和分类敏感数据发现提供列表级的管理活动和访问活动监控数据库审计数据库安全服务介绍普通数据RDS 管理界面个人病历1、主备规则同步2、浮动IP，故障自动接管用户/攻击者DBSS服务华为云RDS数据用户自建数据库主DBSS普通用户医院医生攻击者备DBSS12防护某医院案例敏感数据发现并动态脱敏网络安全主机安全应用安全数据安全安全管理安全专家服务（SES）：因为专业，所以放心全面的专家服务完整的解决方案专业的合作伙伴事前安全评估，排查隐患事中安全监测，监控风险事后应急响应，消除

23、威胁为每一条漏洞提供安全建议提供网络安全、数据安全、应用安全、主机安全立体解决方案建议23国家级信息安全测试机构CISSP、CISA资质专家1为用户业务提供安全体检、安全加固、安全监测以及应急响应等一站式服务下单咨询资质核验明确范围购买服务全面体检查漏补缺报告审核方案建议网络安全主机安全应用安全数据安全安全管理安全中心（Security Center）安全风险指数独家加权算法，为用户提供直观的风险评级资产安全状况安全状况一目了然，快速找出安全短板威胁事件统计覆盖DDoS、暴力破解、Web攻击等主流威胁资产威胁趋势帮助用户密切洞悉风险资产变化情况攻击来源排名呈现Top攻击来源，为攻击溯源提供判断

24、依据攻防态势尽收眼底，提供极致SecOPS体验网络安全主机安全应用安全数据安全安全管理云堡垒机服务：云上安全运维管家授权总部的企业员工分支机构的企业员工远程第三方运维人员现场第三方运维人员服务器网络设备云主机应用程序数据库主账号一主账号二主账号三主账号四从账号A从账号D从账号C从账号B从账号E操作与审计访问控制免于安装无须安装部署，一站式运维和安全管理，简化运维和安全操作，降低企业运维和安全成本易于审计可视化所有操作和行为，并提供实时监控、录屏、回放等功能，保障资产的可控无限并发云堡垒机多种版本，支持20到无限资产，不限并发数，企业无需担心运维的并发压力安全合规满足“网络安全法”等的规定，企业

25、必须采取信息系统风险内控与审计措施的要求，满足企业合规需求网络安全主机安全应用安全数据安全安全管理SSL证书管理服务：实现网站和应用的安全传输SSL证书管理（SSL Certificate Manager， SCM）是华为联合全球知名数字证书服务机构，为Web网站、APP服务器提供的一站式安全套接层（SSL）证书和传输层安全（TLS）证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输证书签发机构SSL证书管理ELBECS网站bhttps手机接入浏览器接入网站ahttpsWAFDNS与基础服务联动证书管理网站可信应用可信数据传输保护防止仿冒合法应用保护完整性4大证书品牌国内最全5种证

26、书类型覆盖各类场景1键推送简单易用1证多域名自由组合网络安全主机安全应用安全数据安全安全管理安全生态网络安全主机安全数据安全应用安全安全管理安全超市DDoS高防WAFHSSKMS数据库防火墙安全服务政务行业视频行业安全解决方案等保合规方案解决方案云行业解决方案通用安全解决方案生态的基础目录3华为云安全服务：提供全栈的安全防护2华为云：做最安全的公有云1企业上云的安全顾虑4安全解决方案：构建纵深的云安全体系5安全案例SAP安全解决方案结合华为多年企业级安全实战积累，围绕SAP典型安全风险及业务架构特点，为客户打造专业、稳定、可靠的安全解决方案。网络隔离及访问控制VPC、网络ACLSAP系统安全（

27、生产、开发/测试）主机安全、VPN/DC、下一代防火墙SAP Hybirs安全WAF、Anti-DDoS运维安全堡垒机安全管理安全体检、漏洞扫描、态势感知、秘钥管理Web安全防护云WAF支持超强编码还原能力，检测率高，误报率低智能人机识别，防御CC提供独家网页防篡改能力高防IP & CC防御独家“ISA(IP/Session/APP)”信誉机制，支持防护攻击类型最多七层过滤、逐包检测、逐层清洗，业界最细检测粒度纵深CC防御：基础&高防DDOS、云WAF均支持CC防御特性数据库安全服务基于反向代理及机器学习机制，提供防SQL注入攻击、敏感数据发现、数据脱敏和数据库审计等功能，保障云上数据库安全移动安全生态专业的移动安全服务提供商，适配华为云，提供从开发至运营，全生命周期的移动App安全服务，有效防止破解外挂、客户端仿冒等威胁游戏安全解决方案电商安全解决方案数据是电商客户的最重要资源，华为云恪守数据中立原则，推出多种以数据安全为核心的安全服务，针对电商行业特点，帮助电商客户构建数据的全栈防