日后如果總結2018年的華為云,“安全合規”肯定會(huì )被提及,并被濃墨重彩地載入華為云的發(fā)展史:這一年,華為云通過(guò)各類(lèi)權威安全合規認證超過(guò)十個(gè),平均一個(gè)月拿下一個(gè)。
如此壓強式的安全投入,相當于一年干了別人三到五年的工作,“上不碰應用,下不碰數據”的承諾,從不只是口號,更不是公關(guān)噱頭,而是有著(zhù)切實(shí)強大的落地措施。
安全合規為什么越來(lái)越重要?
為什么用戶(hù)和云廠(chǎng)商越來(lái)越重視安全合規認證?為什么云廠(chǎng)商要花大力氣、大資源來(lái)通過(guò)它?有兩方面的原因。
首先,從用戶(hù)需求來(lái)看,每個(gè)用戶(hù)都希望所使用的云平臺、云服務(wù)有足夠的安全性,能夠保障自己云上的數據不被破壞、竊取。安全合規認證,就是加強云平臺安全的一種重要途徑。打個(gè)比方來(lái)說(shuō):
每個(gè)人上高速都需要懂得各種交通規則制度,取得駕駛證,上路才安全。云廠(chǎng)商運營(yíng)云業(yè)務(wù)也一樣的。各類(lèi)安全合規制度,從不同的角度,包括人員管理上、資源上、技術(shù)上、流程上等等,對云平臺進(jìn)行評價(jià),符合了這些權威的要求和規范,才可以認為這朵云是比較安全的。
不符合呢?那就要整改,直到符合為止。通過(guò)了這些安全合規制度的測試和要求,權威機構就會(huì )給云廠(chǎng)商頒發(fā)各類(lèi)“認證”,相當于云廠(chǎng)商在云上的駕駛證
安全合規不能保證云平臺和云服務(wù)絕對安全,就像有了駕照不一定就不出交通事故一樣,但合規認證是安全的基礎,很難想象一個(gè)人不懂交規、沒(méi)有駕照,卻在高速公路上橫沖直撞會(huì )帶來(lái)什么后果。
其次,隨著(zhù)《網(wǎng)絡(luò )安全法》等安全法律法規的頒布,保障IT系統的安全合規性,已經(jīng)成為企業(yè)的法律義務(wù)。公安部門(mén)會(huì )不定期對各組織進(jìn)行檢查,不滿(mǎn)足《網(wǎng)絡(luò )安全法》要求的企業(yè),將受到通報和嚴厲處罰,比如對不定期進(jìn)行等保備案的企業(yè)進(jìn)行通報等。
可見(jiàn),合規認證是保障云平臺安全的基礎,是提升云平臺安全性的重要途徑。不僅從用戶(hù)需求上,也從國家法律上,切切實(shí)實(shí)做好安全合規認證,是每個(gè)云廠(chǎng)商都必須持續投入的工作。
安全合規認證都哪些類(lèi)別?
主要包括三類(lèi):
基本認證類(lèi)
滿(mǎn)足通用安全標準,相當于一個(gè)普適的安全要求,所有行業(yè)都可以通過(guò)它來(lái)提升平臺的安全性,如華為云持有的云安全CSA STAR金牌認證、ISO27001。有的認證是強制的,比如今年華為云通過(guò)的公安部安全等保四級等。
區域認證類(lèi)
滿(mǎn)足所在特定區域的安全要求,如華為云已在德國獲得的Trusted Cloud、IT- Grundschutz認證等。
行業(yè)/服務(wù)增強認證類(lèi)
即針對特定行業(yè),進(jìn)行更強的安全認證,滿(mǎn)足這部分行業(yè)客戶(hù)的安全要求,如華為云此次通過(guò)的PCI-DSS認證,可提升金融、支付業(yè)務(wù)的安全性;工信部可信云認證,用以提升服務(wù)安全性等。
2018,華為云的安全合規之年
- 2月14日,華為云高分通過(guò)BSIMM安全測評,軟件安全能力進(jìn)入全球前三,成為中國首家和獨家獲得此權威認證的云服務(wù)提供商。
精彩回顧:《華為云首家通過(guò)BSIMM,安全能力進(jìn)入全球前三》
- 3月22日,國內首家全平臺全節點(diǎn)全服務(wù)通過(guò)PCI-DSS,是目前全球最嚴格、級別最高、最權威的金融機構安全認證標準。
精彩回顧:《華為云中國唯一全平臺全節點(diǎn)全服務(wù)通過(guò)PCI-DSS安全認證》
- 6月29日,高分通過(guò)公安部安全等保4級,覆蓋了華為云的關(guān)鍵region、節點(diǎn),標志著(zhù)華為云已率先滿(mǎn)足等保2.0的要求,為用戶(hù)提供更加安全可靠的云服務(wù)。
精彩回顧:《華為云高分通過(guò)公安部安全等保4級》
- 7月18日,全平臺全節點(diǎn)全類(lèi)服務(wù)獲得ISO 27018認證,表明華為云已擁有完備的個(gè)人數據保護管理系統,在數據安全管理方面處于全球領(lǐng)先水平;
精彩回顧:《國內首家 | 華為云全類(lèi)服務(wù)全平臺全節點(diǎn)通過(guò)ISO27018認證》
- 7月,還發(fā)布了國內首個(gè)完整的公有云容災備份解決方案——華為云Multi cloud混合云災備解決方案,涵蓋跨云備份、跨云容災以及云上容災三大場(chǎng)景,有效提高企業(yè)業(yè)務(wù)連續性,保障關(guān)鍵數據安全可靠。
精彩回顧:《+AI時(shí)代,華為云持續創(chuàng )新加速人工智能行業(yè)落地》
- 8月21日,華為云政務(wù)平臺以“增強”級通過(guò)中央網(wǎng)信辦網(wǎng)絡(luò )安全審查,表明華為云政務(wù)平臺已建立全生命周期、健全的網(wǎng)絡(luò )安全管理體系,全面滿(mǎn)足政務(wù)等行業(yè)上云的高安全要求;
精彩回顧:《華為云政務(wù)平臺通過(guò)中央網(wǎng)信辦網(wǎng)絡(luò )安全審查》
- 緊接著(zhù)在中國信息通信研究院主辦的“2018可信云大會(huì )”上獲得三項大獎;緊隨其后,華為云以“在安全上取得的卓越成就和對業(yè)界做出的杰出貢獻”獲英國標準協(xié)會(huì )(BSI)卓越績(jì)效大獎。
精彩回顧:《安全水平全球領(lǐng)先 華為云獲頒卓越績(jì)效大獎》
- 11月2日,華為云通過(guò)的SOC1/2審計,表明華為云的安全控制措施經(jīng)過(guò)了第三方機構的嚴格檢驗,內控管理水平全球領(lǐng)先。
精彩回顧:《安全水平世界領(lǐng)先,華為云通過(guò)全球權威數據安全審計》
- 11月5日,全節點(diǎn)、全服務(wù)種類(lèi)通過(guò)ISO20000認證,表明華為云的服務(wù)管理水平再次獲得國際權威認可,能夠為客戶(hù)提供高質(zhì)量、高水平的云服務(wù)。
精彩回顧:《三天下兩城,華為云通過(guò)ISO20000全球權威認證》
“三不”承諾的切實(shí)落地
早在2015年,華為云便提出了著(zhù)名的“上不碰應用,下不碰數據”,2017年又增加了“不做股權投資”的承諾,表明了華為云絕不碰用戶(hù)數據,把數據主權完全交給用戶(hù)的決心,并增強對安全的投入,從技術(shù)上落地之。目前,“三不”承諾正遍地開(kāi)花,獲得用戶(hù)高度認可,各大云廠(chǎng)商也紛紛跟進(jìn),成為行業(yè)實(shí)施標準。
總結與反思往往成為年終的你我首先會(huì )做的事情:這一年做了什么?得到了什么?哪些本可以做得更好?來(lái)年怎么做?
華為云安全——華為云的網(wǎng)絡(luò )安全保衛組織,也在思考著(zhù)同樣的問(wèn)題,但不變的是那捍衛用戶(hù)數據安全的決心。
