華為：華為云新加坡政府行業安全合規解決方案（50頁）.pdf

《華為：華為云新加坡政府行業安全合規解決方案（50頁）.pdf》由會員分享，可在線閱讀，更多相關《華為：華為云新加坡政府行業安全合規解決方案（50頁）.pdf（50頁珍藏版）》請在三個皮匠報告上搜索。

1、 華為云新加坡政府行業安全合規解決方案 文檔版本 1.0 發布日期 2024-07-11 華為云計算技術有限公司 文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 2 版權所有 華為云計算技術有限公司 2023。保留一切權利。非經本公司書面許可，任何單位和個人不得擅自摘抄、復制本文檔內容的部分或全部，并不得以任何形式傳播。商標聲明 和其他華為商標均為華為技術有限公司的商標。本文檔提及的其他所有商標或注冊商標，由各自的所有人擁有。注意 您購買的產品、服務或特性等應受華為云計算技術有限公司商業合同和條款的約束，本文檔中描述的全部或部分產品、服務或特性可能不在您的購買或使用范

2、圍之內。除非合同另有約定，華為云計算技術有限公司對本文檔內容不做任何明示或暗示的聲明或保證。由于產品版本升級或其他原因，本文檔內容會不定期進行更新。除非另有約定，本文檔僅作為使用指導，本文檔中的所有陳述、信息和建議不構成任何明示或暗示的擔保。華為云計算技術有限公司 地址：貴州省貴安新區黔中大道交興功路華為云數據中心 郵編：550029 網址：https:/ 1.0(2024-07-11)版權所有 華為云計算技術有限公司 3 目 錄 1 概述.5 1.1 發布背景和目的.5 1.2 華為云全球基礎設施.6 1.3 華為云認證情況.6 2 信息通信技術和智慧系統（ICT&SS）管理指導手冊介紹.1

3、1 2.1 發布背景.11 2.2 目標.12 2.3 內容.12 2.4 目標受眾.13 3 華為云云服務網絡安全與合規標準（“3CS”）介紹.14 3.1 發布背景與目的.14 3.2 3CS 總體框架.14 3.3 3CS 核心控制要求概述.16 3.4 3CS 參考標準介紹.19 4 華為云網絡安全與隱私保護實踐與安全能力.23 4.1 訪問控制.24 4.2 安全事件管理.25 4.3 日志管理.25 4.4 威脅與漏洞管理.26 4.5 業務連續性管理與災難恢復.27 4.6 網絡安全.28 4.7 數據安全.29 4.8 數據泄露.32 4.9 密鑰管理.33 5 華為云協助客戶

4、提升網絡安全與隱私保護能力.36 5.1 訪問控制.37 文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 4 5.2 安全事件管理.38 5.3 日志管理.39 5.4 威脅與漏洞管理.40 5.5 業務連續性管理與災難恢復.40 5.6 網絡安全.41 5.7 數據安全.42 5.8 數據泄露.42 6 結語.44 7 版本歷史.45 8 附錄 1-華為云 3CS 與 CIS Controls 映射.46 9 附錄 2-華為云產品和服務所支持的加密標準或協議.49 文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 5 1 概述 1.1 發布背

5、景和目的 隨著技術發展進步，對云計算的使用已經成為世界多國政府機構的常態。云計算為各國政府機構的信息化發展帶來極大的便利的同時，也為其創造了一個復雜的環境。面對外部環境的變化，新加坡政府在多個方面采取了積極的舉措進行有效應對。2021 年 10 月 5 日，新加坡發布了2021 年新加坡網絡安全戰略，旨在通過提升該國網絡安全水平從而維護國家安全，同時推動數字化的發展。該戰略明確了三個戰略性支柱（建設負有韌性的基礎設施、促成更安全的網絡空間、加強國際網絡合作）和兩個基礎性的因素（建立一個充滿活力的網絡安全生態系統、發展強大的人才通道）。其中，圍繞著“建設負有韌性的基礎設施”，新加坡政府著重強調了

6、要確保所有的政府系統的安全性和韌性。為此，新加坡政府明確要求所有政府實體需要遵從Instructional Manual 8(簡稱 IM8，本文第二章將詳細介紹）的要求并定期進行審查。IM8 是新加坡政府機構用于保護其信息通信技術和智慧系統（ICT&SS）資產的管理工具。根據系統的分類和重要性，IM8 為新加坡政府機構系統制定了有針對性的安全衛生實踐要求。對于 CSP 而言，IM8 對其在安全合規方面的能力以及其能夠為新加坡政府機構客戶提供的支持提出了更高的要求。除提出新的國家戰略外，為規范本國政府機構對于云計算的使用，新加坡政府還建立了政府商業云（Government on Commerci

7、al Cloud，簡稱 GCC）平臺，統一管理新加坡政府機構對于 CSP 所提供的各種解決方案的采購。新加坡政府技術局（Government Technology Agency，簡稱 GovTech）負責管理 GCC 平臺相關事務。CSP 僅在通過 GovTech 的評估，進入 GCC 的資源池后，才能夠為新加坡政府機構提供產品和服務。GovTech 對于 CSP 的評估將考慮多種因素，例如市場占有率、在新加坡的投資規模等，CSP 在網絡安全與隱私保護方面的能力則是評估要素之一。此外，值得注意的是，在進入 GCC 資源池后，CSP 將會面臨來自其他已經進入 GCC 資源池的友商的競爭。對此，C

8、SP 必須通過展現自身安全合規能力，吸引新加坡政府機構選擇其產品和服務。華為云作為 CSP，始終致力于協助政府機構客戶實現安全合規，持續為政府機構客戶提供遵從網絡安全與隱私保護監管要求與行業標準要求的云服務及業務運行環境。本解決方案通過對網絡安全與隱私保護監管要求和行業標準的識別與解讀，總結了新加坡政府機構在使用云計算時需考慮的關鍵領域，并就這些關鍵領域闡述了華為云的安全合規能力與實踐，從而為華為云通過 GovTech 的評估并成為新加坡政府所認可的 CSP 提供助力。此外，本解決方案還就新加坡政府機構客戶需遵從的包括 IM8 在內的監管要求，向其提供了可幫助其提升安全能力的華為云產品和服務，

9、以協助新加坡政府機構客戶滿足安全合規方面的需求。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 6 1.2 華為云全球基礎設施 華為云的基礎設施采用在全球部署多個地理區域（Region）和多個可用區（AZ）的模式。目前，華為云已布局全球 30 個地理區域、84 個可用區，覆蓋 170 多個國家和地區，遍布亞太、拉美、非洲、歐洲和中東等地域。其中，新加坡作為華為云開展國際業務的中心，在華為云向全球客戶提供安全穩定的云服務的過程中發揮著重要的作用。華為云能夠在多個地理區域內或同一地域內多個可用區之間靈活替換計算實例和存儲數據，每個可用區都是一個獨立故障維護域，也就是各可用

10、區物理上是隔離的。用戶可充分利用這些地理區域和可用區，規劃應用系統在云上的部署和運行?；诙鄠€可用區進行應用的分布式部署，可保證在大多故障情況下系統都能連續運行。關于更多關于華為云基礎設施的信息，參見華為云官網“全球基礎設施”。圖 1 華為云全球布局 1.3 華為云認證情況 華為云繼承了華為公司完備的管理體系以及 IT 系統的建設和運營經驗，對華為云各項服務的集成、運營及維護進行主動管理，并持續改進。截至目前，華為云已獲得眾多國際和行業安全合規資質認證，全力保障客戶部署業務的安全，主要包括：全球性標準類認證 認證 產品介紹 文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公

11、司 7 ISO 20000-1:2018 ISO 20000 是針對信息技術服務管理領域的國際標準，提供設計、建立、實施、運行、監控、評審、維護和改進服務管理體系的模型以 保證服務供應商可提供有效的 IT 服務來滿足客戶和業務的需求。ISO 27001:2022 ISO 27001 是目前國際上被廣泛接受和應用的信息安全管理體系認證 標準。該標準以風險管理為核心，通過定期評估風險和對應的控制措施來有效保證組織信息安全管理體系的持續運行。ISO 27017:2015 ISO 27017 是針對云計算信息安全的國際認證。ISO 27017 的通過，表明華為云在信息安全管理能力達到了國際公認的最佳實

12、踐。ISO 22301:2019 ISO 22301 是國際公認的業務連續性管理體系標準，通過對風險的識別、分析和預警來幫助組織規避潛在事件的發生，并且制定完備的“業務連續性計劃”，有效地應對中斷發生后的快速恢復，保持核心功能正常運行，將損失和恢復成本降至最低。SOC 審計(SOC 1 Type II,SOC 2 Type II,SOC 3)SOC 審計報告是由第三方審計機構根據美國注冊會計師協會（AICPA）制定的相關準則，針對外包服務商的系統和內部控制情況 出具的獨立審計報告。華為云已獲得 SOC 1 Type II，SOC 2 Type II 和 SOC 3 鑒證審計報告三項權威認證，其

13、中 SOC 2 五大控制屬性審計全部通過，為全球首家，表明華為云平臺的信息安全管理能力已達到國際公認的最高標準，能夠為您提供世界一流的安全隱私保障及服務。PCI DSS 認證 支付卡行業數據安全標準（PCI DSS）是由 JCB、美國運通、Discovers 萬事達和 Visa 等五家國際信用卡組織共同建立的一套支付卡行業數據安全標準，由支付卡行業安全標準委員會管理。它是世界上最權威、最嚴格的金融機構認證。CSA STAR 金牌認證 CSA STAR 認證是由標準研發機構 BSI（英國標準協會）和 CSA（云安全聯盟）合作推出的國際范圍內的針對云安全水平的權威認證，旨在應對與云安全相關的特定問

14、題，協助云計算服務商展現其服務成熟度的解決方案。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 8 國際通用準則 CC EAL3+CC（Common Criteria）認證是一種信息技術產品和系統安全性的評估標準，它提供了一組通用的安全功能要求和安全保證要求，并在這些保證要求的基礎上提供衡量 IT 安全性的尺度（即評估保證級 EAL），使得獨立的安全評估結果可以互相比較。ISO 27018:2019 ISO 27018 是專注于云中個人數據保護的國際行為準則。ISO 27018 的通過，表明華為云已滿足國際認可的公有云個人數據保護措施的 要求，可保證客戶個人數據安全。

15、ISO 29151:2017 ISO 29151 是國際個人身份信息保護實踐指南。ISO 29151 的通過，表明華為云實施國際認可的個人數據處理的全生命周期的管理措施。ISO 27701:2019 ISO 27701 規定了建立、實施、維護和持續改進隱私相關所特定的管理體系的要求。華為云通過 ISO 27701 表明了其在個人數據保護具有健全的體制。BS 10012:2017 BS 10012 是 BSI 發布的個人信息數據管理體系標準，BS10012 認證的通過表明華為云在個人數據保護上擁有完整的體系以保證個人數據安全。PCI 3DS PCI 3DS 標準旨在保護執行特定 3DS 功能或者

16、存儲 3DS 數據的 3DS 環境，支持 3DS 的實施。PCI 3DS 認證的通過表明華為云在 3D 協議執行環境的過程、流程、人員管理等方面符合安全標準。地區性標準類認證 認證 產品介紹 TISAX 認證（德國）TISAX（Trusted Information Security Assessment Exchange，可信信息安全評估交換）是德國汽車工業聯合會（VDA）聯合歐洲汽車工業安全數據交換協會（ENX）推出的汽車行業信息安全評估和數據交換安全標準。TISAX 認證的通過，表明華為云已滿足歐洲認可的汽車行業信息安全標準。文檔版本 1.0(2024-07-11)版權所有 華為云計算技

17、術有限公司 9 MTCS Level 3 認證（新加坡）MTCS 多層云計算安全規范是由新加坡信息技術標準委員會制定的標準。該標準要求 CSP 在云計算中采用健全的風險管理和安全實踐。目前華為云新加坡大區獲得 MTCS 最高安全評級的 Level 3 等級認證。OSPAR 認證（新加坡）OSPAR 是新加坡銀行業協會（ABS）對外包服務提供商出具的審計報告。華為云通過了新加坡銀行協會（ABS）關于控制外包服務提供商的目標和流程的指南（ABS 指南），證明了華為云是符合 ABS 指南中規定的控制措施的外包服務提供商。Cyber Trust Mark Tier 5 認證（新加坡）Cyber Tru

18、st Mark 是新加坡網絡安全局 SG CSA 發布的組織網絡安全認證計劃（Cyber Safe Programme）的認證標準之一。該認證提供了不同網絡安全準備等級應實施的安全控制、要求或最佳實踐。目前華為云獲得了Cyber Trust Mark 最高等級的 Tier 5 Advocate 等級認證。網絡安全等級保護（中國）網絡安全等級保護是中國公安部用于指導國內各組織單位進行網絡 安全建設的依據，目前已成為各行業廣泛遵守的通用安全標準。華為云通過了網絡安全等級保護三級，關鍵 Region、節點通過了網絡安全等級保護四級?？尚旁平鹋七\維專項評估（中國）金牌運維評估是面向已通過可信云服務認證

19、的云服務供應商的運維能力專項評估。華為云通過“金牌運維”評估，體現了華為云服務具備完善、健全的運維管理體系，符合國內權威云服務運營和維護保障要求的認證標準。云服務用戶數據保護能力認證（中國）云服務用戶數據保護能力評估是針對云服務用戶數據安全的評估機制，評測關鍵指標范圍包括事前防范、事中保護、事后追溯三個層 面。工信部云計算服務能力評估（中國）云計算服務能力評估是以信息技術云計算云服務運營通用要求 等相關國家標準為依據的分級評估標準。華為私有云和公有云雙雙獲得云計算服務能力“一級”符合性證書?？尚旁圃u估（中國）可信云評估是由數據中心聯盟（DCA）組織、中國信息通信研究院（工信部電信研究院）測評的

20、面向云計算服務和產品的權威評估。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 10 網信辦網絡安全審查（中國）網信辦網絡安全審查是中央網信辦依據國家標準云計算服務安全 能力要求進行的第三方安全審查。華為云服務政務云平臺順利通過該安全審查（增強級），表明華為政務云平臺在安全性、可控性 等方面獲國家網絡安全管理機構的認可。關于更多華為云的安全合規信息以及獲取相關合規證書，可參見華為云官網信任中心-合規中心”。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 11 2 信息通信技術和智慧系統（ICT&SS）管理指導手冊介紹 2.1 發布背景 201

21、4 年，新加坡政府提出了“智慧國家 2025”計劃，其希望通過利用信息通信技術、網絡和大數據等手段推進新加坡的數字化轉型，從而實現國家繁榮發展與國民生活質量的提升。作為新加坡的國家級發展計劃，“智慧國家 2025”得到了政府的充分重視。新加坡政府在國家層面設立了專門機構智慧國家和數字政府辦公室（SNDGO）。該機構隸屬于總理辦公室（PMO），負責統籌規劃各類智慧國家項目和建設時序安排，推動政府配套政策機制改革，建設政府在公共服務方面的長期能力，集合公眾和企業的力量共同建設智慧國家。SNDGO 設置 GovTech 作為執行機構，這兩個部門一同被統稱為智慧國家和數字政府工作組（SNDGG）。圖

22、2 新加坡智慧國家工作組織結構 SNDGG 提出了建設智慧國家的三大支柱，即數字經濟、數字社會與數字政府。其中，針對數字政府建設，SNDGG 在其發布的數字政府藍圖中展示了工作策略與預期目標。數字政府藍圖關注三個方面，即政府電子化、服務于市民與產業和公共服務。為保證上述三個方面的改善與提升，SNDGG 從以下六項內容出發著力建設數字政府，包括：圍繞市民和產業的需求整合服務；加強整合政策、措施和技術；建設普適的數字和數據平臺；運營可靠、穩定、安全的系統；文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 12 集合我們的數字能力以追求創新；與市民和產業共同創新，同時加速技術

23、的應用。保障政府機構數字化轉型過程中的安全性是建設數字政府，落實智慧國家計劃的重要考量因素。為此，新加坡政府制定并實施了信息通信技術和智慧系統（ICT&SS）管理指導手冊（此前被稱為 IM8）。ICT&SS 管理指導手冊包含了一系列新加坡政府機構應當遵循的要求。通過洞察，IM8 中所包含的要求主要來源于 ISO 27001 與 NIST CSF，其能夠為各政府機構推進數字化轉型進程提供支持和指導，同時有效管控此過程中的風險，保障政府機構的安全性。2.2 目標 ICT&SS 管理指導手冊旨在支持各政府機構通過下列方式，提供具有針對性的、安全的并且具有成本效益的解決方案或服務：確保針對信息通信技術

24、和智慧系統（ICT&SS）的良好治理，平衡標準化的需要與定制化的靈活性；為技術和最佳實踐的使用提供指導，同時確保降低不同程度的風險，使政府成為“數字化核心”（digital-to-the-core）；使各政府機構能夠獲取、融合、訪問、分發、利用和保護數據，從而建設“以數據驅動為核心”（data-driven to the core）的政府。2.3 內容 ICT&SS 管理指導手冊的內容覆蓋范圍較廣。由于其保密性，目前新加坡政府暫未公開 ICS&SS 管理指導手冊的全部內容，僅對外發布了部分內容作為示例，包括數據服務標準（DSS）、第三方管理（TPM）以及數據（Data）。1)數據服務標準（DS

25、S）：該標準旨在規范政府機構所提供的數字服務，其使此類數字服務能夠簡單易用、連貫并且與用戶需求密切相關。所有面向公眾的數字服務都需要符合 DSS 的要求。DSS 的設計原則包括：設計直觀與實用：數字服務需被精心設計，以便于公民、企業能夠通過直觀與易于使用的方式與政府進行數字化互動；無障礙與包容性：政府的數字服務的設計必須能夠使得所有人群受益，包括殘疾人；相關性與一致性：數字服務應與公民以及企業的需求相關，并且整個政府應當提供一致的服務體驗。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 13 2)第三方管理（TRM）：規定了政府機構對包括供應商在內的第三方的評估、選擇

26、、簽約、管理和退出方面的要求。這些要求保障了政府機構對第三方的監督，從而確保在與第三方合作過程中的風險能夠被有效管控。TRM 的要求覆蓋了第三方管理的全生命周期，例如：評估和選擇：包括識別、評估、確認外包給第三方的風險的優先級以及降低相關風險；簽約和入職：包括簽訂合同等具有同等效力的文書，以及第三方的入職，例如人員安全審查等；服務管理：包括通過維護登記冊、建立治理機構監控和審查第三方的合規性和績效反饋，開展合規性審計或檢查（如第三方自我評估），確保相關風險被識別和管理；退出：包括制定退出計劃，開展退出審計和檢查。3)數據（Data）：規定了對數據的訪問、分發和使用等方面的要求，涵蓋了數據治理、

27、架構、保護、共享和存儲等方面，旨在確保各政府機構能夠實施有效的數據管理實踐，從而在數據生命周期的各個階段實現對數據的利用和保護。這些要求被分為以下類：數據分類：包括安全分類框架以及信息敏感度框架。在安全分類框架下，各政府機構應根據未經授權的數據披露對政府機構的利益、國家利益或國家安全的損害進行分類。在信息敏感度框架下，各政府機構應根據授權的數據披露對個人或者實體的潛在影響對數據進行分類；數據安全：指保護數據的機密性、完整性和可用性。各政府機構應采用適當評估方法評估數據安全風險并保護數據；數據獲?。喊〝祿钚』?，即政府機構不收集過量的數據，以最大限度減少由于未經授權的使用和披露造成的風險；使用

28、 WOG 數據平臺為其使用案例獲取數據；通過確保數據準確、一致、及時、相關和完整，保持良好的數據質量；通過維護準確的元數據，確保數據的可發現性，并使這些數據可用于搜索，這是使數據可發現的關鍵方式；遵守數據存儲和保留要求，僅在為實現目的所需的時期內保留數據；數據處理和融合：包括盡量減少數據處理中產生的錯誤，如編碼錯誤、數據輸入錯誤、計算錯誤。通過整合去識別化的數據集，盡量減少未經授權重新識別個人或實體的風險；數據訪問和分發：各政府機構應遵守披露數據的理由，如法律授權或者法院命令要求、公共利益需要、明確同意或視為同意。2.4 目標受眾 所有新加坡的政府機構均應遵守 ICT&SS 管理指導手冊中的要

29、求，并且將這些要求納入其招投標的規范中，同時應與開發者以及供應商合作在系統中實施這些要求。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 14 3 華為云云服務網絡安全與合規標準（“3CS”）介紹 3.1 發布背景與目的 華為云作為全球領先的云服務供應商，為覆蓋全球數十個國家和地區的各行各業的云用戶提供安全、便捷的云上服務，服務覆蓋為政府、醫療、金融機構、游戲、制造業等需要靈活彈性、高穩定的服務需求。由于云服務的特性，無論是 IaaS、PaaS 亦或是 SaaS 服務模式，云用戶及華為云均需要對各自負責基礎設施、云平臺及云上環境的合規與安全。這也就使得即便華為云不屬于

30、強監管的行業，但需為強監管的云用戶提供可符合當地行業監管要求的云上服務。為實現上述云計算的安全能力，滿足相關的監管要求，保護客戶的云上資產，華為云通過持續經營和反復探索，確立了一種開放、包容、不斷發展和優化的安全治理方法，用以控制、審核、度量與評估云服務安全管理的有效性以及對監管合規要求的遵從性，形成了一套涵蓋業界主流云安全標準以及華為云安全管理要求的方法體系，并稱之為“云服務網絡安全與合規標準”（CLOUD SERVICE CYBERSECURITY&COMPLIANCE STANDARD，簡稱“3CS”），3CS 覆蓋了在網絡安全與隱私保護領域的監管及行業最佳實踐的八大領域的控制要求，并形

31、成了基于該控制要求的檢查方法、度量體系以及成熟度模型，用于幫助華為云乃至更多的企業認知自身應覆蓋的合規要求、識別企業當前的合規水平、追蹤運營運維過程中的合規狀態、規劃自身的合規發展方向，使得合規工作體系化也更加落地化。3CS 的發布是華為云安全戰略的貫徹體現，也是華為云切實保護云服務客戶利益，打造安全、可信的云服務，為客戶業務賦能增值、保駕護航，實現云服務提供商、云客戶、合作伙伴三方長期共贏的重要實踐。3.2 3CS 總體框架 華為云參考多套主流安全管理標準，結合集團網絡安全及隱私保護治理政策框架，沉淀了適合云業務的安全治理體系框架（“3CS”治理框架）：文檔版本 1.0(2024-07-11

32、)版權所有 華為云計算技術有限公司 15 圖 3 3CS 治理框架 結合自身的安全治理實踐，華為云將治理融入安全隱私核心控制中，總體落地框架由安全合規與安全風險、安全隱私核心控制點、安全隱私落地手段、安全隱私價值呈現四大版塊構成。1)安全合規與安全風險：云安全治理活動可以拆解為多個過程，每個過程都有相應的輸入、控制和輸出。由于全球合規為先的趨勢越發明顯，無論對于云服務提供商還是云服務客戶都需要高度關注合規，有助于了解云安全治理態勢的動態變化并及時進行應對；同時，管理好云資產和云服務的風險也至關重要，當前主流的風險管理大部分是基于資產和威脅出發的，華為云安全治理的對象也同樣保持與其他權威標準類似

33、的考慮，在云安全治理框架中核心控制的輸入主要由安全合規和安全風險共同構成。2)安全隱私核心控制點：核心控制是實現安全治理目標和風險管理的關鍵，華為云結合自身所在行業、期望重點管控領域等維度選擇適用的參考標準進行適配、裁剪和重組，形成定制化的3CS 安全治理控制框架及控制要求合集。3CS 提供了融合的標準庫和控制集，貫穿云服務全流程，從“正向治理和逆向驗證”兩個方面推動業務安全風險管控，全面覆蓋商業、服務/方案、基礎設施的安全與隱私，保障業務合規和安全穩定，防止平臺抖動和入侵；同時，控制要求逐步細化，分解執行，易于落地，3CS 的核心控制以云安全治理作為核心，衍生出五大領域（安全隱私治理、商業的

34、安全與隱私合規、服務/方案的安全與隱私合規、基礎設施的安全與隱私合規與安全隱私驗證與溝通），服務于云環境安全運營各項工作，更加貼近于云服務提供商的業務流程、服務架構、組織形態，也更加符合云環境安全治理的場景，便于理解與實施。3)安全隱私落地手段：五要素是實現安全治理體系落地的關鍵手段，從責任體系、策略、流程、工具服務、度量五大方面推動各領域落實安全隱私管控機制，保障安全治理體系的落地，并推動各領域持續改進。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 16 4)安全隱私價值呈現：3CS 是當前國內已知最全面最嚴格的云安全控制集合之一，長遠目標是全面降低云服務各相關流

35、程的安全風險，打造國內云服務行業新的安全治理體系，確保安全管理責任清晰明確、可度量、可追溯，并形成行業安全解決方案或通用的安全合規解決方案助力客戶構建安全能力，實現 CSP、CSC 以及合作伙伴的生態共贏。3.3 3CS 核心控制要求概述 核心控制域涵蓋安全隱私治理、商業的安全與隱私合規、服務/方案的安全與隱私合規、基礎設施的安全與隱私合規、安全隱私驗證與溝通相關控制要求的概述如下：1)安全隱私治理：本領域明確了云服務安全治理與規劃的管理要求，從確定戰略、管理組織、安全政策、基于風險進行安全管理規劃、高度重視數據安全和隱私保護的專項治理、重視安全隱私合規意識教育，形成了云服務安全治理流程集對全

36、公司的網絡安全和隱私保護管理進行控制和指導。本領域的主要面向對象為安全治理及規劃職能相關部門，需要重點關注組織治理、制度規劃和建設層面上的風險管理、數據安全和隱私保護要求。本領域的控制要求如下：戰略與規劃：本子領域主要關注網絡安全和隱私保護的治理目標的確定為企業制定網絡安全和隱私保護的管理策略，并實施相關行動計劃提供管理要求和指引。本子領域的控制要求包括：確定目標；規劃與資源；建立安全管理組織；監控、度量與評估；安全政策：本子領域主要講述建立一套文件化的制度規程體系的要求，這些制度規程應當傳達到有必要了解的相關方（也包括外部相關方），保證云安全治理體系的穩定性。本子領域的控制要求包括：制定管理

37、策略、持續改進；風險管理：本子領域主要講述如何確立安全風險管理的目標與范圍。對企業制定風險管理的策略、流程及操作提供指引和指導。本子領域的控制要求包括：風險管理準備；風險識別與評估；風險處置；資產管理（資產分類、標識和清單；資產管理要求）；數據安全：本子領域主要指導企業制定數據安全治理的策略、流程及操作指引。本子領域的控制要求包括：制定策略；數據流圖；數據采集；數據共享；數據使用；數據傳輸；數據存儲；數據銷毀；定期審核；隱私保護：本子領域主要對隱私保護的策略、流程及操作指導的制定給予指引，同時向云服務提供商提供處理個人信息主體合法請求的機制指引。本子領域的控制要求包括：隱私保護原則；通知；選擇

38、與同意；收集；使用、留存與處置；隱私影響評估；向第三方披露；數據主體權利保障；意識教育：本子領域主要說明對全員進行網絡安全與隱私保護的意識培訓要求。本子領域的控制要求包括：安全意識培訓。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 17 2)安全隱私驗證與溝通：本領域是關于華為云通過逆向驗證推動安全隱私風險改善的若干控制活動，包括通過藍軍評估/稽查/報告/審計、與客戶/監管機構等外部各方保持良好溝通、外部認證和鑒證的相關要求，以持續改善。本領域面向的主要對象是安全規劃與治理、稽核與審計職能相關以及安全運營部門。本領域的控制要求如下：藍軍評估/稽查/報告/審計：本子領

39、域對云服務提供商在滲透測試、稽核、報告和審計方面提供安全要求和指引，為企業在進行安全驗證和審計時提供指引。本子領域的控制要求包括：滲透測試（滲透測試執行；整改與驗證）；安全隱私審計（審計計劃；審計執行與跟蹤）；外部溝通：本子領域主要集中對企業與云客戶和外部組織建立和維護良好的溝通機制提供關鍵的指引。本子領域的控制要求包括：溝通機制；溝通、披露與告知。3)商業的安全與隱私合規：本領域是關于華為云在開展營銷、銷售、客戶支持等商業運營過程時確保安全隱私合規的若干控制活動，包括安全許可管理、營銷安全、銷售安全、運營與服務安全相關要求。面向的主要對象是市場、銷售、運營等業務職能相關部門?？刂埔笕缦拢轰N

40、售安全：本子領域對云服務提供商在銷售中隱私安全方面提供安全要求和指引，重點關注云平臺服務業務安全，避免云平臺被惡意利用；根據業務和法律法規要求，建立統一、標準的服務合同協議，清楚劃分云服務提供商與用戶之間的相關責任，避免相關運營及法律風險。本子領域的控制要求包括：業務風控（安全防護和監控措施）；合同協議（合同與服務水平協議）。4)服務/方案的安全與隱私合規：本領域是關于華為云在采購供應、研發、運維交付、生態合作方面上保障服務/方案的安全隱私合規的若干控制活動。本領域面向的主要對象包括采購供應、產品研發運維等職能相關部門。云服務產品安全能力：本子領域主要講述企業需要為客戶提供的云服務產品安全管理

41、要求，為云服務提供商為云客戶提供訪問控制、安全傳輸、應用安全防護、數據安全等安全管理能力提供指引。本子領域的控制要求包括：網絡安全能力；應用安全能力；數據安全能力；安全管理能力；開發部署安全：本子域明確了云服務產品需求分析、開發、測試、上線過程以及開發環境的安全控制要求，定義和確保為客戶提供的云服務的安全，包括建立網絡安全能力、應用安全能力、數據安全能力和安全管理能力等；定義和控制開發過程的安全，包括安全需求開發、編碼安全、安全測試、開發環境安全、測試數據安全和第三方安全管理等。本子領域的控制要求包括：開發過程安全（安全需求分析與設計；開發安全管理；安全測試；驗收與上線）；開發環境安全；交付與

42、運維安全：本子領域明確了對云計算平臺進行持續運維的過程中，需要考慮并實施的安全管理要求，包含了建立身份與訪問控制，防止未授權訪問；實施證書與密鑰管理，恰當和有文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 18 效的保護信息的安全性、真實性和完整性；定義安全配置基線，實施并定期審查實施有效性；對資源的使用進行預測、監控和調整，確保所需的系統資源；利用日志和監控，記錄事態和生成相關證據；開展備份，防止數據的丟失等云平臺的相關安全運行和維護管理具體措施。本子領域的控制要求包括：身份與訪問管理（用戶賬號管理；特權賬號管理；服務賬號管理；權限管理；密碼管理；多因素認證；會話管

43、理；定期審核）；證書和密鑰管理（加密算法與密鑰管理；密鑰生成與分發；密鑰存儲；密鑰的輪換與銷毀；證書集中管理；定期審核）；安全配置管理（安全配置基線；配置監控；定期審核）；變更與事件管理（變更申請與授權；變更通知與實施）；容量管理（容量管理規劃）；日志與監控（啟動日志功能；日志管理；定期審核）；備份與恢復（備份與恢復管理）；供應鏈安全管理：本子領域關注供應鏈安全的策略、流程及操作指導的制定，為企業進行供應鏈安全管理提出指引。本子領域的控制要求包括：供應商管理；采購管理；供應商審核；定期審核。5)基礎設施的安全與隱私合規：本領域是關于華為云保障基礎設施安全隱私合規開展的若干控制活動，包括辦公環境

44、與設施安全、數據中心安全、云平臺安全、人力資源安全等方面。本領域面向的主要對象包括數據中心運營、平臺安全運營等相關部門，以及人力資源等公司內部管理職能部門。辦公環境與設施安全：本子領域關注辦公環境與設施安全管理策略、流程及操作指導的制定，為企業建立辦公環境安全控制機制和實施終端安全控制提供指引。本子領域的控制要求包括：辦公環境安全；終端安全；無線網絡安全；數據中心安全：本子領域明確了云服務提供商數據中心運營管理過程中的相關安全管理要求，從環境、訪問控制、監控、災備等方面，定義組織數據中心的安全和隱私保護要求，防止對數據中心的未授權訪問、損壞和干擾。本領域的主要面向對象為數據中心運營管理部門，應

45、重點關注在環境、訪問控制、監控、災備等方面的安全與隱私保護要求。本子領域的控制要求包括：數據中心建設（數據中心規劃；環境安全；資源冗余）；數據中心管理（物理訪問權限；人員訪問；數據中心運維）；平臺安全：本領域明確了在對云計算平臺進行規劃和設計的階段，應考慮和實現的安全技術要求，包含了網絡安全、主機等基礎設施的安全性、虛擬化管理系統和容器的安全性、云上運用或開發的應用的安全性等方面的具體管控措施，主要面向對象為技術架構管理部門，需要重點關注如何建立云安全架構，定義和建設云基礎架構安全能力，包括網絡安全、主機等基礎設施的安全性、虛擬化管理系統和容器的安全性、云上運用或開發的應用的安全性等。本子領域

46、的控制要求包括：云基礎架構安全（統一的安全管理能力）；網絡安全架構（網絡分區隔離；網絡邊界防護措施；網絡準入；網絡冗余；遠程訪問；定期審核）；主機與容器安全架構（主機與容器安全防護；定期審核）；虛擬化平臺安全（虛擬化平臺保護；虛擬機鏡像保護）；應用文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 19 安全（應用安全防護）；業務連續性管理（資源冗余；業務連續性計劃；演練與改進）；威脅與漏洞管理（漏洞感知；漏洞響應；定期審核）；安全監控；安全事件響應與恢復（事件響應；應急演練；定期審核）；人力資源安全：本子領域關注人員安全管理策略、流程及操作指導的制定。為企業在進行人員安

47、全管理時提供指引。本子領域的控制要求包括：背調與協議；安全違規處分；人員變更。3.4 3CS 參考標準介紹 3CS 以全球多個主流云安全、信息安全、隱私保護相關法律法規和行業標準為基礎，包含了相對統一和通用的安全和隱私保護要求的集合，考慮了行業共性特點確保體系具備普遍適用性，同時已經在華為云內部實施落地，其中主要參考的標準介紹如下：1)ISO 27001-2022 信息安全管理體系 國際標準化組織 ISO 制定并發布了 ISO/IEC 27000 系列，指導組織建立信息安全管理的體系。ISO/IEC 27000 系列是是 目前國際上被廣泛接受和應用的信息安全管理體系認證標準集，而 ISO/IE

48、C 27001 為典型代表，目標是提供建立、實施、保持和持續改進信息安全管理體系（ISMS）的要求，該標準以風險管理為核心，通過定期評估風險和對應的控制措施來有效 保證組織信息安全管理體系的持續運行。2)ISO 27017-2015 云服務信息保護體系 ISO 27017 是由國際標準化組織(ISO)在 ISO 27001（信息安全管理體系）和 ISO 27002（信息安全、網絡安全和隱私保護-信息安全控制）的標準基礎上建立的云服務信息安全控制的實用規則，ISO 27001 為全球通用的信息安全標準，ISO 27002 提供了適用于 ISO 27001 附件 A 所列控制措施的最佳實踐指導，為

49、組織的信息安全標準提供指導。3)ISO 27018-2019 云服務個人信息保護體系 ISO 27018 是由國際標準化組織(ISO)在 ISO 27001（信息安全管理體系）和 ISO 27002（信息安全、網絡安全和隱私保護-信息安全控制）的標準基礎上延伸定義新增個人資料的隱私保護的管控措施/標準，著重于個人隱私數據保護，提供適用于公共云個人可識別信息（PII）的 ISO27002 控制措施實施指南。4)ISO27701-2019 隱私信息管理體系 ISO 27701 是由國際標準化組織(ISO)在 ISO 27001（信息安全管理體系）和 ISO 27002（信息安全、網絡安全和隱私保護

50、-信息安全控制）的標準基礎上延伸個人隱私保護管理體系的管控措施/標準，著重于個人隱私數據保護，新增適用于個人可識別信息（PII）的 PII 控制者和處理者的實施指南。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 20 5)CSA CCM 云控制矩陣 云控制矩陣（CCM）是由云安全聯盟（CSA）發布的是一個用于云計算的網絡安全控制框架，涵蓋了云技術的所有關鍵方面。華為云 3CS 參考了 2021 年發布的 4.0 版。CCM 可以用作對云實施進行系統評估的工具，并為云供應鏈中的參與者實施安全控制提供指導。6)CIS Controls CIS Controls 是由互聯

51、網安全中心(CIS)發布對企業信息安全建設提供基礎指導的控制矩陣，著重于企業的信息安全管理建設，提出針對實踐組織(Implementation Group)給出了針對不同規模組織實施建議。7)C5 德國云計算合規標準目錄 C5(Cloud Computing Compliance Controls Catalogue)是德國的“云計算 IT 安全性”標準。C5 控制集由 BSI 設計并于 2016 年 2 月發布。在德國客戶將其復雜且受到監管的工作負載移動到云計算服務提供商時，它可以提供額外的保證。德國 C5 標準評審是由德國聯邦信息安全局發起一項數據保護標準，也是業界公認云服務領域最全面、要

52、求最嚴格的數據保護標準之一。8)MTCS 2020 T1、T2、T3 新加坡多層云安全標準 多層云安全（MTCS）是由新加坡信息技術標準委員會（ITSC）發布的標準(SS 584:2015)，由新加坡信息通信媒體發展管理局（IMDA）負責管理的一項云安全認證。MTCS 是建立在公認的國際信息安全標準（如 ISO/IEC 27001:2013）基礎之上，并針對云計算進一步增強的新加坡國家級安全認證。本標準允許云服務提供商使用一個通用標準，以滿足不同的云用戶對數據敏感性和業務關鍵性的需求。根據最低基準安全要求對云服務提供商的功能進行基準測試和分層，向用戶保證提供商滿足每個層的可接受的最低基準安全要

53、求。9)PCI DSS V3.2.1 支付卡行業數據安全標準 PCI DSS 是由支付卡行業安全標準協會（Payment Card Industry Security Standards Council,簡稱“PCI SSC”）發布的數據安全標準，對于所有涉及信用卡信息機構的安全方面作出標準的要求，其中包括安全管理、策略、過程、網絡體系結構、軟件設計的要求的列表等，全面保障交易安全。10)Trust Service Criteria 100（SOC2）2017 安全性、可用性、處理完整性、保密性和隱私的信托服務標準 Trust Service Criteria 100（SOC2）2017 安全

54、性、可用性、處理完整性、保密性和隱私的信托服務標準是由 AICPA 的保證服務執行委員會（ASEC）制定的控制標準，用于評估與信息和系統的安全性、可用性或處理完整性相關的控制措施的設計及操作的有效性，或實體、部門或運營單位的系統處理信息的保密性或隱私性。信托服務標準旨在為各種不同主體提供靈活的應用和使用，示例行業包括：SaaS 提供商、數據中心/主機托管、文檔制作和數據分析提供商。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 21 11)COBIT For Information Security 信息及相關技術的控制目標 COBIT(Control Objecti

55、ves for Information and related Technology）是由美國信息系統審計與控制協會(ISACA)發布的 IT 控制框架，用于輔助管理層進行 IT 治理，指導組織有效利用信息資源，有效管理與信息相關的風險。12)NIST CSF 網絡安全框架 NIST CSF 由美國國家標準與技術研究院（NIST）發布的關于提升關鍵基礎設施網絡安全的框架，該框架旨在減少和更好的管理網絡安全風險。13)NIST SP 800-53 信息系統與組織的安全和隱私控制組件 NIST CSF 由美國國家標準與技術研究院（NIST）發布的關于信息系統與組織的安全和隱私控制組件，該文件旨在幫

56、助組織識別管理風險并滿足美國信息安全和隱私相關法規要求。它通過提供不斷變化的威脅，漏洞，要求和技術來提供全面而靈活的安全和隱私控制目錄，以滿足當前和將來的保護需求，從而實現上述目標。14)CSA CoC for GDPR（CSA GDPR 合規行為準則）The CSA CoC for GDPR 由云安全聯盟（CSA）發布，旨在為云服務提供商和云租戶提供遵守通用數據保護條例（General Data Protection Regulation，簡稱 GDPR）提供一致且全面的框架。15)GB/T 22239-2019 網絡安全等級保護基本要求（四級）GB/T 22239-2019 網絡安全等級保

57、護基本要求是由中國信息安全標準化技術委員會(SAC/TC260)發布的網絡安全標準，針對信息系統的共性安全保護需求分等級保護并提出通用要求，并對新應用領域提出擴展要求。16)GB/T 31168 云計算服務安全能力要求 信息安全技術 云計算服務安全能力要求（GB/T 31168-2014）是中國信息安全標準化技術委員會(SAC/TC260)發布的云計算服務安全標準，面向云服務商，提出云服務商在為政府部門提供服務時應該具備的安全能力要求。17)EUCS 歐盟云服務網絡安全認證體系（EUCS）是由歐盟網絡安全署（ENISA）基于歐盟網絡安全法要求，發布的歐洲云服務網絡安全認證標準，標準規定了云服務

58、的設計、開發、部署和運營過程中需要包括的安全功能以及各類安全功能在整個云服務生命周期中的使用方式。該計劃旨在通過加強和簡化云服務的網絡安全保障，進一步改善歐盟云服務的內部市場條件。18)OSPAR 文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 22 新加坡金融業外包服務供應商審計(OSPAR)是新加坡銀行協會（ABS）制定的新加坡金融行業外包服務的準入標準，旨在對向新加坡金融機構（Financial Institutions，FI）的服務商的相關控制設計和操作的有效性進行審核與驗證。OSPAR 是為金融機構提供外包服務的基線要求，未滿足此要求的外包服務商在新加坡提供

59、服務可能違反監管規定。19)TISAX 可信信息安全評估交換機制（Trusted Information Security Assessment Exchange，TISAX）是德國汽車工業聯合會（VDA）與歐洲汽車工業數據交換協會（ENX）推出的汽車行業信息安全評估和數據交換機制。20)PCI 3DS 支付卡行業 3D 安全標準（Payment Card Industry 3-D Secure，PCI 3DS）是 PCI 安全標準委員會（PCI SSC）建立的金融支付安全標準。用于保護消費者在進行電子商務交易時的支付卡信息認證，阻止未授權交易，抵御欺詐風險或行為。21)ISO 27034 I

60、SO/IEC 27034 將是一個包含多個部分的標準。該標準通過一組與組織的系統開發生命周期相整合的過程，為規劃、設計、選擇和實施信息安全控制措施提供指南。22)ISO 27799 ISO 27799:2008 為在醫療信息領域理解和實施 ISO/IEC 27002 提供支持，是 ISO 27002 的伴隨標準。23)ISO 29151 ISO 29151 基于 ISO 27002 的基礎架構，在各個域中加入了個人身份信息（PII：Personally Identifiable Information）的實施指南。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 23

61、4 華為云網絡安全與隱私保護實踐與安全能力 隨著云計算技術在新加坡的廣泛與深入應用，新加坡的政府機構對于云計算的安全性與合規性的重視日益凸顯。因此，CSP 必須通過遵從相關監管要求與行業標準，展現自身安全性與合規性來獲取和鞏固新加坡政府機構的信任。華為云始終嚴格遵從包括網絡安全法、個人數據保護法以及關鍵信息基礎設施網絡安全實踐守則等在內新加坡網絡安全與隱私保護方面的法律法規。目前，針對部分法律法規，華為云已經發布了相關白皮書，包括華為云新加坡隱私遵從性說明、華為云新加坡金融行業監管要求遵從性指南，其中詳細說明了華為云為滿足法律義務，保護網絡安全與個人數據安全所做出的優秀實踐。華為云也通過積極獲

62、取新加坡安全合規資質認證，全力保障該國客戶部署業務的安全性。MTCS 多層云計算安全規范是由新加坡信息技術標準委員會制定的標準。該標準要求 CSP 在云計算中采用健全的風險管理和安全實踐。目前華為云新加坡大區獲得 MTCS 最高安全評級的 Level 3 等級認證。此外，OSPAR 是新加坡銀行業協會（ABS）對外包服務提供商出具的審計報告。華為云通過了新加坡銀行協會（ABS）關于控制外包服務提供商的目標和流程的指南（ABS 指南），證明了華為云是符合 ABS 指南中規定的控制措施的外包服務提供商。同時，華為云還廣泛汲取業界最佳實踐，積極總結多年積累的豐富的安全運營實踐經驗并得到廣泛認可。例如

63、，云安全聯盟發布的云控制矩陣（Cloud Security Alliance Cloud Control Matrix，簡稱CSA CCM）作為針對于云安全的控制框架，融合了先進的標準、法規與最佳實踐，用于幫助云服務提供商以及云客戶提升云上安全性。華為云目前已經獲得了基于 CSA CCM 的云安全認證CSA STAR 金牌證書，同時發布了華為云 CSA CCM 遵從性說明，以向客戶詳細說明華為云為提升云環境上的安全性所做出的努力。目前，華為云已經具備了完善可靠的網絡安全與隱私保護實踐與安全能力，能夠全面滿足新加坡政府機構對于 CSP 的安全性與合規性的需求。以下是當前華為云針對網絡安全與隱私保

64、護的重點領域所開展的優秀內部實踐：文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 24 4.1 訪問控制 華為云對于內部人員實行基于角色的訪問控制及權限管理，限定不同崗位不同職責的人員只能對所授權的目標進行特定操作。通過最小化的權限分配和嚴格的行為審計，確保人員不會在非授權情況下進行訪問。華為云對賬號權限的管理流程進行了明確要求，定義了員工在申請、維護和注銷權限時應遵循的流程，建立了完善的賬號生命周期管理規范，以確保用戶賬號及權限管理的效率及安全：賬號新建流程：華為云針對新員工入職建立了流程管控措施，要求新員工在入職前已經過相關主管的審批授權，授權完成后內部系統自動為

65、該員工創建一個僅擁有基本權限的內部賬號，該賬號為員工在華為云內部各系統或平臺中登錄所用賬號，相應的系統或平臺權限需要另行申請；賬號權限新增流程：在各類權限申請平臺管理方面，均要求在獲取權限前經過所需的授權審批；賬號權限回收流程：當用戶發生轉崗時，轉崗人員需提請轉崗電子流，電子流自動會流轉至該員工所在部門主管，部門主管在與相關系統管理員確認員工當前擁有的權限已被清理后方能在電子流中確認員工轉崗；賬號回收流程：華為云已建立離職員工權限注銷機制，在員工的離職電子流完成全部流程前須經過部門主管的審核，確認員工在離職前已完成全部權限的清理，且該員工的內部賬號會在員工離職后自動注銷；賬號權限審閱流程：華為

66、云建立了權限定期審閱機制，每月一次對運維管理平臺內的用戶權限/每季度一次對 CBC 賬號中心內的用戶權限進行審閱。若發現異常，相關責任部門會跟進處理以調整賬號權限。華為云定義了各種類型的信息資產以及相應的訪問身份鑒權規則：華為云對內部各 IT 環境、系統平臺、中間件、網絡設備、應用系統應遵循的分層分級認證授權機制及相關技術要求進行了定義；堡壘機作為華為云進行運維管理的入口，提供了基于密碼和郵箱驗證碼的雙因素認證措施，以實現對運維人員員工身份的鑒權認證；華為云員工通過互聯網訪問華為云辦公網時必須通過基于注冊認證的設備及賬號密碼的雙因素VPN 認證登錄渠道。華為云通過運維管理平臺實現對運維工具的邏

67、輯訪問進行管理，實現對 IT 基礎設施的邏輯訪問控制：堡壘機開啟了錄屏及高危命令限制功能，通過系統控制降低異常操作的幾率；文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 25 堡壘機開啟了操作日志記錄功能，操作日志無法被人為修改，日志記錄包括登錄 IP、登錄方式及登錄時間等；華為云建立了日志分析平臺，對本體系范圍內的各產品相關運維系統、服務器及網絡設備的安全日志進行了收錄。日志分析平臺內預設了異常操作規則，用于識別用戶進行異常操作的情形，生成告警并通過應急響應值班人員進行分析處置。4.2 安全事件管理 華為云制定了完善的安全事件管理的規范和流程，以及時響應安全事件并進

68、行恢復：定義了事件定級標準及對不同等級事件采取的事件通報流程；規范了華為云安全事件響應操作，明確華為云安全事件定級及通報機制；定義了華為云在安全事件處理流程中如何制定解決方案，流程中的角色與職責要求及事件處理要求；規范了華為云問題管理流程，通過跟蹤、分析問題的根本原因，采取有效措施，防止或者減少事件重復發生，降低對業務的不利影響；規范了華為云網絡安全事件應急處置流程，確保發現的安全事件能夠及時處理、及時升級、及時通報、閉環管理，保證華為云業務的可用性，完整性和保密性。華為云建立了統一的工單系統，實現對安全事件的統一收集，并針對收集上來的安全事件進行統一跟蹤管理，確保事件得以被及時處理及修復，同

69、時建立平臺側安全事件定期審閱機制。為確保安全事件響應流程的執行有效，華為云每年針對典型的安全場景制定應急預案（如官網防篡改）并進行演練。應急演練過程及演練結果會被記錄下來形成應急演練報告，供業務及安全部門進行分析，以實現對安全事件響應流程的優化。華為云每年會根據安全場景的變化評估是否對應急預案進行更新，由安全專家對預案更新進行評審。4.3 日志管理 華為云建立了完善的安全日志管理規范和流程，明確了華為云應用系統、服務、網絡設備安全日志的管理要求，確保網絡安全事件的回溯。華為云每年會審閱和更新安全日志管理規范和流程，同時華為云網絡安全與隱私辦公室定期審視執行情況。在內部系統運維方面，華為云通過部

70、署內部監控系統對支撐云服務運營的目標主機及網絡設備的配置及運行情況進行監控。若識別出設備異常，監控系統會觸發告警提示，以通知運維人員針對異常進行后續跟蹤處理。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 26 華為云通過日志分析平臺對內部日常運維中產生的安全日志數據進行監控。當發現高風險事件時，日志分析平臺將高風險事件同步至告警分析處理平臺并觸發告警，由指定的內部人員對告警進行人工判定，基于告警的類型在工單系統內相應升級為安全事件或者在漏洞處理系統升級為漏洞缺陷，最終通過工單的形式實現后續的跟進處理。對于集中存儲安全日志的日志分析平臺，系統管理員會定期例行對采集狀態

71、、存儲狀態進行檢查，保證安全日志的可用性。華為云每年會對高風險事件處理過程進行回顧，以確保高風險事件的處理過程滿足公司實際的業務需求。4.4 威脅與漏洞管理 華為云制定了完善的漏洞管理的制度和流程，并且每年會審閱和更新已建立的漏洞管理制度和流程，同時華為云網絡安全與隱私辦公室定期審視執行情況：圖 4 華為云漏洞管理流程 規范了華為云信息系統安全漏洞的預警、評估、修復處理及閉環流程，明確安全漏洞管理的范圍、角色、職責、活動及管理要求；規范了華為云安全漏洞應急處置方法，明確相關人員職責，達到及時實施規避措施，修復漏洞，提高處理效率的目的；規范了華為產品漏洞的管理，對漏洞的收集、處理、披露提出指導和

72、要求；對運維人員在漏洞工單系統內應遵循的問題事件處理流程進行了定義。華為云建立了專門的漏洞響應團隊，以及時評估并分析漏洞的原因、威脅程度及制定補救措施，評估補救方案的可行性和有效性。華為云當前建立了漏洞掃描機制，定期對審計范圍內的各產品執行一次漏洞掃描分析，漏掃分析結果會交由指定團隊進行分析處理。此外，華為云在官網設置了專門的漏洞上報郵箱，確保外部白帽子可以通過指定渠道進行安全漏洞上報，以及時獲取最新的安全漏洞信息。華為云同時設立了漏洞獎勵方案，鼓勵外部人員對發現的漏洞及時進行上報。華為云建立了專門的漏洞工單系統收集內外部上報的安全漏洞、并針對收集上來的漏洞進行定級、跟蹤、修復及復核處理。同時

73、建立了定期漏洞掃描機制，每月對報告范圍內產品的支撐系統進行漏洞掃文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 27 描，并由漏洞掃描團隊負責對掃描結果進行跟進處理。華為云漏洞修復團隊每月對平臺側發現的漏洞修復情況進行匯總分析，審閱結果生成報告后提交至管理層進行審閱。4.5 業務連續性管理與災難恢復 華為云制定了完善的業務連續性相關的管理制度要求，建立了符合自身業務特色的業務連續性管理體系，并已獲得 ISO 22301 認證。包括：明確了云服務的業務連續性管理方面的總體要求，規范了業務連續性管理框架，并確定了業務連續性體系范圍、組織和職責；規范了業務連續性管理（BCM

74、）建設主體的組織環境與利益關系人及其需求識別、內外部風險或威脅的識別、評估以及應對的方法；規范了業務恢復策略的制定和選擇流程，確保業務能夠在恢復時間目標內恢復到可接受的水平，實現組織業務的持續性；明確了業務連續性管理（BCM）成熟度評估的基本操作步驟和要求，以指導成熟度評估有效開展和實施；對華為云容量統籌管理，提升華為云資源可用性服務水平。針對各產品可能涉及的不同突發場景、應急響應工作流程進行了定義，形成應急響應預案。業務連續性小組會依照業務連續性演練預案每年對審計范圍內的各個產品執行一次業務連續性演練，并相應出具業務連續性演練報告。同時每年組織有關業務連續性管理的宣傳及培訓工作。業務連續性小

75、組每年對所制定的業務連續性管理體系進行審閱，并根據審閱結果按需進行更新。業務連續性小組每年執行一次業務影響分析和風險評估，識別重要業務流程、確認潛在業務威脅、評估風險等級及制定風險應對策略。業務影響分析和風險評估結果記錄在風險評估報告內。此外，華為云部署了數據中心集群采用的多地域（Region）多可用區（AZ）的架構，實現多可用區冗余相連，排除單點故障的風險，以保證業務的連續性。同時，華為云還部署了全局負載均衡調度中心，應用在數據中心實現 N+1 部署，在一個數據中心故障的情況下可以將流量負載均衡到其他中心，從而確保云服務的業務連續性。在災難恢復方面，為了減小由硬件故障、自然災害或其他災難帶來

76、的服務中斷，華為云制定了災難恢復計劃，并定期對其進行測試。例如，將一個地理位置或區域的云平臺基礎架構和云服務處于離線狀態，模擬一個災難，然后按照災難恢復計劃進行系統處理和轉移，以驗證故障位置的業務及營運功能，測試結果將被注釋并記錄歸檔，用以持續改進該計劃。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 28 4.6 網絡安全 基于業務功能及風險等級，華為云目前將生產及非生產環境劃分為多個安全區域，包括：DMZ、公共服務區、資源交付區、數據存儲區以及運維管理區等，并實現內部網絡同外部網絡的相互隔離及異常流量清洗。同時，通過配置防火墻策略限制對高危端口及高危協議的使用。圖

77、 5 華為云平臺安全域劃分及網絡邊界防護 DMZ 區：華為云 DMZ 區主要部署了面向外網和租戶的前置部件，如負載均衡器、代理服務器等，以及服務部件，如服務控制臺、API 網關等。租戶對 DMZ 區的訪問行為不可信，所以需要對 DMZ 單獨隔離，防止外部請求接觸云服務后端部件。此區域部件面臨極高安全風險，除部署了防火墻、防 DDoS 措施外，還部署了應用防火墻（WAF）及入侵檢測與攔截設備（IDS/IPS）以保護基礎網路、平臺及應用；公共服務區（Public Service）：該區域主要部署 IaaS/PaaS/SaaS 服務化組件如級聯層 OpenStack、IaaS/PaaS/SaaS 服

78、務控制部件，以及一些基礎設施服務部件如 DNS、NTP、補丁服務等。此區域內的部件根據業務需要受限開放給租戶，且租戶訪問此區域部件和服務必須經過 DMZ 區。華為云管理員可以從內網區訪問該區域進行操作和管理；資源交付區（POD Point of Delivery）：此區域提供租戶所需的基礎設施資源，包括計算、存儲、網絡資源，如租戶虛擬機、磁盤、虛擬網絡。租戶之間通過多層安全控制手段實現資源隔離，租戶不能訪問其它租戶的資源；平臺側管理平面、數據存儲平面隔離，且與租戶數據平面隔離。該區域還可以支撐對進出互聯網的租戶流量做 DDoS 防護及入侵檢測與防御，保障租戶業務；數據存儲區（OBS Objec

79、t-Based Storage）：此區域部署對象存儲系統，提供對象存儲服務，存儲租戶隱私數據，所以進行了分區隔離。在該區域邊界由租戶在華為云提供的安全組件文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 29 上配置執行租戶所需的訪問控制規則，在任意租戶空間訪問該區域時就不需要繞道 DMZ。但從外網訪問，因為安全風險高，所以必須通過 DMZ 的服務控制臺或網關才能訪問該區；運維管理區（OM Operations Management）：該區域主要部署操作運維部件，華為云運維人員必須先通過虛擬專用網絡（VPN Virtual Private Network）接入該區域，再

80、通過堡壘機訪問被管理節點。管理員可從此區域訪問所有區域的運維接口。此區域不向其他區域開放接口。4.7 數據安全 為了加強數據安全和生命周期管理，華為云目前已制訂了相關制度要求：明確了華為云對數據的定級標準及對各級數據應采取的保護措施以及對信息資產的保密管理要求，規范員工使用信息的行為，使公司信息資產得到合理保護和共享；明確了華為云對運營數據資產的分類分級管理標準，加強數據安全環節控制，規避不當行為給公司帶來的風險或損失；明確了華為云對運維數據在整個生命周期內的權限管理要求；明確了信息資產的分類定級辦法及針對各類信息資產應遵循的訪問授權規則；對數據的分類及敏感度/開放度的不同級別進行了定義，同時

81、明確了數據匿名化及標簽化處理標準，對數據在整個生命周期內須遵循的安全措施進行了規范等。每個云服務在設計研發階段都會制定數據流轉圖，通過數據流轉圖展示業務中各種數據的生命周期以及華為所執行的操作，并明確操作的目的。對于涉及個人數據處理的業務，業務負責人需梳理本業務涉及的個人數據清單，并每年定期進行審視和更新。各業務領域從第三方采購個人數據或引入涉及處理個人數據供應商時，應開展盡職調查，以確保個人數據采購或處理的合法性。除了該控制域內闡述的數據安全相關控制措施，華為云還設計和實施了一系列對數據安全和信息生命周期管理的技術措施和管理程序，以確保云服務客戶的數據安全，包括：在與云服務客戶簽訂的用戶協議

82、中明確劃分了云服務客戶與華為云的責任和義務；通過官方網站公示的形式向云服務客戶傳達最新的用戶協議，并通過合同條款的方式與供應商和其他第三方機構傳達最新的保密條款；為確保云服務客戶的資源數據得到有效管理，華為云建立了相應的資源刪除措施。對于國內及海外云服務客戶，當云服務客戶通過管理控制臺發起資源刪除操作，或當云服務客戶在賬號中心進行賬號注銷時會對應觸發云服務客戶的資源物理刪除工作。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 30 在硬件設備層面，華為云建立了物理損毀的機制，由華為云相關數據中心的駐場人員對需要報廢的機械硬盤和固態硬盤進行物理損毀，并在報廢記錄中進行登

83、記。除上述華為云為保障客戶數據安全所采取的實踐外，下列內容也往往受到客戶重點關注：華為云目前已陸續在全球多個國家或地區提供云服務，并以區域（Region）為單位向客戶提供服務。區域即客戶內容數據的存儲位置，華為云絕不會在未經用戶授權的情況下，跨區域移動客戶的內容數據?？蛻粼谑褂迷品諘r，可以根據就近接入原則并遵從不同地域的法律法規要求自主選擇區域，確保其內容數據存儲在目標位置。對于區域服務，客戶可以在購買服務初期按需選擇區域，其服務部署位置及數據留存地可以通過華為云門戶進行變更。靜態數據安全與動態數據安全通常也是客戶關注的重點問題。華為云持續關注并通過多種方式保障靜態數據安全與動態數據安全，從

84、而使云上數據安全可靠。在保障靜態數據安全方面，包括：1)華為云通過實施數據隔離維護靜態數據安全：圖 6 華為云數據隔離方案 虛擬計算資源隔離：華為云將底層物理計算資源，如 CPU、內存、I/O 設備等硬件資源，抽象出 vCPU、虛擬內存、虛擬 I/O 設備等虛擬化計算資源。通過虛擬化平臺控制虛擬機對虛擬計算資源間的訪問，從而使每個虛擬機只能訪問自身的計算資源，從而保障數據安全；網絡隔離：華為云對云端數據的隔離是通過虛擬私有云（VPC Virtual Private Cloud）實施的，VPC 采用網絡隔離技術，實現不同租戶間在三層網絡的完全隔離，租戶可以完全掌控自己的虛擬網絡構建與配置：一方面

85、，結合 VPN 或云專線，將 VPC 與租戶內網的傳統數據中心互聯，實現租戶應用和數據從租戶內網向云上的平滑遷移；另一方面，利用 VPC 的 ACL、安全組功能，按需配置安全與訪問規則，滿足租戶更細粒度的網絡隔離需要；文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 31 服務隔離：基于底層的物理資源隔離與網絡隔離技術，華為云向云上租戶均提供了相互隔離的、私密的網絡環境，即虛擬私有云 VPC。不同 VPC 之間在默認條件下無法相互通信，從而實現租戶間數據隔離，大大降低了不同租戶間的數據泄露風險。另外，用戶可以自由配置其 VPC內的子網、安全組等網絡隔離策略，通過將不同的

86、存儲與數據庫服務實例，如 OBS 實例、RDS實例，部署至不同安全組內，可以實現 VPC 內的存儲資源隔離，降低存儲服務間隨意相互通信所導致的數據泄露風險。2)華為云通過加密存儲維護靜態數據安全。華為云參考業界加密算法優秀實踐，針對存儲數據制定并實施了密碼算法應用規范，對加密級別、加密方法進行了明確規定。華為云根據規范，使用了 AES 強加密算法針對存儲在云基礎設施中的靜態數據執行數據加密，有效保護云平臺中的數據安全。同時，在密鑰管理方面，華為云制定并實施了密鑰管理安全規范，明確密鑰管理各階段的安全管理要求，對密鑰生成、傳輸、使用、存儲、更新、銷毀等全生命周期的安全性進行管控。3)華為云通過確

87、保數據安全銷毀維護靜態數據安全。在平臺層面，在客戶數據的銷毀階段，華為云會對指定的數據及其所有副本進行全面的清除。當客戶確認刪除操作后，華為云首先刪除客戶與數據之間的索引關系，并對內存、塊存儲等存儲空間進行清零操作，確保相關的數據和信息不可還原。在物理介質銷毀層面，為保證數據中心介質生命周期末期數據安全，華為云參照相關行業標準，實施了完善的存儲介質處置機制。如參考 NIST SP 800-88 標準對存儲介質進行處理，針對需要重復使用的存儲介質，進行隨機數覆寫、加密擦除等方式進行數據安全刪除，針對不需要重復使用的存儲介質則采取消磁、物理損毀等方式進行物理銷毀。在保障動態數據安全方面，包括：1)

88、對于華為云平臺服務端到客戶端、服務端之間的數據通過公共信息通道進行傳輸的場景，傳輸中數據的保護通過如下方式提供：虛擬專用網絡（VPN）：VPN 用于在遠端網絡和 VPC 之間建立一條符合行業標準的安全加密通信隧道，將已有數據中心無縫擴展到華為云上，為租戶提供端到端的數據傳輸機密性保障。通過 VPN 在傳統數據中心與 VPC 之間建立通信隧道，租戶可方便地使用華為云的云服務器、塊存儲等資源，通過將應用程序轉移到云中、啟動額外的 Web 服務器來增加網絡的計算容量，實現了企業的混合云架構的同時，也降低了企業核心數據非法擴散的風險。目前，華為云采用硬件實現的 IKE（密鑰交換協議）和 IPSec V

89、PN 結合的方法對數據傳輸通道進行加密，確保傳輸安全。應用層 TLS 與證書管理：華為云服務提供 REST 和 Highway 方式進行數據傳輸：REST 網絡通道是將服務以標準 RESTful 的形式向外發布，調用端直接使用 HTTP 客戶端，通過標準 RESTful 形式對 API 進行調用，實現數據傳輸；Highway 通道是高性能私有協議通道，在有文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 32 特殊性能需求場景時可選用。上述兩種數據傳輸方式均支持使用傳輸層安全協議（TLS 性能私有協議通道，在有特殊性能需求場景時可選用。上述）1.2 版本進行加密傳輸，同

90、時也支持基于 X.509 證書的目標網站身份認證。證書管理服務（SSL Certificate Service）則是華為云聯合全球知名數字證書服務機構，為租戶提供的一站式 X.509 證書的全生命周期管理服務，實現目標網站的可信身份認證與安全數據傳輸。2)華為云也通過為客戶提供高性能、高可靠、低延遲的網絡傳輸服務，確保數據傳輸安全穩定可靠。華為云為客戶通過運營商專線接入云上虛擬私有云提供了多鏈路容災能力?？蛻魯祿行目赏ㄟ^不同運營商專線，分別接入不同接入點，實現多鏈路多接入點互備。當用戶通過單一運營商專線無法成功訪問資源時，多鏈路容災技術則自動將流量切換至其他運營商專線，從而實現故障轉移，保障

91、訪問的高可靠性。4.8 數據泄露 華為云內部制定了完善的關于個人數據泄露事件的管理制度，相關人員將依據流程分析事件的影響。若事件已對或即將對云服務客戶產生影響時，華為云將啟動通知通報機制，將事件通知委員會和客戶。通知的內容包括但不限于：事件的描述、起因、影響、華為云已采取的措施、建議客戶采取的措施等。為配合客戶滿足個人數據信息泄露事件上報的要求，華為云設置 7*24h 的專業安全事件響應團隊以及專家資源池，依照法律法規要求，對相關事件及時披露，及時知會客戶，同時執行應急預案及恢復流程，降低業務影響。人員管理方面，華為云會根據可接觸的資產的機密性，在聘用員工或外部人員前對其進行背景調查。同時為了

92、內部有序管理，消減人員管理風險對業務連續性和安全性帶來的潛在影響，華為云對運維工程師等重點崗位實施專項管理，包括上崗安全審查、在崗安全培訓賦能、上崗資格管理、離崗安全審查。員工與公司簽署的聘用協議中包含保密條款，其中明確說明員工的信息安全責任。對于合同方，華為云與其簽署保密協議并進行信息安全培訓，其中包含信息安全責任。華為云規定員工離職時需簽署離職保密承諾書，確認其應持續承擔的信息安全責任及職責。對于外部人員，華為云接口部門根據業務需要與其所屬組織簽署保密協議。賬號及權限管理方面，華為云員工賬號管理遵從公司用戶賬號權限管理規定。針對華為云云平臺賬號，華為云制定了公有云賬號權限管理要求及流程。對

93、賬號進行分類管理并建立訪問控制策略，相關文件均通過評審流程并發布。物理訪問控制方面，華為云根據業務功能和網絡安全風險等級將數據中心劃分為多個安全區域，使用物理和邏輯控制并用的隔離手段。華為云運維人員登入運維管理區時必須先通過虛擬專用網絡（VPN）接入，再通過堡壘機訪問被管理節點。管理員可從此區域訪問所有區域的運維接口，此區域不向文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 33 其他區域開放接口。華為云信息安全環境采用分區管理，分別定義各區物理環境場地設施（包括門禁、安全崗、攝像監控等）及設備出入控制（包括拍照攝影設備、存儲介質等）的不同要求。同時制定并實施各區之間

94、的數據流轉策略及訪問控制策略。華為云數據中心嚴格管理人員及設備進出，在數據中心園區及建筑的門口設置 7*24 小時保安人員進行登記盤查，限制并監控來訪人員授權活動范圍。在不同的區域采取不同安全策略的門禁控制系統，嚴格審核人員出入權限。存儲介質管理方面，華為云制定了機要設備與介質管理相關規定，對設備的安置、保護、進出等均做出要求并制定操作流程。數據中心的重要配件，由倉儲系統中的專門電子加密保險箱存放，且由專人進行保險箱的開關。數據中心的任何配件，都必須提供授權工單方能領取，且領取時須在倉儲管理系統中登記。由專人定期對所有物理訪問設備和倉儲系統物資進行綜合盤點追蹤。機房管理員不但開展例行安檢，而且

95、不定期審計數據中心訪問記錄，確保非授權人員不可訪問數據中心。4.9 密鑰管理 華為云已經制定并實施了密鑰管理安全規范，對密鑰生命周期各階段的安全進行管理，明確了在密鑰生成、傳輸、使用、存儲、更新、備份與恢復、銷毀等階段的安全管理要求。1)在密鑰生成階段，華為云密鑰管理安全規范中制定了下列規則：如果密鑰是通過隨機數發生器來產生的，則該隨機數發生器必須是安全的隨機數發生器，使用不安全的隨機數發生器來產生密鑰，可能會使得到的密鑰存在被預測的風險；口令、PIN 碼、授權值等訪問控制憑據，其取值于一個相對較小的空間，熵值往往較低，難以滿足密碼學上的隨機性要求，容易被攻擊者暴力破解。因此，禁止將此類訪問憑

96、據直接作為密鑰使用，僅允許密碼學安全隨機數直接作為密鑰使用；密鑰協商必須確保雙方身份的真實性，確保對方身份真實性基礎上進行的密鑰交換可以防止攻擊者假冒通信中的某一方或雙方實施主動攻擊；對于密碼算法，即使算法本身安全強度足夠，但若使用較弱的密鑰，同樣會導致整體安全強度降低，在安全上形成了短板。因此，華為云密鑰管理安全規范規定，安全隨機數產生密鑰時，所產生的密鑰強度不能小于所用于密碼算法的安全強度。2)在密鑰分發階段，華為云密鑰管理安全規范中制定了下列規則：針對對稱密鑰、共享秘密等密鑰信息在網絡中傳輸時需提供機密性、完整性保護，以避免密鑰信息發生泄露或未經授權的篡改，從而進一步影響到相關密碼操作甚

97、至是整個密碼系統的安全性；文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 34 禁止產品的軟件安裝包或固件中包含密鑰（包括公鑰、私鑰、對稱密鑰、MAC 密鑰等），因完整性保護場景預置公鑰或者公鑰證書（如安全啟動和軟件包簽名校驗）以及預置業界知名 CA 根證書場景除外。3)在密鑰使用階段，華為云密鑰管理安全規范中制定了下列規則：確保密鑰用途單一化，避免同一密鑰用于多種安全用途；對稱密鑰、MAC 密鑰、非對稱加密算法私鑰僅可被分發至必須持有該密鑰的實體，即從系統設計角度看，可以合法使用私鑰的實體，以避免其泄露風險增加；可信執行環境（HSM、TPM、TEE 等）通常為密碼算

98、法執行提供一個相對安全的環境。對于具備安全執行環境的產品，安全環境內部產生的密鑰僅應在安全執行環境內使用。這里的密鑰指私鑰、對稱密鑰等需要保護機密性的密鑰，不包括公鑰。4)在密鑰存儲階段，華為云密鑰管理安全規范中制定了下列規則：系統提供的安全存儲能力往往能夠充分利用系統本身的安全機制，當系統提供安全存儲能力時應優先使用系統安全存儲能力存儲密鑰；用于數據加解密的工作密鑰不可硬編碼在代碼中，根密鑰僅可對部分密鑰組件進行硬編碼；對稱密鑰、私鑰、共享秘密等均屬于敏感數據，密鑰等敏感數據在本地存儲時均需提供機密性保護，防止其以明文的形式保存在系統或代碼中；密鑰及相關信息在本地存儲時需提供完整性保護，從而

99、防范攻擊者的惡意篡改。采用密鑰組件方式生成根密鑰時，密鑰組件需要分散存儲，當密鑰組件存儲于文件中時，須對文件名做一般化處理；對于具備硬件安全模塊的產品，根密鑰須采用硬件安全模塊進行保護。5)針對密鑰的更新，華為云密鑰管理安全規范規定，密鑰須支持可更新，并明確更新周期，但在一次性可編程的芯片中保存的密鑰除外。6)針對密鑰的備份，華為云采取用戶主密鑰在線冗余存儲、根密鑰多份物理離線備份以及定期備份的機制，保障了密鑰的持久性。出于容災的考慮，備份的密鑰或密鑰材料存儲于獨立于業務系統的安全的存儲介質，并選取 HSM 或帶安全存儲功能的智能卡等存儲介質中或存儲于保險柜等安全存儲環境中。同時，備份的密鑰使

100、用安全隨機數分成多個組件有多人掌管，各組件通過異或的方式恢復備份的密鑰的方式來降低泄露的風險。7)針對密鑰的銷毀，華為云密鑰管理安全規范要求對于存儲在系統中的密鑰或密鑰組件，在確定不再需要后應當立即銷毀，以最小化密鑰被暴露帶來的風險。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 35 除上述密鑰生命周期各階段外，華為云針對密鑰的生成、使用（導入/導出、備份、派生密鑰）、更新、銷毀等操作均會記錄詳細的日志。KMS 對密鑰的所有操作都會進行訪問控制及日志跟蹤，滿足審計和合規性要求。日志內容禁止包含密鑰的值以防止信息泄露。華為云每年會對建立的密鑰安全相關規范和策略流程進行

101、審閱和更新，同時華為云網絡安全與隱私辦公室定期對策略的執行情況進行定期的審視，確保安全治理的策略、標準、規范和具體措施在各業務領域的流程落地。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 36 5 華為云協助客戶提升網絡安全與隱私保護能力 通過對于 IM8 的洞察與了解，華為云理解新加坡政府機構客戶的安全合規需求，包括第三方管理、數據安全等均是其關注的重點領域。為此，華為云結合自身豐富的網絡安全與隱私保護實踐及技術能力，能夠為新加坡政府機構客戶提供豐富的產品和服務，滿足其在特定的安全合規領域的需求，助力其提升自身的網絡安全與隱私保護能力，從而符合新加坡政府所頒布 I

102、M8 的規定。安全基線是一個信息系統的最小安全保障，云安全基線是云環境最基本的安全保證，是開展安全防護的基礎。如果云服務沒有達到安全基線要求，云上業務及資產將面臨巨大安全風險。為了幫助客戶提高云環境的安全防護能力，華為云作為 CSP 為客戶提供了安全基線檢查和配置的操作指南，可參見華為云安全基線配置指南。此外，華為云還在多年運營云業務的過程中總結了客戶所關注的重點問題以及華為云的應對經驗，系統性地提出了解決方案供新加坡政府機構客戶選擇。例如，很多選擇將業務系統往云上遷移的客戶比較關注業務隔離、安全合規和 IT 治理，為應對這些客戶訴求，華為云集成了多個云產品和服務，系統性地提出了 Landin

103、g Zone 解決方案，幫助客戶構建安全合規的多賬號運行環境和云上 IT 治理體系，實現多賬號資源共享和人財物權法的統一管控。該解決方案從參考架構、網絡規劃、資源治理、身份權限、安全合規、運維監控、財務管理等方面詳細闡述最佳實踐，幫助客戶在華為云上平衡效率和風險，將 IT戰略和客戶業務戰略對齊，確保 IT 目標匹配客戶的業務目標，避免形成 IT 投資黑洞，并降低應用系統的風險。華為云的 Landing Zone 的整體網絡構架如下圖所示：文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 37 圖 7 Landing Zone 整體網絡構架 以下內容是華為云針對網絡安全與

104、隱私保護的重點領域所能為客戶提供的相關產品和服務：5.1 訪問控制 限制對信息和信息處理設施的訪問，確保授權用戶對其所需系統和服務的訪問，同時阻止未授權訪問，是新加坡政府機構客戶實施訪問控制的重要目標。華為云提供的統一身份認證服務（IAM Identity and Access Management）能夠為客戶提供用戶賬號管理服務，為用戶分配不同的資源及操作權限。用戶通過使用訪問密鑰獲得基于統一身份認證服務的認證和鑒權后，以調用 API 的方式訪問華為云資源。IAM 可以按層次和細粒度授權，保證同一客戶的不同用戶在使用云資源上得到有效管控，避免單個用戶誤操作等原因導致整個云服務的不可用，確?？?/p>

105、戶業務的持續性。IAM 支持基于用戶組的權限管理機制，支持設定符合客戶條件的密碼策略、密碼更改周期、登陸策略、賬號鎖定策略、賬號停用策略及會話超時策略，提供基于 IP 的 ACL。IAM 還提供并默認啟動多因子認證用以增強賬號安全性。如客戶有安全可靠的外部身份認證服務（如 LDAP 或 Kerberos）驗證用戶的身份并且該外部服務支持 SAML 2.0 協議，用戶可以基于 SAML 協議登錄華為云服務控制臺或者通過API 方式訪問云資源。此外，為確保用戶個人數據（例如用戶名、密碼、手機號碼等）不被未經過認證、授權的實體或者個人獲取，IAM 對用戶數據的存儲和傳輸進行加密保護，以防止個人數據泄

106、露，保證用戶個人數據安全。IAM 通過加密算法對用戶個人敏感數據加密后進行存儲，針對用戶的密碼，IAM 通過使用加鹽的SHA512 算法進行加密存儲，而對于用戶的郵箱、密碼、秘密訪問密鑰（SK）則通過使用安全 AES 算法文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 38 進行加密存儲。針對數據傳輸安全，IAM 通過 TLS 1.2 對用戶個人敏感數據（包括密碼）進行傳輸中加密，所有華為云 IAM 的 API 調用都支持 HTTPS 來對傳輸中的數據進行加密。針對數據銷毀，客戶有權自主刪除 IAM 用戶，刪除后該 IAM 用戶將無法登錄，該用戶的 IAM 用戶名、I

107、AM 密碼、訪問密鑰、及其所有 IAM 授權關系將被清除且不可恢復。云堡壘機（CBH-Cloud Bastion Host）是華為云的一款 4A 統一安全管控平臺，可幫助客戶實現集中的帳號、授權、認證和審計管理。云堡壘機提供云計算安全管控的系統和組件，集單點登錄、統一資產管理、多終端訪問協議、文件傳輸、會話協同等功能于一體?？蛻艨梢酝ㄟ^統一運維登錄入口實現對服務器、云主機、數據庫、應用系統等云上資源的集中管理和運維審計?？蛻魡T工登錄公司系統、運維人員訪問運維網絡區域、員工從企業外部網絡遠程接入相關資源以及管理員接入管理平臺等場景都可以使用云堡壘機實現訪問控制及統一操作日志審計，確保網絡和網絡服

108、務僅由已獲授權的用戶訪問。5.2 安全事件管理 新加坡政府機構客戶在信息安全事件管理方面的目標為確保采用一致和有效方法對信息安全事件進行管理，包括對安全事態和弱點的溝通、信息安全事件響應流程以及對事件的總結分析等。華為云的企業主機安全服務（HSS-Host Security Service）可實現對主機系統的全面安全評估，評估后通過將現有系統存在的賬戶、端口、軟件漏洞、弱口令風險進行展示，提示客戶進行加固，消除安全隱患，提升主機整體的安全性。企業主機安全服務還提供入侵檢測功能，在發現賬戶暴力破解、進程異常、異常登陸等事件后快速進行告警，客戶可通過事件管理全面了解告警事件，幫助客戶及時發現資產中

109、的安全威脅、實施掌握資產的安全狀態，使用入侵檢測技術檢測和防止入侵網絡。華為云的安全云腦（SecMaster）具備安全編排功能，能夠將企業和組織在安全運營過程中涉及的不同系統或者一個系統內部不同組件的安全功能通過可編程接口（API）封裝后形成的安全能力（即應用）和人工檢查點按照一定的邏輯關系組合到一起，以完成某個特定的安全運營過程和規程。安全編排功能可以針對云上安全事件提供安全編排劇本，實現安全事件的高效、自動化響應處置。其主要功能如下：劇本管理（劇本是處理一類安全問題的方法描述，是安全云腦在安全編排系統中的形式化表述）：內置自動響應的劇本，支持按需定義擴展；流程管理（流程是劇本觸發時的響應的

110、方式）：繪制流程圖響應劇本觸發；實例管理：支持對運行的實例進行監控管理及記錄查看；安全事件自動化響應：對需要處理的安全事件（incidence）以及可疑事件，通過安全編排實現自動化處置及事件調查。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 39 圖 8 SecMaster 安全編排功能的使用流程 5.3 日志管理 華為云提供的云日志服務（LTS Log Tank Service）提供對日志實時采集、實時查詢、存儲功能，可記錄云環境中的活動，包括對虛擬機的配置、日志的更改等，便于查詢與追蹤。結合云監控服務，客戶可以對用戶登錄日志進行實時監控，當遇到惡意登陸行為可觸發

111、告警并拒絕該 IP 地址的請求。同時云日志服務及數據庫安全服務（DBSS-Database Security Service）都可對系統組件的日志進行記錄并保存，供客戶進行日志審核。華為云的云審計服務(CTS-Cloud Trace Service)可以實時、系統地記錄用戶通過云賬戶登錄管理控制臺執行的操作?？蛻艨筛鶕髽I對日志保留期限的要求購買不同規格的對象存儲服務服務以實現日志的備份。華為云的安全云腦（SecMaster）作為云原生的新一代云安全運營中心，集成了華為云三十多年安全經驗，基于云原生安全，為客戶提供全面的日志采集、資產管理、安全治理、態勢感知、威脅運營、編排響應等快速閉環的安全

112、信息和事件管理服務（SIEM）。在日志管理方面，SecMaster 能夠集成存儲、管理與監管、安全等多種云產品的日志數據。集成后，可以檢索并分析所有收集到的日志，并且集成后默認存儲 180 天，能夠滿足日志存儲 180 天及集中審計的要求。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 40 SecMaster 具備整合第三方安全產品的能力?？蛻艨梢酝ㄟ^簡便快捷的操作對 SecMaster 進行配置，通過 SecMaster 所提供的創建管道（Pipline）等功能導出所有已收集的安全事件日志，從而集成到第三方所提供的安全產品中，以開展進一步的處理操作。SecMast

113、er 還能夠與其他華為云所提供的產品和服務密切協同，為客戶構筑安全業務場景防護能力。SecMaster 能夠從企業主機安全服務（HSS-Host Security Service）、Web 應用防火墻（WAF-Web Application Firewall）、數據庫安全服務（DBSS-Database Security Service）、云堡壘機（CBH-Cloud Bastion Host）、云防火墻（CFW-Cloud Firewall）等安全防護服務中獲取必要的安全事件記錄，進行大數據挖掘和機器學習，智能 AI 分析并識別出攻擊和入侵，幫助用戶了解攻擊和入侵過程，并提供相關的防護措施建

114、議。從 Anti-DDoS、SVN、USG 防火墻、NIP 等安全防護服務中獲取必要的安全事件記錄，進行大數據挖掘和機器學習，智能 AI 分析并識別出攻擊和入侵，幫助用戶了解攻擊和入侵過程，并提供相關的防護措施建議。SecMaster 還能夠為彈性云服務器（ECS-Elastic Cloud Server）提供資產安全管理服務，結合 HSS 主機防護狀態，全方位呈現當前 ECS 安全風險態勢，并提供相應防護建議。5.4 威脅與漏洞管理 華為云的安全云腦（SecMaster）集華為云多年安全經驗，基于云原生安全，提供云上資產管理、安全態勢管理、安全信息和事件管理、安全編排與自動響應等能力，可以鳥

115、瞰整個云上安全，精簡云安全配置、云防護策略的設置與維護，提前預防風險，同時，可以讓威脅檢測和響應更智能、更快速，幫助用戶實現一體化、自動化安全運營管理。在威脅與漏洞管理方面，SecMaster 檢測云上安全風險，還原攻擊歷史，感知攻擊現狀，預測攻擊態勢，客戶可以通過查詢和查看可視化安全態勢數據，并獲取強大的安全威脅發生事前、事中、事后的處理建議。同時，SecMaster 通過集成企業主機安全服務（HSS-Host Security Service）漏洞掃描數據，集中呈現云上資產漏洞風險，幫助用戶及時發現資產安全短板，修復危險漏洞?？蛻粢部赏ㄟ^部署 Web 應用防火墻（WAF-Web Appli

116、cation Firewall）對網站業務流量進行多維度檢測和防護。Web 應用防火墻可結合深度機器學習智能識別惡意請求特征和防御未知威脅，通過對HTTP(S)請求進行檢測，識別并阻斷 SQL 注入、跨站腳本攻擊、網頁木馬上傳、命令/代碼注入、文件包含、敏感文件訪問、第三方應用漏洞攻擊、CC 攻擊、惡意爬蟲掃描、跨站請求偽造等攻擊，全面避免網站被黑客惡意攻擊和入侵，保護 Web 服務安全穩定。5.5 業務連續性管理與災難恢復 新加坡政府機構客戶應將信息安全連續性納入組織業務連續性管理之中，同時應確保信息處理設施的可用性。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司

117、41 客戶可以使用華為云提供的云備份（CBR Cloud Backup and Recovery）服務實現對云硬盤（EVS-Elastic Volume Service）、彈性云服務器（ECS-Elastic Cloud Server）和裸金屬服務器（BMS-Bare Metal Server）的備份保護。云備份支持基于快照技術的備份服務以及利用備份數據恢復服務器和云硬盤的數據。同時云備份支持同步線下備份軟件 BCManager 中的備份數據以及對備份數據的完整性校驗?？蛻羧缧鑴摻ㄔ诰€備份，可以使用云服務器備份（CSBS-Cloud Server Backup Service）服務，它可以為云

118、服務器下所有云硬盤創建一致性在線備份，當發生病毒入侵、人為誤刪除、軟硬件故障時將數據恢復到任意備份點。云服務器備份提供對彈性云服務器和裸金屬服務器的備份保護服務，支持基于多云硬盤一致性快照技術的備份服務，并支持利用備份數據恢復服務器數據，最大限度保障用戶數據的安全性和正確性，確保業務安全。為滿足組織在災難發生時對信息安全及信息安全管理連續性的要求，華為云向客戶提供存儲容災服務（SDRS-Storage Disaster Recovery Service）為彈性云服務器、云硬盤和專屬分布式存儲（DSS-Dedicated Distributed Storage Service）等服務提供容災與災

119、難恢復。存儲容災服務通過存儲復制、數據冗余和緩存加速等多項技術，提供給用戶高級別的數據可靠性以及業務連續性。存儲容災服務有助于保護業務應用，將彈性云服務器的數據、配置信息復制到容災站點，并允許業務應用所在的服務器停機期間從另外的位置啟動并正常運行，從而提升業務連續性。5.6 網絡安全 華為云為客戶提供的虛擬私有云（VPC-Virtual Private Cloud）服務可為租戶構建隔離且私密的虛擬網絡環境，在流暢訪問的同時隔離租戶，在此基礎上支持靈活配置虛擬私有云之間的互聯互通?？蛻艨梢酝耆瓶刈约旱奶摂M網絡構建與配置，包括虛擬私有云內的 IP 地址段、子網、安全組等子服務，并通過配置網絡 A

120、CL 和安全組規則，對進出子網和虛擬機的網絡流量進行嚴格的管控，滿足客戶更細粒度的網絡隔離需求?？蛻艨蓪⑻摂M私有云用于劃分網絡區域、在云上建立隔離的生產與測試環境等。對于需要將已有數據中心擴展到華為云上的場景，客戶可以使用虛擬專用網絡（VPN-Virtual Private Network）。該服務可用于在傳統數據中心與華為云提供的虛擬私有云之間建立安全加密通信隧道，便于客戶使用云平臺中的云服務器、塊存儲等資源，將應用程序轉移到云中、啟動額外的 Web 服務器、增加網絡的計算容量等，實現企業的混合云架構。為了保證構建安全的網絡防護體系，客戶除了通過網絡技術和網絡設備實現安全域劃分之外，還可以通

121、過華為云提供的一系列安全服務來提高網絡邊界防護能力，例如，客戶可通過 DDoS 防護（AAD-Advanced Anti-DDoS）服務來防御網絡層和應用層的 DDoS 攻擊。DDoS 高防為客戶提供全球化精細的防護服務，包括 DDoS 原生基礎防護、DDoS 原生高級防護和 DDoS 高防三個子服務，客戶可以根據實際的業務選擇合適的防護方案?？蛻艨梢愿鶕I務發展隨時變更規格、添加防護域名、配置防護策文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 42 略、變更防護規則。此外，客戶還可以實時查看攔截報告，分析防護日志，以便及時調整防護策略，更好的防護自身的業務。此外，

122、華為云的云防火墻（CFW-Cloud Firewall）作為新一代的云原生防火墻，提供云上互聯網邊界和 VPC 邊界的防護，支持按需彈性擴容，是為用戶業務上云提供網絡安全防護的基礎服務。其具體安全功能包括實時入侵檢測與防御、全局統一訪問控制、全流量分析可視化、日志審計與溯源分析等功能特性。5.7 數據安全 華為云的數據安全中心服務（DSC-Data Security Center）是新一代的云原生數據安全平臺，可以為客戶提供數據分級分類、數據安全風險識別、數據水印溯源、數據脫敏等基礎數據安全能力，并通過數據安全總覽整合數據安全生命周期各階段狀態，對外整體呈現云上數據安全態勢。數據加密服務（DE

123、W-Data Encryption Workshop）是一個綜合的云上數據加密服務，它可以提供專屬加密、密鑰管理、密鑰對管理、憑據管理功能，支持對稱與非對稱加密，同時支持 AES、RSA、EC、DES、ECDSA、ED25519 等多種加密算法?？蛻艨墒褂萌A為云提供的數據加密服務進行專屬加密、密鑰管理及密鑰對管理，數據加密服務支持密鑰創建、授權、自動輪換以及密鑰硬件保護，同時根據需要選擇所需的密鑰管理機制。5.8 數據泄露 數據安全中心（DSC Data Security Center）所提供的數據水印能力，可針對文檔、圖片、JSON 數據嵌入或提取水印。數字水印廣泛適用于政府部門、醫療、金融

124、、科研等單位機構，可用于追蹤溯源。數據共享給內部第三方使用時，打上使用者信息水印，可識別使用者身份，提醒使用者遵守安全規范。當發生數據泄露事件時，數字水印可協助組織追蹤數據泄露源頭，挖掘泄露原因。華為云提供的云監控服務（CES-Cloud Eye Service）為客戶提供了一個針對彈性云服務器、帶寬等資源的立體化監控平臺?？蓞f助客戶快速獲取云資源的告警，采取相應的應對措施。此外，華為云提供的云日志服務（LTS Log Tank Service）提供對日志實時采集、實時查詢、存儲功能，可記錄云環境中的活動，包括對虛擬機的配置、日志的更改等，便于查詢與追蹤。結合云監控服務，客戶可以對用戶登錄日志

125、進行實時監控，當遇到惡意登陸行為可觸發告警并拒絕該 IP 地址的請求?？蛻艨梢圆捎萌A為云數據庫安全服務（DBSS-Database Security Service）為數據庫提供替身式防護。DBSS 基于專利保護的反向代理模式以及機器學習機制，集數據脫敏、數據庫防火墻和數據庫審計功能于一體，一站式全方位保障云上數據庫的安全。對于數據脫敏，DBSS 能夠根據規則識別出敏感數據，并依據脫敏策略對非授權讀取的敏感數據進行實時隱藏，既不會損耗數據庫性能也不會改變原始文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 43 存儲。作為數據庫防火墻，DBSS 能夠實時監測和攔截 SQ

126、L 注入等惡意攻擊，提升數據庫的抗攻擊能力。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 44 6結語 華為云致力于為政府機構提供安全合規的產品與服務，營造可靠的云環境，并持續改進華為云安全保障體系與安全能力以提升與政府監管要求以及行業標準的契合度。本解決方案描述了華為云在網絡安全與隱私保護重點領域下的安全實踐，有助于新加坡政府機構詳細了解華為云的網絡安全與隱私保護實踐與安全能力，使其安全、放心地使用華為云。文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 45 7版本歷史 日期 版本 描述 2024 年 7 月 11 日 1.0 首次發布

127、文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 46 8 附錄 1-華為云 3CS 與 CIS Controls 映射 CIS Controls 是由互聯網安全中心(CIS)發布對企業信息安全建設提供基礎指導的控制矩陣，著重于企業的信息安全管理建設，提出針對實踐組織（Implementation Group）給出了針對不同規模組織實施建議。據了解，新加坡政府機構客戶對于 CIS Controls 的要求較為重視，而華為云在制定 3CS 的過程中參考了 CIS Controls 的要求。華為云 3CS 與 CIS Controls 在控制域層面的映射關系如下所示：3CS

128、 控制域 3CS 控制子域 CIS Control 控制域 安全隱私治理 戰略和規劃 風險管理 1.硬件資產的管理和控制 2.軟件資產的管理和控制 9.限制和控制網絡端口、協議及服務 13.數據保護 15.無線訪問控制 18.開發安全 安全政策 隱私保護 數據安全 13.數據安全 14.基于需求的受控訪問 15.無限訪問控制 意識教育 17.安全意識培訓及宣貫 18.開發安全 商業安全與隱私合規 安全許可管理 營銷安全 銷售安全 運營與服務安全 文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 47 服務/方案的安全與隱私合規 供應鏈安全 開發與部署安全 18.開發安全

129、20.滲透測試和紅隊訓練云生態伙伴安全 交付與運維安全 4.軟件資產的管理和控制5.為移動設備、筆記本電腦、工作站和服務器上的硬件和軟件進行安全配置 6.審核記錄的維護、監控和分析8.惡意軟件防御9.限制和控制網絡端口、協議及服務10.數據恢復功能11.邊界防御12.網絡設備的安全配置（防火墻、路由器和交換機等）14.基于需求的受控訪問16.賬號管控18.開發安全基礎設施的安全與隱私合規 辦公環境與設施安全 2.軟件資產的管理和控制4.控制和管理權限的使用7.電子郵件和瀏覽器保護8.惡意軟件防御13.數據保護14.基于需求的受訪控制15.無限訪問控制數據中心安全 文檔版本 1.0(2024-0

130、7-11)版權所有 華為云計算技術有限公司 48 平臺安全 1.硬件資產的管理和控制2.軟件資產的管理和控制3.持續的脆弱性管理4.控制和管理權限的使用5.為移動設備、筆記本電腦、工作站和服務器上的硬件和軟件進行安全配置 6.審核記錄的維護、監控和分析7.電子郵件和瀏覽器保護9.限制和控制網絡端口、協議及服務11.邊界防御12.網絡設備的安全配置（防火墻、路由器和交換機等）13.數據保護14.基于需求的受訪控制15.無限訪問控制16.賬號管控18.開發安全19.事件響應和管理20.滲透測試和紅隊訓練人力資源安全 安全隱私驗證與溝通 稽查/報告/審計 20.滲透測試和紅隊訓練外部溝通 19.事件

131、響應和管理認證與鑒證 文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 49 9附錄 2-華為云產品和服務所支持的加密標準或協議 數據是企業的核心資產，每個企業都有自己的核心敏感數據。這些數據都需要被加密，從而保護它們不會被他人竊取。華為云所提供的數據加密服務（Data Encryption Workshop,DEW）是一個綜合的云上數據加密服務。它提供密鑰管理（KMS）、憑據管理（CSMS）、密鑰對管理（KPS）、專屬加密（DHSM）四個微服務，安全可靠的為客戶解決數據安全、密鑰安全、密鑰管理復雜等問題。其密鑰由硬件安全模塊（Hardware Security Mod

132、ule，HSM）保護，并與多個華為云服務集成。目前，DEW 所包含的服務所支持的加密標準或協議如下：服務名稱 簡介 支持的加密標準或協議 密鑰管理（KMS）密鑰管理是一種安全、可靠、簡單易用的密鑰托管服務，幫助您輕松創建和管理密鑰，保護密鑰的安全。KMS 通過使用硬件安全模塊（Hardware Security Module，HSM）保護密鑰安全，HSM 模塊滿足 FIPS 140-2 Leave 3 安全要求。幫助用戶輕松創建和管理密鑰，所有的用戶密鑰都由 HSM 中的根密鑰保護，避免密鑰泄露。對稱密鑰：AES、SM4 非對稱密鑰：RSA、ECC 密鑰對管理（KPS）密鑰對管理是一種安全、可

133、靠、簡單易用的 SSH 密鑰對托管服務，幫助用戶集中管理 SSH 密鑰對，保護 SSH密鑰對的安全。KPS 是利用 HSM 產生的硬件真隨機KPS 支持的密碼算法可分為以下兩類：1.通過管理控制臺創建的 SSH 密鑰對支持的加解密算法為：SSH-ED25519ECDSA-SHA2-NISTP256文檔版本 1.0(2024-07-11)版權所有 華為云計算技術有限公司 50 數來生成密鑰對，并提供了一套完善和可靠的密鑰對的管理方案，幫助用戶輕松創建、導入和管理 SSH 密鑰對。生成的 SSH 密鑰對的公鑰文件均保存在 KPS 中，私鑰文件由用戶自己下載保存在本地，從而保障了 SSH 密鑰對的私

134、有性和安全性。ECDSA-SHA2-NISTP384ECDSA-SHA2-NISTP521SSH_RSA有 效 長 度 為：2048，3072，40962.通過外部導入的 SSH 密鑰對支持的加解密算法為：SSH-DSSSSH-ED25519ECDSA-SHA2-NISTP256ECDSA-SHA2-NISTP384ECDSA-SHA2-NISTP521SSH_RSA有 效 長 度 為：2048，3072，4096專屬加密（DHSM）專屬加密是一種云上數據加密的服務，可處理加解密、簽名、驗簽、產生密鑰和密鑰安全存儲等操作。Dedicated HSM 為您提供加密硬件，幫助您保護彈性云服務器上數據的安全性和完整性，滿足監管合規要求。同時，用戶能夠對專屬加密實例生成的密鑰進行安全可靠的管理，也能使用多種加密算法來對數據進行可靠的加解密運算。對稱密碼算法：AES 非對稱密碼算法：RSA、DSA、ECDSA、DH、ECDH 摘要算法：SHA1、SHA256、SHA384