CIS2019-等保2.0論壇-云租戶等保合規探索-王余（18頁）.pdf

《CIS2019-等保2.0論壇-云租戶等保合規探索-王余（18頁）.pdf》由會員分享，可在線閱讀，更多相關《CIS2019-等保2.0論壇-云租戶等保合規探索-王余（18頁）.pdf（18頁珍藏版）》請在三個皮匠報告上搜索。

1、云租戶等保合規探索王余王余騰訊安全專家咨詢中心（照片部分由主辦方添加）目錄碰到了什么問題 買/用哪些安全產品能過等保？過等保要花多少錢？現在還沒做等保還來及嗎？有什么影響？云上的安全是云平臺負責的吧？云服務商能做什么 提供等保合規知識傳遞、完善解決方案。提供更易用、更安全的基礎平臺。提供符合等保的產品/功能。提供專業的咨詢服務。云租戶能做什么 了解網絡安全法、等級保護基本要求。結合業務需求與ROI、應用云服務商的產品/方案。參照合規要求、擁抱新技術、不斷提升安全保障能力助力業務發展。等級測評結論與判斷依據劃重點|存在高風險安全問題則直接判定等級測評結論為“差”。|存在中風險安全問題則無法獲得等

2、級測評結論為“優”。|基本要求權重表|綜合得分計算公式|測評結論判定表|云計算測評結論表|測評結果有“優”、“良”、“中”、“差”四個等級。|測評結果及格分數為70分。云計算安全等保擴展要求云計算安全等級保護基本要求安全通用要求技術要求管理要求云計算安全擴展要求云計算平臺自身安全要求云計算平臺提供租戶的安全服務能力要求針對租戶的安全要求等級保護合規流程及推薦配置等保合規流程及各職責“個中、三重防護”合規推薦產品配置技術要求部分控制點概述推薦產品等保二級等保三級安全通信網絡應劃分不同的網絡區域，網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。VPC、ACL、安全組平臺自帶平臺自帶應采用效驗技

3、術、密碼技術保證通信過程中數據的完整性和保密生。SSL證書安全區域邊界在網絡邊界處應部署入侵防范和惡意代碼檢測機制，防御并記錄入侵行為。WAF對網絡中的用戶行為日志和安全事件信息進行記錄和審計。WAF全量日志審計在內外網的安全區域邊界設置訪問控制策略，并防止或限制從外部/內部發起的網絡攻擊行為，記錄并報警。護DDOS安全計算環境應啟用安全審計功能，對用戶行為和安全時間進行審計。數據庫審計應能發現可能存在的已知漏洞，在經過充分評估后及時修補漏洞。漏洞掃描應能檢測到入侵行為，并能對惡意代碼進行防范，提供報警并有效阻斷。主機安全應采用密碼技術保證重要數據在傳輸和存儲過程中的保密性。KMS應僅采取和保

4、存業務必需的用戶個人信息，禁止未授權訪問和非法使用用戶個人信息。數據脫敏安全管理中心應支持多因素身份認證，只允許通過特定的命令和界面進行管理操作并進行審計。堡壘機對分散的設備、組件、主機以及安全策略、事件等進行集中管理、審計、報警和分析。安全運營中心https:/ 22239-2019)自頂向下設計的安全合規和運營體系全棧安全基礎架構與可信計算數據安全中臺數據產生和獲取Dataat RestData inTransitDatain Use數據退役和銷毀數據合規和治理數據訪問監控和響應難點1：分類、治理和策略難點2：DaR/DiT/DiU加密技術難點4：事件監測分析難點3：密鑰管理Data-at

5、-RestData-in-UseData-in-Transit存儲加密(卷/對象/文件)訪問控制數據退役和安全擦除備份安全云服務商SOD云服務商流程和審計安全計算(同態加密、多方計算、差分隱私)安全計算環境(TPM、TEE)加密算法隱私保護算法計算環境隔離傳輸加密身份驗證傳輸抗抵賴性邊界安全數據重定位數據外包安全數據安全中臺數據安全能力中臺HSM/SEM數據加密軟硬件服務KMS密鑰管理系統Secrets Manager憑據管理系統SparklingSnova數據獲取Data Ingestion and SourcingCKafkaCMQRedisAPIStreamBIEMRTIMongoDBE

6、S事務處理和檢索Transaction,Catalog,SearchPostgresqlMYSQLTDSQLTDSQL分析與數據服務Analysis,Intelligence,ServingCFSAPICOSCBSCVMVPN數據訪問與消費Data Access and Consume原始數據歸一智能分析決策與反饋數據安全能力中臺服務日志審計身份認證秘鑰管理應用加密網絡加密計算加密憑據托管可視化管理|全數據生命周期支持、完整的云產品生態集成、國密與FIPS標準全數據生命周期支持完整的云產品生態集成隨取隨用的加密API或SDK服務數據安全中臺|騰訊云數據安全能力中臺，提供極簡的加密API或SDK

7、服務管控層中間件層產品層接入層GVSMEVSMSVSMCloudHSM密碼服務實例SEMSEM軟件加密庫SDK密碼資源統一監控密碼資源統一管理密碼資源動態調配業務調用統計分析告警策略管理日志審計管理密鑰生命周期管理Secrets Manager 加密基礎組件COSCBSTDSQL數字簽名驗證服務CA證書服務物聯網加密服務專用密碼應用組件客戶側加密組件數據庫加密CASB服務TLS/SSL加密組件傳輸加密統一密碼應用接入服務（加密應用API、SDK）CMQ運算層SGXSGXSGX/TEE安全計算環境MYSQL互聯網、政務、金融、行業業務系統云上安全運營中心數據提取、清洗、標準化，構建云上安全數據湖

8、資產數據云操作行為數據云配置數據DDoS數據WAF數據云鏡數據基于規則的安全分析引擎AI&ML輔助分析引擎資產安全攻擊面測繪應急漏洞云安全配置管理合規管理安全事件管理UBA安全編排調查溯源處置建議日志審計整體安全評分安全態勢儀表盤整體安全大屏事前安全預防事中事件監測與威脅檢測事后響應處置主機安全大屏網絡安全大屏數據層分析層功能層可視層流量威脅感知安全預防：防患于未然，提升安全水位事件監測與威脅檢測：全面覆蓋、統一運營響應處置：高效及時應對安全風險與威脅安全可視：直觀呈現安全態勢與建設成果CLB日志CDB日志DevSecOps持續管理 項目管理 需求/任務管理 缺陷管理 迭代/版本管理 測試管理

9、 源代碼管理 制品管理 資源和文檔管理 構建環境 權限中心 憑據管理持續集成 流水線管理 代碼拉取 單元測試 報告收集 代碼檢查/腳本執行 構建/打包 編譯加速/App簽名 質量關卡 容器鏡像構建 制品歸檔 第三方工具集成持續運維 自動擴縮容 故障自愈 監控告警 服務治理 作業平臺 日志分析項目經理產品經理業務部門架構師測試團隊開發測試運維持續發布 虛擬機發布 容器發布 容器平臺 CMDB/環境、配置管理 自動化發布工具 灰度發布、藍綠發布 接口測試集成測試 性能測試 UI自動化測試 安全漏洞測試 Mock服務 測試數據工廠持續測試持續度量 交付KPI 質量KPI 效能KPI騰訊藍鯨DevOp

10、s解決方案安全編碼規則靜態代碼掃描安全意識培訓安全開發培訓安全測試培訓安全運維威脅響應攻擊面分析威脅建模合規性分析風險評估動態代碼掃描 滲透測試安全發布標準安全設置安全意識需求發布設計開發測試部署響應ServerlessHardwareVirtualizationO/SContainersRuntimeApplicationsFunctionsPhysical MachineCustomerVenderVirtual MachineHardwareVirtualizationO/SContainersRuntimeApplicationsFunctionsContainerHardwareVi

11、rtualizationO/SContainersRuntimeApplicationsFunctionsServerlessHardwareVirtualizationO/SContainersRuntimeApplicationsFunctions聚焦業務，快速迭代，提高產品競爭力云計算：去基礎架構的過程Serverless 符合云計算發展的方向企業CSO視角安全專家服務能力安全服務專家安全服務內容安全服務運營業務全生命周期安全保障外部安全信息內部安全信息威脅與風險信息（阻斷-檢測-響應-預防）上線前風險與漏洞檢測日常安全運維與威脅監測應急響應與安全演練現場值守專家騰訊安全專家顧問團行業安

12、全專家團人工服務+工具輔助安全咨詢與持續改進漏洞掃描基線檢查上線檢測滲透測試應急響應代碼審計安全值守安全咨詢等保咨詢風險評估攻防：Defense情報：Intelligence管理：Effective Management規劃：Advanced Planning實時、快速識別安全風險的能力先進的攻防技術人才、經驗和能力高效、有效管理信息資產安全的能力對未來新業務場景下安全挑戰的前瞻能力騰訊安全戰略觀IDEA模型步驟最佳實踐實施方法騰訊安全專家服務1明確驅動因素了解有哪些驅動因素（外因、內因）安全咨詢、合規咨詢2定義問題通過調研、咨詢明確到了什么程度安全咨詢、安全培訓3定義路線通過調研、咨詢明確要

13、達到什么目標安全咨詢、安全培訓4計劃方案參照行業最佳實踐，確定要完成什么行動安全咨詢（最佳實踐方案）5執行計劃通過咨詢服務或采購專業的產品與服務形成解決方案與實施計劃安全集成、專項安全服務6實現效益通過項目實施展現是否實現計劃安全集成7審查有效性通過內、外方檢查，保持有效性并推進評估、檢測找差距定目標做規劃畫路徑擬項目重落實企業CSO視角安全規劃與落地能力輕量式云用戶信息安全管理體系評估試點云平臺及安全責任共識云及云服務生態云安全服務共識云平臺安全即服務 基礎安全服務面向云用戶的安全運營服務ISO 27001安全合規要求 云用戶安全合規體系要求 云平臺及云用戶安全控制措施ISO27001云用戶認證要求 云上企業ISO27001:2013體系建設 申請進行符合性認證