预见 云安全的可信之路

预见 云安全的可信之路

主讲人：杨松 华为云安全总经理

信息安全发展时间线

      2000年：华为对通信设备7号信令做了异常协议测试。

      2003年：基于自己的路由器硬件平台和软件平台（VRP平台），研发了第一款防火墙产品。

      2008年：华为的安全产品和赛门铁克进行合资——华赛公司（一个专业从事安全产品的研发公司）

      2011年：成立研发安全能力中心，专门对华为各种产品进行安全设计、开发、测试工作。

      2012年：安全产品在中国市场占有率要记第一位。

      2013年：华为与微软进行合作，引进微软软件的研发流程，华为对研发全流程进行了从设计、开发、测试和端到端的安全能力工作。

      2015年：华为公有云发布了云安全解决方案和云安全服务，例如DDoS和KMS。

      2016年：KMS密钥管理系统进入了德国市场，通过德国电信严格的PSI隐私和安全管理评估，同时通过了德国CSI认证。

      2017年：推出自研云数据库防护系列服务，形成全栈云安全体系。

云平台安全体系——三个维度

所有的安全防御都是基于安全能力构建的。

       第一个维度：给租户提供的安全服务是可视可感知的。

       第二个维度：华为云的安全平台，对运营商和运营者是可感知的，包括安全运维系统和安全运营系统以及华为云的流程和人力资源建设，来构成整个云安全能力。华为云的所有业务活动都是基于法律法规来作为城墙和边界，这是所有业务展开的一个前提。

       第三个维度：通过生态系统去联合业界的安全伙伴，一起构建安全防御体系。

       总结来说：安全防御体系是以安全能力为基石，以法律、法规、遵从为边界，以生态合作伙伴为负重合，构建一个立体的防御体系。 

华为云是如何开展安全服务的？

       整个安全服务，是华为云给客户可感知的、可使用的安全服务。可以看到整个的安全理念，要确保数据的中立。因为华为的整个安全点是上不碰应用下不碰数据，这个是需要技术来进行支撑的。围绕客户的数据，做到非法的入侵者，让他进不来，数据看不到，而且也拿不走。 具体怎么解读呢？首先通过认证管理系统，只有让合法的用户才能进来，接着通过数据库的加密系统，对敏感信息进行匿名化处理，包括关键的姓名、生日、联系方式，都可以做匿名化处理，敏感数据让入侵者看不到。最后有加密系统，可以在合法的用户有合法的密钥的情况下，才能把数据进行解密，所以数据也拿不走。

       围绕这个理念，华为云的安全服务分为四个领域来进行详细的展开和设计。

      网络安全领域：典型的安全服务，例如DDoS服务和IPS服务。

      主机安全领域：主机安全服务。

      应用安全领域：web应用安全防火墙，对电商平台进行相应的网页防护，同时也可以防止网页被篡改。

      数据安全领域：对数据库数据进行保护，例如对象存储进行加密保护。

安全服务最新的工作进展

DDos云防御服务

DDOS分两个档次服务

      5G流量的免费服务，目前已经广泛上线。

      基于实际及以上的高带宽防护服务，简称高防服务。

特点：

      最大可以到达1T的流量清洗。

      动态调度系统，针对攻击的IP地址会进行随机变化，让正常的攻击流量引流到检测和清洗中心，把相应的攻击流量清洗完以后，再回租到正常客户。

主机安全服务

      又称服务器安全服务，在租户同意和认可的情况下，会在租户的虚拟机上面部署侦测检测软件，对异常的恶意软件与进程进行监测。特别是对暴力破解、弱口令破解进行检测提示。而后相应的主机安全会和大数据平台进行检测和关联，把租户的各种攻击、态势感知集中并呈现和报告出来。

数据库安全服务(DBS)

      数据库安全服务：针对数据库的防火墙服务，包括攻击IP地址或者各种SQL注入。

      对敏感数据进行脱敏：可以对敏感的数据进行脱敏。在公开的场合，敏感数据呈现出来的都是星号。用户可以自定义敏感信息。

      审计报告：可以根据审计的要求和模板，把数据库相应的数据和信息导出来，提供报告到用户手上。

       以上三点就是华为云数据库安全服务的特点。是整个华为自研的全新产品。现已经开始公测，在未来两个月以后会进行完全的商用。

密钥管理服务

       发送方的数据，在加密前会有一个密钥和明文加密，通过形成密文再进行传输。只有合法的接收方拿到发送方的密钥以后，才能对此密文进行解密，声称明文。密钥管理系统可以和华为云的广大服务，包括对象存储形成结合，对敏感数据进行加密。

目前服务已经上线，且在德国进行了广泛的一个应用，对金融行业以及敏感的各种政府行业有很好的一个应用。

应用安全方面的一个工作进展

      应用安全最典型和最有特色的就是web安全服务。web安全服务可以针对网站及官网进行保护。

      例如，在双11以及节假日采购的高峰期，HTTP并发量可以达到百万用户的等级。那么目前在业界还没有任何的WAF能够对它进行防护，而华为云的云WAF方案，可以支持瞬间百万级并发的流量防护。

华为体系考虑

三个档次和层级认证

     体系认证：ISO27000认证。

     区域认证：欧洲中国区的相关认证。

     安全认证：华为在今年已经把相关认证都已获齐。

     行业认证：金融在线支付、游戏、医疗等行业认证，在金融PCIDSS已经启动了相应的认证计划。

     总结起来说，华为目前面向全球已经获得了20多个权威的认证，可以确保跨国企业能够很好的在华为云平台上进行相应的应用和推广。

生态战略方面

       在云安全这一个体系里面，很难说一个厂家凭借自身的安全实力去应对所有的安全挑战。所以在云安全领域，呼吁所有愿意和华为携手的安全厂家，一起来面对安全挑战和各种威胁，可以构筑广泛的情报系统和安全服务体系。

信息安全的特点，怎么来应对和解决它

       从金融领域来看

       要求业务连续性，实时性要高。

       例如，正在进行网上的金融交易，突然在交易的时候遭受了DDoS攻击，导致业务中断，这个带来的损失是难以评估的,所以实时性和连续性是金融最大的核心点。

       金融业务本身和金钱利益是直接相关的，在利益的驱动上，使得很多的黑产以及地下的交易系统，在金融互联网有很多大量的攻击。

金融对数据非常敏感，对数据的篡改，这个是绝对不可以发生的。

       例如，不能随便地把数据给篡改了，客户租付的100万块钱放在金融系统，突然被不法分子篡改成了100万变成10万，损失是非常大的，所以对数据的篡改，这个是绝对不可以发生的。

相应的服务和解决方案

       通过DDOS对业务连续性进行保护

       通过风控系统，可以对类似卷羊毛等攻击进行相应的一些防护

       数据的保护和加密可以采用华为云的加密KMS系统

针对跨国企业

       华为云的跨国认证和商业平台，可以提供相应的合规检查和体检。针对跨国企业，可以让用户看到在认证上以及漏洞上都有哪些不足，可以依次打分，给出相应的漏洞，同时华为云可以针对这些漏洞提供相应的解决方案和咨询。

这样的话可以让跨国企业专注于发展自己业务本身，而不是把大量的精力去放在如何构建及怎么考虑区域认证或这个行业的认证。

华为20年来的总结

       杨经理在会末进行了总结：华为安全是面向全球市场，构建满足欧洲中国以及各大区域的相关合规的体系。通过20年的安全能力积累、研发安全能力、意识以及渗透到了信息安全的每一个毛细血管里面。经过长期的安全产品和安全服务的研发，华为的安全产品在国内市场占有率非常高，客户认可质量好。华为相信未来可以预见，在未来的道路上，克服一道道难关，走向行业前列！

视频链接：https://bbs.huaweicloud.com/videos/94aec6c983f111e7b8317ca23e93a891