坚决贯彻云安全评估标准，守护政务云安全

2023年国家网络安全宣传周于9月11日至17日在全国范围内统一开展，其中开幕式、网络安全博览会、网络安全技术高峰论坛等重要活动在福建省福州市举行。9月15日，由中国网信办网络安全协调局指导，中国网络安全审查技术与认证中心主办的云计算服务安全分论坛在福州海峡国际会展中心正式举办。会上总结了近年来我国党政机关云计算安全管理成效，宣贯云安全政策标准和管理框架，以优秀云服务安全管理应用案例实践为重点用户、云厂商提供重要指引。

会上，华为云安全总裁左文树作了《华为政务云安全评估实践》主题分享，左文树表示，网络安全是数字化转型的基础，是数字世界的底座。如何在日益复杂的网络安全环境下守住安全底线和红线，为政企数字化业务提供可靠的安全保障，是各组织、企业和云服务商需要解决的严峻问题。

华为云安全总裁左文树

自四部委联合发布《云计算服务安全评估办法》等系列标准和要求以来，华为积极对相关要求进行学习和理解，并积极参与云计算服务安全评估工作。目前，华为多个政务云已经通过云计算服务安全评估，为政企客户的数字化业务夯实云底座。

《华为政务云安全评估实践》主题演讲

• 在长期严苛的安全形势下，华为云构建了完善的安全体系

华为云向全球开服，业务高速发展。每年华为云平台防御的威胁攻击量超数千亿次，DDoS攻击峰值流量最高可达3T。在这样严苛的安全形势下，华为云构建了完善的安全防护体系。华为云在全球设立了三大运营中心，7*24小时守护100+数据中心，实现国家攻防演练0失分，数据泄露0事件，威胁攻击分钟级闭环。

• 以云安全评估关键要求为基础，持续提升华为云安全体系能力

依照《云计算服务安全评估办法》的要求，重点评估以下内容：业务连续性和供应链安全报告、客户数据可迁移性分析报告、云计算服务系统安全计划（依照GB/T 31168标准），华为云以完善业务连续性和供应链安全能力、客户数据迁移能力、云治理与技术能力为目标，全面支撑华为政务云安全评估。

• 具备数据迁入迁出能力，保障数据主权

数据迁移的风险控制是云评估重点要求之一，华为云迁移服务通过“7阶12步”方法，端到端覆盖云迁移各环节，包括数据迁移的各个场景。华为云迁移服务具备原子化方案和场景化能力，可以实现全业务快速上云，保障数据迁移安全，保障数据主权。

• 云评估标准全面融入华为云安全体系，实现“上线即达标”

GB/T 31168是云评估的核心标准，对安全组织与人员、系统开发与供应链安全、配置管理、审计、物理与环境保护、访问控制、风险评估与持续监控等10个领域提出了严格要求。在积极参与云安全评估之余，华为还将这些要求融入自身的云安全治理体系、云安全技术体系。

系统开发与供应链安全是GB/T 31168关键要求之一，华为云将软件工程能力沉淀到云服务DevSecOps流程中，通过10大类92项可信公共能力，达成云服务从持续规划->持续开发与发布->持续运营与运维的端到端DevSecOps业务流，覆盖GB/T 31168中关于开发过程、标准和工具等关键要求。此外，华为云软件供应链安全解决方案，保障供应链涉及的采购、开发和交付全流程，覆盖GB/T 31168中关于供应链安全等关键要求，让软件供应链安全、合规、可持续。

安全治理体系方面，华为云建立了一套端到端的网络安全保障体系，通过将要求“嵌入”全流程的方式以保障安全效果的“确定性”；安全组织与人员上，华为CEO挂帅、强化组织，做到了网络安全“人人有责”。 华为云在四个端到端治理（配置管理、证书管理、漏洞治理、账号治理），实现了安全风险全场景、全链路、全生命周期覆盖。

安全技术体系方面，华为云秉持“三分建设，七分运营”的理念，通过构筑“一个中心，七层防线”，在满足云安全评估技术要求的同时，达到“攻击不瘫，数据不丢，监管合规“的目标；通过严谨的管理流程、先进的技术手段，将数字化带来的“不确定性”通过运维变成“确定性”，做到可防、可控、可治，保障政务云业务安全稳定运行。

华为云视“安全、稳定、高质量”为生命线，践行DevSecOps流程，将安全可信理念应用于产品的全生命周期，构建端到端安全可信的云平台；华为云构筑七层防线，通过纵深防御为云上业务“穿盔戴甲”，是最安全可信的云之一。

华为云安全运营的核心服务——“安全云脑“，具备统一管理云上云下资产、智能化安全分析和一体化安全事件处置能力，通过流程和工具将人员经验服务化、事件处置自动化，实现70%的威胁1分钟闭环、99%的威胁事件5分钟闭环。华为云安全运营能力服务化，助力政务云实现安全运营高起点、高效率，让安全运营更轻松、云上业务更安全。

• 积极参与多云同构工作，通过4个“统一”，助力提升评估效率

华为积极投入多云同构工作，以“提升云评估效率、缩短评估周期”。华为提出了“4个统一”支撑多云同构的方案，分别是【统一运维】——建立政务云专属运维中心、【统一团队】——部署政务云专属运维团队、【统一规范】——运维中心统一的规范、【统一架构】-——政务云方案HCSO，预计评估工作量可以下降80%，评估效率提升5倍。

华为云安全亮相网络安全博览会展馆

9月10日-16日，华为云安全团队携全栈云原生安全服务、安全云脑等重磅产品及解决方案亮相网络安全博览会展馆，通过DEMO演示生动的展示了华为云全栈安全服务立体的安全防护能力、安全运营方案与优秀实践，吸引了政府领导、嘉宾、媒体的高度关注。网络安全周期间，华为云安全还积极参与了全国各地的网安周工作，参加各地的网络安全主题展活动。

华为云坚持技术创新引领产业发展，推动云原生在行业大规模实践，并努力成为值得客户信赖的云。华为云将继续贯彻云计算服务安全评估标准，完善安全能力，为政企客户的云上业务保驾护航。