華為雲3大體系化防護實踐,保障金融業雲上資料安全

2021-09-24 09:08:50 字數 3069 閱讀 4914

在華為雲城市峰會深圳站上,華為雲安全總經理楊松發表演講,分享了華為雲的3個體系化的防護理念和實踐,以啟發和幫助金融行業完整、系統地構建符合業務需要的安全體系,在雲上構建一朵安全的「金融雲」。這些理念和實踐不僅對金融業,對一般上雲的行業同樣有啟發意義,演講內容整理如下。

華為雲安全總經理楊松在華為雲城市峰會現場發表演講

演講正文

我們知道,資料是金融之本;資料安全,對金融行業的重要性不言而喻,如何保障?

「千里之堤,潰於蟻穴」。業務系統的任何乙個防護環節出現短板,都可能對業務帶來致命傷害。基於這樣乙個簡單的原理,資料保護,也應該是體系化的,而不是單點的。

下面,我就分享華為雲的3個體系化的防護理念和實踐,希望對各位金融業的同仁有所啟發。

華為雲為使用者提供可信的雲平台和雲服務,當使用者把業務系統部署到雲上後,雲上的安全環境就起了變化,比如使用者在華為雲提供的安全的雲伺服器上搭建了乙個**並向外提供服務,這時**的安全情況,就得重新考察並採取相應措施進行防護。這就是國際通用的安全責任共擔模型:雲平台負責基礎設施的安全,使用者負責基礎上的業務系統和配置的安全。

為幫助使用者防止外部惡意攻擊,華為雲圍繞攻擊者可能的攻擊路徑,發布了基於ai的安全解決方案,包括安全ai平台公尺蘭達、ddos高防、資料庫安全等共20多款服務產品,讓使用者像搭積木一樣,選擇其中一款或數款安全服務組建符合業務需要的安全體系,堵住攻擊。(延伸閱讀:雲安全中的美人魚:華為雲發布公尺蘭達安全ai平台)

比如,**遭到大流量攻擊,效能下降、訪問卡頓,則可選擇ddos高防對惡意流量進行攔截,保障來到**的流量都是正常的。去年,華為雲ddos高防識別並攔截了來自198個國家的39.2億次ddos攻擊,最大一次防禦了1.16tbps。

為了明了雲主機的安全情況,可以在主機上安裝企業主機安全服務,實時發現弱口令、惡意程式、網頁防篡改等,管理主機資產和漏洞,降低主機安全風險。企業主機安全服務目前守護著華為雲、手機消費者雲等數億使用者,成功阻斷6億次賬戶暴力破解攻擊,檢測並修復漏洞數量達百萬,隔離查殺惡意程式達2萬多個。

資訊保安攻擊的75%都發生在web應用層上,為幫助客戶防禦應用層攻擊,華為雲web應用防火牆服務提供精準的防禦,平均每天攔截4000萬次攻擊,累計為客戶保障了數十次重大活動,包括mate 20等手機的數次搶購活動。(延伸閱讀:8秒破億,是什麼締造了華為**mate20的銷量奇蹟?)

此外,還有幫助使用者快速過等保的一站式等保服務、幫助使用者感知全網安全態勢的態勢感知服務、幫助使用者提公升運維審計效率的堡壘機服務等等。

通過這一系列可組合的防攻擊服務,使用者便可快速搭建符合自身業務需要的防禦體系,哪是短板補**。

為幫助使用者防止內部資料洩露,圍繞雲上資料的全生命週期,華為雲提供了從訪問認證、敏感資料識別、防攻擊、防洩漏到審計組成的環環相扣的基於ai的資料保護解決方案。

為解決資料越權訪問的問題,華為雲設計了資料庫防火牆,對資料庫的所有操作進行細粒度控制,實現許可權最小化;通過反向**技術,過濾進出資料庫的所有流量,發現異常並自動阻斷。

企業的重要資料大多存放在結構化的資料庫中,在面對海量資料時,如何快速找出哪些資料為敏感資料?

今年3月,華為雲發布了全球首個敏感資料檢測服務(結構資料),提供了敏感資料識別和分類技術,能根據合規的要求或者使用者定義配置生成檢測規則,自動識別資料庫中身份證號碼、信用卡號碼等敏感資料,並對敏感資料進行分類,最後生成檢測報告。使用者可根據報告,自定義保護策略,以滿足合規要求。

在敏感資料發現和檢測過程中,服務本身不會更改資料庫或應用程式中的任何內容,也不會造成資料庫的效能問題或資訊洩露。該服務構建了大資料流式計算平台,較傳統敏感資料發現手段效能提高5倍以上,將發現任務縮短至分鐘級甚至秒級。

針對惡意拖庫和無意洩露的問題,華為雲提供了資料脫敏功能,根據pci-dss等法規要求,自動識別和發現敏感資料,一鍵生成脫敏規則,對非授權讀取的敏感資料實時隱藏;密級較高的資料,可通過加密服務進行加解密,使用者可以自帶金鑰,使金鑰和資料對雲服務商完全不可見,真正實現資料中立。

為解決審計資料多、審計效率低的問題,華為雲提供了資料庫審計服務,實時檢測到誰、在什麼時間、對資料庫進行了什麼操作。此外,還能對資料庫操作進行細粒度審計的合規性管理,以及對資料庫遭受到的風險行為進行告警等。有了它,就相當於給資料庫的安裝了一台高畫質攝像頭,有效降低審計成本。

為讓使用者享受安全可信的雲平台和雲服務,華為雲按照全球各區域最權威的安全標準,對技術到流程到人員管理到安全制度等各方面進行不斷完善,確保資料的所有權和控制權完全屬於使用者。比如,用許可權控制系統和嚴格的安全制度,確保自己的員工無法訪問、無法檢視使用者資料,員工看不到、拿不走;並配有事後審計系統,確保員工不敢看、不敢拿。

僅去年,華為雲就獲得了各類權威安全合規認證超過十個,平均乙個月拿下乙個。截止目前,華為雲已獲得42個權威合規認證,其中就包括國內唯一的全平台全節點全服務通過金融行業最高的安全標準pci-dss。(延伸閱讀:華為雲安全 | 2018,合規可信   2019,智慧型進化)

每年全球申請pci-dss認證的企業多如牛毛,但真正通過的卻鳳毛麟角。華為雲的通過,意味著華為雲整個it系統全部通過了嚴格的安全測評,而不是雲系統的一部分通過;意味著華為雲所有大小節點,包括北京廊坊、香港節點等全部通過認證,而不是選擇性地拿某個節點通過;意味著華為雲研發上線的全部雲服務的安全性得到了嚴苛的驗證,而不是其中一兩個,讓所有使用者則享受到「金融級」的安全性。(延伸閱讀:華為雲中國唯一全平台全節點全服務通過pci-dss安全認證)

華為雲打造安全可信雲平台和雲服務的腳步從來不會停歇。就在剛剛,華為雲海外最大的資源大區之一的新加坡大區獲得了新加坡多層雲安全標準最高評級,意味著華為雲在海外有技術強大的安全團隊和規範的管理流程,能為使用者提供安全、可靠、穩定的雲平台和雲服務。

總之,通過這3大體系的配合,組成縱深的防禦,避免單點短板,保護雲上資料安全。以上就是華為雲的一些理念和實踐,希望對各位有所幫助。

物聯網平台的建立 一 ,大體框架

首先,在硬體晶元選擇上,需要準備乙個能夠上網的晶元,比如可以遵從http協議的esp系列晶元,5g聯網的nb iot ssh協議也行,但一般有ssh協議的晶元很少,而且能夠使用ssh的都具有http協議 軟體端 精通最少一種後端程式語言,會使用mongo資料庫和mysql資料庫,編寫過中型專案 最少...

SDUST 小學期飛機大戰簡述 1大體的框架

2020 07 28 這章主要描述下飛機大戰的整體架構。這章開始,內容將基於我的 v2.0.0 這裡所闡述的過程是通用的,是和老師提供的模板程式一樣的,但是 會有些許不同。planegame.h line16 planegame.cpp line67 隨後從cview派生cplanegameview...

華為雲雙十二安全產品大促,最低3折瘋搶進行中

年末採購,錯過了11.11血拼,12.12會員節的機會可一定要抓穩 如何花最少的錢構建雲上智慧型防護體系?雙 12 華為雲安全大促活動最省錢的攻略,小編整理好了 立即開啟華為雲官網,站內搜尋 雙12 雲安全 進入大促會場吧 安全產品最低 3 折瘋搶 華為雲安全參與打折的產品共四款,ddos高防 we...