【华为云】等保合规安全解决方案

国字头测评机构，助您快至30天过等保

等级保护是网络运营者的法律义务

中华人民共和国网络安全法
第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行相关安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改

中华人民共和国网络安全法
第三十一条
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，在网络安全等级保护制度的基础上，实行重点保护

中华人民共和国网络安全法
第五十九条
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款

为什么选择华为云等保安全服务

等保2.0如期而至，华为云依托自身安全能力与安全合规生态，为客户提供一站式的安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保合规要求

一站式等保测评服务
-提供定级备案、差距分析、规划设计、整改加固、等保测评、安全保障全流程闭环的一站式服务
-效率大大提高，最快30天过等保
-华为云依托自身多年的行业、产品和服务经验，共享云上安全和合规最佳实践
IDC MarketScape：华为云位居中国云厂商安全领导者位置

等保安全合规生态
-华为公有云系统通过等保三级测评，部分关键Region 、节点的安全保护等级为第四级。租户系统等级测评的安全物理环境部分可以沿用华为云平台安全保护等级测评报告结论
-推出《华为云网络安全等保2.0合规能力白皮书》，与用户和业界共享对等保 2.0 的理解和实践
-合作测评机构遍布30+重点省市，已服务2000+个全国客户，覆盖10+行业
下载《华为云网络安全等保2.0合规能力白皮书》

全栈安全防护体系
-20+自主研发的云安全服务和200+伙伴安全服务，帮助客户构建立体云安全防护，轻松满足等保要求
-依托华为云自身多年的行业、产品和服务经验，提供专业的整改解决方案
-专业的安全运营团队，7×24小时安全保障体系，防御针对云平台的攻击，实现99.99%的安全事件自动响应

合作伙伴

《网络安全等级保护基本要求》关键项分析

安全物理环境

物理环境
-物理位置选择：机房场地应具有防震、防风和防雨等能力的建筑内，避免设在建筑物的顶层或地下室
-物理访问控制：机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员

物理设备
-防盗窃、防破坏、防雷击

物理设施
-防火、防水、防潮、防静电
-温湿度控制：应设置温湿度自动调节设施，使机房温湿度变化在设备运行所允许的范围内
-电力供应：应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求
-电磁防护：电源线和通信线缆应隔离铺设，避免互相干扰

建设策略
-建议选择大型、安全合规、有资质的云厂商

安全通信网络&区域边界

网络架构
-根据云租户业务需求自主设置安全策略集，包括定义访问路径、选择安全组件、配置安全策略

访问控制
-在不同等级的网络区域边界部署访问控制机制，设置访问控制规则

通信传输
-应采用校验码技术或加解密技术保证通信过程中数据的完整性

边界防护
-应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信

入侵防范
-应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警

建设策略
-推荐安全组、网络ACL通过设置基本的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问
-推荐VPN、安全证书服务，采取加密措施，防止数据在传输过程中遇到破坏、窃取等各种攻击
-推荐DDoS高防，云WAF服务，针对日渐增多的DDoS、Web攻击进行防御，精准有效地实现对流量型攻击和应用层攻击的全面防护

安全计算环境

身份鉴别
-当进行远程管理时，管理终端和云计算平台边界设备之间建立双向身份验证机制

安全审计
-根据云服务方和云租户的职责划分，收集各自控制部分的审计数据并实现集中审计

入侵防范
-虚拟机之间的资源隔离失效，并进行告警

数据备份恢复
-云服务客户应在本地保存其业务数据的备份；应提供查询云服务客户数据及备份存储位置的能力；

恶意代码防范
-应能够检测恶意代码感染及在虚拟机间蔓延的情况，并提出告警

建设策略
-推荐堡垒机、数据库安全服务对服务器和数据库的运维及操作行为进行审计
-管理员使用各自的账户进行管理，管理员的权限仅分配其所需的最小权限，在制定好的访问控制策略下进行操作，杜绝越权非法操作
-推荐主机安全服务，防止各类具有针对性的入侵威胁，发现常见操作系统存在的各种安全漏洞，及时更新恶意代码库
-推荐云备份、存储容灾服务，为云主机提供本地数据备份及异地数据备份

安全管理中心

系统管理
-通过安全管理中心对被保护系统和安全管理中心自身的运行状态进行监控

审计管理
-通过部署安全管理中心、业务安全审计平台，对被保护系统和安全管理中心的相关重要安全事件和用户操作行为进行审计

安全管理
-通过部署安全管理中心、业务安全审计平台，并对安全管理员进行身份鉴别，对主体进行授权，配置可信验证策略等

集中管控
-通过部署安全管理中心、业务安全审计平台、APT威胁检测系统，并对分布在网络中的安全设备、网络设备和服务器等的运行状况进行集中监测与管控

建设策略
-通过安全事件管理等模块协助实施应急响应机制
-确保用户行为的可追溯性，及时发现异常的安全行为，同时为综合分析提供数据支撑
-数据收集、安全策略、恶意代码、补丁升级等安全相关事项和各类安全事件进行集中管理，分析

安全管理制度
安全管理制度
- 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系

安全管理机构
- 应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权

安全管理人员
- 人员录用、人员离岗、人员考核、安全意识教育及培训、外部人员访问管理

安全建设管理
- 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，并形成配套文件

安全运维管理
- 应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补
- 应设置冗余或并行的电力电缆线路为计算机系统供电

建设策略
- 企业应制定完善的安全管理制度，根据基本要求设置安全管理机构，梳理管理文件，明确组织人员的岗位职责，定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据备份等
- 推荐漏洞扫描服务、安全体检服务，检测租户站点的漏洞，提前防范黑客利用漏洞进行攻击，防止利益损失和数据泄露

华为云等保安全服务流程

01. 系统定级

华为云等保服务流程
① 华为云：协助定级、推荐测评机构
② 客户：业务系统定级，与华为云签订服务合同
----------------------------
通用等保测评流程
信息系统运营单位按照《网络安全等级保护定级指南》，自行定级三级以上系统定级结论需进行专家评审

02. 系统备案
华为云等保服务流程
① 华为云：协助客户完成备案
② 客户：提交备案材料
----------------------------
通用等保测评流程
信息系统定级申报获得通过后，30日内到公安机关办理备案手续

03. 建设整改

华为云等保服务流程
① 华为云：提供技术方案建议书、协助整改
② 客户：依据等级保护标准进行安全建设整改
----------------------------
通用等保测评流程
根据等保有关规定和标准，对信息系统进行安全建设整改

04. 等级测评
华为云等保服务流程
① 华为云：协助测评
② 客户：配合测评机构测评，接收报告（项目完结）
-----------------------------
通用等保测评流程
信息系统运营单位选择公安部认可的第三方等级测评机构进行测评，提供跨地市的情况下由本地（本省）测评机构交付的等保测评服务。

05. 监督检查
华为云等保服务流程
① 华为云：技术支持
② 客户：安全运营、维护，保障日常系统合规
-------------------------------
通用等保测评流程
当地网监定期进行监督检查

根据等保要求选择合适的安全服务

省时省心省力，等保整改优选

等保合规套餐

为客户提供多场景的等保合规安全解决方案，满足多行业业务诉求，快速省心过等保

等保多场景介绍

等保二级
适用于用户量和敏感数据较少，如果发生安全问题，不会对企业自身及用户造成特别严重影响，如门户网站

等保三级 基础版
适用于存有用户敏感信息，信息外泄会造成特别严重影响，甚至会对社会秩序和公共利益造成损失的系统，如物流、车联网、物联网

等保三级 高级版
满足高分段等保测评需求，适用于存有用户敏感信息，信息外泄会造成特别严重影响，甚至会对社会秩序和公共利益造成损失的系统，如在线教育、互联网医疗、互联网金融

多云模式
适用于多云业务场景，集中式安全防护及安全运营，如游戏、直播、电商

等保2.0安全合规架构
等保合规架构
为客户提供一站式安全技术方案，帮助客户快速、低成本完成安全整改，轻松应对等保2.0合规测评

等保2.0基本要求
安全物理环境
主要包括物理位置选择，物理位置访问控制

安全通信网络&区域边界
主要包括网络架构、边界防护、访问控制、通信传输、入侵防范、安全审计

安全计算环境
主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性和保密性、数据备份恢复

安全管理中心
主要包括系统管理、审计管理、安全管理、集中管控

安全管理制度
主要包括安全策略、安全管理制度与流程规范、人员组织、安全管理基线

服务推荐

云防火墙 CFW
新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，是用户业务上云的网络安全防护基础服务

企业主机安全 HSS
提升主机整体安全性的服务，提供资产管理、漏洞管理、入侵检测、基线检查等功能，帮助企业降低主机安全风险

Web应用防火墙 WAF
结合了华为多年的安全攻防经验，通过对HTTP(s)请求进行全方位的检测，精准过滤海量攻击流量，保障您的业务安全稳定运行，避免数据泄露

华为云安全建设最佳实践

执行云服务基线扫描任务
态势感知支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

公有云服务系统权限设置最佳实践
您可以将账号内不同的资源按需分配给创建的IAM用户，实现精细的权限管理

企业数据权限控制
为不同职能部门的员工设置不同的访问权限，以此达到不同部门人员访问公司数据的权限隔离，从而确保数据安全

快速掌控MTD潜在威胁
您可通过本实践操作步骤快速掌控MTD检测潜在威胁，对已发现的告警信息按照告警等级由高至低的优先级对告警信息进行核查、处理，保障您所使用服务的安全和运行能力。

快速掌握主机安全态势
企业主机安全服务是一个用于保障主机整体安全的安全服务，能实时监测主机中的风险并阻止非法入侵行为、一键隔离查杀恶意程序、一键核查漏洞及基线、全面识别主机中的信息资产，帮助您管理主机的安全状态。

快速提升主机安全性
数据、程序都是运行在主机上，一旦主机系统被黑客成功入侵，企业的数据将面临被窃取或被篡改的风险，企业的业务会中断，造成重大损失。使用HSS提升主机安全性，轻松发现并处理主机上存在的安全问题，提高工作效率。

防御勒索病毒最佳实践
一旦遭受勒索病毒攻击，将会使绝大多数的关键文件被加密。如果关键文件被加密，企业业务将受到严重影响；黑客索要高额赎金，也会带来直接的经济损失，因此，勒索病毒的入侵危害巨大。

基于主机的漏洞检测与修复最佳实践
企业主机安全的漏洞管理功能将检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞，帮助用户识别潜在风险。

CC攻击防御最佳实践
CC攻击是攻击者借助代理服务器生成指向受害主机的合法请求，是拒绝服务攻击的一种类型。本文指导您在遭遇CC攻击时，完成基于IP限速和基于Cookie字段识别的防护规则的配置。

数据库运维高危操作的复核审批
针对运维用户访问和运维数据库关键信息，详细介绍如何设置数据库高危操作的复核审批，以及如何实现关键信息的重点监控。

文档水印注入/提取的最佳实践
数据安全中心针对PDF、PPT、Word、Excel格式文件提供了增加水印的功能，您可以参考本实践对云上文件或者本地文件增加自定义水印内容。

隐私数据脱敏，符合PCI、HIPAA等审计规则
当需要对输入的SQL语句的敏感信息进行脱敏时，您可以通过开启隐私数据脱敏功能，以及配置隐私数据脱敏规则，防止数据库用户敏感信息泄露。