华为arm终止华为合作

华为云MPA合规性说明通用指南文档版本01发布日期2021-01-29华为技术有限公司版权所有华为技术有限公司2021.
保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
商标声明和其他华为商标均为华为技术有限公司的商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内.
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证.
由于产品版本升级或其他原因,本文档内容会不定期进行更新.
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保.
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:https://www.
huawei.
com客户服务邮箱:support@huawei.
com客户服务电话:4008302118文档版本01(2021-01-29)版权所有华为技术有限公司i目录1概述.
11.
1适用范围.
11.
2发布目的.
11.
3基本定义.
12MPA简介.
33华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)43.
1MS管理系统.
53.
2PS物理安全.
303.
3DS数据安全.
824结语.
1585版本历史.
159华为云MPA合规性说明通用指南目录文档版本01(2021-01-29)版权所有华为技术有限公司ii1概述1.
1适用范围1.
2发布目的1.
3基本定义1.
1适用范围本文档提供的信息适用于华为云在中国站上开放的产品和服务.
1.
2发布目的电影协会MPA(MotionPictureAssociation,Inc.
)是全球电影、电视和流行媒体行业的主要倡导者,成员包括派拉蒙影业公司、索尼影视娱乐公司、环球影城有限责任公司、Netflix、迪士尼电影及华纳兄弟娱乐公司.
其建立了一套安全存储、处理和传递受保护的媒体内容的最佳实践标准,包括《维护内容安全的最佳实践-通用指南》及《维护内容安全的最佳实践–应用程序和云端分布式环境安全指南》.
为符合MPA对内容安全的期望和当前的行业最佳实践,华为云在本文档对《维护内容安全的最佳实践–通用指南》各领域控制要求进行自评估,向客户展示华为云为提升内容安全性所做出的努力,帮助其了解:《维护内容安全的最佳实践–通用指南》的各领域主要的控制要求;华为云针对于各领域控制要求所作出的回应.
1.
3基本定义客户(租户):指与华为云达成商业关系的注册用户,在本文中同租户含义一致,即使用华为云云服务的用户组织.
ISACA国际信息系统审计协会:全球公认的信息科技管治、监控、保安,以及标准合规的领导组织.
SANS系统管理、网络、安全研究院:世界上最受信任的信息安全培训和安全认证组织.
SANS提供深入的沉浸式培训,旨在帮助企业及其员工掌握保护系统和网络免受最危险威胁所必需的实际步骤.
华为云MPA合规性说明通用指南1概述文档版本01(2021-01-29)版权所有华为技术有限公司1CSA云安全联盟:一个致力于定义和提高对最佳实践认识的全球领先组织,帮助确保安全的云计算环境.
ISO27001信息安全管理体系:目前国际上被广泛接受和应用的信息安全管理体系认证标准.
该标准以风险管理为核心,通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行.
ISO27002信息安全管理实践规范:ISO27002是基于ISO27001的最佳实践,同时也是MPA通用指南的官方映射标准.
该标准根据各种准则和原则建立,用于在组织内启动、实施、改进和维护信息安全管理.
ISO27017云服务信息安全管理体系:基于ISO27001体系框架与ISO27002最佳实践的云服务信息安全控制的实用规则,是云服务信息安全控制实施规程的国际标准.
ISO27018公有云个人可识别信息(PII)管理体系:ISO27018基于ISO/IEC信息安全标准ISO27002,提供了适用于公有云个人信息的控制措施实施指导,旨在补充现有ISO27002控制体系组合未能满足的公有云个人可识别信息(PII)保护要求.
ISO22301业务连续性管理体系:国际公认的业务连续性管理体系标准,通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生,并且制定完备的"业务连续性计划",有效地应对中断发生后的快速恢复,保持核心功能正常运行,将损失和恢复成本降至最低.
CSACCM云安全联盟云控制矩阵:世界上唯一的特定于云的安全控制元框架,框架映射到与安全、隐私等相关的领先的标准、最佳实践和法规.
SOC审计报告:由第三方审计机构根据美国注册会计师协会(AICPA)制定的相关准则,针对外包服务商的系统和内部控制情况出具的独立审计报告.
PCIDSS支付卡协会数据安全标准:由VISA、JCB和万事达等五家国际信用卡组织共同建立的一套支付卡行业数据安全标准,关于华为云的PCIDSS认证内容,请参考《华为云PCIDSS实践指南》.
NIST网络安全框架:NIST网络安全框架由标准、指南和管理网络安全相关风险的最佳实践三部分组成,其核心内容可以概括为经典的IPDRR能力模型,即风险识别能力(Identify)、安全防御能力(Protect)、安全检测能力(Detect)、安全响应能力(Response)和安全恢复能力(Recovery)五大能力.
OWASP开放式Web应用程序安全项目:一个非营利性基金会,致力于改善软件的安全性.
通过社区主导的开源软件项目,全球数百个本地分会,数以万计的成员以及领先的教育和培训会议,OWASP是开发人员和技术人员保护网络安全的来源.
华为云MPA合规性说明通用指南1概述文档版本01(2021-01-29)版权所有华为技术有限公司22MPA简介电影协会(MotionPictureAssociation,Inc.
,简称MPA)已成立超过30年,该协会前期以美国电影协会(MotionPictureAssociationofAmerica,Inc.
,简称MPAA)命名,于2019年9月更名为电影协会(MPA).
MPA致力于保护全球范围内为观众创造娱乐内容的公司及人员的权利,并建立了一套安全存储、处理和传递受保护的媒体内容的最佳实践标准.
MPA最佳实践包括《维护内容安全的最佳实践-通用指南》和《维护内容安全的最佳实践–应用程序和云端分布式环境安全指南》,参照了相关的ISO标准、安全标准和行业最佳实践,阐述了最佳实践控制指南、实施步骤指导.
《维护内容安全的最佳实践–通用指南》由3个模块、7个安全领域、49个安全主题、261个控制项组成,其参考标准包括:ISO27001、ISO27002、NIST、CSA、ISACA及SANS;在本文档中,华为云对《维护内容安全的最佳实践–通用指南》进行自评估,以满足MPA内容安全要求,并提升华为云在管理系统、物理安全、数字化内容安全等领域的管控能力.
华为云MPA合规性说明通用指南2MPA简介文档版本01(2021-01-29)版权所有华为技术有限公司33华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)3.
1MS管理系统3.
2PS物理安全3.
3DS数据安全华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司43.
1MS管理系统NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-1.
0行政安全意识/监管Establishaninformationsecuritymanagementsystemthatimplementsacontrolframeworkforinformationsecuritywhichisapprovedbythebusinessowner(s)/seniormanagement.
华为云已建立信息安全管理体系,该信息安全管理体系已通过ISO27001认证.
作为ISO/IEC27001ISMS认证的一部分,信息安全相关的角色和职责通过书面的方式确定并获得高级领导层的审批.
华为云通过独立第三方对数据安全、隐私和安全的审核,并取得认证,相关认证有:ISO27001、ISO27017、ISO27018、CSASTAR、ISO27701、ISO29151、SOC1/SOC2/SOC3、PCIDSS,相关证书或报告可以从信任中心-合规性获取.
5.
1.
26.
1.
15.
1.
17.
2.
2SOC11.
1SOC11.
2SOC29.
1GRM-02GRM-05GRM-06GRM-09AAC-02AAC-0312.
112.
412.
5AT-2AT-3PM-1PM-2PM-6华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司5NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-1.
1行政安全意识/监管Reviewcontent/informationsecuritymanagementpoliciesandprocessesatleastannually.
Policiesmustbeapprovedbyseniormanagement.
ISO27001信息安全管理体系要求至少每年审查一次信息安全管理策略和流程,政策及流程的变更需要获得高级管理层的审批.
华为云已经通过ISO27001认证,且每年都会邀请第三方独立认证机构进行审查.
MS-1.
2行政安全意识/监管Trainandengageexecutivemanagement/owner(s)onthebusiness'responsibilitiestoprotectcontentatleastannually.
华为云建立了自己的培训机制,对不同的角色设计合适的培训方案,一般员工至少每年进行一次培训,以提升其信息保护意识,核心岗位员工培训频率比一般员工高.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司6NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-1.
3行政安全意识/监管Createaninformationsecuritymanagementgrouptoestablishandreviewinformationsecuritymanagementpolicies.
华为云依据ISO27001及SOC2的要求,实施文档化的信息安全政策和程序,为华为云的操作和信息安全管理提供指导.
员工可根据授权查看已发布的信息安全政策和程序.
MS-2.
0风险管理Developaformal,documentedsecurityriskassessmentprocessfocusedoncontentworkflowsandsensitiveassetsinordertoidentifyandprioritizerisksofcontenttheftandleakagethatarerelevanttothefacility.
华为云已经实施了一个正式的、有文件记录的风险评估政策,该政策至少每年更新和审查一次.
风险评估的目的是识别华为云的威胁和漏洞,基于业务流程和资产管理情况,为威胁和脆弱性分配风险评级,正式记录评估,并为解决问题制定风险处理计划.
5.
1.
26.
1.
1SOC11.
2SOC29.
3GRM-02GRM-08GRM-10GRM-11TVM-0212.
112.
2CA-1RA-1RA-2华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司7NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-2.
1风险管理Conductaninternalsecurityriskassessmentannuallyanduponkeyworkflowchanges—basedon,ataminimum,theMPABestPracticeCommonGuidelinesandtheapplicableSupplementalGuidelines—anddocumentandactuponidentifiedrisks.
华为云每年进行风险评估,包括识别关键流程更新可能存在的数据安全风险,根据已识别的风险采取行动.
风险评估报告完成后将会获得高级管理层的审批.
在审计SOC、PCIDSS、ISO27001等合规性期间,华为云风险管理框架由独立外部审计师进行审查.
客户保留对其内容数据的所有权,并负责评估和管理与其数据相关的风险,以满足其法规遵从性需求.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司8NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-3.
0安保组织Identifysecuritykeypoint(s)ofcontactandformallydefinerolesandresponsibilitiesforcontentandassetprotection.
华为云在《华为云安全白皮书》中通过责任共担模型,阐述了华为云作为云服务提供商与客户分别承担的安全管理责任.
华为云根据不同角色、岗位制定相应的安全基础能力培训计划.
新员工转正前必须通过有关网络安全与隐私保护的上岗培训和考试;在岗员工需根据不同业务角色,选择相应课程进行学习与考试.
管理者需参加网络安全必须的培训和研讨.
华为云已获得ISO27001信息安全管理体系认证,并且每年邀请第三方审核机构进行审核,ISO27001信息安全管理体系的审核中也包含了此部分要求.
6.
1.
3SOC11.
1HRS-0712.
412.
5PM-2华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司9NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-4.
0政策与程序Establishpoliciesandproceduresregardingassetandcontentsecurity;policiesshouldaddressthefollowingtopics,ataminimum:Acceptableuse(e.
g.
,socialmedia,Internet,phone,personaldevices,mobiledevices,etc.
)AssetandcontentclassificationandhandlingpoliciesBusinesscontinuity(backup,retentionandrestoration)ContenttransferISO27001信息安全管理体系要求企业建立包含资产和内容安全等相关政策和流程,华为云已获得ISO27001信息安全管理体系认证,并且每年邀请第三方审核机构进行审核.
5.
1.
15.
1.
26.
1.
18.
1.
38.
2.
27.
2.
212.
3.
1A.
10.
3SOC11.
2SOC29.
1SOC29.
4MOS-05BCR-01DSI-01BCR-11AAC-01AAC-02HRS-091.
11.
52.
53.
13.
74.
35.
46.
77.
38.
18.
48.
89.
1010.
811.
612.
112.
312.
4AT-1AT-2AT-3AT-4PL-1PS-7华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司10NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53processesandsystemsChangecontrolandconfigurationmanagementpolicyConfidentialitypolicyDigitalrecordingdevices(e.
g.
,smartphones,digitalcameras,camcorders)Exceptionpolicy(e.
g.
,processtodocumentpolicydeviations)IncidentresponsepolicyMobiledevicepolicyNetwork,internetandwirelesspolicies华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司11NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53Passwordcontrols(e.
g.
,passwordminimumlength,screensavers)SecuritypolicyVisitorpolicyDisciplinary/SanctionpolicyInternalanonymousmethodtoreportpiracyormishandlingofcontent(e.
g.
,telephonehotlineoremailaddress)MS-4.
0.
1政策与程序Establishdedicatedpoliciesgoverningtheuseofsocialmediabycompanypersonnel.
华为云制定社交媒体相关政策,禁止在办公网络中私自启用互联网服务,员工无法通过华为内网访问社交媒体.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司12NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-4.
0.
2政策与程序Establishpoliciesgoverningtheusingofmobilecomputingdevices.
华为云对移动设备安全管理建立制度规定,并每年邀请第三方审核机构对该制度的适用性进行审核,该制度包含对移动计算机设备的管理要求.
MS-4.
1政策与程序Reviewandupdatesecuritypoliciesandproceduresatleastannually.
ISO27001信息安全管理体系要求至少每年审查一次信息安全管理策略和流程,并根据需要予以更新,以反映业务目标或风险环境的变更情况.
政策及流程的变更需要获得高级管理层的审批.
华为云已经通过ISO27001认证,且每年都会邀请第三方独立认证机构进行审查.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司13NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-4.
2政策与程序Communicateandrequiresign-offfromallcompanypersonnel(e.
g.
,employees,temporaryworkers,interns)andthirdpartyworkers(e.
g.
,contractors,freelancers,tempagencies)forallcurrentpolicies,procedures,and/orclientrequirements.
将网络安全纳入《华为员工商业行为准则》(BCG–BusinessConductGuide),通过公司统一开展的年度例行BCG学习、考试和签署活动来传递公司对全员在网络安全领域的要求,提高员工网络安全意识.
签署网络安全承诺书,承诺遵守公司各项网络安全政策和制度要求.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司14NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-4.
3政策与程序Developandregularlyupdateanawarenessprogramaboutsecuritypoliciesandproceduresandtraincompanypersonnelandthirdpartyworkersuponhireandannuallythereafteronthosesecuritypoliciesandprocedures,addressingthefollowingareasataminimum:ITsecuritypoliciesandproceduresContent/assetsecurityand华为云员工入职时须参加入职培训,入职培训中包含信息安全内容,在职期间,员工会每年参加信息安全培训,年度的信息安全培训都会被计划、实施和监督.
华为云通过多种培训方式进行信息安全意识培训,所有的员工都需要完成年度培训,培训记录可以证实所有人员已经阅读和理解了信息安全政策.
签署网络安全承诺书,员工承诺遵守公司各项网络安全政策和制度要求.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司15NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53handlingingeneralandclient-specificrequirementsSocialmediapoliciesSocialengineeringpreventionSecurityincidentreportingandescalationDisciplinarypolicyEncryptionandkeymanagementforallindividualswhohandleencryptedcontentAssetdisposalanddestructionprocesses华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司16NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-5.
0事件响应Establishaformalincidentresponseplanthatdescribesactionstobetakenwhenasecurityincidentisdetectedandreported.
华为云参照ISO27001建立信息安全管理体系,其中包含事件响应流程和计划.
另外,华为云制定了安全事件响应操作的内部规范,明确云安全事件的定级及通报机制、处理流程及人员职责.
16.
1.
116.
1.
2A9.
1SOC18.
1SOC18.
2BCR-01SEF-01SEF-02SEF-0310.
612.
1IR-1IR-2IR-4IR-5IR-6IR-7IR-8MS-5.
1事件响应Identifythesecurityincidentresponseteamwhowillberesponsiblefordetecting,analyzing,andremediatingsecurityincidents.
华为云参照ISO27001标准建立信息安全管理体系,其中包含事件响应流程和计划.
华为云也建立了安全事件响应团队,要求流程中各角色人员履行其对应职责.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司17NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-5.
2事件响应Establishasecurityincidentreportingprocessforindividualstoreportdetectedincidentstothesecurityincidentresponseteam.
华为云建立ISO27001信息安全管理体系,其中包含事件响应流程和计划,安全事件可通过多个渠道通知到事件响应团队成员.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司18NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-5.
2.
1事件响应Anonymousreportingshouldbemadeavailabletoorganizationswith50ormoreemployeesandthirdpartypersonnelforreportingofcontentprotectionandprivacyconcerns.
Theanonymousreportingtoolconsistingofaninternal,anonymoustelephonenumber,emailaddress,and/orwebsiteshouldbepublishedandalsoprovidedduringsecurity华为云员工入职时须参加入职培训,入职培训时会告知员工进行匿名举报的途径.
第三方人员入场前需完成信息安全培训,并在培训中会告知其安全事件匿名举报途径.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司19NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53awarenesstraining.
MS-5.
3事件响应(RemovedandcombinedwithMS-5.
2)N/AMS-6.
0业务连续性和灾难恢复Establishaformalplanthatdescribesactionstobetakentoensurebusinesscontinuity.
华为云已经通过ISO22301业务连续性管理体系认证,在内部建立了业务连续性管理体系,并制定业务连续性计划,其中包含了自然灾害、事故灾害、信息技术风险等突发事件的应对策略与应对流程.
17.
1.
1SOC18.
1SOC18.
2SOC210.
3BCR-01BCR-02BCR-05BCR-08BCR-10BCR-11CPMS-6.
1业务连续性和灾难恢复Identifythebusinesscontinuityteamwhowillberesponsiblefordetecting,analyzingandremediatingcontinuityincidents.
华为云已经通过ISO22301业务连续性管理体系认证,在内部建立了业务连续性管理体系,制定了业务连续性管理规定,组建业务连续性响应团队并定义其岗位职责.
华为云也对定期测试业务连续性计划的有效性.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司20NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-6.
2业务连续性和灾难恢复Establishadatabackuppolicythataddressesthefollowing:SystemsanddataRetentionandprotectionrequirementsBackupfrequencyEncryptionRecoverytimeobjectives(RTO)Recoverypointobjectives(RPO)RestorationtestingSecureoffsitestorage华为云已经通过ISO22301业务连续性管理体系标准的认证,在内部建立了业务连续性管理体系,在业务连续性管理体系中要求华为云建立数据备份策略,以解决系统及数据的可用性问题.
更详细的内容参考《华为云安全白皮书》.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司21NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-7.
0变更控制和配置管理Establishpoliciesandprocedurestoensurenewdata,applications,network,andsystemscomponentshavebeenpre-approvedbybusinessleadership.
华为云设置配置经理对所有业务单元进行配置管理,包括提取配置模型(配置项类型、各类配置项属性、配置项间的关系等),记录配置信息等.
并通过专业的配置管理数据库工具CMDB(ConfigurationManagementDatabase),对配置项、配置项的属性和配置项之间的关系进行管理.
华为云的各项变更都是影响云服务运行的因素.
生产环境各要素如机房设施、网络、系统平台软硬件和应用等的更改,包括设备增减、架构调整、系统软件更新(含网络系统,操作系统镜像和应用容器)、配置改变等发生变更,都需要通过有序的活动进行变更管理.
所有的变更申请生成后,由变更经理进行变更级别判断后提交给华为云变更委员会,通过评审后方可按计划对现网实施变更.
所有的变更在申请前,都需通过类生产坏境测试、灰色发布、蓝绿部署等方式进行充分验证,使变更委员会清晰地了解变更动作、时长、变更失败的回退动作以及所有可能的影响.
14.
2.
212.
1.
2SOC16.
1CCC-01CCC-03CCC-04CCC-05GRM-016.
4CM华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司22NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-8.
0工作流程Documentworkflowstrackingcontentandauthorizationcheckpoints.
Includethefollowingprocessesforbothphysicalanddigitalcontent:Delivery(receipt/return)IngestMovementStorageRemoval/destruction保护内容数据的工作流文档是华为云客户的责任,因为客户保留对其客户操作系统、软件、应用程序和数据的所有权和控制权.
11.
1MS-8.
1工作流程(RemovedandcombinedwithMS-8.
0)N/A华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司23NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-9.
0职责划分Segregatedutieswithinthecontentworkflow.
Implementanddocumentcompensatingcontrolswheresegregationisnotpractical.
华为云依据ISO27001的要求建立了访问控制管理要求,遵循权限最小化原则、权限分离原则,定期对员工的权限范围进行审核,避免出现超出其工作范围应覆盖的权限.
当员工在岗状态发生变化时,及时对其权限进行清理与修改.
华为云为客户提供的虚拟私有云(VPC)服务可为租户构建出私有网络环境,实现不同租户间在三层网络的完全隔离,租户可以完全掌控自己的虚拟网络构建与配置,并通过配置网络ACL和安全组规则,对进出子网和虚拟机的网络流量进行严格的管控,满足租户更细粒度的网络隔离需求.
华为云对于生产及非生产环境使用物理和逻辑控制并用的隔离手段,提升网络面对入侵和内部违规操作的分区自我保护和容错恢复能力.
华为云根据不同业务维度和相同业务不同职责,实行RBAC权限管理.
登录权限分为:核心网络、接入网络、安全设备、业务系统、数据库系统、硬件维护、监控维护等.
不同岗位不同职责人员限定只能访问本角色所管辖的设备,其他设备无权访问.
6.
1.
2IAM-01IAM-02IAM-03IAM-05IAM-06华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司24NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-10.
0背景检查Performbackgroundscreeningchecksonallcompanypersonnel,thirdpartyworkers,andtheirrelevantsubcontractors.
华为云要求机要岗位、关键岗位员工上岗前需进行背景调查,接口部门视业务需要对外部人员进行背景调查.
7.
1.
1SOC29.
5HRS-0212.
7PS-3MS-11.
0保密协议Requireallcompanypersonneltosignaconfidentialityagreement(e.
g.
,non-disclosure)uponhireandreviewannuallythereafter,thatincludesrequirementsforhandlingandprotectingcontent.
员工入职时,签署的聘用协议中含保密条款,机要岗位员工还需签署相关NDA.
员工还需签署网络安全承诺书,员工承诺遵守公司各项网络安全政策和制度要求.
7.
1.
28.
1.
4A.
10.
1HRS-01HRS-06PL-4PS-6PS-8PS-4PS-6PS-8SA-9华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司25NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-11.
1保密协议Requireallcompanypersonneltoreturnallcontentandclientinformationintheirpossessionuponterminationoftheiremploymentorcontract.
华为云制定了人员安全相关的管理规定,要求员工离职或离岗时向公司移交所持有的华为云的资产.
与合作伙伴合同/业务关系终止时,合作伙伴将按照合作协议删除自带设备中在合作项目中产生的信息,并退还华为云提供的资产.
MS-12.
0第三方使用与筛选Requireallthirdpartyworkers(e.
g.
,freelancers)whohandlecontenttosignconfidentialityagreements(e.
g.
,non-disclosure)uponengagement.
对于外部人员,接口部门需要与其所属组织签署保密协议,若合作事项涉及敏感信息,与外部人员加签保密协议.
7.
1.
17.
1.
27.
2.
18.
1.
411.
1.
216.
1.
116.
1.
2A.
7.
1SOC15.
11SOC15.
12DCS-02DCS-07DCS-09IVS-112.
612.
612.
812.
9PL-4PS-4PS-6PS-7SA-9华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司26NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-12.
1第三方使用与筛选Requireallthirdpartyworkerstoreturnallcontentandclientinformationintheirpossessionuponterminationoftheircontract.
华为云要求在合作终止时,对于外部人员自带设备中包含的在合作项目中产生的信息,接口部门应按照合作协议予以处置,如果涉及公司敏感信息的,应予以回收或销毁.
MS-12.
2第三方使用与筛选Includesecurityrequirementsinthirdpartycontracts.
华为云依据ISO27001的要求管理第三方供应商,并与其签署保密及服务水平协议,协议中包含安全和隐私数据处理的要求.
与供应商签订的合同需要经过多轮合同评审流程,合同内容由华为云法务团队负责审查.
MS-12.
3第三方使用与筛选Implementaprocesstoreclaimcontentwhenterminatingrelationshipswiththirdpartyserviceproviders.
供应商安全和隐私要求包含在已签署的合同协议中.
与第三方的业务对接人员负责管理他们的第三方关系,包括资产保护要求和供应商对相关应用程序的访问.
华为云要求在合作终止时,对于外部人员自带设备中包含的在合作项目中产生的信息,接口部门应按照合作协议予以处置,如果涉及公司敏感信息的,应予以回收或销毁.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司27NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-12.
4第三方使用与筛选Requirethirdpartyworkerstobebondedandinsuredwhereappropriate(e.
g.
,courierservice).
华为云通过合同签订前的尽职调查以及合同签订后的定期评估来管理供应商对华为云具体的要求和合同义务的符合性.
MS-12.
5第三方使用与筛选Restrictthirdpartyaccesstocontent/productionareasunlessrequiredfortheirjobfunction.
华为云依据ISO27001的要求管理第三方供应商,并与其签署保密及服务水平协议,协议中包含安全和隐私数据处理的要求,管理其访问权限不应超过其服务所必须.
同时,华为云通过门禁控制系统,严格审核包括第三方在内的人员出入权限.
MS-12.
5.
1第三方使用与筛选ControlaccessofthirdpartyITserviceproviderstothecomputingenvironment.
华为云为第三方人员提供单独的账号,在入职前依据其工作职责与工作内容,依据权限最小化原则为其提供权限,包含对权限范围内的数据、应用程序、基础架构、网络组件的访问.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司28NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53MS-12.
6第三方使用与筛选Notifyclientsifthirdpartiesareusedtohandleorstorecontent,orworkisoffloadedtoanothercompany.
Performduediligenceofthirdparties.
ThirdpartiesalsoincludeprovidersofITservices.
Obtainclientapprovalforuseofthirdpartieswhohandle,store,orhaveaccesstocontent.
华为云建立供应商选择和监督体系,通过合同签订前的尽职调查以及合同签订后的定期评估来管理供应商对华为云具体的要求和合同义务的符合性.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司293.
2PS物理安全NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-1.
0入口/出口Secureallentry/exitpointsofthefacilityatalltimes,includingloadingdockdoorsandwindows.
华为云已制定并实施完善的物理和环境安全防护策略、规程和措施,满足GB50174《电子信息机房设计规范》A类和TIA942《数据中心机房通信基础设施标准》中的T3标准.
华为云数据中心严格管理人员及设备进出,在数据中心园区及建筑的门口设置7*24小时保安人员进行登记盘查,限制并监控来访人员授权活动范围.
门禁控制系统在不同的区域采取不同安全策略,严格审核人员出入权限.
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
保安人员对数据中心定时巡查,并设置在线巡更系统.
对非法闯入和其他安保事件及时进行声光报警.
11.
1SOC15.
1SOC15.
6DCS-02DCS-06DCS-07DCS-099.
1PE-1PE-2PE-3PE-6华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司30NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-1.
1入口/出口Controlaccesstoareaswherecontentishandledbysegregatingthecontentareafromotherfacilityareas(e.
g.
,administrativeoffices,waitingrooms,loadingdocks,courierpickupanddrop-offareas,replicationandmastering).
华为云数据中心不但有妥善的选址,在设计施工和运营时,合理划分了机房物理区域,合理布置了信息系统的组件,以防范物理和环境潜在危险.
数据中心严格管理人员及设备进出,在数据中心园区及建筑的门口设置了全天候一天24小时、一周7天,即7*24小时保安人员进行登记盘查,限制并监控来访人员授权活动范围.
门禁控制系统在不同的区域采取不同安全策略的门禁控制系统,严格审核人员出入权限.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司31NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-1.
2入口/出口Controlaccesswheretherearecollocatedbusinessesinafacility,whichincludesbutisnotlimitedtothefollowing:SegregatingworkareasImplementingaccess-controlledentrancesandexitsthatcanbesegmentedperbusinessunitLoggingandmonitoringofallentrancesandexitswithinfacilityAlltenantswithinthefacilitymustbereportedtoclient华为云与数据中心运营商签署管理合同,要求运营商负责数据中心的日常运营管理.
华为云严格管理人员及设备进出,在数据中心园区及建筑的门口设置7*24小时保安人员进行登记盘查,限制并监控来访人员授权活动范围.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
华为云通过合同与运营商协定安全策略,同时运营商对不同租户进行物理隔离,以防止未授权访问.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司32NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53priortoengagementPS-2.
0访客进入/离开Maintainadetailedvisitors'logandincludethefollowing:NameCompanyTimein/timeoutReasonforvisitPerson/peoplevisitedSignatureofvisitorBadgenumberassigned访客进入数据中心之前需要进行申请,进入数据中心时需要进行登记,访客日志包括访客名字、公司、时间、访客签名等.
11.
1SOC15.
1SOC15.
4IAM-04DCS-099.
19.
29.
4PE-2PE-3PE-7PS-2.
1访客进入/离开Assignanidentificationbadgeorstickerwhichmustbevisibleatalltimes,toeachvisitorandcollectbadgesuponexit.
访客进入数据中心时需要获取并佩戴访客牌,访客离开时退还访客牌.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司33NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-2.
2访客进入/离开Donotprovidevisitorswithkeycardaccesstocontent/productionareas.
在华为云人员出入安全管理规定中要求访客在数据中心现场或内容/生产区域须由授权员工陪同.
PS-2.
3访客进入/离开Requirevisitorstobeescortedbyauthorizedemployeeswhileon-site,orincontent/productionareas.
在华为云人员出入安全管理规定中要求访客在数据中心现场或内容/生产区域须由授权员工陪同.
PS-2.
3.
1访客进入/离开Visitorsshouldberequiredtosignanondisclosureagreement(NDA)andsignavisitorlogpriortoenteringafacility.
华为云要求数据中心内部人员在上岗前应签署保密协议,与运营商签订的管理合同要求数据中心运营人员应遵守保密协议,一般的数据中心来访人员需要数据中心内部人员全程陪同,并且只能在一般限制区域活动.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司34NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-3.
0身份识别Fororganizationswith25ormoreemployeesandthird-partyworkers,providecompanypersonnelandlong-termthirdpartyworkers(e.
g.
,janitorial)withaphotoidentificationbadgethatisrequiredtobevisibleatalltimes.
华为云对数据中心人员和长期第三方员工执行身份管理,员工出入门禁系统均须使用本人身份识别徽章区分门禁权限.
11.
1.
2SOC15.
1DCS-099.
19.
29.
4PE-3华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司35NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-4.
0外围安全Implementperimetersecuritycontrolsthataddressrisksthatthefacilitymaybeexposedtoasidentifiedbytheorganization'sriskassessment.
华为云已制定并实施完善的物理和环境安全防护策略、规程和措施,满足GB50174《电子信息机房设计规范》A类和TIA942《数据中心机房通信基础设施标准》中的T3标准.
华为云数据中心严格管理人员及设备进出,在数据中心园区及建筑的门口设置7*24小时保安人员进行登记盘查,限制并监控来访人员授权活动范围.
门禁控制系统在不同的区域采取不同安全策略的门禁控制系统,严格审核人员出入权限.
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
保安人员对数据中心定时巡查,并设置在线巡更系统.
对非法闯入和其他安保事件及时进行声光报警.
11.
1.
1SOC15.
1SOC15.
4DCS-029.
1PE-3华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司36NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-4.
1外围安全Placesecurityguardsatperimeterentrancesandnon-emergencyentry/exitpoints.
华为云数据中心严格管理人员及设备进出,在数据中心园区及建筑的门口设置7*24小时保安人员进行登记盘查,限制并监控来访人员授权活动范围.
保安人员对数据中心定时巡查,并设置在线巡更系统.
对非法闯入和其他安保事件及时进行声光报警.
同时,华为云也在办公环境周边入口和各关键出入境点设立保安站岗看守.
PS-4.
2外围安全Implementadailysecuritypatrolprocesswitharandomizedscheduleanddocumentthepatrolresultsinalog.
华为云数据中心严格管理人员及设备进出,在数据中心园区及建筑的门口设置7*24小时保安人员进行登记盘查,限制并监控来访人员授权活动范围.
门禁控制系统在不同的区域采取不同安全策略的门禁控制系统,严格审核人员出入权限.
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
保安人员对数据中心定时巡查,并设置在线巡更系统.
对非法闯入和其他安保事件及时进行声光报警.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司37NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-4.
3外围安全LockPerimetergatesatalltimes.
华为云已制定并实施完善的物理和环境安全防护策略、规程和措施,满足GB50174《电子信息机房设计规范》A类和TIA942《数据中心机房通信基础设施标准》中的T3标准.
数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
PS-5.
0警报器Installacentralized,audiblealarmsystemthatcoversallentry/exitpoints(includingemergencyexits),windows,loadingdocks,fireescapes,andrestrictedareas(e.
g.
,vault,server/machineroom,etc.
).
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
保安人员对数据中心定时巡查,并设置在线巡更系统.
对非法闯入和其他安保事件及时进行声光报警.
数据中心部署了自动报警和自动灭火系统,能够迅速准确发现并通报火情.
自动报警系统与供电、监控、通风设备联动,即使意外情况造成无人值守,也能开启自动灭火系统得以控制火情.
11.
1.
1SOC15.
1SOC15.
3SOC15.
6SOC15.
7DCS-02DCS-07IAM-02IAM-04IAM-05IAM-109.
1AC-6PE-3PE-6PE-9PE-10PE-11PE-13华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司38NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-5.
1警报器Installandeffectivelypositionmotiondetectorsinrestrictedareas(e.
g.
,vault,server/machineroom)andconfigurethemtoalerttheappropriatesecurityandotherpersonnel(e.
g.
projectmanagers,producer,headofeditorial,incidentresponseteam,etc.
).
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控及移动侦测报警,并与红外感应、门禁等联动.
保安人员对数据中心定时巡查,并设置在线巡更系统.
对非法闯入和其他安保事件及时进行声光报警.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司39NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-5.
2警报器Installdoorpropalarmsinrestrictedareas(e.
g.
vault,server,machinerooms)tonotifywhensensitiveentry/exitpointsareopenforlongerthanapre-determinedperiodoftime(e.
g.
,60seconds).
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控及移动侦测报警,并与红外感应、门禁等联动,保安定时巡查各敏感出入口,以及时确认出入口打开的异动情况.
PS-5.
3警报器Configurealarmstoprovideescalationnotificationsdirectlytothepersonnelinchargeofsecurityandotherpersonnel(e.
g.
,projectmanagers,producer,headofeditorial,incidentresponseteam,etc.
).
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
保安人员对数据中心定时巡查,并设置在线巡更系统.
对非法闯入和其他安保事件及时进行声光报警.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司40NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-5.
4警报器Assignuniquearmanddisarmcodestoeachpersonthatrequiresaccesstothealarmsystemandrestrictaccesstoallotherpersonnel.
华为云内部的IAM系统负责对数据中心员工全生命周期的管理,对其的身份信息、职位、访问权限、账号类别进行存储与管理.
PS-5.
5警报器Reviewthelistofuserswhocanarmanddisarmalarmsystemsquarterly,oruponchangeofpersonnel.
华为云依据ISO27001的要求建立了访问控制管理要求,遵循权限最小化原则、权限分离原则,定期对员工的权限范围进行审核,避免出现超出其工作范围应覆盖的权限.
当员工在岗状态发生变化时,及时对其权限进行清理与修改.
员工的登陆、操作等日志将留存需要的时间以响应审核需求.
PS-5.
6警报器Testthealarmsystemquarterly.
华为云每季度都会组织内部与第三方评估机构分别进行对华为云的所有的系统、应用、网络进行漏洞扫描.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司41NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-5.
7警报器Implementfiresafetymeasuressothatintheeventofapoweroutage,firedoorsfailopen,andallothersfailshuttopreventunauthorizedaccess.
华为云对电气、消防安全执行严格管控.
华为云数据中心采用多级保护方案保障业务7*24小时持续运行,日常电力供应采用来自不同变电站的双路市电供电.
配备柴油发电机,在市电断电时可启动柴油机供电,以备不时之需.
并配备了不间断电源(UPSUninterruptedPowerSupply),提供短期备用电力供应.
华为云数据中心建筑防火等级均按一级设计施工,使用了A级防火材料,满足国家消防规范.
采用了阻燃、耐火电缆,在管内或线槽铺设,并设置了漏电检测装置.
部署了自动报警和自动灭火系统,能够迅速准确发现并通报火情.
自动报警系统与供电、监控、通风设备联动,即使意外情况造成无人值守,也能开启自动灭火系统得以控制火情.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司42NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-6.
0授权Documentandimplementaprocesstomanagefacilityaccessandkeeprecordsofanychangestoaccessrights.
华为云依据ISO27001的要求建立了访问控制管理要求,遵循权限最小化原则、权限分离原则,定期对员工的权限范围进行审核,避免出现超出其工作范围应覆盖的权限.
当员工在岗状态发生变化时,及时对其权限进行清理与修改.
员工的登陆、操作等日志将留存需要的时间以响应审核需求.
11.
1SOC15.
1SOC15.
3IAM-02IAM-05IAM-10IVS-089.
19.
29.
4PE-2PE-3PS-6.
1授权Restrictaccesstoproductionsystemstoauthorizedpersonnelonly.
华为云对接入主机操作系统的华为云管理员执行严格的权限访问控制,对其所执行的各项运维运营操作实行全面的日志审计.
华为云管理员必须经过双因子认证后,才能通过堡垒机接入管理平面,所有操作都会记录日志并及时传送到集中日志审计系统.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司43NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-6.
2授权Reviewaccesstorestrictedareas(e.
g.
,vault,server/machineroom)quarterlyandwhentherolesoremploymentstatusofcompanypersonneland/orthirdpartyworkersarechanged.
华为云依据员工工作需要为其提供所需的最小权限,并定期对权限进行审阅,使系统用户及管理员的始终遵循最小权限原则.
员工及其他第三方在状态发生变化后,如离职或职位变更后,按照调动、离职安全审查清单,对内部调离、离职人员进行离岗安全审查,包括离岗权限账号的清理或修改等.
PS-7.
0电子接入控制Implementelectronicaccessthroughoutthefacilitytocoverallentry/exitpointsandallareaswherecontentisstored,transmitted,orprocessed.
华为云数据中心严格管理人员及设备进出,在数据中心园区及建筑的门口设置了全天候一天24小时、一周7天,即7*24小时保安人员进行登记盘查,限制并监控来访人员授权活动范围.
门禁控制系统在不同的区域采取不同安全策略的门禁控制系统,严格审核人员出入权限.
华为云对员工按工作需要的最小范围分配权限,并对其信息安全管理系统、敏感信息的访问、修改等操作进行监控和记录.
11.
1SOC15.
1SOC15.
3DCS-029.
19.
29.
4PE-2PE-3华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司44NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-7.
1电子接入控制Restrictelectronicaccesssystemadministrationtoappropriatepersonnel.
IAM系统负责对数据中心员工全生命周期的管理,对其的身份信息、职位、访问权限、账号类别进行存储与管理.
华为云将该系统限制由指定人员进行管理,以实现职责分离.
华为云对每个API请求通过与华为云IAM的集成进行身份验证,确保只有经过身份验证的用户才能访问和管理云监控信息,且传输通道通过TLS加密.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司45NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-7.
2电子接入控制Storecardstockandelectronicaccessdevices(e.
g.
,keycards,keyfobs)inalockedcabinetandensureelectronicaccessdevicesremaindisabledpriortobeingassignedtopersonnel.
Storeunassignedelectronicaccessdevices(e.
g.
,keycards,keyfobs)inalockedcabinetandensuretheseremaindisabledpriortobeingassignedtopersonnel.
华为云数据中心严格管理人员及设备进出,在数据中心园区及建筑的门口设置了全天候一天24小时、一周7天,即7*24小时保安人员进行登记盘查,限制并监控来访人员授权活动范围.
门禁控制系统在不同的区域采取不同安全策略的门禁控制系统,严格审核人员出入权限.
华为云对员工按工作需要的最小范围分配权限,并对其信息安全管理系统、敏感信息的访问、修改等操作进行监控和记录.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司46NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-7.
3电子接入控制Disablelostelectronicaccessdevices(e.
g.
,keycards,keyfobs)inthesystembeforeissuinganewelectronicaccessdevice.
华为云的内部管理规定要求员工在确认丢失工卡时及时应向安全岗登记.
华为云内部规定卡办理流程,对员工电子接入设备进行统一管理,包括设备的激活、发放、回收和权限撤销.
PS-7.
4电子接入控制Issuethirdpartyaccesselectronicaccessdeviceswithasetexpirationdate(e.
g.
90days)basedonanapprovedtimeframe.
分配给第三方员工的电子接入设备会设定设备到期时间,要求电子接入设备到期时进行回收,并执行权限撤销操作.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司47NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-8.
0密钥Limitthedistributionofmasterkeysand/orkeystorestrictedareastoauthorizedpersonnelonly(e.
g.
,owner,facilitiesmanagement).
华为云依据ISO27001的要求建立了访问控制管理要求,遵循权限最小化原则、权限分离原则,定期对员工的权限范围进行审核,避免出现超出其工作范围应覆盖的权限.
当员工在岗状态发生变化时,及时对其权限进行清理与修改.
员工的登陆、操作等日志将留存需要的时间以响应审核需求.
9.
2.
611.
1SOC15.
1DCS-02HRS-019.
1PE-2PE-3CM-5CM-8PS-8.
1密钥Implementacheck-in/check-outprocesstotrackandmonitorthedistributionofmasterkeysand/orkeystorestrictedareas.
数据中心机房门禁或有关钥匙持有权限,应由机房管理员或数据中心门禁管理员向数据中心大区经理或其授权的数据中心站点经理申请,通过门禁权限申请流程方可发放相应钥匙.
PS-8.
2密钥Usekeysthatcanonlybecopiedbyaspecificlocksmithforexteriorentry/exitpoints.
数据中心机房门禁或有关钥匙持有权限,应由机房管理员或数据中心门禁管理员向数据中心大区经理或其授权的数据中心站点经理申请,通过门禁权限申请流程方可发放相应钥匙.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司48NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-8.
3密钥Inventorymasterkeysandkeystorestrictedareas,includingfacilityentry/exitpoints,quarterly.
华为云依据员工工作需要为其提供所需的最小权限,并定期对权限进行审阅,使系统用户及管理员始终遵循最小权限原则.
PS-8.
4密钥Obtainallkeysfromterminatedemployees/third-partiesorthosewhonolongerneedtheaccess.
华为云制定了人员安全相关管理规定,要求员工离职或离岗时向公司移交所持有的华为云资产.
与合作伙伴合同/业务关系终止时,按照合作协议删除自带设备中在合作项目中产生的信息,并移交华为云提供的资产.
华为云建立了人员离职/合作终止时的资产交接电子流,按照电子流程执行资产交接.
PS-8.
5密钥Implementelectronicaccesscontrolorrekeyentirefacilitywhenmasterorsub-masterkeysarelostormissing.
数据中心对钥匙的使用管理进行规定,包括钥匙分类,钥匙存放要求以及钥匙丢失后的补偿措施等.
对于电子访问控制,华为云依据ISO27001的要求建立访问控制管理要求,遵循权限最小化原则、权限分离原则,定期对员工的权限范围进行审核,避免出现超出其工作范围应覆盖的权限.
当员工在岗状态发生变化时,及时对其权限进行清理与修改.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司49NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-9.
0摄像头Installasurveillancecamerasystem(analogCCTVorIPcameras)thatrecordsallfacilityentry/exitpointsandrestrictedareas(e.
g.
server/machineroom,etc.
).
华为云已制定并实施完善的物理和环境安全防护策略、规程和措施,满足GB50174《电子信息机房设计规范》A类和TIA942《数据中心机房通信基础设施标准》中的T3标准.
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
保安人员对数据中心定时巡查,并设置在线巡更系统.
对非法闯入和其他安保事件及时进行声光报警.
11.
1DCS-02BCR-05IAM-01IAM-04IAM-059.
1PE-2PE-3CM-5CM-8PS-9.
1摄像头Reviewcamerapositioningandrecordingstoensureadequatecoverage,function,imagequality,lightingconditions,andframerateofsurveillancefootageatleastdaily.
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并且有专门的团队对CCTV进行管理,维护CCTV的正常运行.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司50NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-9.
2摄像头Restrictphysicaland/orlogicalaccesstothesurveillancecameraconsoleandtocameraequipment(e.
g.
,DVRs,NVRs)topersonnelresponsibleforadministering/monitoringthesystem.
华为云依据ISO27001的要求建立了访问控制管理要求,遵循权限最小化原则、权限分离原则,定期对员工的权限范围进行审核,避免出现超出其工作范围应覆盖的权限.
当员工在岗状态发生变化时,及时对其权限进行清理与修改.
员工的登陆、操作等日志将留存需要的时间以响应审核需求.
由专人定期对所有物理访问设备和仓储系统物资进行综合盘点追踪.
机房管理员不但开展例行安检,而且不定期审计数据中心访问记录,避免非授权人员访问数据中心.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司51NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-9.
3摄像头Ensurethatcamerafootageincludesanaccuratedateandtime-stampandretaincamerasurveillancefootageandelectronicaccesslogsforatleast90days,orthemaximumtimeallowedbylaw,inasecurelocation.
华为云有集中、完整的日志大数据分析系统.
该系统统一收集所有物理设备、网络、平台、应用、数据库和安全系统的管理行为日志和各安全产品及组件的威胁检测告警日志.
华为云制定数据中心安全防范规范,要求对各区域的监控录像保留超过90天.
PS-9.
4摄像头Designateanemployeeorgroupofemployeestomonitorsurveillancefootageduringoperatinghoursandimmediatelyinvestigatedetectedsecurityincidents.
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
保安人员对数据中心定时巡查,并设置在线巡更系统.
对非法闯入和其他安保事件及时进行声光报警.
同时,指定安保人员在监控各区域摄像情况,对发现的安全事件进行及时上报.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司52NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-10.
0记录与监控Logandreviewelectronicaccesstorestrictedareasforsuspiciousevents,atleastweekly.
华为云对员工按工作需要的最小范围分配权限,并对其信息安全管理系统、敏感信息的访问、修改等操作进行实时监控和记录.
10.
112.
4SOC15.
1SOC15.
4BCR-05IVS-02SEF-059.
1AU-3AU-6AU-9AU-11PS-10.
1记录与监控Logandreviewelectronicaccess,atleastdaily,forthefollowingareas:Masters/stampersvaultPre-masteringServer/machineroomScraproomHigh-securitycages华为云对员工按工作需要的最小范围分配权限,并对其信息安全管理系统、敏感信息的访问、修改等操作进行实时监控和记录.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司53NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-10.
2记录与监控Investigatesuspiciouselectronicaccessactivitiesthataredetected.
华为云对提供的服务的网络设备、应用系统启用安全日志,日志对设备、系统的所有更改都会进行记录.
华为云为客户提供各类服务帮助客户进行日志记录和监控,客户可使用云日志服务对虚拟机的配置、日志的更改进行记录,使用云审计服务对于配置的日志的完整性进行监控.
客户可使用企业主机安全(HSS)服务对镜像文件进行完整性校验,对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态,利用这种对比来确定文件是否发生了有效或可疑的修改.
当发现潜在风险,将及时提醒客户.
PS-10.
3记录与监控Maintainanongoinglogofallconfirmedelectronicaccessincidentsandincludedocumentationofanyfollow-upactivitiesthatweretaken.
华为云建立了事件管理平台,用于记录和跟踪所有的信息安全事件的进展、处置措施与落实,对事件处置后的影响进行分析.
华为云提供多类安全服务产品,租户根据自身业务情况进行配置后,通过安全服务产品进行相关的安全事件监控与数据收集.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司54NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-11.
0搜查Establishapolicy,aspermittedbylocallaws,whichallowssecuritytorandomlysearchpersons,bags,packages,andpersonalitemsforclientcontent.
华为云内部制定物理安全规范,在当地法律允许情况下严格执行检查措施.
11.
1BCR-05STA-01IVS-08华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司55NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-11.
1搜查Implementanexitsearchprocessthatisapplicabletoallfacilitypersonnelandvisitors,including:Removalofalloutercoats,hats,andbeltsforinspectionRemovalofallpocketcontentsPerformanceofaself-pat-downwiththesupervisionofsecurityThoroughinspectionofallbagsInspectionoflaptops'CD/DVDtrayScanningofindividuals华为云内部制定物理安全规范,在当地法律允许情况下严格执行检查措施.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司56NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53withahandheldmetaldetectorusedwithinthreeinchesoftheindividualsearched.
PS-11.
2搜查Prohibitpersonnelfromentering/exitingthefacilitywithdigitalrecordingdevices(e.
g.
,USBthumbdrives,digitalcameras,cellphones)andincludethesearchofthesedevicesaspartoftheexitsearchprocedure.
华为云内部制定物理安全规范,在当地法律允许情况下严格执行检查措施.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司57NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-11.
3搜查Enforcetheuseoftransparentplasticbagsandfoodcontainersforanyfoodbroughtintoproductionareas.
华为云内部制定物理安全规范,在当地法律允许情况下严格执行检查措施.
PS-11.
4搜查Implementadresscodepolicythatprohibitstheuseofoversizedclothing(e.
g.
,baggypants,oversizedhoodedsweatshirts).
华为云内部制定物理安全规范,在当地法律允许情况下严格执行检查措施.
PS-11.
5搜查Usenumberedtamper-evidentstickers/hologramstoidentifyauthorizeddevicesthatcanbetakeninandoutofthefacility.
华为云内部制定物理安全规范,严格执行检查措施.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司58NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-11.
6搜查Implementaprocesstotesttheexitsearchprocedure.
华为云建立了一个正式的、定期的审计计划,包括持续的、独立的内部和外部评估,内部评估持续追踪安全控制措施的有效性,外部评估以独立审核员身份进行审计,以验证华为云控制环境的实施和运行有效性.
PS-11.
7搜查Performarandomvehiclesearchprocesswhenexitingthefacilityparkinglot.
为规范化出入安全管理,华为云制定车辆出入及停放相关管理规定,对车辆出入规定区域进行严格管控.
PS-11.
8搜查Segregatereplicationlinesthatprocesshighlysensitivecontentandperformsearchesuponexitingsegregatedareas.
数据中心不但有妥善的选址,在设计施工和运营时,合理划分了机房物理区域(包括高度敏感区域),合理布置了信息系统的组件,以防范物理和环境潜在危险.
华为云要求来访者需内部人员全程陪同,并且只能在一般限制区域活动.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司59NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-11.
9搜查Implementadditionalcontrolstomonitorsecurityguardsactivity.
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
保安人员对数据中心定时巡查,并设置在线巡更系统.
机房管理员不但开展例行安检,而且不定期审计数据中心访问记录,从而使非授权人员不可访问数据中心.
PS-12.
0库存跟踪Implementacontentassetmanagementsystemtoprovidedetailedtrackingofphysicalassets(i.
e.
,receivedfromclientcreatedatthefacility).
华为云高度重视用户的数据信息资产,把数据保护作为华为云安全策略的核心.
华为云将继续遵循数据安全生命周期管理的业界先进标准,在身份认证、权限管理、访问控制、数据隔离、传输安全、存储安全、数据删除、物理销毁等方面,采用优秀技术、实践和流程,为用户提供最切实有效的数据保护能力,保证租户对其数据的隐私权、所有权和控制权不受侵犯.
8.
18.
2.
28.
2.
38.
1.
1DSI-01BCR-05IVS-019.
9AU-1AU-3AU-6AU-9AU-11CM-8华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司60NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-12.
1库存跟踪Assignuniquetrackingidentifier(s)toclientassetsandcreatemedia(e.
g.
,tapes,harddrives)uponreceiptandstoreassetsinthevaultwhennotinuse.
根据ISO27001标准,华为云的信息资产由专门的工具进行监控和管理,形成资产清单,每个资产均被指定所有者.
PS-12.
1.
1库存跟踪Developadataclassificationschemetocategorizephysicalassetsofdifferingsecurityrequirements.
(Reorderedandrenumbered,previouslyPS-12.
1.
2)根据ISO27001标准,华为云的信息资产由专门的工具进行监控和管理,形成资产清单,每个资产均被指定所有者.
PS-12.
2库存跟踪Retainassetmovementtransactionlogsforatleastoneyear.
华为云建立资产管理系统管理资产的移动和交易,保留相应记录,记录的保留时间符合当地法律法规的要求.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司61NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-12.
3库存跟踪Reviewlogsfromcontentassetmanagementsystematleastweeklyandinvestigateanomalies.
华为云有集中、完整的日志大数据分析系统.
该系统统一收集所有物理设备、网络、平台、应用、数据库和安全系统的管理行为日志和各安全产品及组件的威胁检测告警日志.
华为云有专门的内审部门,定期对运维流程各项活动日志进行审计.
对于日志的访问和审核权限只限于特定员工,其权限的审批需收到上级管理人员的批准,并定期进行审核.
PS-12.
4库存跟踪Usestudiofilmtitlealiasesonphysicalassetsandinassettrackingsystems.
根据ISO27001标准,华为云的信息资产分类由专门的工具进行监控和管理,形成资产清单,每个资产均有唯一的资产编号.
PS-12.
5库存跟踪Implementandreviewadailyagingreporttoidentifyhighlysensitiveassetsthatarecheckedoutfromthevaultandnotcheckedbackin.
根据ISO27001标准,华为云的信息资产分类由专门的工具进行监控和管理,形成资产清单,每个资产均有唯一的资产编号.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司62NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-12.
5.
1库存跟踪Adocumentedprocessforcheckingoutcontentshouldbeestablished.
华为云严格遵循ISO27001信息安全管理体系中关于设备的条款A11.
2要求,采取控制措施防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断,并每年对此要求的落实进行审计.
PS-12.
6库存跟踪Lockupandlogassetsthataredelayedorreturnedifshipmentscouldnotbedeliveredontime.
根据ISO27001标准,华为云的信息资产由专门的工具进行监控和管理,形成资产清单,每个资产均被指定所有者.
PS-13.
0库存盘点Performaquarterlyinventorycountofeachclient'sasset(s),reconcileagainstassetmanagementrecords,andimmediatelycommunicatevariancestoclients.
根据ISO27001标准,华为云的信息资产分类由专门的工具进行监控和管理,形成资产清单,每个资产均被指定所有者.
6.
1.
28.
1.
1DCS-01STA-01AU-6AC-5CM-8华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司63NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-13.
1库存盘点Segregatedutiesbetweenthevaultstaffandindividualswhoareresponsibleforperforminginventorycounts.
华为云制定介质管理标准,对存储介质的物理保护和库存控制进行规定,要求至少一名没有直接参与介质方面的工作人员参加库存盘点,以遵循职责分离的原则.
PS-14.
0空白媒介/生胶片库存跟踪Tag(e.
g.
,barcode,assignuniqueidentifier)blankstock/rawstockperunitwhenreceived.
根据ISO27001标准,华为云的信息资产分类由专门的工具进行监控和管理,形成资产清单,每个资产均被指定所有者.
华为云已通过ISO27001认证,认证证书可以从信任中心获取.
8.
1.
18.
2.
2STA-01MP-4PE-2PE-3PS-14.
1空白媒介/生胶片库存跟踪Establishaprocesstotrackconsumptionofrawmaterials(e.
g.
,polycarbonate)monthly.
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
同时,云监控服务(CESCloudEyeService)为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司64NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-14.
2空白媒介/生胶片库存跟踪Storeblankmedia/rawstockinasecuredlocation.
华为云制定介质管理标准,要求存储介质必须保存在受控访问区,所有存储介质都必须纳入介质管理流程来管理.
对于数据中心的重要配件,由仓储系统中的专门电子加密保险箱存放,且由专人进行保险箱的开关;对于数据中心的任何配件,都必须提供授权工单方能领取,且领取时须在仓储管理系统中登记.
由专人定期对所有物理访问设备和仓储系统物资进行综合盘点追踪.
PS-15.
0客户资产Restrictaccesstofinishedclientassetstopersonnelresponsiblefortrackingandmanagingassets.
数据中心合理划分机房物理区域,客户的数据保存在数据中心的生产区域.
华为云依据ISO27001的要求建立了访问控制管理要求,遵循权限最小化原则、权限分离原则,定期对员工的权限范围进行审核,避免出现超出其工作范围应覆盖的权限.
当员工在岗状态发生变化时,及时对其权限进行清理与修改.
员工的登陆、操作等日志将留存需要的时间以响应审核需求.
8.
2.
3SOC15.
1SOC15.
4IAM-02STA-01BCR-05DCS-079.
19.
9MP-2MP-4PE-2PE-3华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司65NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-15.
1客户资产Storeclientassetsinarestrictedandsecurearea(e.
g.
,vault,safe,orothersecurestoragelocation).
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
保安人员对数据中心定时巡查,并设置在线巡更系统.
对非法闯入和其他安保事件及时进行声光报警.
PS-15.
2客户资产Considerrequiringtwocompanypersonnelwithseparateaccesscardsorkeys/pinstounlockhighlysensitiveareas(e.
g.
,safe,high-securitycage)after-hours.
华为云依据ISO27001的要求建立了访问控制管理要求,遵循权限最小化原则、权限分离原则,定期对员工的权限范围进行审核,避免出现超出其工作范围应覆盖的权限.
当员工在岗状态发生变化时,及时对其权限进行清理与修改.
员工的登陆、操作等日志将留存需要的时间以响应审核需求.
PS-15.
3客户资产Usealockedfireproofsafetostoreundeliveredpackagesthatarekeptatthefacilityovernight.
在物理保护方面,华为云设立了分区防护;对于可能的自然灾害制定了选址策略以消减风险;对于入侵、授权等风险,建立了监控机制及响应机制.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司66NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-15.
4客户资产Implementadedicated,securearea(e.
g.
,securitycage,secureroom)forthestorageofundeliveredscreenersthatislocked,access-controlled,andmonitoredwithsurveillancecamerasand/orsecurityguards.
客户在对华为云服务进行配置时,可自主选择专用的数据中心.
华为云数据中心合理划分机房物理区域,客户的数据保存在数据中心的生产区域.
华为云数据中心采用当前通用的机房安保技术监测,并消除物理隐患.
对机房外围、出入口、走廊、电梯、机房等进行7*24小时闭路电视监控,并与红外感应、门禁等联动.
保安人员对数据中心定时巡查,并设置在线巡更系统.
对非法闯入和其他安保事件及时进行声光报警.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司67NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-16.
0处理Requirethatrejected,damaged,andobsoletestock(DVDs,tapes,andotherstoragemedia)containingclientassetsareerased,degaussed,shredded,orphysicallydestroyedbeforedisposal.
当物理磁盘报废时,华为云通过物理方式清除存储介质中的数据,并对数据清除操作保存完整记录,满足行业标准,使用户隐私和数据不受未授权访问.
8.
3.
211.
2.
7A.
9.
3A.
10.
13DCS-05DCS-07IAM-059.
8MP-6华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司68NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-16.
0.
1处理Finishedelements(e.
g.
,checkdiscs,testprints,mock-ups,ADRscripts)shouldbedestroyedimmediatelyafteruse,unlessotherwisespecifiedbycontentowners.
Requirepapermaterialscontainingclientassets(scripts,artwork,storyboards,etc.
)bephysicallydestroyedbeforedisposal.
华为云制定相关介质管理规定,其中对介质清退报废进行分类操作,通过多种方式实现数据清除,磁盘消磁,并记录销毁操作.
当物理磁盘报废时,华为云通过物理方式清除存储介质中的数据,并对数据清除操作保存完整记录,满足行业标准,使用户隐私和数据不受未授权访问.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司69NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-16.
1处理Storeelementstargetedforrecycling/destructioninasecurelocation/containertopreventthecopyingandreuseofassetspriortodisposal.
华为云对废弃工程辅料采取本地报废的处置方式,当物理磁盘报废时,华为云通过物理方式清除存储介质中的数据,并对数据清除操作保存完整记录,满足行业标准,使用户隐私和数据不受未授权访问.
PS-16.
2处理Maintainalogofassetdisposalforatleast12months.
华为云建立资产管理系统管理资产的移动和交易,保留相应记录,记录的保留时间符合当地法律法规的要求.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司70NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-16.
3处理Destructionmustbeperformedonsite.
Onsitedestructionmustbesupervisedandsignedoffbytwocompanypersonnel.
Ifathirdpartydestructioncompanyisengaged,destructionmustbesupervisedandsignedoffbytwocompanypersonnelandcertificatesofdestructionmustberetained.
华为云对存储介质的物理保护和库存控制进行规定,要求消磁操作在摄像头覆盖下进行,或有2人同时在场,其中1人必须是数据中心经理或其指定人员.
消磁后的介质要做好明显标识,并保留消磁记录.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司71NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-16.
4处理Useautomationtotransferrejecteddiscsfromreplicationmachinesdirectlyintoscrapbins(nomachineoperatorhandling).
华为云业务中的介质不涉及光盘.
当物理磁盘报废时,华为云通过物理方法清除存储介质中的数据,并对数据清除操作保存完整记录,满足行业标准,使用户隐私和数据不受未授权访问.
PS-17.
0装运Requirethefacilitytogenerateavalidwork/shippingordertoauthorizeclientassetshipmentsoutofthefacility.
客户具有内容数据的所有权和控制权,华为云根据和客户的约定接收和管理客户的资产.
8.
2.
38.
3.
3A.
10.
4STA-01DCS-02DCS-049.
9AU-11MP-5PE-3PE-7PE-16华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司72NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-17.
1装运Trackandlogclientassetshippingdetails;ataminimum,includethefollowing:TimeofshipmentSendernameandsignatureRecipientnameAddressofdestinationTrackingnumberfromcourierReferencetothecorrespondingworkorder华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
PS-17.
2装运Secureclientassetsthatarewaitingtobepickedup.
华为云数据中心对机房物理区域进行划分,其中设置交接区,通过特定控制对客户资产进行安全防护.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司73NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-17.
3装运Validateclientassetsleavingthefacilityagainstavalidwork/shippingorder.
客户具有内容数据的所有权和控制权,华为云根据和客户的约定接收和管理客户的资产.
PS-17.
4装运Prohibitcouriersanddeliverypersonnelfromenteringcontent/productionareasofthefacility.
华为云数据中心严格管理人员及设备进出,在数据中心园区及建筑的门口设置7*24小时保安人员进行登记盘查,限制并监控来访人员授权活动范围.
门禁控制系统在不同的区域采取不同安全策略的门禁控制系统,严格审核人员出入权限.
PS-17.
5装运Documentandretainaseparatelogfortruckdriverinformation.
数据中心园区门岗对进入园区的车辆、人员、物品进行登记检查并保留相关记录.
PS-17.
5.
1装运Facilitiesshouldimplementandmaintainarecordofalldeliverypersonnelenteringandexitingthebuilding.
数据中心园区门岗对进入园区的车辆、人员、物品进行登记检查并保留相关记录.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司74NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-17.
6装运Observeandmonitortheon-sitepackingandsealingoftrailerspriortoshipping.
数据中心园区门岗对进入园区的车辆、人员、物品进行登记检查并保留相关记录.
PS-17.
7装运Record,monitorandreviewtraveltimes,routes,anddeliverytimesforshipmentsbetweenfacilities.
华为云数据中心进行7*24小时闭路电视监控,并与当地第三方快递公司签订运输合同,由第三方快递公司负责包裹的装载.
PS-17.
8装运Prohibitthetransferoffilmelementsoutsideoftheshippingdepartmentunlessapprovedbytheclient.
华为云业务不涉及薄膜原件的转移华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司75NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-17.
9装运Shipprintsforpre-theatricalscreeningsinsegments(e.
g.
,oddversusevenreels).
华为云业务不涉及提供用于电影放映的印刷品.
PS-18.
0接收Inspectdeliveredclientassetsuponreceiptandcomparetoshippingdocuments(e.
g.
,packingslip,manifestlog).
客户具有内容数据的所有权和控制权,华为云根据和客户的约定接收和管理客户的资产.
8.
2.
28.
2.
3STA-019.
9MP-3MP-4MP-5PE-16PS-18.
1接收Maintainareceivinglogtobefilledoutbydesignatedpersonneluponreceiptofdeliveries.
数据中心园区门岗对进入园区的车辆、人员、物品进行登记检查并保留相关记录,华为云根据和客户的约定维护接收日志.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司76NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-18.
2接收Performthefollowingactionsimmediately:Tag(e.
g.
,barcode,assignuniqueidentifier)receivedassetsInputtheassetintotheassetmanagementsystemMovetheassettotherestrictedarea(e.
g.
,vault,safe)华为云收到资产时为资产分配唯一的标识符,将资产输入管理系统,并将资产存储至指定的区域.
如未使用的资产会放在专门的库房,数据中心的重要配件由仓储系统中的专门电子加密保险箱存放,存放了数据的下架资产会放在保险柜.
PS-18.
3接收Implementasecuremethodforreceivingovernightdeliveries.
在适用情况下,根据客户要求接收客户资产.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司77NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-19.
0标记Prohibittheuseoftitleinformation,includingAKAs("aliases"),ontheoutsideofpackagesunlessinstructedotherwisebyclient.
根据ISO27001标准,华为云的信息资产分类由专门的工具进行监控和管理,形成资产清单,每个资产均有唯一的资产编号,资产编号与客户无关,用于维护资产管理清单.
8.
2.
28.
2.
2DSI-049.
9MP-3PS-20.
0包装Shipallclientassetsinclosed/sealedcontainers,anduselockedcontainersdependingonassetvalue,orifinstructedbytheclient.
在适用情况下,对客户的资产按照客户要求进行包装.
8.
3.
3MP-5华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司78NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-20.
1包装Implementatleastoneofthefollowingcontrols:Tamper-evidenttapeTamper-evidentpackagingTamper-evidentseals(e.
g.
,intheformofholograms)Securecontainers(e.
g.
,Pelicancasewithacombinationlock).
在适用情况下,对客户的资产按照客户要求进行包装.
PS-20.
2包装Applyshrinkwrappingtoallshipments,andinspectpackagingbeforefinalshipmenttoensurethatitisadequatelywrapped.
在适用情况下,对客户的资产按照客户要求进行包装.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司79NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-21.
0运输工具Lockautomobilesandtrucksatalltimes,anddonotplacepackagesinclearview.
华为云与当地第三方快递公司签署运输合同,由第三方快递公司负责包裹的装载.
STA-01MP-5PS-21.
1运输工具Includethefollowingsecurityfeaturesintransportationvehicles(e.
g.
,trailers):SegregationfromdrivercabinAbilitytolockandsealcargoareadoorsGPSforhigh-securityshipments华为云与当地第三方快递公司签署运输合同,由第三方快递公司负责包裹的装载.
PS-21.
2运输工具Applynumberedsealsoncargodoorsforshipmentsofhighlysensitivetitles.
华为云与当地第三方快递公司签署运输合同,由第三方快递公司负责包裹的装载.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司80NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53PS-21.
3运输工具Requiresecurityescortstobeusedwhendeliveringhighlysensitivecontenttohigh-riskareas.
华为云与当地第三方快递公司签署运输合同,由第三方快递公司负责包裹的装载.
PS-22.
0环境Maintainoptimaltemperatureandhumidityset-pointstofacilitateoptimalperformanceofequipmentandtoreducethelikelihoodofcatastrophichardwarefailuresforareasthathouseservers,storagedevices,LANequipment,networkcommunicationsdevices,andstoragemedia.
通过精密空调、集中加湿器自动调节华为云数据中心机房温湿度保持在设备运行所允许的范围内使设备元器件处于良好运行状态.
机柜冷热通道有合理的布置,利用架空地板下空间作为静压箱来给机柜送风,并设置了冷通道密闭,以防止局部热点.
11BCR-03华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司813.
3DS数据安全NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-1.
0防火墙/广域网/周边安全Separateexternalnetwork(s)/WAN(s)fromtheinternalnetwork(s)byusinginspectionfirewall(s)withAccessControlListsthatpreventunauthorizedaccesstoanyinternalnetworkandwiththeabilitytokeepupwithuploadanddownloadtraffic.
华为云对云平台安全区域进行划分,通过使用Anti-DDoS,IPS,WAF等多层防护,实现内部与外部的网络隔离.
9.
19.
410.
112.
212.
312.
412.
613.
113.
216.
117.
19.
4.
110.
1.
112.
4.
412.
6.
113.
1.
3SOC13.
1SOC13.
4SOC15.
15SOC18.
1IVS-03IVS-06IVS-07IVS-08IVS-11IVS-12AIS-01BCR-11TVM-02CCC-03GRM-011.
11.
21.
31.
45.
15.
25.
310.
110.
210.
310.
411.
211.
312.
5AC-3AC-4AC-6AC-17AC-20CA-3CM-6CM-7RA-5SC-7SC-12SC-33SI-2华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司82NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-1.
1防火墙/广域网/周边安全ImplementaprocesstoreviewfirewallAccessControlLists(ACLs)toconfirmconfigurationsettingsareappropriateandrequiredbythebusinessevery6months.
EKM-02EKM-03华为云有专业的网络安全团队负责网络体系结构图的更新,并对各区域之间的防火墙规则进行检查.
在华为云PCIDSS认证的年度审查中,该项内容也会通过第三方机构进行审计.
所有防火墙的控制及变更记录均被记录至安全日志中,防火墙配置需要特定管理员审批后才可变更.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司83NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-1.
1.
1防火墙/广域网/周边安全Firewallmanagementpoliciesandproceduresmustbedocumented,andataminimum,cover:Provisioningrequirements(i.
e.
,basedofftheconceptofleast-privilege)Deploymentrequirements(e.
g.
,baselinerequirements)Changecontrolrequirements(e.
g.
,Patching,Upgrades,FirewallRulemanagement)所有防火墙的控制及变更记录均被记录至安全日志中,防火墙配置需要特定管理员审批后才可变更.
租户负责部署配置其虚拟网络的防火墙网关和高级安全服务等策略,配置租户空间的虚拟网络、虚拟主机和访客虚拟机等云服务所必需的安全配置和管理任务(包括更新和安装补丁、容器安全管理、大数据分析等平台服务的租户配置以及其他各项租户租用的云服务内部的安全配置等).
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司84NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-1.
2防火墙/广域网/周边安全Denyallincomingandoutgoingnetworkrequestsbydefault.
Enableonlyexplicitlydefinedincomingrequestsbyspecificprotocolanddestination.
Enableonlyexplicitlydefinedoutgoingrequestsbyspecificprotocolandsource.
华为云为提升云服务的安全性,应用多种高级防护功能保护内网区域,包括:DDoS异常和超大流量清洗:在每个云数据中心边界部署华为专业的Anti-DDoS设备来完成对异常和超大流量攻击的检测及清洗.
网络入侵检测与拦截:IPS具备网络实时流量分析和阻断能力,能防护异常协议攻击、暴力攻击、端口/漏洞扫描、病毒/木马、针对漏洞的攻击等各种入侵行为.
基于网络流量,IPS可以提供信息帮助定位和调查网络异常,分配定向流量的限制策略,并采用相应的自定义检测规则,保障生产环境内的应用程序和网络基础设施安全.
Web安全防护:华为云部署了Web应用防火墙应对Web攻击,如Web应用层的DDoS攻击、SQL注入、跨站脚本攻击、跨站请求伪造、组件漏洞攻击、身份伪造等.
DS-1.
2.
1防火墙/广域网/周边安全Firewallsshouldbeconfiguredtoactivelyalertsecuritymembersofkeysecurityevents华为云内部制定防火墙管理规定,提出防火墙的对接设计要求及配置规范,并在安全事件响应流程中设置防火墙主备负责人.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司85NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-1.
3防火墙/广域网/周边安全Placeexternallyaccessibleservers(e.
g.
,webservers)withintheDMZ.
华为云DMZ区主要部署了面向外网和租户的前置部件如负载均衡器、代理服务器等,以及服务部件如服务控制台、API网关等.
租户对DMZ区的访问行为不可信,所以需要对DMZ区单独隔离,防止外部请求接触云服务后端部件.
此区域部件面临极高安全风险,除部署了防火墙、防DDoS措施外,还部署了应用防火墙(WAF)及入侵检测与拦截设备IDS/IPS以保护基础网路、平台及应用.
DS-1.
4防火墙/广域网/周边安全Implementaprocesstopatchnetworkinfrastructuredevices(e.
g.
,firewalls,routers,switches,etc.
),SAN/NAS(StorageAreaNetworksandNetworkAttachedStorage),andservers.
华为安全事件响应团队已经建立成熟的漏洞响应机制,针对云的自运营的特点,通过持续优化安全漏洞的管理流程和技术手段,以保证基础设施、平台、应用和云服务中的自研和第三方漏洞尽快修复,降低对租户业务造成影响的风险.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司86NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-1.
5防火墙/广域网/周边安全Hardennetworkinfrastructuredevices,SAN/NAS,andserversbasedonsecurityconfigurationstandards.
DisableSNMP(SimpleNetworkManagementProtocol)ifitisnotinuseoruseonlySNMPv3orhigherandselectSNMPcommunitystringsthatarestrongpasswords.
华为云建立了网络基础设施配置标准,网络基础设施的配置须按照标准执行,在标准中规范化各网络设备的接口、VLAN、SNMP等配置.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司87NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-1.
6防火墙/广域网/周边安全Donotallowdirectmanagementofthefirewallfromanyexternalinterfaces(i.
e.
InternetorWANfacing).
华为云对接入主机操作系统的华为云管理员执行严格的权限访问控制,对其所执行的各项运维运营操作实行全面的日志审计.
华为云管理员必须经过双因子认证后,才能通过堡垒机接入管理平面,所有操作都会记录日志并及时传送到集中日志审计系统.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司88NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-1.
7防火墙/广域网/周边安全Storelocalbackupsofnetworkinfrastructure/SAN/NASdevicesandserversonaserverinasecureinternalnetwork.
《华为云用户协议》以及《隐私政策声明》中告知客户其个人数据的保留策略,华为云具有实现上述协议中的保留策略的技术能力.
除IAM/目标存储服务OBS以外,华为云上线的所有管理服务和组件的管理数据(包含操作日志等)均会备份到OBS中,而同时IAM/OBS的管理数据需要备份到非OBS存储.
客户可使用华为云提供的云备份CBR服务对云内的服务器、云硬盘、虚拟化环境提供备份服务.
客户可使用华为云云监控服务CES对服务器的运行状态、云上资源进行实时监控,当出现硬件故障时,云监控将会通过邮件、短信、HTTP/S通知客户.
同时,客户可通过云硬盘EVS中的快照功能,当数据丢失时,可通过快照将数据完整的恢复到快照时间点.
华为云为客户提供镜像服务IMS产品,客户可通过该产品对云服务器的实例进行备份,当该实例的软件环境出现故障时,可以使用备份的镜像进行恢复.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司89NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-1.
8防火墙/广域网/周边安全PerformonatleastamonthlybasisnetworkvulnerabilityscansofallexternalIPrangesandhostsandremediateissues.
Ifapplicable,thescopeofexternalscansshouldincludeanyclouddeployments.
华为云定期组织内部与第三方评估机构分别进行对华为云的所有的系统、应用、网络进行漏洞扫描,并聘请外部第三方对华为云的应用、网络进行渗透测试.
对于所有获知的安全漏洞信息,华为云将对每个漏洞进行评估分析,制定并落实漏洞修复方案或规避措施,并在修复后对修复情况进行验证,持续跟踪确认风险得到消除或缓解.
DS-1.
9防火墙/广域网/周边安全Performonatleastanannualbasis,penetrationtestingofallexternalIPrangesandhostsandremediateissues.
华为云定期组织内部以及外部具有一定资质的第三方进行对华为云的所有的系统及应用进行渗透测试,并对渗透测试的结果进行跟进与整改.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司90NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-1.
10防火墙/广域网/周边安全Secureanypointtopointconnectionsbyusingdedicated,privateconnectionsand/orencryption.
对于华为云平台客户端到服务端、服务端之间的数据通过公共信息通道进行传输的场景,可以通过虚拟专用网络(VPN)、应用层TSL以及证书管理的方式保护任何点对点之间的连接.
客户可使用华为云数据加密服务DEW对传输的数据进行专属加密.
关于VPN、应用层TSL和证书管理、DEW更多的信息,可查阅《华为云安全白皮书》.
DS-1.
11防火墙/广域网/周边安全Implementasynchronizedtimeserviceprotocol(e.
g.
,NetworkTimeProtocol)toensureallsystemshaveacommontimereference.
华为云使用NTP4.
2.
8协议对系统内的时间进行同步.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司91NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-1.
12防火墙/广域网/周边安全Establish,documentandimplementbaselinesecurityrequirementsforWANnetworkinfrastructuredevicesandservices.
华为云基于严进宽用的原则,保障开源及第三方软件的安全引入和使用.
华为云参考互联网安全中心CIS安全基线并将其融入华为云DevSecOps流程.
华为云建立内部的技术标准规范库,库中包含基础结构中各组件的信息安全基线.
同时,华为云要求服务发布前均需通过基本安全要求的验证,以保障基础架构的合规性.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司92NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-2.
0互联网Prohibitproductionnetworkandallsystemsthatprocessorstoredigitalcontentfromdirectlyaccessingtheinternet,includingemail.
Ifabusinesscaserequiresinternetaccessfromtheproductionnetworkorfromsystemsthatprocessorstoredigitalcontent,onlyapprovedmethodsareallowedviauseofaremotehostedapplication/华为云边界保护设备配置为拒绝所有模式.
使用规则集、访问控制列表(ACL)和配置的边界保护设备强制网络结构之间的信息流.
这些设备以拒绝所有模式配置,需要设置经批准的防火墙以允许连接.
12.
113SOC13.
1SOC13.
4SOC13.
14IVS-08IAM-051.
11.
21.
31.
42.
25.
16.
68.
511.
2CA-3PL-4华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司93NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53desktopsession.
DS-2.
1互联网Implementemailfilteringsoftwareorappliancesthatblockthefollowingfromnon-productionnetworks:PotentialphishingemailsProhibitedfileattachments(e.
g.
,VisualBasicscripts,executables,etc.
)Filesizerestrictionslimitedto30MBKnowndomainsthataresourcesofmalwareorviruses华为云在网络边界部署DoS/DDoS防范清洗层、下代防火墙、入侵防御系统层以及网站应用防火墙层,保护华为云的互联网边界.
华为云限制接收和发送邮件的大小,对员工进行高频率的钓鱼邮件防范意识培训.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司94NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-2.
2互联网Implementwebfilteringsoftwareorappliancesthatrestrictaccesstowebsitesknownforpeer-to-peerfiletrading,viruses,hackingorothermalicioussites.
华为云部署了Web应用防火墙应对Web攻击,如Web应用层的DDoS攻击、SQL注入、跨站脚本攻击(XSS-Cross-SiteScripting)、跨站请求伪造(CSRF–Cross-SiteRequestForgery)、组件漏洞攻击、身份伪造等,以保护部署在DMZ区、面向外网的Web应用服务和系统.
DS-3.
0局域网/内部网络Isolatethecontent/productionnetworkfromnon-productionnetworks(e.
g.
,officenetwork,DMZ,theinternetetc.
)bymeansofphysicalorlogicalnetworksegmentation.
华为云根据业务功能和网络安全风险,通过物理和逻辑控制将生产网络划分为DMZ区、公共服务区、资源交付区、数据存储区(即内容/生产网络)、运维管理区.
从外网访问数据存储区时,必须通过DMZ的服务控制台或网关才能访问.
6.
2910.
111.
212.
312.
61316.
117.
112.
3.
112.
6.
113.
1.
3IVS-06IVS-07IVS-08IVS-11IVS-12IVS-13TVM-02AC-18SI-4华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司95NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-3.
1BCR-11IAM-02局域网/内部网络Restrictaccesstothecontent/productionsystemstoauthorizedcomputinghardware.
华为云对接入主机操作系统的华为云管理员执行严格的权限访问控制,对其所执行的各项运维运营操作实行全面的日志审计.
华为云管理员必须经过双因子认证后,才能通过堡垒机接入管理平面所有操作都会记录日志并及时传送到集中日志审计系统.
DS-3.
2局域网/内部网络Restrictremoteaccesstothecontent/productionnetworktoonlyapprovedpersonnelwhorequireaccesstoperformtheirjobresponsibilities.
华为云依据ISO27001的要求建立了访问控制管理要求,遵循权限最小化原则、权限分离原则,定期对员工的权限范围进行审核,避免出现超出其工作范围应覆盖的权限.
当员工在岗状态发生变化时,及时对其权限进行清理与修改.
员工的登陆、操作等日志将留存需要的时间以响应审核需求.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司96NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-3.
3局域网/内部网络Useswitches/layer3devicestomanagenetworktraffic.
Disableallunusedswitchportsonthecontent/productionnetworktopreventaccessfromunauthorizeddevices.
华为云要求关闭所有未使用的端口,需要启用时再把端口打开.
DS-3.
4局域网/内部网络Restricttheuseofnon-switcheddevicessuchashubsandrepeatersonthecontent/productionnetwork.
在内容/生产网络上,华为云均使用交换器,未使用集线器和中继器.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司97NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-3.
5局域网/内部网络Prohibitbridgingordual-homednetworking(physicalnetworkbridging)oncomputersystemsbetweencontent/productionnetworksandnon-content/productionnetworks.
华为云要求,未经批准,禁止将计算机同时接入两个或两个以上不同属性的网络.
DS-3.
6局域网/内部网络Implementanetwork-basedintrusiondetection/preventionsystemtoprotectthecontent/productionnetwork.
为了感知来自互联网以及租户虚拟网络之间东西向的攻击,并针对攻击实施阻断,华为云在网络边界部署了IPS设备,包括但不限于外网边界,安全区域边界和租户空间边界等.
IPS具备网络实时流量分析和阻断能力,能防护异常协议攻击、暴力攻击、端口/漏洞扫描、病毒/木马、针对漏洞的攻击等各种入侵行为.
基于网络流量,IPS可以提供信息帮助定位和调查网络异常,分配定向流量的限制策略,并采用相应的自定义检测规则,保障生产环境内的应用程序和网络基础设施安全.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司98NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-3.
7局域网/内部网络DisableSNMP(SimpleNetworkManagementProtocol)ifitisnotinuse.
UseSNMPv3orhigherwithstrongpasswordsforcommunitystrings.
华为云使用安全的SNMP协议来保障公有云网络的安全.
DS-3.
8局域网/内部网络HardensystemspriortoplacingthemintheLAN/InternalNetwork.
华为云根据业务功能和网络安全风险,通过物理和逻辑控制将生产网络划分为DMZ区、公共服务区、资源交付区、数据存储区(即内容/生产网络)、运维管理区,详情可见《华为云安全白皮书》.
DS-3.
9局域网/内部网络Conductinternalnetworkvulnerabilityscansandremediateanyissues,atleastannually.
华为云每季度都会组织内部与第三方评估机构分别进行对华为云的所有的系统、应用、网络进行漏洞扫描,并每半年聘请外部第三方对华为云的应用、网络进行渗透测试.
对于所有获知的安全漏洞信息,华为云将对每个漏洞进行评估分析,制定并落实漏洞修复方案或规避措施,并在修复后对修复情况进行验证,持续跟踪确认风险得到消除或缓解.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司99NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-3.
10局域网/内部网络Storelocalbackupsoflocalareanetwork,SAN/NAS,devices,serversandworkstationsonaserverinasecureinternalnetwork.
除IAM/目标存储服务OBS以外,华为云上线的所有管理服务和组件的管理数据(包含操作日志等)均会备份到OBS中,而同时IAM/OBS的管理数据需要备份到非OBS存储.
客户可使用华为云提供的云备份CBR服务对云内的服务器、云硬盘、虚拟化环境提供备份服务.
客户负责对其内容数据进行加密存储.
华为云的数据加密服务DEW可为客户提供在云硬盘EVS、对象存储OBS、云硬盘备份VBS等服务的加密存储功能.
DS-3.
11局域网/内部网络DNSserversusedintheproductionnetworkshouldnotallowconnectionstoandfromtheInternet.
DNS服务器部署在公共服务区,此区域内的部件根据业务需要受限开放给租户,且租户访问此区域部件和服务必须经过DMZ区.
华为云管理员可以从内网区访问该区域进行操作和管理.
更多详细信息参考《华为云安全白皮书》.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司100NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-4.
0无线网络Prohibitwirelessnetworkingandtheuseofwirelessdevicesonthecontent/productionnetwork.
华为云禁止在内容/生产网络上使用无线网络和使用无线设备.
9.
113.
1IVS-06IVS-08IVS-13EKM-0311.
1AC-18SI-4华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司101NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-4.
1无线网络Configurenon-productionwirelessnetworks(e.
g.
,administrativeandguest)withthefollowingsecuritycontrols:DisableWEP/WPAEnableWPA2-PSK(AES)Segregate"guest"networksfromthecompany'sothernetworksChangedefaultadministratorlogoncredentialsChangedefaultnetworkname(SSID)华为云内部办公网络的办公计算机均必须安装符合公司统一要求的安全软件,对员工、来宾网络进行分离,登录员工网络需要对员工身份进行验证.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司102NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-4.
2无线网络Implementaprocesstoscanforroguewirelessaccesspointsandremediateanyvalidatedissues.
华为云每季度都会组织内部以及外部具有一定资质的第三方进行对华为云的所有的系统、应用、网络进行漏洞扫描.
并每半年聘请外部第三方对华为云的应用、网络进行渗透测试.
DS-5.
0I/O设备安全DesignatespecificdataI/Osystemstobeusedforuploading/downloadingcontentfrom/toexternalnetworks(Internet).
华为云对数据中心进出有严格的控制,未经允许,无法带入内容输入/输出设备.
管理人员管理服务器必须通过堡垒机,所有的输入输出被监控.
另外,虚拟化平台控制只有一个虚拟机的一个虚拟磁盘设备跟一个镜像文件关联.
实现了虚拟机使用的虚拟设备与虚拟化.
10.
7.
1SOC12.
1SOC15.
1IVS-08IVS-097.
18.
2SC-7AC-19MP-2华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司103NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-5.
0.
1I/O设备安全Implementamulti-layerednetworkarchitectureforingestingcontentfromexternalnetworks(Internet)intotheproductionnetwork,andmovingcontentfromtheproductionnetworktoexternalnetworks.
华为云参考ITUE.
408安全区域的划分原则并结合业界网络安全的优秀实践,对华为云网络进行安全区域、业务层面的划分和隔离.
安全区域内部的节点具有相同的安全等级.
华为云从网络架构设计、设备选型配置到运行维护诸方面综合考虑,对承载网络采用各种针对物理和虚拟网络的多层安全隔离接入控制和边界防护技术同时严格执行相应的管控措施确保华为云安全,详细可参考《华为云安全白皮书》.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司104NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-5.
1I/O设备安全Blockinput/output(I/O),massstorage,externalstorage,andmobilestoragedevices(e.
g.
,USB,FireWire,Thunderbolt,SATA,Bluetooth,SCSI,etc.
)andopticalmediaburners(e.
g.
,DVD,Blu-Ray,CD,etc.
)onallsystemsthathandleorstorecontent,withtheexceptionofsystemsusedforcontentI/O.
RefertoDS-4.
0fordisconnecting华为云对数据中心进出有严格的控制,未经允许,无法带入内容输入/输出设备.
管理人员管理服务器必须通过堡垒机,所有的输入输出被监控.
另外,虚拟化平台控制只有一个虚拟机的一个虚拟磁盘设备跟一个镜像文件关联.
实现了虚拟机使用的虚拟设备与虚拟化.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司105NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53wirelessNICs.
DS-6.
0系统安全Installanti-virusandanti-malwaresoftwareonallworkstations,servers,andonanydevicethatconnectstoSAN/NASsystems.
华为云使用IPS入侵防御系统、Web应用防火墙、防病毒软件以及HIDS主机型入侵检测系统对系统组件及网络进行漏洞管理.
IPS入侵防御系统可以检测并预防潜在的网络入侵活动;Web应用防火墙部署在网络边界以保护应用软件的安全,使其免于受到来自外部的SQL注入、CSS、CSRF等面向应用软件的攻击;防病毒软件提供病毒防护及Windows系统内的防火墙;HIDS主机型入侵检测系统保护云服务器的安全,降低账户被窃取的风险,提供弱密码检测、恶意程序检测、双因子认证、脆弱性管理、网页防篡改等功能.
6.
28.
19.
410.
111.
111.
212.
112.
212.
512.
614.
114.
29.
4.
412.
6.
114.
1.
1A10.
5IVS-01IVS-06IVS-07IVS-13BCR-04BCR-11TVM-02IAM-02MOS-18EKM-03CCC-04SI-3SI-2RA-5AC-5SC-2PE-3PE-5MA-4CM-10CM-11SI-7AC-6CM-7CM-8DS-6.
1系统安全Updateallanti-virusandanti-malwaredefinitionsdaily,ormorefrequently.
华为云的防病毒软件会定期更新对防病毒和反恶意软件的策略库.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司106NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-6.
2系统安全Scanallcontentforvirusesandmalwarepriortoingestontothecontent/productionnetwork.
GRM-01DCS-01所有华为云产品与服务软件包发布上线前需对服务发布包(含补丁包)进行病毒扫描、数字签名、验证插件.
DS-6.
2.
1系统安全Localfirewallsshouldbeimplementedonworkstationstorestrictunauthorizedaccesstotheworkstation.
华为云对员工按工作需要的最小范围分配权限,员工登录工作站需使用个人账户口令,并对其信息安全管理系统、敏感信息的访问、修改等操作进行监控和记录.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司107NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-6.
3系统安全Performscansasfollows:EnableregularfullsystemvirusandmalwarescansonallworkstationsEnablefullsystemvirusandmalwarescansforserversandforsystemsconnectingtoaSAN/NAS华为云每季度都会组织内部以及外部具有一定资质的第三方进行对华为云的所有的系统、应用、网络进行漏洞扫描.
并每半年聘请外部第三方对华为云的应用、网络进行渗透测试.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司108NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-6.
4系统安全Implementaprocesstoregularlyupdatesystems(e.
g.
,filetransfersystems,operatingsystems,databases,applications,networkdevices)withpatches/updatesthatremediatesecurityvulnerabilities.
与PCIDSS标准的相关要求保持一致,华为云每季度都会组织内部与第三方评估机构分别进行对华为云的所有的系统、应用、网络进行漏洞扫描,并每半年聘请外部第三方对华为云的应用、网络进行渗透测试.
对于所有获知的安全漏洞信息,华为云将对每个漏洞进行评估分析,制定并落实漏洞修复方案或规避措施,并在修复后对修复情况进行验证,持续跟踪确认风险得到消除或缓解.
.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司109NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-6.
5系统安全ProhibitusersfrombeingAdministratorsontheirownworkstations,unlessrequiredforsoftware(e.
g.
,ProTools,ClipsterandauthoringsoftwaresuchasBlu-Print,ScenaristandToshiba).
Documentationfromthesoftwareprovidermustexplicitlystatethatadministrativerightsarerequired.
华为云依据ISO27001的要求建立了访问控制管理要求,遵循权限最小化原则、权限分离原则,定期对员工的权限范围进行审核,避免出现超出其工作范围应覆盖的权限.
当员工在岗状态发生变化时,及时对其权限进行清理与修改.
对接入主机操作系统的华为云管理员执行严格的权限访问控制,对其所执行的各项运维运营操作实行全面的日志审计.
华为云管理员必须经过双因子认证后,才能通过堡垒机接入管理平面,所有操作都会记录日志并及时传送到集中日志审计系统.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司110NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-6.
6系统安全Usecablelocksontransportablecomputingdevicesthathandlecontent(e.
g.
,laptops,tablets,desktops,towers)whentheyareleftunattended.
华为云内部制定了安全管理规定,对便携式计算设备进行严格管控,为控制信息流出,华为云不对机要岗位分配便携式计算机.
DS-6.
6.
1系统安全Applysealsortamperevidentstickersoncasesusedforallworkstationsandserversthatreceive,send,manipulate,orstorecontentintheproductionnetwork.
华为云内部制定了安全管理规定,计算机的外设、USB等均已关闭,未经批准不得开通,计算机进入受控区域须进行安全配置.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司111NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-6.
7系统安全Implementadditionalsecuritycontrolsforlaptopsandportablecomputingstoragedevicesthatcontaincontentorsensitiveinformationrelatingtoclientprojects.
Encryptalllaptops.
Usehardware-encryptedportablecomputingstoragedevices.
Installremote-killsoftwareonalllaptops/mobiledevicesthathandlecontenttoallowremote移动设备可通过工作所需的华为云内部应用访问华为云企业办公环境,如及时沟通、邮件、论坛、人力管理等,并为此建立了相应的规章制度.
但华为云不支持如IOS或安卓系统的手机、平板等移动设备对生产环境,尤其是客户内容数据的访问.
客户负责对其内容数据进行加密存储.
华为云要求对于承载大量关键信息的便携机通过安装全盘加密等软件等措施防止设备丢失后数据泄密的风险.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司112NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53wipingofharddrivesandotherstoragedevices.
DS-6.
8系统安全RestrictsoftwareinstallationprivilegestoITmanagement.
华为云所有的办公计算机均需安全公司指定的安全软件对计算机进行监控,并仅可以安装公司规定的安全软件列表中的软件.
华为云办公计算机上仅可安装限定的标准软件,不允许安装可超越系统、对象、网络、虚拟机和应用控制措施的程序,并对软件的安装进行监控.
DS-6.
9系统安全Implementsecuritybaselinesandstandardstoconfiguresystems(e.
g.
,laptops,workstations,servers,SAN/NAS)thataresetupinternally.
华为云为内部系统建立了安全基线标准,在内部系统投入使用前均需要参照基线对内部系统标准化.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司113NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-6.
10系统安全Unnecessaryservicesandapplicationsshouldbeuninstalledfromcontenttransferservers.
华为云办公计算机上仅可安装限定的标准软件,不允许安装可超越系统、对象、网络、虚拟机和应用控制措施的程序,并对软件的安装进行监控.
DS-6.
11系统安全Maintainaninventoryofsystemsandsystemcomponents.
根据ISO27001标准,华为云的信息资产由专门的工具进行监控和管理,形成资产清单,每个资产均被指定所有者.
华为云已通过ISO27001认证,认证证书可以从信任中心获取.
DS-6.
12系统安全Documentthenetworktopologyandupdatethediagramannuallyorwhensignificantchangesaremadetotheinfrastructure.
华为云维护及更新自身的网络架构图,并由负责网络安全的团队对网络架构的合规性进行跟踪确认.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司114NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-7.
0帐户管理Establishandimplementanaccountmanagementprocessforadministrator,user,andserviceaccountsforallinformationsystemsandapplicationsthathandlecontent.
华为云建立账号权限管理流程,通过对系统账号/权限的整个生命周期以及授权过程的有效管理和监控,降低安全风险.
8.
1912.
112.
418.
29.
2.
19.
2.
29.
2.
3A.
10.
8A.
10.
9A.
10.
10SOC12.
1SOC12.
2SOC12.
3SOC12.
4IAM-02IAM-05IVS-08IAM-10IAM-12IVS-017.
18.
18.
210.
6AC-2AC-6AU-2AU-3AU-6AU-12IA-4PS-4PS-5PE-2DS-7.
1帐户管理Maintaintraceableevidenceoftheaccountmanagementactivities(e.
g.
,approvalemails,changerequestforms).
华为云对开通的账号添加其权限对应的监控策略并保留监控记录,使得账号使用过程中,一旦发现账号或授权方面的异常即可自动报警.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司115NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-7.
2帐户管理Assignuniquecredentialsonaneed-to-knowbasisusingtheprinciplesofleastprivilege.
华为云建立特权账号管理要规定,要求特权账号必须遵循工作相关、最小化授权、审批受控原则.
DS-7.
3帐户管理Renamethedefaultadministratoraccountsandotherdefaultaccountsandlimittheuseoftheseaccountstospecialsituationsthatrequirethesecredentials(e.
g.
,operatingsystemupdates,patchinstallations,softwareupdates).
华为云建立特权账号基线,对特权账号的创建、使用及回收进行统一管理,特权账号在所有物理设备、网络设备、操作系统、数据库的操作都会受到严格管控.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司116NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-7.
4帐户管理Segregatedutiestoensurethatindividualsresponsibleforassigningaccesstoinformationsystemsarenotthemselvesendusersofthosesystems(i.
e.
,personnelshouldnotbeabletoassignaccesstothemselves).
华为云根据不同业务维度和相同业务不同职责,实行RBAC权限管理.
登录权限分为:核心网络、接入网络、安全设备、业务系统、数据库系统、硬件维护、监控维护等.
不同岗位不同职责人员限定只能访问本角色所管辖的设备,其他设备无权访问.
DS-7.
5帐户管理Monitorandauditadministratorandserviceaccountactivities.
华为云使用日志系统对管理员级别的访问进行监控,控制非管理员员工不具备超过其应有权限,如特权访问的权限.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司117NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-7.
6帐户管理Implementaprocesstoreviewuseraccessforallinformationsystemsthathandlecontentandremoveanyuseraccountsthatnolongerrequireaccessquarterly.
与ISO27001标准的相关要求保持一致,华为云依据员工工作需要为其提供所需的最小权限,并定期对权限进行审阅,使系统用户及管理员的始终遵循最小权限原则.
DS-7.
7帐户管理Restrictuseraccesstocontentonaper-projectbasis.
华为云根据不同业务维度和相同业务不同职责,实行RBAC权限管理.
登录权限分为:核心网络、接入网络、安全设备、业务系统、数据库系统、硬件维护、监控维护等.
不同岗位不同职责人员限定只能访问本角色所管辖的设备,其他设备无权访问.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司118NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-7.
8帐户管理Disableorremovelocalaccountsonsystemsthathandlecontentwheretechnicallyfeasible.
华为云本地账号由堡垒机进行管理,员工登录系统时会有堡垒机监控操作行为.
DS-8.
0身份验证Enforcetheuseofuniqueusernamesandpasswordstoaccessinformationsystems.
华为云为每一位员工提供了唯一的身份标识并根据工作职责划分权限,员工在每一次登陆对其身份进行验证,出现事故时可及时追溯日志进行问责.
华为云IAM可帮助客户实现AAA规则,支持云平台的身份验证、授权以及问责机制.
910.
19.
2.
4A.
10.
8SOC12.
5IAM-02IAM-12MOS-14MOS-1610.
110.
210.
3SI-4AU-1AU-2AU-3AU-6AU-9AU-11DS-8.
1身份验证Enforceastrongpasswordpolicyforgainingaccesstoinformationsystems.
Passwordpolicyshouldincludeguidanceforserviceaccounts.
系统为管理员和最终用户提供唯一的身份标识.
同时将身份标识与所有可审计事件相关联.
每次请求访问虚拟桌面前,系统会进行用户身份鉴别,身份鉴别机制使用的口令须达到一定的复杂度要求,例如长度要求、数字字母及特殊字符组合要求等.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司119NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-8.
2身份验证ConsidertheuseofaPrivilegedAccountManagement(PAM)tool.
为维护平台安全,华为云对主机操作系统进行最小化裁剪并对服务做安全加固.
同时,对接入主机操作系统的华为云管理员执行严格的权限访问控制(PAMPrivilegeAccessManagement),对其所执行的各项运维运营操作实行全面的日志审计.
华为云管理员必须经过双因子认证后,才能通过堡垒机接入管理平面所有操作都会记录日志并及时传送到集中日志审计系统.
DS-8.
2.
1身份验证Implementtwo-factorauthentication(e.
g.
,username/passwordandhardtoken/verificationcodetextmessage)foraccesstowebbasede-mail(Google,Microsoft,etc.
)fromdesktopsormobilecomputingdevices.
华为云的IAM服务支持使用多因素认证用于登录验证和操作保护.
开启了登录验证功能后,用户登录控制台时,除了需要输入用户名和密码外,还需要在登录验证页面输入验证码;开启了操作保护后,用户进行敏感操作时,需要输入验证码确认操作.
多因素认证设备支持手机、邮箱和虚拟MFA设备.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司120NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-8.
3身份验证Implementpassword-protectedscreensaversorscreen-locksoftwareforserversandworkstations.
依据SOC、PCIDSS和ISO27001等标准的要求,华为云建立对于员工的职责与应为规范进行规定,第三方审核机构会对华为云是否对所有计算机和笔记本电脑进行配置,以确保在预定义的时间之后锁定屏幕进行审查.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司121NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-8.
4身份验证ConsiderimplementingadditionalauthenticationmechanismstoprovidealayeredauthenticationstrategyforWANandLAN/InternalNetworkaccess.
华为云的IAM服务支持使用多因素认证用于登录验证和操作保护.
开启了登录验证功能后,用户登录控制台时,除了需要输入用户名和密码外,还需要在登录验证页面输入验证码;开启了操作保护后,用户进行敏感操作时,需要输入验证码确认操作.
多因素认证设备支持手机、邮箱和虚拟MFA设备.
华为云支持基于SAML2.
0协议的单点登录,客户可以使用华为云的身份提供商功能,实现用户使用企业身份提供商账号单点登录华为云.
目前华为云支持两种形式的联邦身份认证:浏览器页面单点登录(WebSSO):浏览器作为通讯媒介,适用于普通用户通过浏览器访问华为云.
调用API接口:开发工具/应用程序作为通讯媒介,例如OpenStackClient、ShibbolethECPClient,适用企业或用户通过API调用方式访问华为云.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司122NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-9.
0记录与监控Implementreal-timeloggingandreportingsystemstorecordandreportsecurityevents;gatherthefollowinginformationataminimum:When(timestamp)Where(source)Who(username)What(content)华为云有集中、完整的日志大数据分析系统.
该系统统一收集所有物理设备、网络、平台、应用、数据库和安全系统的管理行为日志和各安全产品及组件的威胁检测告警日志,日志包含资源ID(如源IP、主机ID、用户ID等、事件类型、日期时间、受影响的数据组件资源的ID(如目的IP、主机ID、服务ID等)、成功或失败等信息,以确保支撑网络安全事件回溯和合规.
10.
112.
412.
4.
112.
4.
3IVS-02EKM-02IVS-06IVS-13SEF-05SEF-02IAM-0210.
110.
210.
3AU-1AU-2AU-3AU-6AU-8AU-9AU-11SI-4华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司123NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-9.
01记录与监控Implementloggingmechanismsonallsystemsusedforthefollowing:KeygenerationKeymanagementVendorcertificatemanagement华为云建立了保护技术设备上数据的加密策略与密钥管理机制,包括人员的权限与职责分配、加密级别、加密方法进行了规定.
对密钥的所有操作(例如创建用户主密钥、加密数据密钥等),都会产生日志并记录到云审计服务(CTS)中,便于后期审计CMK的操作活动等.
DS-9.
1记录与监控Implementaservertomanagethelogsinacentralrepository(e.
g.
,syslog/logmanagementserver,SecurityInformationandEventManagement(SIEM)tool).
华为云有集中、完整的日志大数据分析系统.
该系统统一收集所有物理设备、网络、平台、应用、数据库和安全系统的管理行为日志和各安全产品及组件的威胁检测告警日志.
华为云对提供的服务的网络设备、应用系统启用安全日志,日志对设备、系统的所有更改都会进行记录.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司124NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-9.
2记录与监控Configureloggingsystemstosendautomaticnotificationswhensecurityeventsaredetectedinordertofacilitateactiveresponsetoincidents.
华为云有集中、完整的日志大数据分析系统.
该系统统一收集所有物理设备、网络、平台、应用、数据库和安全系统的管理行为日志和各安全产品及组件的威胁检测告警日志.
鉴于安全事件处理的专业性、紧迫性和可回溯性,华为云拥有完善的安全日志管理要求、安全事件定级处置流程和7*24小时的专业安全事件响应团队以及对应的安全专家资源池来应对.
DS-9.
3记录与监控Investigateanyunusualactivityreportedbytheloggingandreportingsystems.
华为云发布了《华为云安全白皮书》,其中介绍华为云主要负责安全事件的响应,鉴于安全事件处理的专业性、紧迫性和可回溯性,华为云拥有完善的安全日志管理要求、安全事件定级处置流程和7*24小时的专业安全事件响应团队以及对应的安全专家资源池来应对.
华为云秉承快速发现、快速定界、快速隔离与快速恢复的安全事件响应原则.
同时,根据安全事件对整网、客户的危害刷新事件定级标准以及响应时限和解决时限等要求.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司125NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-9.
4记录与监控Reviewalllogsweekly,andreviewallcriticalandhighdaily.
华为云有集中、完整的日志大数据分析系统.
该系统统一收集所有物理设备、网络、平台、应用、数据库和安全系统的管理行为日志和各安全产品及组件的威胁检测告警日志.
华为云对提供的服务的网络设备、应用系统启用安全日志,对设备、系统的所有更改都会进行记录.
同时,华为云有专门的内审部门,定期对运维流程各项活动日志进行审计.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司126NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-9.
5记录与监控Enableloggingofinternalandexternalcontentmovementandtransfersandincludethefollowinginformationataminimum:UsernameTimestampFilenameSourceIPaddressDestinationIPaddressEvent(e.
g.
,download,view)华为云有集中、完整的日志大数据分析系统.
该系统统一收集所有物理设备、网络、平台、应用、数据库和安全系统的管理行为日志和各安全产品及组件的威胁检测告警日志,日志包含资源ID(如源IP、主机ID、用户ID等、事件类型、日期时间、受影响的数据组件资源的ID(如目的IP、主机ID、服务ID等)、成功或失败等信息,以确保支撑网络安全事件回溯和合规.
DS-9.
6记录与监控Retainlogsforatleastoneyear.
华为云日志大数据分析系统有强大的数据保存及查询能力,要求所有日志保存时间足够长,以支持特定的内审部门定期对运维流程各项活动进行审计.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司127NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-9.
7记录与监控Restrictlogaccesstoappropriatepersonnel.
华为云依照权限最小化原则分配员工的访问权限,员工仅可访问已授权的内容.
对于日志的访问和审核权限只限于特定员工,其权限的审批需收到上级管理人员的批准,并定期进行审核.
华为云为客户提供云审计服务,客户可使用云日志服务对虚拟机的配置、日志的更改进行记录,使用云审计服务对于配置的日志的完整性进行监控.
DS-10.
0移动安全Definesecuritycontrolsandstandardsformobilecomputingdevices.
RefertoMS-4.
0.
2formobilecomputingdevicepolicies.
华为云制定移动安全管理规定,以实施对移动计算设备的统一管理.
6.
211.
2MOS-02MOS-04MOS-08MOS-9MOS-10MOS-11MOS-12SCCAIA-2华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司128NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-10.
1移动安全Developalistofapprovedapplications,applicationstores,andapplicationplugins/extensionsformobiledevicesaccessingorstoringcontent.
MOS-14MOS-16MOS-17MOS-18MOS-19移动设备可通过工作所需的华为云内部应用访问华为云企业办公环境,如及时沟通、邮件、论坛、人力管理等,华为云为此建立并执行了相应的规章制度.
客户保留对其数据和相关媒体资产的控制和责任,有责任管理移动安全设备以及对客户内容的访问.
DS-10.
2移动安全Maintainaninventoryofallmobiledevicesthataccessorstorecontent.
移动设备可通过工作所需的华为云内部应用访问华为云企业办公环境,如及时沟通、邮件、论坛、人力管理等,华为云为此建立并执行了相应的规章制度.
客户保留对其数据和相关媒体资产的控制和责任,有责任管理移动安全设备以及对客户内容的访问.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司129NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-10.
3移动安全Requireencryptioneitherfortheentiredeviceorforareasofthedevicewherecontentwillbehandledorstored.
移动设备可通过工作所需的华为云内部应用访问华为云企业办公环境,如及时沟通、邮件、论坛、人力管理等,华为云为此建立并执行了相应的规章制度.
客户保留对其数据和相关媒体资产的控制和责任,有责任管理移动安全设备以及对客户内容的访问.
DS-10.
4移动安全Preventthecircumventionofsecuritycontrols.
移动设备可通过工作所需的华为云内部应用访问华为云企业办公环境,如及时沟通、邮件、论坛、人力管理等,华为云为此建立并执行了相应的规章制度.
客户保留对其数据和相关媒体资产的控制和责任,有责任管理移动安全设备以及对客户内容的访问.
DS-10.
5移动安全Implementasystemtoperformaremotewipeofamobiledevice,shoulditbelost/stolen/compromisedorotherwisenecessary.
移动设备可通过工作所需的华为云内部应用访问华为云企业办公环境,如及时沟通、邮件、论坛、人力管理等,华为云为此建立并执行了相应的规章制度.
客户保留对其数据和相关媒体资产的控制和责任,有责任管理移动安全设备以及对客户内容的访问.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司130NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-10.
6移动安全Implementautomaticlockingofthedeviceafter10minutesofnon-use.
移动设备可通过工作所需的华为云内部应用访问华为云企业办公环境,如及时沟通、邮件、论坛、人力管理等,华为云为此建立并执行了相应的规章制度.
客户保留对其数据和相关媒体资产的控制和责任,有责任管理移动安全设备以及对客户内容的访问.
DS-10.
7移动安全Manageallmobiledeviceoperatingsystempatchesandapplicationupdates.
移动设备可通过工作所需的华为云内部应用访问华为云企业办公环境,如及时沟通、邮件、论坛、人力管理等,华为云为此建立并执行了相应的规章制度.
客户保留对其数据和相关媒体资产的控制和责任,有责任管理移动安全设备以及对客户内容的访问.
DS-10.
8移动安全Enforcepasswordpolicies.
移动设备可通过工作所需的华为云内部应用访问华为云企业办公环境,如及时沟通、邮件、论坛、人力管理等,华为云为此建立并执行了相应的规章制度.
客户保留对其数据和相关媒体资产的控制和责任,有责任管理移动安全设备以及对客户内容的访问.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司131NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-10.
9移动安全Considerimplementingasystemtoperformbackupandrestorationofmobiledevices.
移动设备可通过工作所需的华为云内部应用访问华为云企业办公环境,如及时沟通、邮件、论坛、人力管理等,华为云为此建立并执行了相应的规章制度.
客户保留对其数据和相关媒体资产的控制和责任,有责任管理移动安全设备以及对客户内容的访问.
DS-11.
0安全技术Ensurethatsecuritytechniques(e.
g.
,spoiling,invisible/visiblewatermarking)areavailableforuseandareappliedwheninstructed.
当需要对数据进行版权保护、真伪鉴别、流转跟踪时,客户可以选择数字水印技术.
华为云的对象存储服务具备对图片添加文字或图片类型水印的功能,支持通过控制台图形界面、代码编辑模式和接口调用多种使用模式便利客户对图片进行水印设置,并快速获取到处理后的图片.
8.
210.
112.
3.
1SOC14.
3SOC14.
4SOC14.
5SOC14.
6SOC14.
7SOC14.
8EKM-01EKM-03EKM-04HRS-053.
43.
53.
64.
1IA-5SC-8SC-9SC-12SC-13华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司132NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-11.
1安全技术EncryptcontentonharddrivesorencryptentireharddrivesusingaminimumofAES-256encryptionbyeither:File-basedencryption:(i.
e.
,encryptingthecontentitself)Drive-basedencryption:(i.
e.
,encryptingtheharddrive)华为云使用数据快递服务(DES)解决海量数据传输的难题,如高昂的网络成本、较长传输时间等.
DES支持第三方加密工具使用业界通用的AES256加密算法对数据进行客户端加密.
工具不需要生成任何文件即可在硬盘上建立虚拟磁盘.
用户可以按照盘符进行访问,所有虚拟磁盘上的文件都被自动加密,必须使用密码来进行访问.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司133NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-11.
2安全技术Senddecryptionkeys,keypadpins,orpasswordsusinganout-of-bandcommunicationprotocol(i.
e.
,notonthesamestoragemediaasthecontentitself).
华为云自身使用行业广泛使用的AES强效加密法对平台内数据进行加密,在传输过程中使用高版本TLS加密协议保障数据安全.
客户可使用数据加密服务对数据进行加密,华为云提供不同厂商、不同规格(标准加密算法、国密算法等)、不同强度的云HSM供租户选择,满足不同租户的实际需求.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司134NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-11.
3安全技术Implementanddocumentkeymanagementpoliciesandprocedures:Useofencryptionprotocolsfortheprotectionofsensitivecontentordata,regardlessofitslocation(e.
g.
,servers,databases,workstations,laptops,mobiledevices,dataintransit,email)ApprovalandrevocationoftrusteddevicesGeneration,根据华为云密钥管理策略,每个用户具有唯一的ID标识其身份.
客户可以使用IAM的密钥管理服务KMS为可识别的所有者绑定密钥.
华为云推出的数据加密服务DEW,支持密钥托管,帮助客户轻松创建及管理密钥,基于DEW,客户可实现密钥的全生命周期管理,并记录密钥的所有权.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司135NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53renewal,andrevocationofcontentkeysInternalandexternaldistributionofcontentkeysBindencryptionkeystoidentifiableownersSegregatedutiestoseparatekeymanagementfromkeyusageKeystorageproceduresKeybackupprocedures华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司136NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-11.
4安全技术EncryptcontentusingaminimumofAES-256encryption.
华为云自身使用行业广泛使用的AES强效加密法对平台内数据进行加密,在传输过程中使用高版本TLS加密协议保障数据安全.
客户可使用数据加密服务对数据进行加密,华为云提供不同厂商、不同规格(标准加密算法、国密算法等)、不同强度的云HSM供租户选择,满足不同租户的实际需求.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司137NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-11.
5安全技术Storesecretandprivatekeys(notpublickeys)usedtoencryptdata/contentinoneormoreofthefollowingformsatalltimes:Encryptedwithakey-encryptingkeythatisatleastasstrongasthedata-encryptingkey,andthatisstoredseparatelyfromthedata-encryptingkeyWithinasecurecryptographicdevice(e.
g.
,HostSecurityModule(HSM)or通过密钥管理服务KMS用户能够方便地管理自己的密钥,并能随时使用数据加密密钥DEK进行数据加密,确保关键业务数据的安全.
KMS的根密钥保存在HSM中,从来不会出现在HSM之外,确保根密钥不泄露.
HSM采用双机部署,保证HSM的高可靠性和高可用性.
CMK经过根密钥加密后,以密文的形式保存在密钥存储节点中.
另外,华为云使用密钥管理系统对加密密钥进行加密管理,数据加密密钥(DEK)及密钥加密密钥(KEK)的强度均为AES强效加密算法.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司138NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53aPinTransactionSecurity(PTS)point-of-interactiondevice),havingatleasttwofull-lengthkeycomponentsorkeyshares,inaccordancewithasecurityindustryacceptedmethod华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司139NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-11.
6安全技术ConfirmthatdevicesontheTrustedDevicesList(TDL)areappropriatebasedonrightsowners'approval.
移动设备可通过工作所需的华为云内部应用访问华为云企业办公环境,如及时沟通、邮件、论坛、人力管理等,并为此建立了相应的规章制度.
但华为云不支持如IOS或安卓系统的手机、平板等移动设备对生产环境,尤其是客户内容数据的访问.
华为云所有的办公计算机均需安全公司指定的安全软件,仅可以安装指定软件列表的软件.
对于IT基础系统、组件则通过IDS/IPS等方式进行保护.
安全软件、基础设施组件安装杀毒软件等安全软件,并限制安全软件的配置修改权限以及对其要求强制更新.
华为云所有的办公计算机均需安全公司指定的安全软件,仅可以安装指定受信任软件列表的软件,不支持运行移动代码.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司140NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-11.
6.
1安全技术AccesstoKDMsmustberestrictedtotheKDMcreatorandexhibitoronly.
华为云为客户提供数据加密服务DEW,它可以提供密钥管理(KMS)功能.
为保障客户密钥的安全可靠,KMS基于IAM角色统一进行RBAC访问控制.
对于用户,只有通过IAM身份验证及KMS鉴权,并设置了密钥操作权限的用户,才能操作KMS中存储的主密钥(CMK).
仅设置了只读权限的用户只能查询CMK信息,不能对CMK进行操作.
KMS对CMK进行了客户隔离,每一个客户只能访问与管理属于自己的CMK,无法操作其他客户的CMK.
此外,系统管理员仅有设备管理权限,没有任何访问CMK的权限.
DS-11.
6.
2安全技术KDMcreationandhandlingmustbephysicallyanddigitallysegregatedfromDCPhandlingandreplicationwherefeasible.
KMS的根密钥保存在HSM(硬件安全模块)中,从来不会出现在HSM之外,保证根密钥不泄露.
KMS主机均使用标准的加密传输模式与KMS服务节点建立安全通信链接,保证KMS相关数据在节点间的传输安全.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司141NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-11.
7安全技术Confirmthevalidityofcontentkeysandensurethatexpirationdatesconformtoclientinstructions.
客户可使用华为云数据加密服务DEW进行专属加密、密钥管理及密钥对管理,支持密钥创建、授权、自动轮换以及密钥硬件保护.
客户可根据需要自主选择其所需的密钥管理机制.
DS-12.
0内容跟踪Implementadigitalcontentmanagementsystemtoprovidedetailedtrackingofdigitalcontent.
华为云从数据访问控制、安全防护、审计等方面为客户提供了相关服务,协助客户对数据的使用和流转做到更加细粒度的管控,以避免信息泄露和法律法规遵从上带来的的风险.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司142NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-12.
1内容跟踪Retaindigitalcontentmovementtransactionlogsforoneyear.
华为云有集中、完整的日志大数据分析系统.
该系统统一收集所有物理设备、网络、平台、应用、数据库和安全系统的管理行为日志和各安全产品及组件的威胁检测告警日志.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
对于对象存储、文件存储等服务,客户可以使用云审计服务(CTS)来记录用户对数据的操作.
DS-12.
2内容跟踪Reviewlogsfromdigitalcontentmanagementsystemperiodicallyandinvestigateanomalies.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司143NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-12.
3内容跟踪UseclientAKAs("aliases")inassettrackingsystems,unlessotherwiseasdirectedbytheclient.
根据ISO27001标准,华为云的信息资产分类由专门的工具进行监控和管理,形成资产清单,每个资产均有唯一的资产编号.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
华为云从数据访问控制、安全防护、审计等方面为客户提供了相关服务,协助客户对数据的使用和流转做到更加细粒度的管控,以避免信息泄露和法律法规遵从上带来的的风险.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司144NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-12.
4内容跟踪Useenterprise(notpersonal)versionsofonlineorwebbasedcollaborationservices(e.
g.
,GoogleDocs,etc.
)fortrackingcontent,managinginventory,orworkflowmanagement,Utilizemulti-factorauthenticationandcentrallymanageduseraccountsandaccesstodata.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
华为云统一身份认证服务(IAMIdentityandAccessManagement)提供适合企业级组织结构的用户账号管理服务,为企业用户分配不同的资源及操作权限.
用户通过使用访问密钥获得基于IAM的认证和鉴权后,以调用API的方式访问华为云资源.
IAM可以按层次和细粒度授权,保证同一企业租户的不同用户在使用云资源上得到有效管控,避免单个用户误操作等原因导致整个云服务的不可用,确保租户业务的持续性.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司145NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-13.
0传输系统Useonlyclient-approvedtransfersystemsthatutilizeaccesscontrols,aminimumofAES-256encryptionforcontentatrestandforcontentinmotionandusestrongauthenticationforcontenttransfersessions.
华为云自身使用行业广泛使用的AES强效加密法对平台内数据进行加密,在传输过程中使用高版本TLS加密协议保障数据安全.
另外,IAM通过提供基于IP的ACL可以限制企业用户只在安全的网络环境下访问华为云资源,避免企业用户因接入不安全网络环境导致的数据泄露.
10.
113.
2A.
10.
6SOC14.
3SOC14.
4SOC14.
5SOC14.
6SOC14.
7SOC14.
83.
43.
53.
64.
1IA-5SC-13华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司146NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-13.
1传输系统Implementanexceptionprocess,wherepriorclientapprovalmustbeobtainedinwriting,toaddresssituationswhereencryptedtransfertoolsarenotused.
华为云服务提供REST和Highway方式进行数据传输,两种数据传输方式均支持使用传输层安全协议TLS1.
2版本进行加密传输,同时也支持基于X.
509证书的目标网站身份认证.
DS-14.
0传输设备的使用方法Implementandusededicatedsystemsforcontenttransfers.
华为云提供服务支持第三方加密工具使用业界通用的AES256加密算法对数据进行客户端加密.
DES支持的客户端是Windows、MacOSX、Linux等操作系统.
12.
413.
113.
2A.
4.
1AC-4AC-20SC-7MP-6DS-14.
1传输设备的使用方法Separatecontenttransfersystemsfromadministrativeandproductionnetworks.
客户在开通数据传输服务后登录管理控制台创建服务单,将数据按要求加密存放入待邮寄磁盘中后,即可将磁盘邮寄快递至华为云数据中心.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司147NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-14.
2传输设备的使用方法PlacecontenttransfersystemsinaDemilitarizedZone(DMZ)andnotinthecontent/productionnetwork.
Implementwhitelistingoncontenttransferserverstoonlyallowtransferstoandfromauthorizedexternaltransferservers.
华为云在DMZ区部署了了面向外网和租户的前置部件和服务部件,从外网访问时内容生产网络时,需要通过DMZ区的服务控制台或者网关.
更多相关信息可以查看《华为云安全白皮书》.
DS-14.
3传输设备的使用方法Removecontentfromcontenttransferdevices/systemsimmediatelyaftersuccessfultransmission/receipt.
华为云在DMZ区部署了面向外网和租户的前置部件和服务部件,从外网访问时内容生产网络时,需要通过DMZ区的服务控制台或者网关.
更多相关信息可以查看《华为云安全白皮书》.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司148NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-14.
4传输设备的使用方法Sendautomaticnotificationstotheproductioncoordinator(s)uponoutboundcontenttransmission.
华为云为客户提供云审计服务(CTSCloudTraceService),CTS可以实时、系统地记录用户在管理界面上的所有操作和用户在华为云上的所有API操作,便于客户进行问题查询、分析与定位.
DS-15.
0客户门户Restrictaccesstowebportalswhichareusedfortransferringcontent,streamingcontentandkeydistributiontoauthorizedusers.
客户需承担其自身数据的访问控制责任,确保其访问权限有效设置以避免不当访问.
客户可参考华为云IAM产品文档中的最佳实践,制定自身的职责分离策略,以及如何安全使用IAM.
9.
29.
410.
112.
112.
613.
113.
2A.
10.
8AC-2AC-3AC-4AC-6AC-20IA-5SC-3SC-8SI-7华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司149NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-15.
1客户门户Assignuniquecredentials(e.
g.
,usernameandpassword)toportalusersanddistributecredentialstoclientssecurely.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户需承担其自身数据的访问控制责任,确保其访问权限有效设置以避免不当访问.
客户可参考华为云IAM产品文档中的最佳实践,制定自身的职责分离策略,以及如何安全使用IAM.
DS-15.
2客户门户Ensureusersonlyhaveaccesstotheirowndigitalassets(i.
e.
,clientAmustnothaveaccesstoclientB'scontent).
华为云对云端数据的隔离是通过虚拟私有云VPC实施的,VPC采用网络隔离技术,实现不同租户间在三层网络的完全隔离.
DS-15.
3客户门户PlacethewebportalonadedicatedserverintheDMZandlimitaccessto/fromspecificIPsandprotocols.
华为云对客户访问DMZ区进行限制,对DMZ单独隔离,防止外部请求接触云服务后端部件.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司150NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-15.
4客户门户Prohibittheuseofthird-partyproductionsoftware/systems/servicesthatarehostedonaninternetwebserverunlessapprovedbyclientinadvance.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司151NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-15.
5客户门户UseHTTPSandenforceuseofastrongciphersuite(e.
g.
,TLSv1.
3)fortheinternal/externalwebportal.
AcquireanHTTPSpublickeycertificatesignedbyacertificateauthoritytrustedbyamajorityofwebbrowsers.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
华为云为租户提供证书管理服务(SSLCertificateService),联合全球知名数字认证机构,对X.
509证书进行一站式的全生命周期管理,实现目标网站的可信身份认证与安全数据传输.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司152NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-15.
6客户门户Donotusepersistentcookiesorcookiesthatstorecredentialsinplaintext.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
华为云WAF可基于IP、cookie和Referer信息对用户进行标识并通过灵活的配置阈值执行访问限速,对超过阈值的访问者,可阻断其请求,避免对业务造成压力;也可发起验证码挑战,进行人机识别,更精准地将攻击者甄别出来,并进行阻断.
DS-15.
7客户门户Setaccesstocontentoninternalorexternalportalstoexpireautomaticallyatpredefinedintervals,whereconfigurable.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户需承担其自身数据的访问控制责任,确保其访问权限有效设置以避免不当访问.
客户可参考华为云IAM产品文档中的最佳实践,制定自身的职责分离策略,以及如何安全使用IAM.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司153NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-15.
8客户门户Testforwebapplicationvulnerabilitiesquarterlyandremediateanyvalidatedissues.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
华为云提供漏洞扫描服务(VulnerabilityScanService),集Web漏洞扫描、资产内容合规检测、弱密码检测三大核心功能,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务.
DS-15.
9客户门户Performannualpenetrationtestingofwebapplicationsandremediateanyvalidatedissues.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
华为云已与合作伙伴联合推出了主机入侵检测、Web应用防火墙、主机漏洞检测、网页防篡改服务及渗透测试等服务,提升了华为云的安全检测、感知及防御能力,详见《华为云安全白皮书》.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司154NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-15.
10客户门户Allowonlyauthorizedpersonneltorequesttheestablishmentofaconnectionwiththetelecomserviceprovider.
客户可参考华为云IAM产品文档中的最佳实践,制定自身的职责分离策略,以及如何安全使用IAM.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户需承担其自身数据的访问控制责任,确保其访问权限有效设置以避免不当访问.
DS-15.
11客户门户Prohibittransmissionofcontentusingemail(includingwebmail).
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
客户可考虑使用安全的电子邮件设备服务器对电子邮件和进行加密,华为云提供数据加密服务(DEW),该服务提供专属加密、密钥管理、密钥对管理等功能.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司155NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-15.
12客户门户Reviewaccesstotheclientwebportalatleastquarterly.
客户具有内容数据的所有权和控制权,负责其内容数据的质量以及承担数据质量带来的风险.
华为云不会对客户的内容数据的质量进行检查.
华为云控制的数据质量及风险管控措施,可参见《华为云数据安全白皮书》.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司156NO.
安全主题最佳实践华为云的回应ISO27002ISO27017ISO27018SOCCSACCMPCIDSSNIST800-53DS-15.
13客户门户Implementaprocesstoreviewthefacility'spublicinformationalwebsiteandotheronlineindustryresourcesforsensitiveinformationthatcouldbeleveragedbyanattacker(e.
g.
mentionsofinternalinfrastructureandtechnologies,contenttransferservers,IPaddresses,photosofsensitiveareas,currentcontentbeingworkedon,etc.
)客户需承担其自身数据的访问控制责任,确保其访问权限有效设置以避免不当访问.
华为云为客户提供云监控服务、应用运维管理AOM、应用性能管理APM以帮助客户持续监控华为云提供的服务的各项指标,支持通过OpenAPI、SDK、Agent方式上报自定义指标,触发警告将及时通知客户.
华为云MPA合规性说明通用指南3华为云MPA评估表-维护内容安全的最佳实践-通用指南(V4.
08)文档版本01(2021-01-29)版权所有华为技术有限公司1574结语华为云始终秉持着华为公司"以客户为中心"的核心价值观,积极践行信息安全实践,为此华为云构建了信息安全管理体系,应用业界通用的信息安全保护技术,通过第三方机构的认证与审核检查安全控制的有效落实,致力于保护客户的数据安全.
同时,为帮助客户应对日益复杂和开放的网络环境及日益发展的信息安全技术,华为云不断开发各种数据保护领域的工具、服务和方案,支持客户提升数据保护能力,降低风险.
本白皮书仅供客户作为参考,不具备任何法律效力或构成法律建议,也不作为任何客户在云上环境一定合规的依据.
客户应酌情评估自身业务和安全需求,选用适合的云产品及服务.
华为云MPA合规性说明通用指南4结语文档版本01(2021-01-29)版权所有华为技术有限公司1585版本历史日期版本描述2021年1月1.
0首次发布华为云MPA合规性说明通用指南5版本历史文档版本01(2021-01-29)版权所有华为技术有限公司159