华为云安全理念：“从冰山下到普惠安全”

　　原标题：华为云安全理念：“从冰山下到普惠安全”

　　当企业评估云的安全水平时，往往聚焦在云安全服务及云服务的安全特性上，而忽略了云安全中更重要的部分——云基础设施安全。如果把云安全比作“冰山”，那它们属于“冰山”上的可见部分。而“冰山”水下90%部分的安全能力，往往不为人所知，但正是这“冰山”下的部分，承载着整个公有云的安全性。

　　这也是企业选择或者评估云服务安全性时最容易困惑或忽视的问题：云服务水面以下是棉花还是秤砣？一旦岁月不够静好，云服务会如“浮云”般抽风还是如“冰山”般破浪前行？隐藏在云安全冰山水位线以下的90%，如何演化，如何评估？近日华为云推出的一个安全理念颇为有趣，叫“从冰山下到普惠安全”，可以给想上云或换云的厂商一些有益的借鉴。

　　一、从冰山下的安全做起

　　华为云认为，安全得从最底座做起，也就是不仅关注冰山下的“安全服务和特性”，更要关注冰山下的各种基础的安全能力的建设，才能给云用户提供扎实的安全防护。冰山下的安全能力都由哪些能力组成的呢？

　　冰山下的能力一：云平台安全合规

　　“安全合规”是指组织要满足所在国家和区域的法律法规中对安全的相关要求以及行业相关标准的要求。它有两方面的意义:一方面，满足这些要求，就满足了基本的安全规范，是保障组织的网络安全的基础；另一方面，不满足这些要求，则可能面临法律风险或者进入不了行业门槛。所以，企业能否持续获得权威的安全合规认证，是衡量企业在网络安全投入以及安全能力的重要指标之一。

　　为给用户提供一个从云平台到云服务都安全可信的环境，华为云将最严格的国际安全标准作为目标，不断对齐并优化自身的安全能力，努力搭建出世界一流的安全合规认证体系。仅2019年，华为云就获得和重新审核通过了这些合规认证：

　　• ISO 22301，是全球首个公认的、衡量企业服务连续性能力是否满足社会责任和客户承诺的唯一标准。

　　• ISO 27001，是目前国际上被广泛接受和应用的信息安全管理体系认证标准。

　　• ISO 27017，是针对云计算信息安全的国际认证，提供了云服务特有的安全实践指南和控制措施，以解决云上的信息安全威胁和风险。

　　• CSA STAR，是针对云安全水平的权威认证，旨在应对与云安全相关的特定问题，协助云计算服务商展现其服务成熟度的解决方案。

　　• 业界首家信息安全服务资质（云计算安全一级），由中国信息安全测评中心推出，旨在对云服务商的安全服务资格状况、技术实力和云计算安全服务实施质量等方面进行综合客观评定的认证。

　　• 全球唯一获得TL 9000认证的云服务商。TL 9000有机整合了ISO 9000及众多行业标准，形成的一套完整统一的质量管理体系，分质量体系要求和质量体系指标。

　　• 获得云服务用户数据保护能力增强级认证，体现了华为云在用户数据保护上的强大实力。

　　• 通过SOC2隐私性审计，成为中国第一家通过该审计的IaaS云服务商。

　　• 2019年11月，在由国际隐私专业协会（IAPP）主办，比利时布鲁塞尔举行的欧洲数据峰会上，华为云获得由BSI（英国标准协会）全球认证部进行认证并颁发，全球首批 ISO/IEC 27701:2019隐私信息管理体系认证证书。ISO/IEC 27701标准，旨在帮助组织机构保护和控制所处理的个人信息。标准将隐私保护的原则、理念和方法，融入到网络安全和隐私保护体系中，给企业提供了最佳实践和指导建议。