亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

王永霞：大家上午好！昨天我們有一個主論壇，昨天下午，黎巍總也給大家分享了騰訊云在安全方面我們的一些方法和思路。

我們先進(jìn)行一下互動，昨天在演講時有提到一個數(shù)字，黑產(chǎn)在云上非常激烈的狀態(tài)，要發(fā)動一次簡單的攻擊最小的成本是多少錢？誰知道。

觀眾：200元。

王永霞：對，回答得非常好，發(fā)個小禮物，騰訊的吉祥物。昨天黎巍總也引入了一句經(jīng)典的話，“這是一個最好的時代，也是最壞的時代”。云上黑產(chǎn)很猖獗，威脅也很多，云上有什么痛點(diǎn)和問題呢？剛才做技術(shù)的大咖已經(jīng)給大家做了分享，下面我們從管理上與大家分享這個話題。

云計算這個領(lǐng)域還是比較新的，所以，我今天用探索的心態(tài)和思路與大家分享，盡管我個人認(rèn)為，我們在這方面還是走在比較靠前的階段。云上有什么樣的風(fēng)險和痛點(diǎn)，我們從云的租戶和云供應(yīng)商兩方面和大家做分享。作為云端的租戶來看怎么看我們云安全狀態(tài)呢？

首先，它會擔(dān)心我們云服務(wù)平臺可能會中斷，不管是什么原因？擔(dān)心它的數(shù)據(jù)在云端可能會被泄密，不管是因?yàn)楹诋a(chǎn)還是云服務(wù)商內(nèi)部管理的問題，都有可能帶來這樣一種情況和后果。

第二，云上個人信息的泄密問題。我們作為云服務(wù)商也會擔(dān)心互聯(lián)網(wǎng)上的服務(wù)會導(dǎo)致各種各樣的云安全狀態(tài)，比如云服務(wù)平臺會被惡意使用，變成攻擊源；客戶使用時可能違規(guī)違法使用，這對我們來說都是業(yè)務(wù)方面不能承受的痛點(diǎn)。

我們基于這些方面來看，在基于云安全，傳統(tǒng)的27001，各位朋友對27001應(yīng)該很熟悉，我們講信息安全時談到三個屬性：機(jī)密性、完整性、可用性。云安全上這三方面還是存在的，只是云方面我們提出了第四點(diǎn)——可控性。這對云的平臺以及云服務(wù)在安全性方面都是非常關(guān)鍵的一種屬性。我們剛發(fā)布的，明年會正式使用的《網(wǎng)絡(luò)安全法》也談到基于云或互聯(lián)網(wǎng)下面安全可控，國家方面的要求。

騰訊云安全合規(guī)資質(zhì)之路。

我們也有很多好的方法和實(shí)踐，騰訊云安全發(fā)展的步驟和我們國家云計算的發(fā)展是相吻合的。我們是2014年首先家通過27001：2013年版認(rèn)證的云服務(wù)商。今年我們通過云服務(wù)STAR資質(zhì)，獲得云安全方面管控的方法。

騰訊云基于這個框架進(jìn)行管控的方式，我們進(jìn)行IP治理事件，COBIT5和以及其他管控方法，我們有自動化的安全運(yùn)營平臺，有安全運(yùn)營的方式方法，檢測各種安全可能的供給和或不安全的狀態(tài)，內(nèi)部和外部的都會有，做到及時的響應(yīng)。中間這層分為三大塊：

1、運(yùn)營。騰訊云安全運(yùn)營上，從人員、操作、系統(tǒng)平臺、虛擬化各個層面都有自己的安全管理方式方法和措施流程。

2、風(fēng)險。從風(fēng)險的發(fā)現(xiàn)，風(fēng)險的處置，風(fēng)險的應(yīng)對都會有一系列方法，從流程、制度、平臺和工具。基于業(yè)務(wù)科恢復(fù)能力，互聯(lián)網(wǎng)情況下會有各種各樣不安全的狀態(tài)，萬一碰到災(zāi)難性的情況，我們要能夠及時地去恢復(fù)，恢復(fù)能力即使作為云服務(wù)商，我們應(yīng)該給設(shè)備承諾的責(zé)任，或者給客戶提供的容災(zāi)方案或能力。

3、彈性。彈性上，我們會從客戶端以及云服務(wù)商，都要對外提供可恢復(fù)的解決方案。以保證災(zāi)難情況下，我們的云平臺、客戶能依然能延續(xù)使用我們云計算產(chǎn)品和服務(wù)。

騰訊云安全治理體系。

治理體系必須是從上到下的，騰訊云安全有一系列的操作，包括操作、審計等虛擬化團(tuán)隊在運(yùn)行。同時我們也制訂了一系列各種標(biāo)準(zhǔn)，內(nèi)部的，企業(yè)的，從虛擬化，到操作，到人員，到互通性等等。各個方面適應(yīng)我們自己環(huán)境下的管理要求和標(biāo)準(zhǔn)。從這三方面達(dá)成我們在內(nèi)部一套可以不斷在GTC我們云管理體系。

騰訊云安全風(fēng)險管理框架。

我們內(nèi)部有一個管理的框架，安全界有一個認(rèn)知——基于風(fēng)險管理為基礎(chǔ)。風(fēng)險管理中通常分為四個階段和風(fēng)險識別、風(fēng)險評估、風(fēng)險評價、風(fēng)險處置。四個階段中，最難的是風(fēng)險識別了。我們有自己一套基于騰訊云的事件，從業(yè)界報告所總結(jié)出來的風(fēng)險庫、風(fēng)險地圖，它是分成了幾個大的領(lǐng)域，幾個子領(lǐng)域和若干風(fēng)險項(xiàng)。

有了這個之后，我們進(jìn)行評估和評價就比較容易了，這時候我們有比較充分的風(fēng)險處置措施來跟進(jìn)。運(yùn)營層面有安全運(yùn)營平臺來支撐，管理方面也盡量把風(fēng)險可視化。風(fēng)險可視化以后我們就有一系列的風(fēng)險指標(biāo)，來對風(fēng)險處置措施運(yùn)營情況和風(fēng)險發(fā)生情況進(jìn)行可視化的展示。這種方式也是我們在云安全方面，對風(fēng)險的一種創(chuàng)新應(yīng)用。

以上是我們從管理到治理風(fēng)險框架、可視化平臺、風(fēng)險工具與大家做的分享。

前面講的兩大塊，我們在云治理上面就有四個特點(diǎn)：是一致性、標(biāo)準(zhǔn)化和規(guī)范化的，這是必須的，這是任何管理要實(shí)現(xiàn)的一個效果。內(nèi)部除了20007和STAR之外還有云服務(wù)質(zhì)量上有一系列的管理體系。STAR平臺是把整個體系進(jìn)行了整合，所以它有一體化的效果，同時也是規(guī)范化的方式。因?yàn)槲覀儗ν馓峁?B業(yè)務(wù)時讓客戶和市場看到我們規(guī)范化的服務(wù)是非常重要的。我們體系做流程和制度時都是要達(dá)到這樣的效果。

因?yàn)樗窃诨ヂ?lián)網(wǎng)方式下提供服務(wù)，又是互聯(lián)網(wǎng)企業(yè)，我們定流程和制度時要考慮一系列敏捷化的特點(diǎn)，我們寫制度和流程時都盡量用流程圖的方式讓同事比較容易也比較愿意去看，愿意遵守這樣的方法。同時，也盡量在能夠可視化情況下通過平臺和工具展示出來，比如前面講的風(fēng)險指標(biāo)，發(fā)生的情況和目前的現(xiàn)狀，當(dāng)前的情況都讓它可視化展示出來，這是在STAR云安全內(nèi)控上我們四個方面的特點(diǎn)，能夠帶來相關(guān)效果。

昨天我們開CSS大會時，騰訊云安全也發(fā)布了今年最新版的《安全白皮書》，這個白皮書按照目前行業(yè)要求和最佳方法、實(shí)踐來編制和發(fā)布的。《白皮書》內(nèi)我們提出了“安全責(zé)任共擔(dān)”的理念，騰訊云對云安全怎么看，騰訊云和客戶之間責(zé)任共擔(dān)的理念，云服務(wù)商，包括客戶和租戶也是要承擔(dān)一定責(zé)任的。

騰訊云對外提供的有IaaS、PaaS和SaaS三種服務(wù)，作為IaaS級的服務(wù)，騰訊云也是云服務(wù)商提供最多的情況，包括云主機(jī)、云網(wǎng)絡(luò)、云存儲，這都是最基礎(chǔ)的IaaS級的服務(wù)，我們對外也在提供。同時還有PaaS級的服務(wù)，包括云數(shù)據(jù)庫、云視頻等等PaaS級的服務(wù)。SaaS級的服務(wù)，我們家比較有特點(diǎn)的人臉識別優(yōu)圖產(chǎn)品以及云搜、云通信，基于各種各樣SaaS形態(tài)的云安全，包括天御和樂固都是我們SaaS的服務(wù)。

在IaaS、PaaS和SaaS服務(wù)中，STAR模型中，我們作為云服務(wù)提供商和客戶安全邊界上就有各自要承擔(dān)的職責(zé)和范圍。我們把它分成了五個級別。

最上面這一級是數(shù)據(jù)安全這一級。數(shù)據(jù)安全應(yīng)該是客戶最關(guān)心，也最在意的一塊，但對這塊，數(shù)據(jù)分級、分類、上云之后要不要加密保存都是作為云的客戶、租戶自己應(yīng)該思考的問題。當(dāng)然，作為云服務(wù)商我們提供加密解決方案、加密方法和技術(shù)，但作為使用的情況是客戶自己要去分析和采用。我們包括客戶要承擔(dān)的職責(zé)和范圍。

終端，在使用云之后，終端的感覺和使用，終端的升級，必要的控制方法和手段，在SaaS層面，我們作為云服務(wù)商要承擔(dān)一定的責(zé)任，作為IaaS和PaaS客戶要自己考慮終端方面的方式方法和解決方案。

訪問控制，要解決的是訪問者或用戶、管理員權(quán)限劃分，訪問權(quán)限，識別和鑒別等等，作為云服務(wù)商和客戶都有各自要承擔(dān)的責(zé)任和邊界。

應(yīng)用安全，包括應(yīng)用的設(shè)計和開發(fā)，應(yīng)用的上線部署和升級換代，漏洞修復(fù)等等，這也都是屬于在不同STAR下面我們云服務(wù)商和客戶之間各自承擔(dān)的責(zé)任有所劃分。

主機(jī)安全方面，IaaS層面云服務(wù)商要承擔(dān)的比其他要更多一些，但在不同模式下還是有所區(qū)分，包括虛擬化層，必要的安全手段和安全加固是云服務(wù)商要承擔(dān)的。不同情況下，客戶使用時也要考慮到，比如鏡像選擇，客戶自己也要承擔(dān)一定的安全職責(zé)。這是我們到主機(jī)和網(wǎng)絡(luò)上的解讀。物聯(lián)和網(wǎng)絡(luò)架構(gòu)，包括IGC物理環(huán)境、物理服務(wù)器，網(wǎng)絡(luò)設(shè)備等方面，在這些方面會看到，在IaaS層面一定是云服務(wù)商應(yīng)該承擔(dān)的安全責(zé)任，作為PaaS和SaaS也是云服務(wù)商要去保護(hù)的。我們對外要解釋在騰訊云安全方面，和客戶之間“責(zé)任共擔(dān)、安全共建”，怎么理解這個事情，劃分我們作為云服務(wù)商與客戶之間的安全邊界。

數(shù)據(jù)安全。

《白皮書》里有重要的章節(jié)，就是云數(shù)據(jù)安全，這也是客戶非常關(guān)心的領(lǐng)域和話題。雖然在STAR下面，客戶承擔(dān)的安全職責(zé)會有不同，可能也是客戶最關(guān)心的話題，為了讓這個業(yè)務(wù)有安全可控的服務(wù)方式，讓客戶放心。作為云服務(wù)商，我們也有一套自己的解決方案提供給客戶。

上云階段，會提供給客戶傳輸通信加密方式，也可以客戶化定制他需要的，自己認(rèn)為更適合自己的安全傳輸途徑。我們作為云服務(wù)商，認(rèn)為客戶信息數(shù)據(jù)都是我們家絕密的信息和數(shù)據(jù)，不管他存的是什么，不得到客戶授權(quán)情況下，我們?nèi)魏稳藘?nèi)部都不可以訪問客戶的信息和數(shù)據(jù)，達(dá)到這樣的要求也是提供這么一種包括，包括必要的安全管理和監(jiān)控措施手段。

云中階段，客戶自己選擇需不需要加密的方法和手段，那是客戶自己的選擇，作為云服務(wù)商，我們內(nèi)部有顆粒度足夠細(xì)的權(quán)限管理，對操作人員操作行為的監(jiān)控來對它的數(shù)據(jù)安全狀態(tài)進(jìn)行相關(guān)的監(jiān)控、審計和操作。

下云階段，客戶決定要下云時，下云環(huán)節(jié)中，除了傳輸上我們和上云提供一樣的安全傳輸通道之外，在客戶下云之后也會對客戶原來所租用的資源，從計算到存儲各個方面會做相應(yīng)的資源回收，也會做滿足足夠要求，規(guī)范的數(shù)據(jù)刪除和數(shù)據(jù)擦除相關(guān)措施，保證客戶下云之后的數(shù)據(jù)安全。

（圖）這是我們騰訊作為云服務(wù)商對客戶的數(shù)據(jù)安全三大環(huán)節(jié)相關(guān)手段和觀點(diǎn)。

運(yùn)營安全。

騰訊云提供了相應(yīng)的運(yùn)營安全保障措施，周斌和吳昊總都介紹了非常多我們的安全方法，在云安全方面，從產(chǎn)品的云安全特性到云安全產(chǎn)品各個方面所提供的解決方案，必要的管控方法。除此之外，還有各個層次的安全手段。我們在管理制度上也有一系列的管理流程，剛才吳昊總介紹我們樂固產(chǎn)品時，它是一種移動安全產(chǎn)品解決方案，它是從產(chǎn)品設(shè)計、開發(fā)、測試、上線、運(yùn)維各個環(huán)節(jié)必要的安全手段。

騰訊云自己云產(chǎn)品或云安全產(chǎn)品開發(fā)過程都要符合產(chǎn)品開發(fā)流程要求進(jìn)行。在運(yùn)維過程中，我們也在做足夠充分的運(yùn)維保障機(jī)制，包括自動化的監(jiān)控平臺，去發(fā)現(xiàn)各種可能存在的風(fēng)險和漏洞，做到及時的響應(yīng)。同時，通過自動化平臺來監(jiān)控內(nèi)部人員的操作行為，操作措施，來做及時的事前、事中、事后的授權(quán)、檢查、審計等手段。另外是72小時。通過這些達(dá)到騰訊云一整套運(yùn)營安全、運(yùn)維保障措施。

昨天開會時，網(wǎng)信辦也說到了我們有《國家網(wǎng)絡(luò)安全法》，已經(jīng)正式發(fā)布了，這種情況下，我們作為云服務(wù)商要持續(xù)推進(jìn)安全合規(guī)和安全標(biāo)準(zhǔn)建設(shè)，都是我們應(yīng)該承擔(dān)的一種社會責(zé)任。所以，我們一直會堅持創(chuàng)建安全，共建云端生態(tài)，提供優(yōu)質(zhì)服務(wù)，以響應(yīng)國家對我國網(wǎng)絡(luò)安全的號召和要求，進(jìn)一步促進(jìn)云安全體系持續(xù)的發(fā)展和構(gòu)建。

我的介紹就到這里，謝謝大家！