1、云租户等保合规探索王余王余腾讯安全专家咨询中心（照片部分由主办方添加）目录碰到了什么问题 买/用哪些安全产品能过等保？过等保要花多少钱？现在还没做等保还来及吗？有什么影响？云上的安全是云平台负责的吧？云服务商能做什么 提供等保合规知识传递、完善解决方案。提供更易用、更安全的基础平台。提供符合等保的产品/功能。提供专业的咨询服务。云租户能做什么 了解网络安全法、等级保护基本要求。结合业务需求与ROI、应用云服务商的产品/方案。参照合规要求、拥抱新技术、不断提升安全保障能力助力业务发展。等级测评结论与判断依据划重点|存在高风险安全问题则直接判定等级测评结论为“差”。|存在中风险安全问题则无法获得等

2、级测评结论为“优”。|基本要求权重表|综合得分计算公式|测评结论判定表|云计算测评结论表|测评结果有“优”、“良”、“中”、“差”四个等级。|测评结果及格分数为70分。云计算安全等保扩展要求云计算安全等级保护基本要求安全通用要求技术要求管理要求云计算安全扩展要求云计算平台自身安全要求云计算平台提供租户的安全服务能力要求针对租户的安全要求等级保护合规流程及推荐配置等保合规流程及各职责“个中、三重防护”合规推荐产品配置技术要求部分控制点概述推荐产品等保二级等保三级安全通信网络应划分不同的网络区域，网络区域与其他网络区域之间应采取可靠的技术隔离手段。VPC、ACL、安全组平台自带平台自带应采用效验技

3、术、密码技术保证通信过程中数据的完整性和保密生。SSL证书安全区域边界在网络边界处应部署入侵防范和恶意代码检测机制，防御并记录入侵行为。WAF对网络中的用户行为日志和安全事件信息进行记录和审计。WAF全量日志审计在内外网的安全区域边界设置访问控制策略，并防止或限制从外部/内部发起的网络攻击行为，记录并报警。护DDOS安全计算环境应启用安全审计功能，对用户行为和安全时间进行审计。数据库审计应能发现可能存在的已知漏洞，在经过充分评估后及时修补漏洞。漏洞扫描应能检测到入侵行为，并能对恶意代码进行防范，提供报警并有效阻断。主机安全应采用密码技术保证重要数据在传输和存储过程中的保密性。KMS应仅采取和保

4、存业务必需的用户个人信息，禁止未授权访问和非法使用用户个人信息。数据脱敏安全管理中心应支持多因素身份认证，只允许通过特定的命令和界面进行管理操作并进行审计。堡垒机对分散的设备、组件、主机以及安全策略、事件等进行集中管理、审计、报警和分析。安全运营中心https:/ 22239-2019)自顶向下设计的安全合规和运营体系全栈安全基础架构与可信计算数据安全中台数据产生和获取Dataat RestData inTransitDatain Use数据退役和销毁数据合规和治理数据访问监控和响应难点1：分类、治理和策略难点2：DaR/DiT/DiU加密技术难点4：事件监测分析难点3：密钥管理Data-at

5、-RestData-in-UseData-in-Transit存储加密(卷/对象/文件)访问控制数据退役和安全擦除备份安全云服务商SOD云服务商流程和审计安全计算(同态加密、多方计算、差分隐私)安全计算环境(TPM、TEE)加密算法隐私保护算法计算环境隔离传输加密身份验证传输抗抵赖性边界安全数据重定位数据外包安全数据安全中台数据安全能力中台HSM/SEM数据加密软硬件服务KMS密钥管理系统Secrets Manager凭据管理系统SparklingSnova数据获取Data Ingestion and SourcingCKafkaCMQRedisAPIStreamBIEMRTIMongoDBE

6、S事务处理和检索Transaction,Catalog,SearchPostgresqlMYSQLTDSQLTDSQL分析与数据服务Analysis,Intelligence,ServingCFSAPICOSCBSCVMVPN数据访问与消费Data Access and Consume原始数据归一智能分析决策与反馈数据安全能力中台服务日志审计身份认证秘钥管理应用加密网络加密计算加密凭据托管可视化管理|全数据生命周期支持、完整的云产品生态集成、国密与FIPS标准全数据生命周期支持完整的云产品生态集成随取随用的加密API或SDK服务数据安全中台|腾讯云数据安全能力中台，提供极简的加密API或SDK

7、服务管控层中间件层产品层接入层GVSMEVSMSVSMCloudHSM密码服务实例SEMSEM软件加密库SDK密码资源统一监控密码资源统一管理密码资源动态调配业务调用统计分析告警策略管理日志审计管理密钥生命周期管理Secrets Manager 加密基础组件COSCBSTDSQL数字签名验证服务CA证书服务物联网加密服务专用密码应用组件客户侧加密组件数据库加密CASB服务TLS/SSL加密组件传输加密统一密码应用接入服务（加密应用API、SDK）CMQ运算层SGXSGXSGX/TEE安全计算环境MYSQL互联网、政务、金融、行业业务系统云上安全运营中心数据提取、清洗、标准化，构建云上安全数据湖

8、资产数据云操作行为数据云配置数据DDoS数据WAF数据云镜数据基于规则的安全分析引擎AI&ML辅助分析引擎资产安全攻击面测绘应急漏洞云安全配置管理合规管理安全事件管理UBA安全编排调查溯源处置建议日志审计整体安全评分安全态势仪表盘整体安全大屏事前安全预防事中事件监测与威胁检测事后响应处置主机安全大屏网络安全大屏数据层分析层功能层可视层流量威胁感知安全预防：防患于未然，提升安全水位事件监测与威胁检测：全面覆盖、统一运营响应处置：高效及时应对安全风险与威胁安全可视：直观呈现安全态势与建设成果CLB日志CDB日志DevSecOps持续管理 项目管理 需求/任务管理 缺陷管理 迭代/版本管理 测试管理

9、 源代码管理 制品管理 资源和文档管理 构建环境 权限中心 凭据管理持续集成 流水线管理 代码拉取 单元测试 报告收集 代码检查/脚本执行 构建/打包 编译加速/App签名 质量关卡 容器镜像构建 制品归档 第三方工具集成持续运维 自动扩缩容 故障自愈 监控告警 服务治理 作业平台 日志分析项目经理产品经理业务部门架构师测试团队开发测试运维持续发布 虚拟机发布 容器发布 容器平台 CMDB/环境、配置管理 自动化发布工具 灰度发布、蓝绿发布 接口测试集成测试 性能测试 UI自动化测试 安全漏洞测试 Mock服务 测试数据工厂持续测试持续度量 交付KPI 质量KPI 效能KPI腾讯蓝鲸DevOp

10、s解决方案安全编码规则静态代码扫描安全意识培训安全开发培训安全测试培训安全运维威胁响应攻击面分析威胁建模合规性分析风险评估动态代码扫描 渗透测试安全发布标准安全设置安全意识需求发布设计开发测试部署响应ServerlessHardwareVirtualizationO/SContainersRuntimeApplicationsFunctionsPhysical MachineCustomerVenderVirtual MachineHardwareVirtualizationO/SContainersRuntimeApplicationsFunctionsContainerHardwareVi

11、rtualizationO/SContainersRuntimeApplicationsFunctionsServerlessHardwareVirtualizationO/SContainersRuntimeApplicationsFunctions聚焦业务，快速迭代，提高产品竞争力云计算：去基础架构的过程Serverless 符合云计算发展的方向企业CSO视角安全专家服务能力安全服务专家安全服务内容安全服务运营业务全生命周期安全保障外部安全信息内部安全信息威胁与风险信息（阻断-检测-响应-预防）上线前风险与漏洞检测日常安全运维与威胁监测应急响应与安全演练现场值守专家腾讯安全专家顾问团行业安

12、全专家团人工服务+工具辅助安全咨询与持续改进漏洞扫描基线检查上线检测渗透测试应急响应代码审计安全值守安全咨询等保咨询风险评估攻防：Defense情报：Intelligence管理：Effective Management规划：Advanced Planning实时、快速识别安全风险的能力先进的攻防技术人才、经验和能力高效、有效管理信息资产安全的能力对未来新业务场景下安全挑战的前瞻能力腾讯安全战略观IDEA模型步骤最佳实践实施方法腾讯安全专家服务1明确驱动因素了解有哪些驱动因素（外因、内因）安全咨询、合规咨询2定义问题通过调研、咨询明确到了什么程度安全咨询、安全培训3定义路线通过调研、咨询明确要

13、达到什么目标安全咨询、安全培训4计划方案参照行业最佳实践，确定要完成什么行动安全咨询（最佳实践方案）5执行计划通过咨询服务或采购专业的产品与服务形成解决方案与实施计划安全集成、专项安全服务6实现效益通过项目实施展现是否实现计划安全集成7审查有效性通过内、外方检查，保持有效性并推进评估、检测找差距定目标做规划画路径拟项目重落实企业CSO视角安全规划与落地能力轻量式云用户信息安全管理体系评估试点云平台及安全责任共识云及云服务生态云安全服务共识云平台安全即服务 基础安全服务面向云用户的安全运营服务ISO 27001安全合规要求 云用户安全合规体系要求 云平台及云用户安全控制措施ISO27001云用户认证要求 云上企业ISO27001:2013体系建设 申请进行符合性认证