1. 如何共擔責任？

在等保2.0標準中，安全責任主體一分為二，云平臺和云平臺客戶共擔安全責任，同時云平臺可輔助平臺用戶完成等保測評。UCloud現(xiàn)已通過等保2.0三級測評，可為客戶提供《UCloud平臺通過三級等保的報告關鍵頁及證明》文檔資料，輔助平臺客戶完成等保測評工作。

2. 如何分別定級？

根據(jù)等保2.0標準，云平臺和平臺上承載的客戶業(yè)務系統(tǒng)是分別定級的，云平臺不應承載高于其安全保護等級的業(yè)務應用系統(tǒng)。也就是說，UCloud公有云平臺通過的等保三級測評，可承載三級/二級的云客戶業(yè)務系統(tǒng)。

3. 如何劃分邊界？

就IaaS模式來說，云服務平臺的基礎設施、硬件、資源抽象控制的安全責任在云平臺，也就是UCloud需承擔云平臺的安全，而用戶需自身負責云平臺之上的虛擬計算資源、軟件平臺、業(yè)務應用平臺的安全責任。

構(gòu)建云平臺安全基礎

UCloud高分通過了權(quán)威測評機構(gòu)——上海市網(wǎng)絡技術(shù)綜合應用研究所的國家網(wǎng)絡安全等級保護三級復評，這意味著UCloud在基礎設施安全、虛擬化安全、數(shù)據(jù)安全、安全管理中心等方面均滿足安全要求。

1. 基礎設施安全

UCloud數(shù)據(jù)中心在物理位置、訪問控制、防火、防水、防雷、防盜、防靜電、溫濕度控制、電力供應及電磁防護等方面，全面符合等保三級要求。與此同時，數(shù)據(jù)中心設立安全專區(qū)，采用邊界防火墻、DPI檢測、網(wǎng)絡流量清洗、DDoS攻擊防護、WAF應用防護等多項安全手段組合，打造云平臺安全基礎。

2. 虛擬化安全

在云平臺核心的虛擬化安全領域，UCloud采用OpenFlow技術(shù)實現(xiàn)了物理宿主機和云客戶虛擬機網(wǎng)絡隔離，保障了平臺上各租戶間的隔離；同時，利用網(wǎng)絡包分析等手段實時檢測云平臺虛擬機的DDoS OUT風險；此外，采用完整性校驗機制來進行虛擬機遷移，確保遷移安全。

3. 數(shù)據(jù)安全

對于數(shù)據(jù)傳輸，UCloud均采用HTTPS等加密協(xié)議或安全專線傳輸；對于數(shù)據(jù)存儲，UCloud采用強加密、分類分級進行保護，并利用分布式存儲保障數(shù)據(jù)的可用性；對于廢棄數(shù)據(jù)刪除，UCloud采用擦除清零及消磁等手段，做到不可復原的安全刪除。

4. 安全管理中心

遵循《網(wǎng)絡安全法》，UCloud在網(wǎng)絡、主機、應用各層面均做到日志審計，運維操作由堡壘機錄屏審計，且確保審計記錄均保存6個月以上；同時構(gòu)建了云安全管理中心，通過大數(shù)據(jù)分析手段實時檢測、防御、管控安全事件；此外，安全管理采取三權(quán)分立機制，劃分網(wǎng)絡管理、系統(tǒng)管理、審計管理及安全管理團隊，以此幫助客戶嚴控操作風險、安全管理云平臺。

8重保護，提供一站式等保2.0方案

針對用戶自身負責的云平臺之上的虛擬計算資源、軟件平臺、業(yè)務應用平臺的安全工作，UCloud依托云平臺基礎設施環(huán)境已通過的等保三級優(yōu)質(zhì)保障推出了 “一站式”的安全合規(guī)方案，提供了豐富、全面的云安全產(chǎn)品服務，可幫助云平臺客戶快速完成等保2.0測評工作。

1. 邊界防護

UCloud等保2.0合規(guī)解決方案為云平臺客戶免費提供了一定流量的DDoS攻擊基礎防護，若攻擊超過免費閾值時，客戶可一鍵開通高防防護，支持防護ACK、SYN、連接耗盡等各類常見攻擊，最高扛住1Tbps的攻擊防護。

2. Web防護

UCloud等保2.0合規(guī)解決方案提供了UWAF應用防火墻和UWS Web漏洞掃描系統(tǒng)兩款Web防護產(chǎn)品。

UWAF應用防火墻可完成CC防護及常見Web漏洞檢測和攔截，具備網(wǎng)頁防篡改功能，并隱藏源站，防止對源站的直接攻擊，從而降低停機、篡改和數(shù)據(jù)失竊的風險，保障網(wǎng)站業(yè)務的可用性、完整性。

UWS Web漏洞掃描系統(tǒng)可對網(wǎng)站域名進行一鍵掃描，主動及時發(fā)現(xiàn)漏洞，自動生成報告，避免漏洞被黑客利用影響網(wǎng)站安全。

3. 入侵防護

UCloud等保2.0合規(guī)解決方案提供的主機入侵檢測系統(tǒng)能夠?qū)崟r檢測正在發(fā)生的入侵行為，包括暴力破解、木馬后門等行為，對主機風險進行評估，識別不安全配置、弱口令及安全漏洞等。

4. 虛擬網(wǎng)絡隔離

在網(wǎng)絡訪問控制方面，UCloud等保2.0合規(guī)解決方案提供了“外網(wǎng)防火墻+VPC+ACL”的組合模式，客戶通過該產(chǎn)品組合可實現(xiàn)對網(wǎng)絡邊界訪問控制、各網(wǎng)絡區(qū)域安全隔離以及訪問規(guī)則設置等，為云平臺和用戶戶的網(wǎng)絡邊界防護和隔離提供了安全保障。

5. 通信保密性/完整性

UCloud等保2.0合規(guī)解決方案提供了SSL數(shù)字證書服務，云平臺客戶使用SSL數(shù)字證書服務，可實現(xiàn)HTTPS安全傳輸，使網(wǎng)站安全可信，防劫持、防篡改、防監(jiān)聽。

6. 安全審計

UCloud等保2.0合規(guī)解決方案提供的“堡壘機+數(shù)據(jù)庫審計+云日志審計”的審計組合可實現(xiàn)云主機、云數(shù)據(jù)庫及云安全事件的審計功能，完成運維審計、數(shù)據(jù)審計、安全審計的全面審計，并提供雙因子鑒別、權(quán)限管控等安全功能，滿足等級保護、企業(yè)內(nèi)控等審計要求。

7. 安全管理中心

UCloud等保2.0合規(guī)解決方案提供了態(tài)勢感知系統(tǒng)，通過大數(shù)據(jù)分析和深度機器學習來發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊，從而提高攻擊行為的可見性、可溯源性和可防御性。

8. 容災和冗余

UCloud等保2.0合規(guī)解決方案提供了負載均衡ULB，采用分布式架構(gòu)，可為用戶實現(xiàn)熱備切換，保證系統(tǒng)業(yè)務高可用性。

深入行業(yè)，解析最佳等保2.0實踐

對于絕大多數(shù)的行業(yè)客戶來說，UCloud一站式等保2.0方案已能滿足等保2.0測評要求，但仍有部分行業(yè)存在特殊安全內(nèi)容需要重點關注，如金融、游戲、政府、醫(yī)療和教育行業(yè)。

1. 金融行業(yè)

金融企業(yè)對數(shù)據(jù)安全性、業(yè)務連續(xù)性、容災備份具有較高的要求，因此上云通常采用“兩地三中心”的部署模式，利用專線進行異地數(shù)據(jù)傳輸，實時熱備應用負載均衡。

針對金融企業(yè)，UCloud推出了混合云部署方案，金融企業(yè)可選擇【自建IDC/托管專區(qū)+UCloud公有云】上云方案，構(gòu)建兩地三中心，以此保障同城/異地容災能力，從而滿足等保2.0的測評要求。

2. 游戲行業(yè)

游戲行業(yè)是網(wǎng)絡攻擊的重災區(qū)，往往面臨DDoS等攻擊的安全威脅。對此，UCloud的DDoS攻擊防護產(chǎn)品和WAF企業(yè)防火墻產(chǎn)品能夠幫助游戲客戶輕松應對網(wǎng)絡攻擊，保障游戲業(yè)務可用性。值得關注的一點是，實名游戲用戶達到百萬以上的企業(yè)，則應滿足等保三級的安全要求。

3. 政府/醫(yī)療/教育行業(yè)

政府、醫(yī)療和教育行業(yè)因為涉及大量公民個人敏感數(shù)據(jù)，對于數(shù)據(jù)安全的要求也非常高。通常，這些企業(yè)上云時應重視網(wǎng)絡隔離與分區(qū)。UCloud公有云的VPC子網(wǎng)方案能夠保障核心網(wǎng)絡區(qū)域與互聯(lián)網(wǎng)區(qū)域間通信受控，并使用堡壘機嚴控運維操作，采用數(shù)據(jù)庫審計保護敏感信息，更好地確保數(shù)據(jù)的安全。

UCloud等保2.0合規(guī)解決方案通過遵從“一個中心、三重防護”的安全架構(gòu)設計,能夠更好的幫助用戶滿足等保2.0和《網(wǎng)絡安全法》的合規(guī)要求。

除了等保三級測評外，UCloud還獲得了ISO 27001/20000/9001、CSA STAR云安全、PCI DSS支付卡數(shù)據(jù)安全等多項安全認證。這一系列國際認證的獲得，表明UCloud無論是自身管理體系，還是保證客戶數(shù)據(jù)安全方面，均符合國際公認的權(quán)威標準。

未來，UCloud將致力于為客戶和合作伙伴，實踐數(shù)據(jù)安全，共同保障云上企業(yè)數(shù)據(jù)安全。

zhangnn