腾讯云安全白皮书

2024年1月 腾讯云安全团队&腾讯研究院安全研究中心 【版权声明】 ©2013-2024腾讯云版权所有 本文档著作权归腾讯云单独所有，未经腾讯云事先书面许可，任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。 【商标声明】 及其它腾讯云服务相关的商标均为腾讯云计算（北京）有限责任公司及其关联公司所有。 本文档涉及的第三方主体的商标，依法由权利人所有。 【服务声明】 本文档仅供参考。对于本文档中的信息，腾讯云不作明示、默示的保证。本文档基于现状编写。在本文档中的信息和意见，包括网址和其他互联网网站参考，均可能会改变，恕不另行通知。您将承担使用它的风险。 本文件未授予您任何腾讯产品的任何知识产权的法律权利。您可以复制和使用本文档内容作为您内部以参考为目的的使用。 这里所描述的一些例子只提供说明，是虚构的。不能基于此推断或预期任何事实上的关联或联系。 腾讯云，安全，值得信赖 序言 当下，随着网络空间的快速演进，新业态、新生态生机勃发，从二维空间到叠加了物联网和云的四维复合生态空间后，安全早已超越了技术的范畴，与整个产业的变化更加息息相关。 从安全威胁方面看，云时代因为攻击、信息造成千万的损失是过去的几十倍甚至百倍以上，技术浪潮在全面释放生产潜能的同时，也为攻击者找到了规避检测的方式。日益繁荣的网络黑产将云服务技术变成攻击武器，随着万物互联趋势，更是给了攻击者更多的攻击渠道和安全漏洞。从防护角度看，得益于大数据、人工智能和云计算的整合，云上安全智能化成为必然趋势。海量数据归档能力的提升、云端计算资源的丰富、AI智能分析算法的成熟都让安全实时分析和智能决策成为现实。云时代的大步迈进，将让安全防护更加智能和强大。 作为中国云计算领域的领军者，腾讯云尤其关注云安全的重要性，提出“全景式腾讯云智慧安全方案：云管端协同布局”的战略规划。同时联合合作伙伴，构建智慧安全新生态，为生态链上的合作伙伴创造一个安全的云端基础环境。 “全链路的产品和引擎是智慧安全的基础。”数字时代构建全链路的智慧安全，必须要有全链路的产品覆盖与数据信息流整合，这方面腾讯拥有得天独厚的优势。当云作为平台和管道把大量企业连接到了云的空间后，我们看到了构建立体安全防御体系的机会：基于云、管、端的能力协同，实现联防联控，并有机会将更多安全能力服务化以触达用户，为用户提供丰富的云上业务防御产品和解决方案。 今天复杂的世界形势给全球广泛的领域带来了空前的安全挑战，谋求独立强大与合作共赢是众所周知的共识。因此，在数字经济时代，构建一个云安全生态依然需要集共同之力来完成。网络安全非常复杂，防御和攻击难度严重失衡，没有任何厂商可以独立应对。过去的经验也表明，全行业的生态合作与联动在现在和未来都不可或缺。 从安全的视角和经验来说，在关键位置建立门槛是有必要和实效的。网络空间的安全需要有匹配复合网络空间的立体防御系统，任何一张网都是由线构成，腾讯云也会跟更多行业伙伴一起共建安全大生态。 创立20多年的腾讯积累了大量的技术和安全实践能力，也是最早关注云计算生态安全企业之一。腾讯云希望依靠云管端协同的智慧生态，为用户持续提供安全的、可信的、智慧的云，助力更多企业高效迎接数字化浪潮，助力企业安全发展。 智慧安全 “智慧安全”即借助腾讯集团提供的智慧安全能力对安全数据进行分析和处理，从而有效地预防及阻止安全威胁的发生、甚至主动消灭威胁，以助力合作伙伴和广大企业解决在数字化建设进程中所面临的各项安全诉求。一方面，基于“智慧安全”的解决方案可以提升企业的业务安全和应对威胁的能力，助力客户聚焦核心业务、统领未来；另一方面，“智慧安全”也可以推动整个安全生态更加和谐、繁荣的发展。 腾讯云将坚持以“共享、共建、共赢”的原则，携手广大安全厂商、个人、企业、国家和社会共同创建“安全生态环境”，持续为营建更安全的互联网生态环境贡献力量，最终实现企业安全的目标，共同受益。“共享”，即基础安全数据共享。基础安全数据是整个安全生态链的数据基础。在整个安全生态链中，各方将坚持开放共享的原则，将脱敏后的基础安全数据共享给其他方，协助安全生态的建设与成长。“共建”，即共同建设安全生态。共建安全生态是各方共同的目标和职责。腾讯云提倡的安全生态是建立在腾讯、合作伙伴、客户三方共同建设的基础之上的。为了更好地建设安全生态，腾讯云会倾尽全力提供支持和保障。“共赢”，即多方共同受益。打造安全生态圈绝非一个零和游戏，腾讯云所期盼的是一个多方共赢的局面。安全生态的最终目的是构建安全和谐、富有价值的互联网环境，无论是合作伙伴、企业客户，还是国家及社会都能从中受益。 智慧安全在具有传统防御能力的同时，更提供了未知威胁感知、安全问题洞察、风险趋势预测、智能化辅助决策、安全协同等智慧安全能力。借助智慧安全能力及全面覆盖云管端的企业安全解决方案，个人、企业、国家和社会可以有效地解决面临的挑战，顺应企业安全发展趋势。 在管理层面，一方面智慧安全降低了企业安全管理运维人员门槛，另一方面，智慧安全汇聚了众多安全专家，解决了企业面临的企业安全人才匮乏问题。对于企业而言，安全管理运维人员只需要掌握智慧安全的管理运维知识，就能尽可能提前做好预防，尽量减小企业损失。企业减少了对人才和信息安全组织的投入，将会有更多的资源投入到企业主体经济的研发中，提升产品质量，增强核心产品竞争力，从而推动整个行业创新，最终造福社会。 在技术层面，智慧安全将全面整合软硬件资源，提供持续服务，具备威胁感知、风险趋势预测、智能化辅助决策、安全协同等核心安全能力。借助智慧安全的企业安全解决方案将能解决传统防护手段的局限，智能化分析预测会发现借助传统的特征化的检测手段无法识别的威胁，提前为企业预防、阻挡网络威胁，甚至主动将威胁扼杀。 在产品层面，智慧安全提供了全面覆盖云管端的企业安全解决方案，安全产品之间相互联动，共享安全数据全面增强了企业安全管理的薄弱环节，形成整体的防御体系。云管端产品相互联动，避免企业 安全建设出现的产品碎片化、孤岛化，解决方案局部化的窘迫局面，助力企业全场景安全护航，顺应企业安全产品全面联动的趋势，提升整体企业安全水平。 腾讯、合作伙伴、客户三方通力协作，期望借助智慧安全的安全能力，共享安全情报，共同建立安全、和谐的互联网安全生态，助力企业安全建设，解决国内企业安全建设面临的挑战，顺应企业安全发展趋势，最终实现共赢。 目录 一、腾讯云概述.................................................................................................................11二、云服务类型.................................................................................................................14三、安全责任共担模型.......................................................................................................17四、风险与合规性.............................................................................................................224.1行业云认证体系...........................................................................................................................................................234.1.1云体系认证...........................................................................................................................................................234.1.2 ISO/IEC系列认证..............................................................................................................................................264.1.3隐私认证..............................................................................................................................................................284.2安全合规性...................................................................................................................................................................294.2.1识别外部合规要求与安全威胁...........................................................................................................................304.2.2采用先进的国际和行业标准...............................................................................................................................304.2.3建立云安全合规体系...........................................................................................................................................304.2.4落实云安全合规体系...........................................................................................................................................304.3安全合规服务...............................................................................................................................................................314.3.1等保合规服务.......................................................................................................................................................314.3.2 PCI-DSS合规服务.......................................................