|
|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 云计算安全需求分析与安全保护工程 > 云计算安全综合应用案例分析 > 华为云安全 >
|
|
相关知识点:8个
|
|
|
|
|
华为云通过完善的制度和流程以及自动化的平台和工具,对软硬件全生命周期进行端到端的管理,全生命周期包括安全设计、安全编码和测试、安全验收和发布、漏洞管理等环节,具体措施内容阐述如下。
|
|
|
|
|
|
华为云及相关云服务遵从安全及隐私设计原则和规范、法律法规要求,根据业务场景、数据流图、组网模型进行威胁分析。威胁分析首先基于引导分析威胁库、消减库、安全设计方案库,然后给出对应的安全设计方案。所有的威胁消减措施将转换为安全需求、安全功能,并根据公司的测试用例库完成安全测试用例的设计,确保落地,以保障产品、服务的安全。
|
|
|
|
|
|
华为云严格遵从华为公司对内发布的多种编程语言的安全编码规范。开发人员在上岗编码前均须通过对应规范的学习和考试。同时使用静态代码扫描工具例行检查,其结果数据进入云服务工具链,以评估编码的质量。所有云服务在发布前,均须完成静态代码扫描的告警清零,有效降低上线时编码相关的安全问题。华为云将安全设计阶段识别出的安全需求、攻击者视角的渗透测试用例、业界标准等作为检查项,开发配套的安全测试工具,在云服务发布前进行多轮安全测试,确保发布的云服务满足安全要求。
|
|
|
|
|
|
云平台版本、重要云服务上线前,需要通过华为公司全球网络安全与用户隐私保护官和首席法务官的严格审查,针对所服务区域的安全隐私要求的合规性进行分析、判断,确保华为云以及华为开发的云服务满足各区域法律法规和客户安全需求。
|
|
|
|
|
|
华为云构建了完善的漏洞管理体系,实现漏洞感知、漏洞处置、漏洞披露等全流程的跟踪与管理,确保云平台各服务产品和组件的漏洞得到及时的发现与修复,降低漏洞被恶意利用所带来的风险。
|
|
|
