构建安全的云环境,是华为云与您共同的目标。

华为云基于华为公司30多年的安全经验沉淀,并结合国内外云安全的优秀实践,遵照开服区域的法律法规和云安全标准规范,为您提供按需使用、弹性扩展的安全云服务,帮助您保护云上的应用系统和重要数据,确保您的云上之旅安全。

常见安全性问题

  • 华为云提供的基础设施足够安全吗?

    华为云将基础设施安全视为构筑多维全栈的云安全防护体系的核心组成部分。为了让您可以更放心地上云,并利用安全的华为云服务聚焦在业务发展上,华为云参考业界最佳实践在数据中心、网络等基础设施的设计和管理上充分考虑安全性与合规性。


    华为云在全球布局多个地理区域和可用区,您可以通过华为云官网的首页查看华为云全球基础设施的具体站点和产品部署分布。华为云在数据中心机房建设和管理过程中,充分考虑机房选址、访问控制、监控措施以及数据中心业务连续性等,以保障华为云基础设施的安全性和可靠性。详细的数据中心安全设计和实践,您可以访问数据中心页面了解。


    在网络安全设计方面,华为云参考 ITU E.408 安全区域的划分原则并结合业界网络安全的优秀实践,对华为云网络进行安全区域、业务层面的划分和隔离。


    更多华为云基础设施的安全设计和实践,您可以下载《华为云安全白皮书》了解。

  • 华为云如何保障云上我的数据的安全性?

    华为云高度重视您的数据资产,把数据保护作为华为云安全策略的核心。因此华为云遵循数据安全生命周期管理的业界先进标准,在身份认证、权限管理、访问控制、数据隔离、传输安全、存储安全、数据删除、物理销毁等方面,采用优秀技术、实践和流程,为您提供切实有效的数据保护能力。您可以在《华为云数据安全白皮书》中找到更多实践内容。


    但是,值得强调的是,对于您使用云服务产生的内容数据,华为云只是其托管者,您对其拥有所有权和控制权。您需要负责各项具体的数据安全配置,对其保密性、完整性、可用性以及数据访问的身份验证和鉴权进行有效保障。例如在使用统一身份认证服务IAM数据加密服务DEW时,由您负责妥善保管您自行配置的服务登录账户、密码和密钥,并负责执行密码密钥设定、更新和重设规则的业界优秀实践。您可以在华为云产品页面的【安全与合规】分类下查看更多提供数据保护的产品。


    华为云承诺绝不会在未经授权的情况下访问您的内容数据,同时遵从华为云服务适用的法律法规,并持续关注内外部合规要求的变化,开展所服务行业的安全标准评估,并且向您分享我们的合规实践,保持应有的透明度。

  • 华为云是否将我的数据转移到其它地区或国家?

    对于内容数据:您可以决定内容数据存储的区域。没有获得您的明确同意或者其他法律义务要求时,华为云不会将您的内容数据转移到其他区域。您若有将内容数据进行跨境转移的需求,且需华为云协助时,可联系和授权华为云,华为云根据您的授权对数据进行转移。


    对于个人数据:华为云通过遍布全球的资源和服务器为您提供产品与服务,收集您的个人数据可能存储在华为云及其关联公司、服务提供商/分包商所在的国家/地区。这意味着,您的个人数据可能会被转移到您使用的产品或服务所在的国家/地区以外的其他司法管辖区,或者受到来自这些司法管辖区的访问。

    此类个人数据存储地的司法管辖区可能采用保护程度不一的个人数据保护法律,甚至未订立相关法律。华为云会确保您的个人数据得到适用的法律法规和《隐私政策声明》的保护。对于中国大陆的用户,您的个人数据将被存储于中国大陆境内的服务器。

  • 除了云自身的安全保障,我还可以选择哪些安全服务提高云上业务的安全性?

    华为云基于多年安全经验,以数据安全为核心,开发了一系列多维立体、纵深防御的软硬一体化的安全产品和服务。例如,态势感知SA威胁检测服务MTD等帮助您管理系统安全态势的产品;以及企业主机安全HSSWeb应用防火墙WAF等保护您云中负载和应用服务的产品。此外为了保护您的云上数据资产,华为云研发了非常多的数据安全产品,如数据安全中心DSC数据加密服务DEW数据湖治理中心DGC等。您可以在华为云产品页面的【安全与合规】分类下查看更多安全产品。


    通过这些安全产品和服务的加持,结合华为云自身的安全保障,您可以快速构建一个完整的云上安全体系。

  • 在运维运营阶段,华为云有哪些优秀实践或产品可以帮助我?

    在DevOps/DevSecOps云服务流程中,运维运营与研发同等重要。华为云对运维运营尤为重视,在运维安全、漏洞管理、安全事件管理和业务连续性与灾难恢复管理等方面均有诸多具体实践。以运维接入为例,华为云通过数据中心部署的VPN和堡垒机,实现运维管理平台的统一运维管理和审计,并根据具体场景设置了不同的安全管控措施。您可以通过《华为云安全白皮书》的“运维运营安全”章节获取更多信息。


    另一方面,华为云基于经验和实践开发了各种运维,并开设相关的赋能培训课程,帮助您实现运维安全和运维智能化。针对运维场景的产品推荐,您可以访问运维运营安全页面进行了解。

  • 如果我云上的业务要满足安全合规,我需要做什么?

    在云服务模式下,云服务提供商(CSP)和云客户基于责任共担模型进行安全合规云环境的构建。即华为云负责云服务自身的安全合规遵从,您和您的企业负责云服务内部的安全合规遵从。


    华为云关注内外部合规要求的变化,遵从华为云服务自身适用的法律法规,开展所服务行业的安全标准评估,并且向您分享华为云的合规实践,保持应有的透明度。


    作为云客户,对于您企业自行部署于华为云上、不属于华为云提供的各项应用和服务,您需负责遵从其适用的法律法规,并自行开展所服务行业的安全标准评估。


    关于华为云已通过的认证、遵从的法律法规以及合规实践指导,您可以访问合规中心以及安全合规相关资源了解更多。

助力您提升云上安全建设能力的资源/优秀实践

  • 华为云服务的安全特性

    为您介绍说明如何配置华为云服务以满足您的安全性目标

    为您介绍说明如何配置华为云服务以满足您的安全性目标

  • 上云安全建设实践

    为您提供安全上云建设方案,保护您在云上的工作负载、应用服务以及数据资产,协助您云上应用安全合规

    为您提供安全上云建设方案,保护您在云上的工作负载、应用服务以及数据资产,协助您云上应用安全合规

  • 华为云NIST CSF实践指南

    介绍华为云产品将如何助力您响应NIST CSF网络安全框架的要求

    介绍华为云产品将如何助力您响应NIST CSF网络安全框架的要求

  • 安全FAQ

    解答您在使用云服务过程中遇到的安全性问题

    解答您在使用云服务过程中遇到的安全性问题

  • 安全公告

    向您展示最新的安全事件、漏洞相关的资讯

    向您展示最新的安全事件、漏洞相关的资讯

  • 华为云安全白皮书

    介绍华为云在云服务安全建设中的丰富经验和实践

    介绍华为云在云服务安全建设中的丰富经验和实践

  • 华为云数据安全白皮书

    将华为云在数据安全领域的丰富实践和经验分享给您

    将华为云在数据安全领域的丰富实践和经验分享给您

  • 华为云网络安全和隐私保护FAQ

    解答您在使用云服务过程中遇到的网络安全和隐私保护的问题

    解答您在使用云服务过程中遇到的网络安全和隐私保护的问题

  • 华为云安全配置基线指南

    为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步

    为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步

漏洞反馈

华为云非常关注产品的安全性,对每一个报告的可疑漏洞或安全事件都会进行充分的调查和分析。


当您发现华为云服务网站及产品服务的任何安全漏洞,或者怀疑华为云服务资源正被用于可疑活动,请发送电子邮件至hwssecurity@huaweicloud.com报告事件。为了更高效的回复您的报告,请在邮件中提供必要的支持资料(漏洞复现条件、验证代码、从事可疑活动的资源IP、可疑行为日志等),这些资料对于帮助我们了解漏洞和可疑活动的严重性非常有帮助。华为云服务将跟踪回复每一个反馈报告。在您初次反馈后的 1个工作日内,您将收到一封我们的确认邮件。 


除了华为云的邮箱反馈渠道外,PSIRT(华为产品安全事件响应团队)在华为官网公开了漏洞收集邮箱psirt@huawei.com,鼓励全球漏洞协调组织、供应商、安全公司、组织、安全研究者和华为员工等提交华为产品或解决方案的漏洞。