2018、华为云的安全合规之年

　　日后如果总结2018年的华为云，“安全合规”肯定会被提及，并被浓墨重彩地载入华为云的发展史：这一年，华为云通过各类权威安全合规认证超过十个，平均一个月拿下一个。

　　如此压强式的安全投入，相当于一年干了别人三到五年的工作，“上不碰应用，下不碰数据”的承诺，从不只是口号，更不是公关噱头，而是有着切实强大的落地措施。

　　为什么用户和云厂商越来越重视安全合规认证？为什么云厂商要花大力气、大资源来通过它？有两方面的原因。

　　首先，从用户需求来看，每个用户都希望所使用的云平台、云服务有足够的安全性，能够保障自己云上的数据不被破坏、窃取。安全合规认证，就是加强云平台安全的一种重要途径。打个比方来说：

　　每个人上高速都需要懂得各种交通规则制度，取得驾驶证，上路才安全。云厂商运营云业务也一样的。各类安全合规制度，从不同的角度，包括人员管理上、资源上、技术上、流程上等等，对云平台进行评价，符合了这些权威的要求和规范，才可以认为这朵云是比较安全的。

　　不符合呢？那就要整改，直到符合为止。通过了这些安全合规制度的测试和要求，权威机构就会给云厂商颁发各类“认证”，相当于云厂商在云上的驾驶证

　　安全合规不能保证云平台和云服务绝对安全，就像有了驾照不一定就不出交通事故一样，但合规认证是安全的基础，很难想象一个人不懂交规、没有驾照，却在高速公路上横冲直撞会带来什么后果。

　　其次，随着《网络安全法》等安全法律法规的颁布，保障IT系统的安全合规性，已经成为企业的法律义务。公安部门会不定期对各组织进行检查，不满足《网络安全法》要求的企业，将受到通报和严厉处罚，比如对不定期进行等保备案的企业进行通报等。

　　可见，合规认证是保障云平台安全的基础，是提升云平台安全性的重要途径。不仅从用户需求上，也从国家法律上，切切实实做好安全合规认证，是每个云厂商都必须持续投入的工作。

　　安全合规认证都哪些类别？

　　满足通用安全标准，相当于一个普适的安全要求，所有行业都可以通过它来提升平台的安全性，如华为云持有的云安全CSA STAR金牌认证、ISO27001。有的认证是强制的，比如今年华为云通过的公安部安全等保四级等。

　　满足所在特定区域的安全要求，如华为云已在德国获得的Trusted Cloud、IT- Grundschutz认证等。

　　即针对特定行业，进行更强的安全认证，满足这部分行业客户的安全要求，如华为云此次通过的PCI-DSS认证，可提升金融、支付业务的安全性；工信部可信云认证，用以提升服务安全性等。

　　精彩回顾：《华为云首家通过BSIMM，安全能力进入全球前三》

　　精彩回顾：《华为云中国唯一全平台全节点全服务通过PCI-DSS安全认证》

　　精彩回顾：《华为云高分通过公安部安全等保4级》

　　精彩回顾：《国内首家 | 华为云全类服务全平台全节点通过ISO27018认证》

　　精彩回顾：《+AI时代，华为云持续创新加速人工智能行业落地》

　　精彩回顾：《华为云政务平台通过中央网信办网络安全审查》

　　精彩回顾：《安全水平全球领先 华为云获颁卓越绩效大奖》

　　精彩回顾：《安全水平世界领先，华为云通过全球权威数据安全审计》

　　精彩回顾：《三天下两城，华为云通过ISO20000全球权威认证》

　　早在2015年，华为云便提出了着名的“上不碰应用，下不碰数据”，2017年又增加了“不做股权投资”的承诺，表明了华为云绝不碰用户数据，把数据主权完全交给用户的决心，并增强对安全的投入，从技术上落地之。目前，“三不”承诺正遍地开花，获得用户高度认可，各大云厂商也纷纷跟进，成为行业实施标准。

　　总结与反思往往成为年终的你我首先会做的事情：这一年做了什么？得到了什么？哪些本可以做得更好？来年怎么做？

　　华为云安全——华为云的网络安全保卫组织，也在思考着同样的问题，但不变的是那扞卫用户数据安全的决心。