腾讯云安全产品介绍第一章-云安全体系与标准_腾讯云私有化业务安全产品

安全责任共担模型

• 云安全基本原则
  • 安全防御SCE
    
  • 安全目标CIA :
    
• 安全责任共担模型
  • 云安全保障需要客户和云厂商共同承担相应责任，采取有效防御备份措施
    

云安全标准与技术

• 云安全指南
  • CSA4.0定义两大类13个领域，介绍战略和战术上云安全的痛点与措施。
    • 治理域(战略/策略)
      • 治理和企业风险管理
      • 法律问题:合同和电子举证
      • 合规性和审计管理
      • 信息治理
    • 运行域（战术/技术)
      • 管理平面和业务连续性
      • 基础设施安全
      • 虚拟化及容器(Container)技术
      • 事件响应、通告和补救
      • 应用安全
      • 数据安全和加密
      • 身份、授权和访问管理
      • 安全即服务
      • 相关技术
• 等级保护标准
  • 云等保2.0架构为两大部分（管理领域和技术领域)，重点考虑合规性。
    • 管理要求:
      • 安全管理机构和人员安全建设管理
      • 安全运维管理
      • 安全策略和管理制度
    • 技术要求
      • 物流和环境安全
      • 网络和通信安全
      • 设备和计算安全
      • 应用和数据安全
• 可信云服务认证
  • 可信云服务（TRUCS)认证是我国目前唯一针对云服务的权威认证体系。
  • 三大类16个指标覆盖云服务商承诺的服务的SLA中90%的问题。
  • 腾讯云多个业务通过可信云服务认证、首批通过可信云金牌运维专项评估。
    
• Gartner十大安全项目
  

1. Privileged Access Management，特权账户管理（ PAM )
2. CARTA-Inspired Vulnerability Management，符合CARTA方法论的弱点管理
3. Detection and Response，检测与响应
4. Cloud Security Posture Management，云安全配置管理( CSPM )
5. Cloud Access Security Broker，云访问安全代理( CASB )
6. Business Email Compromise，商业邮件失陷
7. Dark Data Discovery，暗数据发现
8. Security Incident Response，安全事件响应
9. Container Security，容器安全
10. Security Rating Services，安全评级服务

常见云安全威胁

• 病毒攻击：黑客通过在互联网上传播病毒等恶意代码，对计算机系统或者系统中的文件进行破坏，造成系统或文件无法正常使用。
• DDoS网络攻击：官网、支付接口、APP等业务面临风险，攻击对象主要是金融、电商、游戏平台各种在线实时业务体系
• 木马攻击WebShell：黑客通过漏洞入侵网站后放置动态脚，通过后门木马持续控制服务器，进行文件上传下载、执行命令等各种破坏.
• 渗透攻击数据拖取：黑客通过拖库、撞库、入侵的方式盗取数据，潜伏期很长，企业发现的时候数据已经大面积流失。
• APP漏洞：黑客利用APP开发者在逻辑设计上的缺陷或错误编写所产生的漏洞，能轻易的人植入恶意代码，窃取敏感信息和远程控制。
• 营销薅羊毛：“羊毛党”有选择性的参加线上的活动，以相对较低或者零成本获取物质上的优惠，严重破环了活动的目的、侵占了活动的资源。

腾讯云安全体系

网络安全
主机安全
数据安全
应用安全
业务安全
…