产品介绍
服务概述
在云上业务场景,法规监管趋严、数据泄露增长、安全专业性迫使企业借助专业能力保障数据安全,而同时云上的安全能力越来越复杂,企业用户难以正确地使用资源配置安全策略。
因此,华为云推出存储安全优化与提升服务,评估客户的存储业务现状,提供识别和处置数据安全风险的关键能力,帮忙客户节约应审成本,同时避免数据泄漏可能导致的停业、刑事处罚、经济和声誉损失风险。
服务内容
- 存储安全诊断服务
服务规格
服务内容
适用场景
存储安全诊断基础包
对客户的云存储业务内容展开评估,从静态数据资产和动态访问行为两个维度对客户的云存储业务进行调研及总结,并以报告的形式传递给客户。
对客户的云存储业务系统展开评估,围绕客户的业务数据调研,结合数据安全能力成熟度模型(Data Security Capability Maturity Mode,简称DSMM),对客户存储业务系统的访问控制策略、传输安全、存储安全、合规处理等维度开展评估,分析和评估客户的云上业务数据安全能力,识别客户的潜在数据安全风险,并以报告的形式传递给客户。
面向具有复杂的业务数据使用场景的中大型企业,帮助客户评估安全能力成熟度,识别潜在风险,应对相关安全审查。
存储安全诊断增量包
- 存储安全优化设计服务
服务规格
服务内容
适用场景
存储安全规划设计基础包
针对客户的复杂业务场景,给出存储安全方案,包括账号划分、权限策略配置、数据加密、数据合规处理、数据留存、数据删除、备份、容灾、防勒索等。
针对安全诊断服务中已识别出的数据安全风险,设计优化提升方案。
面向具有复杂的业务数据使用场景,且已购买存储安全诊断包的客户,帮助客户针对已识别风险进行设计优化、配置推荐。
存储安全规划设计增量包
存储安全技术支持包
根据存储安全规划设计提供的方案,指导客户完成复杂的策略配置,落地存储数据传输/存储/删除等最佳安全实践。
面向具有复杂的业务数据使用场景,且已购买存储安全诊断包、存储安全规划设计包的客户,协助客户团队实现方案落地。
前提条件
- 客户已上云,且正在使用存储相关产品。
- 客户配合意愿度高,负责人牵头,愿意投入人力配合调研分析与规划。
- 为客户提供数据安全诊断报告前,需获得客户访问行为数据查看授权才能履行服务内容。
- 双方达成一致的业务保障目标,客户完成服务付款。
服务范围
- 服务覆盖范围
- 存储安全诊断:对客户的云存储业务内容展开评估,从静态数据资产和动态访问行为两个维度对客户的云存储业务进行调研及总结,以报告的形式传递给客户;对客户的云存储业务系统展开评估,围绕客户的业务数据调研,结合数据安全能力成熟度模型(Data Security Capability Maturity Mode,简称DSMM),对客户存储业务系统的访问控制策略、传输安全、存储安全、合规处理等维度开展评估,分析和评估客户的云上业务数据安全能力,识别客户的潜在数据安全风险,并以报告的形式传递给客户。
- 存储安全规划设计:针对客户的复杂业务场景,给出存储安全方案,包括账号划分、权限策略配置、数据加密、数据合规处理、数据留存、数据删除、备份、容灾、防勒索等;针对已诊断识别的数据安全风险,设计优化提升方案。
- 存储安全技术支持:基于存储安全规划设计服务给出的存储安全优化提升方案,指导客户团队落地。
- 服务不覆盖范围
- 服务区域
服务流程
- 存储安全诊断服务
服务阶段
里程碑说明
需求调研
明确服务目标:调研当前客户的存储服务使用现状与基本诉求,对齐客户数据安全建设目标及范围、相关数据查看范围授权,访谈客户并与客户在服务目标上达成一致。
制定服务方案:与客户对齐详细的服务方案,包括服务内容、流程、时间表、费用等方面的细节,确保服务方案能够满足客户的需求并具有可行性。
诊断评估
评估静态数据资产:对客户的云存储中的数据资产进行分析和评估,包括存储的数据类型、存量分布、加密存储占比等。
评估动态访问行为:分析客户在云存储中的数据访问模式和行为,包括访问频率、访问IP归属地、访问高峰低谷等。
评估云存储业务系统安全性:调研客户的云存储相关特性开启情况,结合DSMM及上文总结的客户业务动静态模型,对客户存储业务系统的访问控制策略、传输安全、存储安全、合规处理等维度开展评估,识别潜在安全风险。
评估安全风险等级:对已识别的风险源,从风险危害程度和风险发生可能性两个角度进行评估,给出数据安全风险等级及粗略应对措施。
输出报告:将以上三项内容以报告的形式展示。
服务验收
方案验收,移交相关交付文档。向客户传递数据安全诊断报告,并提供报告解读。
- 存储安全优化设计服务
服务阶段
里程碑说明
需求调研
明确服务目标:对齐客户数据安全建设目标、项目预算及设计应用范围,访谈客户并与客户达成一致。
制定服务方案:与客户对齐详细的服务方案,包括服务内容、流程、时间表、费用等方面的细节,确保服务方案能够满足客户的需求并具有可行性。
方案设计
评估客户云上云下业务环境:在安全诊断报告的基础上,对客户的云下基础设施建设程度、人员组织规模进行调研,为提供合适的安全设计提供支撑。
制定安全规划设计方案:根据客户的需求和现有环境资源,结合行业标准及华为云的最佳实践,制定详细的安全规划设计方案。包括安全目标、策略和措施,安全相关特性的选择及具体配置指南。确保规划设计符合客户的业务需求,并能够有效地提升其云存储业务的安全能力。
沟通和确认:与客户沟通设计方案,解释方案的重点和关键内容。确保客户理解并认可规划设计方案,如果有必要,进行适当的调整和修改,直至达成共识。
服务验收
方案验收,移交相关交付文档。指导客户团队进行安全方案落地。
服务交付件
- 存储安全诊断服务
服务规格
交付件
验收报告
存储安全诊断基础包
《华为云存储数据安全诊断报告》
《xx项目存储安全优化与提升服务验收报告》
存储安全诊断增量包
- 存储安全优化设计服务
服务规格
交付件
验收报告
存储安全规划设计基础包
《华为云存储数据安全规划设计建议书》
《xx项目存储安全优化与提升服务验收报告》
存储安全规划设计增量包
存储安全技术支持包
无
无
责任矩阵
- 共同责任
- 双方商定并确认具体的业务需求及目标。
- 双方商定并确认项目管理计划。
- 双方商定并确认方案内容并评审。
- 完成合同签订。
- 华为责任
- 接收客户的需求申请,协调专家远程或者现场进行相关服务的实施与护航。
- 服务前,根据客户所选服务项,制定服务计划和报价清单供客户审核确认。
- 服务期间,依确认后的服务计划进行实施,编写交付件。
- 服务结束后,根据所选服务项,出具交付件清单。
- 华为云需明确此次项目的负责人,因特殊情况导致华为人员变更,需要提前3个工作日知会客户,至项目最终验收完成。
- 华为云得到客户授权后,授权数据仅限用于本次服务中涉及的服务内容,不得超出限定范围。
- 客户责任
- 客户指派一位项目负责人协助华为云实施服务。此负责人应负责双方之间的协调及管理,负责审核、验收华为云提供的服务。
- 客户必须配合进行需求调研,提供准确的业务需求、提供业务系统相关的信息(包括但不限于应用架构、部署架构、资源数量和性能)。
- 客户应提供必要的授权,授权华为云对客户的业务数据进行读取分析以展开服务。
- 责任分工矩阵表
- R=责任方/Responsibility
- S=协助方/Support
表1 存储安全诊断服务 序号
服务流程
工作内容
华为
客户
1
需求调研
明确服务目标、所需数据授权
R
R
2
制定服务方案
R
S
3
诊断评估
静态数据资产评估
R
S
4
动态访问行为评估
R
S
5
云存储业务系统安全性评估
R
S
6
安全风险等级评估
R
S
7
报告输出及评审
R
R
8
服务验收
方案验收
S
R
9
向客户传递数据安全诊断报告,提供报告解读
R
S
表2 存储安全优化设计服务 序号
服务流程
工作内容
华为
客户
1
需求调研
明确服务目标
R
R
2
制定服务方案
R
S
3
方案设计
评估客户云上云下业务环境
R
S
4
制定安全规划设计方案
R
S
5
沟通和确认
R
R
6
服务验收
方案验收,移交相关交付文档
S
R
7
指导客户团队进行安全方案落地
R
S