腾讯云数据安全白皮书.pdf

腾讯云 数据安全白皮书  2017 年 12 月                                                                                              腾讯云 数据安全 白皮书  1 【版权声明】   2016-2017 腾讯云  版权所有   本文档著作权归腾讯云单独所有，未经腾讯云事先书面许可，任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。   【商标声明】   及其它腾讯云服务相关的商标均为腾讯云计算（北京）有限责任公司及其关联公司所有。   本文档涉及的第三方主体 的商标，依法由权利人所有。                                                                                              腾讯云 数据安全 白皮书  2 【服务声明】   2017年 12月   本文档仅供参考。对于本文档中的信息，腾讯云不作明示、默示的 保证。本文档基于现状编写。在本文档中的信息和意见，包括网址和其它 互联网网站参考，均可能会改变，恕不另行通知。您将承担使用它的风险。   本文件未授予您任何腾讯产品的任何知识产权的法律权利。您可以复制和使用本文档内容作为您内部以参考为目的的使用。   这里所描述的一些例子只提供说明，是虚构的。不能基于此推断或预期任何事实上的关联或联系。                                                                                              腾讯云 数据安全 白皮书  3 腾讯云 ， 打造 云端数据安全新时代                                                                                               腾讯云 数据安全 白皮书  4 目录  概要  . 6 腾讯云数据安全观  . 7 数据保护承诺  . 7 数据保护六大原则  . 7 云端数据保护职责划分  . 10 客户的责任 . 11 腾讯云的责任  . 11 云平台数据安全保障  . 12 事前防范  . 12 事中保护  . 18 事后追溯  . 21 赋能客户  共建云端数据安全新时代  . 22 数据创建  . 23 数据存储  . 23 数据传输  . 25 数据访问  . 26 数据使用  . 28 数据销毁  . 29 结语  . 30 附录  . 32                                                                                             腾讯云 数据安全 白皮书  5 图表 目录  图表  1 腾讯云数据保护六大原则  . 7 图表  2 云端数据保护职责划分  . 10 图表  3 腾讯云数据安全模型  . 11 图表  4 客户访问云资源过程中的数据机密性保障  . 12 图表  5 腾讯云租户之间的数据机密性保障  . 14 图表  6 腾讯云全球基础设施  . 16 图表  7 腾讯云数据安全事中保护能力框架  . 18 图表  8 一站式数据安全解决方案  - 数盾  . 22 图表  9 KMS 加密案例示意图  . 24 图表  10“ 六把钥匙 ” 鉴权体系  . 26 图表  11 腾讯云多层次安全团队  . 30                                                                                             腾讯云 数据安全 白皮书  6 概要  随着云 技术 的 日趋成熟 ，越来越多的企业将业务部署到云环境上运行， 以获取更灵活的资源调配、扩展能力， 从而 更快速高效地部署业务，优化投资成本。 与此同时 ， 数据的 重要性 与日俱增 ， 因此 数据 安全 成为 客户 在 选用 云服务时的 重大 考量之一 。 但是 ， 将 数据托管于 云端 真的比传统的本地存储 更不安全吗？答案是否定的。 在 腾讯云， 客户 对其 托管于 云端 的 数据拥有 完全的控制权 ，腾讯云承诺绝不主动触碰客户数据。客户不但 可以 如同传统数据中心一样 对 数据 采取访问 控制、加密存储等数据保护措施 ， 而且 可以 充分 利用 腾讯云 提供的 多层次 全方位 的 数据 安全 保障 ， 为 云端 数据保驾护航 。  凭借 腾讯集团多年的安全经验和积累 ， 腾讯云 为 云平台 搭建了强大 的 纵深安全防御体系， 数据安全 一直 是其中 至关重要 的 一环 。腾讯云将 数据安全的 理念融入 每一个产品 的 需求 设计和 开发过程中，并 贯穿 产品 运营的每一个环节 。腾讯云的安全保护和控制流程，例如数据分类标准、访问控制策略、 IDC 机房安全控制等安全内控标准，均已经通过 CSA STAR、 ISO 27001 等多个权威第三方独立安全评估的验证。  秉承腾讯 “一切以用户价值为依归”的经营理念，腾讯云 在保障云平台安全的同时， 亦 通过 赋能客户 全力 协助 腾讯云 用户 保障其云端数据的安全 。为了 方便客户 更好 地保护云端的数据，腾讯云 提供了以 数据 为中心 的 一站式 数据安全解决方案 ，以帮助客户实现云端数据的机密 性、可用性和完整性 ，从而 保障 客户 业务 的 正常运作 。  为了 积极响应 2017 年 6 月 1 日全面 实施的 网络安全法 ， 腾讯云于2017 年 6 月 3 日 率先 宣布获得网络安全等级保护（云等保）重要资质，成为网络安全法正式实施后首家通过云等保四级测评的云服务商 。这 意味 着 腾讯云可以提供金融级的高质量安全服务，帮助用户满足新法规下的严格合规要求。 着眼 数据安全领域，腾讯云 始终以 金融级数据安全为 标杆 ，全力 打造 云端数据安全 的新时代  。                                                                                              腾讯云 数据安全 白皮书  7 腾讯云数据 安全观  数据 保护承诺  数据 是客户的 重要 资产 ，腾讯云承诺绝不主动触碰 客户数据。腾讯云 在 腾讯云 服务协议 中明确 声明 “未经客户授权，腾讯云公司不得访问客户存储在腾讯云中的内容。但是，腾讯云公司可以在事先获得客户授权的前提下，访问客户的存储内容，以便客户顺利使用腾讯云服务。” 在此 数据保护承诺的基础上， 腾讯云将数据安全的理念融入产品生命周期的各个环节， 并指引 腾讯云一路 打造客户 值得 信赖的云服务。  数据 保护六大原则  为了更好地践行腾讯云的数据保护承诺，腾讯云在 数据保护的过程中谨遵“同等保护原则”、 “数据私 密原则”、“质量保障原则”、  “最小授权原则”、 “公开透明原则” 、 “ 安全 审计原则 ” 六大 原则 ， 并将这 六大 原则贯穿 于 腾讯云 数据安全 实践 的每一个环节 。  图表  1 腾讯云数据 保护六大原则                                                                                              腾讯云 数据安全 白皮书  8 同等保护原则  腾讯云在 对 云端 数据 进行保护 时 ，因为并不知道客户在云端存储了什么类型的数据，所以对云端所有的客户数据，无论是企业用户还是个人用户的，都会采取相同的且最高级别的安全控制措施，以最大限度地保障每一位客户的数据安全。  公开透明原则  腾讯云秉承公开 透明的原则，承诺客户有权利了解数据存储的位置以及使用程度等信息， 包括但不限于：   数据存储在哪些数据中心，数据存储所在数据中心的地理位置；   数据有几份拷贝，是否有冷备份，备份的数据存储的数据中心位置；   数据位置是否可选，如果可选，可选的方式；   告知客户数据中心所在地 的 数据安全 相关法律；   客户数据的使用人和使用的数据类型。  数据私密原则  客户数据在腾讯云内部属于最高安全级别的数据。 在 腾讯云， 客户数据的控制权完全归客户所 持有 。腾讯云 承诺 ，除非 以下情况 ，腾讯云内部 员工绝不 会 主动触碰任何 客户数据：   因 提供服务或 排错 的需要，并经过客户明确授权；   国家 或地方政府部门关于犯罪事件的调查等符合国家法律法规的情况。  与此同时， 腾讯云承诺通过有效的隔离手段，保证同一资源池内客户数据互不可见，从技术上保证租户不能访问、获取或篡改其他租户的数据。                                                                                              腾讯云 数据安全 白皮书  9 质量保障原则  腾讯云为客户所购买的云服务 制定了详细的服务等级指标，并向客户承诺通过各种安全控制措施和技术保障手段提供高可用性和高持久性的数据服务。腾讯云在服务等级协议 （ SLA） 中 明确了服务 可用性和持久性 等 指标 。如果腾讯云未能满足服务等级协议中约定的服务保障，则腾讯云会按照该服务等级协议向客户承担补偿责任。如果客户对可用性的要求高于 SLA，客户可主动对自身系统进行高可用性的设置，腾讯云公司将给与必要的协助。  最小授权原则  腾讯云遵循权限最小化原则， 只 在客户授权范围内 赋予内部员工为提供相应云服务 所必需的最小的操作权限，非授权范围内的数据活动必须进行严格的授权审批。腾讯云从内部管理制度和自动化、工具化的运维管理平台层面双管齐下，杜绝客户数据非授权访问情况的发生。   安全 审计原则  腾讯云 对 数据活动中的任何 操作 都进行 相应 的记录 并且对 日志 信息 采取 严格 的保护措施 ， 确保 所有的 数据操作 可以 被 追溯和审查 。在安全 审计方面，腾讯云 凭借在大数据分析 和人工智能领域的 先进技术 ， 开发 了自动化审计工具 ，用于发现明显异常操作并及时响应。 同时 ，由安全专家组成的审计团队根据定制化的云安全控制活动项和实践经验亦会 定期进行数据安全审计。                                                                                              腾讯云 数据安全 白皮书  10 云端 数据保护 职责划分  云服务依托 虚拟化技术， 以资源共享的形式为客户提供其所需的网络、存储和计算能力等各种资源， 从而 帮 客户节省 巨额 的运营 成本。正是基于云服务 架构的特殊性 ，如何厘定 云服务 提供商 和云服务客户之间的 安全 职责界限 是云安全的重要基础。腾讯云 在 腾讯云 安全白皮书 中 详细 介绍 了腾讯云 信息 安全责任共担模型 。就 数据安全而言， 客户 对其托管于云端的数据拥有完全的控制权，并负责 自身云端业务数据的安全管理，包括收集与识别、分类与分级、权限与加密等。因为腾讯云不知道客户 在云中存储了何种数据， 腾讯云在 保障底层云平台安全的同时， 通过提供全方位多样化 的 数据安全功能、工具和控制 赋能 客户 ，携手 客户一起为云端数据构建更好更完善的安全保障体系。  图表  2 云端 数据 保护职责 划分                                                                                              腾讯云 数据安全 白皮书  11 客户 的 责任  正因为 数据 是 客户的重要资产， 在云中存储哪些数据，是否 对数据进行加密 ，谁可以访问特定 数据 以及需要哪些凭证，是否 需要 按照 业务需求进行数据备份 ， 这些数据安全相关的控制 措施的决定权均在客户手中。客户 可以 自行 配置腾讯云提供的 数据 加密手段 、访问 管理 功能 、 用户 验证机制 、数据备份与恢复工具 等， 以确保其 对 云端 数据的 保护满足业务和合规的要求。  腾讯云 的责任  腾讯云负责云平台的安全，并 协助客户保障 其 云端数据的安全 。 为了 更好地 保护 客户 托管于 云端的 数据 资产 ， 腾讯云从 平台层和赋能层 两个 层面 为云服务客户 提供双重 保障 。 平台层提供 的保障 全面覆盖数据安全事前防范、事中保护和事后追溯三个阶段，而赋能 层 则 围绕数据 全 生命周期给出一站式的解决方案供客户选用， 以帮助 客户最大程度 地降低在流程 、 技术以及合规方面 的数据安全风险。 腾讯云凭借腾讯 在数据保护领域多年的经验，倾心 打造了 智能化 一站式的数据安全解决方案   数盾 ，赋能客户为数据全生命周期保驾护航 。 在此双重 保障的基础上 ， 腾讯云 亦 满足 多方 行业 合规要求 并 符合云计算 领域的 多项 安全 认证 ， 从严苛 的 第三方监管 的 角度 保障 了 客户数据 的 安全。  图表  3 腾讯云数据 安全 模型                                                                                              腾讯云 数据安全 白皮书  12 云平台 数据安全保障  毋庸置疑 ， 云端数据的安全离不开一个安全 可靠 的云平台环境 。 围绕以高速（ speed）、稳定（ stability）、安全（ security）为竞争核心的 3S 品牌理念， 腾讯云 一直致力于 按照 服务等级协议的 约定条款为客户提供安全、稳定、持续、可靠的网络、存储和计算能力等各种资源及 安全保障 ，并持续提升云平台 的 安全服务能力。 为了给 数据 安全 提供 充分的保障 ，腾讯云紧紧 围绕 事前防范、事中保护和事后追溯三个阶段，努力 为 客户数据打造一个安全可靠的底层平台。  事前防范  数据保护 必须防患于未然 ， 因此事前防范 是 数据保护中最为 关键 的一环 。腾讯云 内部建立了 完善 的 数据分类分级标准，所有数据在创建时均 按照该标准 进行统一 的分类分级 。 客户数据在腾讯云 内部属于“绝密 数据 ”，即最 高安全级别的 数据。 出于 对客户数据的 高度 重视， 腾讯云 在 人员、流程、技术上层层把关 做好 事前防范工作，从源头上 确保 客户数据的机密性、可用性和 完整性 。  数据 机密性  客户可以 通过控制台 和云 API 两种方式轻松访问 及 管理其 购买的腾讯云 产品和 服务 ， 例如上传一个新的 文件 到云端对象存储 ， 或者创建一个 云 数据库实例。  图表  4 客户访问云资源 过程 中的数据机密性保障  当客户 通过 自己 的浏览器访问腾讯云控制台时 ， 所有 通过 互联网的 信息 传输均 经过 HTTPS 加密通道， 采用 SSL/TLS 协议防止数据在传送过程中被窃                                                                                            腾讯云 数据安全 白皮书  13 取、篡改，杜绝网络运营商的流 量劫持、网页植入广告现象，同时有效抵挡中间人的攻击，大大提升数据 的机密 性。  与此同时 ， 为了方便 客户更加快速、高效、灵活地在 云平台 进行操作， 腾讯云亦 提供了云 API 供客户 选用 。 除了 使用云 API 直接 请求，客户 也可 通过 SDK 或 命令行工具调用云 API，以 接口的形式访问并管理其腾讯云 账户内 的 各类资源。 类似地 ， 客户 通过 云 API 与 腾讯云之间的通信均支持HTTPS 数据加密传输协议。  对于 腾讯 云 内部的员工， 除非客户 所选取的服务需要处理客户的数据 ，腾讯云员工不会尝试访问任何客户数据。当 腾讯 云 员工 有需要访问客户数据时 ， 因为 腾讯云 的 内部 办公网络和 客户 数据所在的生产 环境 完全隔离， 腾讯云 的运维 员工必须 经过 堡垒机 方可访问 客户 数据所在的 生产环境， 且所有运维账号均配备双因素认证机制。 在 授予权限时，腾讯云 通过 细颗粒度的权限划分 确保只授予员工 提供 相应 服务所需要的最小权限 ， 所有额外权限的申请均需要 经过 多级的评审 和 批准。 通过严格的内部管理制度配合自动化、工具化的运维管理平台，任何 腾讯云内部人员在未获得客户的同意与 授权时均无法触碰客户的云端业务数据。此外，腾讯云 凭借其 多年 的 运维 管理经验， 搭建 了 严格的权限职责分离矩阵， 以 避免冲突 的 权限 被划分给同一 员工 。  当然 ， 使用云服务与传统的第三方托管服务一项显著的区别在于云服务是基于资源池的， 不同的云 服务 客户共享资源池 内 资源 。 因此 ，云 租户之间的数据机密性保障 也尤为重要。 腾讯云谨遵“数据 私密 ” 的原则， 通过多层次 的 技术隔离手段，保证同一资源池内客户数据互不可见，从技术上保证租户不能访问、获取或篡改其他租户的数据。                                                                                              腾讯云 数据安全 白皮书  14 图表  5 腾讯云 租户之间的数据机密性保障  虚拟层 数据私密保障 ：腾讯云应用 成熟的 硬件 虚拟化技术 在虚拟 层 为云服务器等资源提供完整的租户间虚拟资源隔离能力，不同用户的网络、内存、磁盘等资源均通过底层逻辑访问控制杜绝了互通互访的可能性，确保每位用户只能访问其已购买的云计算资源，有效实现多用户之间的数据隔离。  私有网络 数据私密保障 ：私有网络 VPC（ Virtual Private Cloud）是在腾讯云上建立的一块基于 GRE 封装的逻辑隔离网络。客户 可以在 VPC 内 自定义网段划分、 IP 地址和路由策略等，并通过网络 ACL 和安全组分别从子网和主机维度筛选流量，可精确到端口和协议维度，通过完全 的网络隔离确保不同客户之间的数据 隔离。  云数据库 数据私密保障 ：在客户 使用云数据库时， 腾讯云通过配置防火墙策略，采用白名单过滤机制对网络层 进行了 隔离。此外， 腾讯云 通过对数据库实例的权限控制机制来保证每个 用户只能 获取他对应的数据，而无法看到 其他用户的数据。为了进一步 满足 资源独享、物理安全、行业监管等更高 的 需求， 腾讯云还提供 独享集群数据库，可以让客户独享物理集群资源，并灵活创建多种自定义规格的云数据库。  对象存储 数据私密保障 ：对象存储服务通过 bucket 的方式来组织对象数据。 Bucket 中的对象的创建、操作请求，都需要用 bucket 所属用户的密钥计算得到一个签名，通过签名来校验请求的合法性和 完整性 。此外， 用                                                                                            腾讯云 数据安全 白皮书  15 户可以自行将 bucket 中的对象数据的访问读取权限设置 成 公有读或私有读。被 设置为 私有读对象的访问，亦需要签名校验。  为了帮助诸如金融行业的客户满足数据安全方面的特殊要求，腾讯云同样提供多种私有云或混合云的解决方案，客户可 以购买独享宿主机资源的云产 品或直接购买基于云环境的物理服务器，进一步保障云端业务数据的机密性 。  作为 数据机密性保障的最后 环节 ，腾讯 云 提供安全 可靠 的数据销毁机制。所有数据 收集和处理的 过程中产生的内存临时数据，腾讯云均会不可撤销地将其自动清除。当客户主动从腾讯云中将数据删除时，该部分数据会呈现为无法读取状态。腾讯云在进行资源再分配之前会遵循标准策略及合同要求及时进行严格的逻辑擦除或物理擦除，从而保证客户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间被及时释放或再分配给其他用户前得到完全清除。  当客户不再使用腾讯云服务时，根据腾讯云与客户达成的服务协议，如腾讯云服务到期或终止，对于客户因使用腾讯云服务而存储在腾讯云公司服务器中的数据等任何信息，腾讯云公司将为客户保留 15 天（简称“保留期限”）， 客户需在 保留期限届满前完成全部数据的迁移。保留期限届满后，腾讯云服务系统将自动删除包括 副本和备份在内的 所有客户数据，删除后的所有数据无法复原。  当用于 提供腾讯云服务的 介质 出现故障需要更换或者 到达使用期限需要报废 时 ，腾讯云将及时清除剩余信息，并交由 消磁中心 按照行业标准做法对存储介质进行消磁，密封 存放两年之后再 进行彻底 的 物理销毁。  数据 可用性  对于客户 存储于云端的数据， 腾讯云采用数据实时热备、冗余存储、异地备份等方式来保障客户存储于云中的业务数据安全可靠，持续可用。腾讯云承诺所有云产品的业务可用性不低于 99.95%。                                                                                              腾讯云 数据安全 白皮书  16 目前腾讯云在全球 21 个地理区域内运营着 36 个可用区，且计划陆续上线更多地域和可用区，为更多企业和创业者提供集云计算、云数据、云运营于一体的全球云端服务体验。  地域是指一个独立的地理区域，腾讯云不同地域之间完全隔离，保证不同地域间最大程度的稳定性和容错性。为了便于 就近读取 数据 ，同时 满足数据限制出境方面 的合规要求，客户在购买腾讯云产品时，可以通过 控制台轻松指定 其 所希望的数据存储的国家或地区。未经 客户授权， 腾讯云绝不会将数据转移出客户所选择的国家或地区。在 全球化扩张的进程中， 腾讯云谨遵 “ 合规性和 云服务发展并重 ” 的理念 ，严格遵循 全球 各地 数据保护相关的法律 法规 ， 帮助客户 构建和运行安全合规的云生态环境。  图表  6 腾讯云 全球基础设施  为了 保证 数据 的高可用性，腾讯云 将每个地域再 分隔成 多个相互隔离的 可用区 。可用区是指腾讯云 在同一地域内电力和网络互相独立的物理数据中心，同一地域下的可用区通过低时延的内网链路相连。多可用区 的设计 能够有效降低 单点故障的影响， 保证可用区间故障相互隔离，进而为 客户的业务连续性提供保障 。  除了 多地域多可用区的设计， 腾讯云 还 具备 极好的业务连续性管理能力。腾讯云 在 2016 年 3 月 获得了 ISO 22301 国际 认证，成为国内首批通过 ISO                                                                                             腾讯云 数据安全 白皮书  17 22301 认证 的云服务 商 。 腾讯云 根据 自身的运作特点，充分考虑云 计算 环境下体系实施的复杂性，设计和推行适合于腾讯云的 业务连续性管理 框架 ，大大提高了腾讯云 的体系实施和管理水平，完善了适合于互联网运作模式的业务联系性管理流程 制度 和预案。  此外 ， 腾讯云 向不同 垂直 行业的客户提供优质的行业解决方案。 腾讯云非常重视金融行业客户在 数据备份与恢复方面的 合规 要求， 腾讯 金融云 同时具备 两地 三中心、同城双活、 异地 备份 等数据 备份 与 恢复的能力。 金融云所 采用的 分布式金融级数据库，兼容 MySQL，且针对金融类业务设计，具有数据强一致、异地自动同步、万级 QPS 高性能、自动扩容、灵活智能恢复等优势。网络层面 ， 金融云 采用 BGP 多线网络，可以 实现 秒级切换，确保快速 的故障恢复能力。  数据 完整性  腾讯云 在服务等级协议中对 数据存储的持久性， 即 合同期内数据保存不丢的概率， 进行了明确的定义。 以对象存储为例，腾讯云承诺对象存储服务的持久性高达 99.999999999%，远高于行业水平。  腾讯云 在存储数据 时 采用 多副本 冗余存储 和纠删码 技术 ， 在检测到完整性错误时 立即 采取必要的恢复措施， 大大 提高了数据 的 容错能力。 同时，腾