华为云数据安全白皮书文档版本3.0发布日期2025-03-05运营动运动华为云计算技术有限公司HUAWEI华为云数据安全白皮书版权所有©华为云计算技术有限公司2025。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明UAWE,和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为云计算技术有限公司地址：贵州省贵安新区黔中大道交兴功路华为云数据中心邮编：550029网址：https://www.huaweicloud.com/文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司华为云数据安全白皮书目录目录1概述62华为云数据安全架构3华为云数据保护治理体系3.1组织职责3.2人员管理…103.3制度流程…113.4度量监督114华为云数据安全解决方案全景135构筑安全底座，保障云上数据安全165.1密钥保护165.2静态数据安全185.2.1数据可靠性185.2.2数据隔离195.2.3存储加密205.2.4数据安全销毁5.2.5访问管控215.3传输中的数据安全.…215.3.1传输加密215.3.2传输稳定可靠225.4使用中的数据安全5.4.1机密计算235.4.2同态加密265.4.3多方计算266提供全栈安全服务，使能客户云上数据自主可控276.1数据驻留位置27文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司华为云数据安全白皮书6.2全生命周期可控6.2.1自主控制数据采集.276.2.2自主控制数据传输.286.2.3自主控制数据跨境.306.2.4自主控制数据存储6.2.5自主控制数据共享….356.2.6自主控制数据使用.……366.2.7自主控制数据销毁…7恪守数据中立原则，承诺云上数据处理透明可视437.1风险可视的数据安全运营平台437.1.1数据识别…447.12数据保护447.13数据侦测…457.2存储透明可视7.3客户服务响应457.4合作伙伴要求…477.5审计认证.…478责任和义务8.1客户上云数据说明8.2华为云责任488.3客户责任489安全资质和认证……4910数据安全展望.5110.1法规和标准的持续更新51102数据跨境流动与本地化服务.….5110.3技术创新与演进5210.3.1零信任架构5210.3.2可信数据空间5210.3.3数据安全与A1融合53文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司华为云数据安全白皮书10.3.4可信与隐私计算5310.3.5区块链技术10.3.6后量子密码5410.4数据安全体系化运营….5410.5数据安全生态合作与共赢运运动运动运营动运营动文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司5华为云数据安全白皮书1.概述1概述数据作为新型生产要素，是企业数智化转型的基础。随着企业数智化转型的加速，云计算服务的市场需求持续增长，一方面为企业带来了巨大的发展机遇，另一方面也伴随着诸多的挑战，尤其是在数据安全领域，敏感数据泄露、数据加密勒索、数据违规使用等安全风险成为企业上云过程中的主要顾虑。华为云作为负责任的云服务提供商，深知数据安全的重要性，并将其视为企业发展的核心要素之一。华为云建立了一套完善的数据安全治理体系，包括组织架构、政策制度、流程规范、技术工具及度量监督，为客户数据提供系统化安全保障能力。对内，华为云不断强化安全技术和管理措施，通过实施多层防护体系，实现数据端到端的安全合规。对外，华为云为客户提供全生命周期的安全服务及安全特性，同时通过获取独立第三方机构的数据保护认证，向业界阐述华为云数据安全实践上的高标准能力和持续有效性。同时，为了进一步消除客户数据上云的安全疑虑，华为云将持续坚持“数据中立”原则，持续落实“数据为客户所有、为客户所用”的主张，并持续贯彻“不以技术手段获取客户业务数据、不强迫客户与华为云进行数据交换、保证所有数据处理严格遵从法律法规要求”的理念，支撑客户使用数据驱动价值创造的同时构筑安全可控的云上数据安全防护能力。另外，为了更好地保护客户个人信息并帮助客户构建云上业务的隐私保护，持续有效地开展隐私保护管理工作，华为云也建立了完善的业务隐私保护管理体系，可以通过“信任中心”。“隐私”模块中的《华为云隐私保护白皮书》进一步了解。文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司华为云数据安全白皮书2.华为云数据安全架构2华为云数据安全架构数据价值立场及原则数据安全三大目标风险驱动基于零信任的安全防护理念华为云数据保护管理机制人员安全图2.1华为云数据安全架构华为云坚持“数据中立”原则，贯彻“客户内容数据为客户所有，为客户所用，为客户创造价值”的主张，以数据资产为核心，以合规、风险为驱动，基于“永不信任，始终验证”、“最小访问权限”和“持续监控与评估”的理念，围绕“稳定可靠”、“自主可控”、“透明可视”三大目标构建数据安全体系。华为云数据保护管理机制涵盖“安全组织”、“制度流程”、“人员安全”、“度量监控”四个方面，为系统有效地保护客户数据、支撑数据安全目标实现提供基础保障。华为云通过“稳定可靠”、“自主可控”、“透明可视”三大支柱保护客户云上数据资产。其中：·稳定可靠是指华为云构建了稳定可靠的云平台基础设施，基于静态数据、使用中数据、传输中的数据三大数据状态，为客户云上的内容数据安全提供基础的防护能力：●自主可控是指华为云提供了全栈的数据安全服务和安全特性，客户可以基于自身的数据安全需求，自主决定数据驻留位置，数据上云下云以及实现数据生命周期的安全管理：透明可视是指华为云通过一系列的数据处理透明可视能力，让客户可以进一步了解云上内容数据的处理操作，包括客户对远程客服支持的授权管理，以及客户对云上内容数据的操作等。文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司华为云数据安全白皮书3.华为云数据保护治理体系在复杂的云服务业务模式中，数据安全不再是单方面的责任，保障数据安全需要客户与华为云的共同努力。基于此，华为云参考业界常规做法，结合具体实践，也定义了华为云和客户的责任和义务，帮助客户理解双方数据保护的责任边界，避免出现数据保护的真空区。运动文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司华为云数据安全白皮书3.华为云数据保护治理体系3华为云数据保护治理体系3.1组织职责华为云构建了一套涵盖决策层、管理层、执行层、监督层、支撑层的数据安全管理责任体系，这是确保云端内容符合数据安全标准的关键架构。通过明确各层级的责任分工与协作机制不仅强化了内部安全管理流程，还促进了与用户的信任关系，确保了数据处理活动的透明度与合规性。各层级均需遵循严格的安全策略和操作规范，以预防数据泄露、保障用户隐私和维护系统完整性，从而为企业和个人用户提供坚实的数据安全保障。这一体系是组织中不可或缺的部分，它明确了各层级的责任和响应安全事件的流程，以及如何持续改进安全措施。企业决策组织决策团队管理组织监督组织数据安全管理团队安全稽查团队执行组织支撑组织XxX部XXX部XXX部XXX部XXX部XXX部XXX部图3.1华为云数据安全管理责任体系文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司华为云数据安全白皮书3.华为云数据保护治理体系·决策层：负责华为云数据安全的战略和重大事项的决策：管理层：数据安全管理负责人、数据安全管理组织负责数据安全日常管理工作，以及与外部监管组织的沟通与信任能力建设：·执行层：数据安全责任人负责本领域数据安全要求的落地及日常管理工作，并对本领域数据安全的结果负责：●监督层：通过任命独立的稽查团队，以查促建，验证各业务领域数据安全的落地效果，并督促各业务数据安全责任人对发现的问题进行跟踪闭环管理：●支撑层：数据安全运作的组织的统称，包括工具建设、人员能力建设、外部沟通支撑等。3.2人员管理华为云实施了一系列完善的人员安全管理机制，包括定期的安全培训、严格的访问控制以及明确的安全责任分配。这些措施不仅提升了内部人员及合作伙伴的安全素养，也确保了所有操作符合高标准的安全实践要求，从而有效防范内外部安全威胁，保障数据安全。营造人人懂安全氛围，提升全员安全能力各国法律要求客户要求网络安全对外声明BCG及网络安全政策对象网络安全能力提升重点岗位管理重点人群网络安全基础培训上岗背景审查意识较育普及在岗赋能培训全员普通员工宣传活动开展上岗资格管理上岗资格管理BCG及承诺书蓝署新员工安全能力任职资格牵引离岗（权限清理）政策落地流程支持效果评估与改进HR流程与T管理HR业务评估与改进图3.2华为云数据安全管理机制首先，华为云为员工和合作伙伴构建了完善的安全管理体系，包括员工入职到离职的全生命周期。通过持续提升相关人员的数据安全意识及安全能力，有效保障云平台的整体安全水平。所有员工在入职后都需要遵守员工行为管理细则，对于违反安全要求的员工，将根据安全违规问责机制进行处置。同时华为云会定期对全员开展安全意识和能力培训，不同岗位的员工还需接受其岗位相关的网络安全和隐私保护培训，以降低因不同岗位人员因安全意识和能力不足而引发的安全与隐私风险。其次，在客户使用华为云服务的过程中，部分服务可能需要由华为云与供应商共同为其提供。华为云在引入供应商之前会进行安全尽职调查，并通过合同约束供应商采取安全措施来保护客户数据。同时华为云制定外包供应商信息安全管理规定并将其作为合同的附加条款，并明确供应商违反此规定的处罚措施。文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司10华为云数据安全白皮书3.华为云数据保护治理体系3.3制度流程为了确保数据安全管理要求的有效落地，华为云从两方面将数据安全管理要求融入研发、运维、运营、供应链、市场与销售、工程交付及技术服务等各主业务流程中进行持续运作，以确保数据安全管理要求能够持续且有效地实施。这包括制定详尽的安全政策、操作指南和应急响应计划，并通过定期审核与更新，使安全管理机制与时俱进，适应不断变化的威胁环境，从而保障用户数据的安全与合规。制度层级策略文件一级：方针策路《数据安全合规工作指引》二级：管理规定《数据安全管理规定》、《数据安全业务合规管理规定》三级：流程指导《数据安全定级审核流程》、《数据跨境转移申请与审核流程》四级：标准规范《数据安全通用技术规范》、《云服务数据出境合规技术规范》五级：各类表单《数据安全风险评估自检清单》、《云服务数据安全合规加固清单》图3.3华为云数据安全管理制度首先，增加数据安全专属的流程，例如数据定级审核流程等。其次，将安全要求融入业务现有流程，避免数据安全要求在业务流程外运作，例如将数据安全要求融入研发运维流程等。另外，安全作为质量管理体系的基本要求，通过管理制度和技术规范来确保其有效实施。华为云通过内部审计和第三方独立机构的安全认证和审计等来监督和改进各项业务流程。3.4度量监督华为云设计了一套全面的安全度量监督机制，以确保数据安全管理的有效实施。这一机制涵盖了从日常监控到高级审计的所有层面，通过对关键性能指标(KPIs)的持续跟踪，能够及时发现并解决潜在的安全隐患。文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司11华为云数据安全白皮书3.华为云数据保护治理体系数据安全度量监督机制数据安全度量三层监督防线第三层验证：独立内审能力·内部审计：每年对数据安全进行例行化审计持续第二层验证：内部独立稽查与评估度量·安全办公室：每年例行对数据安全通从情况进行稽查第一层验证：业务自查自纠·各业务定期例行开展内部数据安全自查自纠，一般一年两次图3.4华为云数据安全度量监督机制华为云从度量、能力、效果三个维度制定相关指标，包括过程指标、运营指标和结果指标，以持续评估、监控数据安全控制措施的实施情况，并推动业务领域持续优化改进。此外，华为云还建立了数据安全三层监督防线：第一道防线是前线业务团队，由各业务领域数据安全专员，基于数据安全自检清单，定期组织业务例行开展自查自纠：·第二道防线，华为云独立安全团队稽查。安全稽查团队每年例行针对重点业务开展数据安全稽查，并负责对己识别问题的跟踪闭环：·第三道防线，华为集团独立审计团队，每年按需抽查重点业务或领域，开展数据安全相关的审计。这种多层次的监督机制不仅增强了华为云自身的安全防护能力，也为客户提供了更高水平的数据安全保障，确保了安全要求能够在实际操作中得到严格执行。文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司12华为云数据安全白皮书4.华为云数据安全解决方案全景4华为云数据安全解决方案全景华为云以数据资产为中心，围绕数据全生命周期，构建数据安全服务及安全特性，支撑客户实现数据安全的自主可控。原则提供能力子能力能力或产品存储服务可靠性保证数据可靠性服务可靠性保证虚拟计算资源隔离数据隔离●网络隔离服务隔离存储加密静态数据加密静态数据安全●数据逻辑销毁数据安全销毁数据物理销毁稳定可靠运维人员职责分离(SOD)基于角色的访问控制(RBAC)访问管控基于属性的访问控制(ABAC)多因素认证(MFA)及审计虚拟专有网络VPN传输加密应用层TLS及证书管理传输中数据安全传输稳定可靠专线服务机密计算擎天虚拟化平台使用中的数据安全同态加密同态加密技术文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司13华为云数据安全白皮书4.华为云数据安全解决方案全景原则提供能力子能力多方加密多方计算MPC数据驻留位置全球网络基础设施数据安全中心(DSC)服务云日志服务自主控制数据采集云审计服务云堡垒机服务7阶12步云迁移方法论消息通知服务分布式消息服务云数据迁移服务SSL证书服务自主控制数据迁移传输虚拟专有网络VPN云专线服务DC自主可控云连接服务CC全生命周期可控数据快递服务DES迁移中心MgC数据安全中心DSC数据加密服务DEW专属加密Dedicated HSM密钥管理KMS自主控制数据存储密钥对管理KPS凭据管理CSMS数据库动态加密存储DBSS对象存储服务OBS自主控制数据使用统一身份认证服务IAM文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司华为云数据安全白皮书4.华为云数据安全解决方案全景原则提供能力子能力能力或产品●应用信任中心ATC●云堡垒机服务CBH数据库安全服务DBSS可信智能计算服务TICS●API数据安全数字水印数据脱敏云数据迁移服务CDM自主控制数据销毁云审计服务CTS密钥管理KMS合同承诺个人数据主体权利请求客户服务响应云审计服务CTS●云日志服务LTS透明可视监管要求响应法律法规要求响应合作伙伴要求供应商管理机制审计认证●审计认证证书文档版本3.00(2025-03-05)权所有©华为云计算技术有限公司15