腾讯云：基于PCI DSS的云用户数据安全合规白皮书

＜请插入封面＞Trend MicroDeep Security 7提供动态数据中心服务器及应用程序最深度的保护虚线左边企业为了与合作伙伴、员工、供货商或客户有更实时的连结，有越来越多的在线数据中心，而这些应用正面临着日益增加的网络攻击。

与传统的威胁相比，这些针对目标性攻击的威胁数量更多也更复杂，所以对于数据安全的遵循就变得更加严格。

而您的公司则更坚固的安全防护，让您的虚拟和实体数据中心，以及云端运端不会因资安威胁而造成效能的降低。

趋势科技提供有效率、简化、整合的产品和服务以及完整的解决方案。

卓越的防护技术，能有效保护敏感的机密数据，并且将风险降至最低。

趋势科技Deep Security是一套能广泛保护服务器和应用程序的软件，能使企业实体、虚拟及云端运算的环境，拥有自我防范（self-defending）的能力。

无论是以软件、虚拟机器或是混合式的方法导入，Deep Security 可以大幅减少虚拟环境的系统开销、简化管理及加强虚拟机器的透明安全性。

除此之外，还可协助企业遵循广泛的规范需求，包括六个主要的PCI 遵从如网络应用层防火墙、IDS/IPS、档案完整监控及网络分割。

架构•Deep Security Virtual Appliance与Deep Security Agent相互协调合作，有效且透明化地的在VMware vSphere 虚拟机器上执行IDS/IPS、网络应用程序保护、应用程序控管及防火墙保护等安全政策，并提供完整性的监控及审查日志。

•Deep Security Agent是一个非常轻小的代理软件组件，部署于服务器及被保护的虚拟机器上，能有效协助执行数据中心的安全政策(IDS/IPS、网络应用程序保护、应用程序控管、防火墙、完整性监控及审查日志)。

•Deep Security Manager功能强大的、集中式管理，是为了使管理员能够创建安全设定档与将它们应用于服务器、显示器警报和威胁采取的预防措施、分布服务器，安全更新和生成报告。

云计算安全责任共担白皮书云计算作为新型基础设施建设的重要组成，关键作用日益凸显，市场规模呈现持续增长趋势。

同时，云计算安全态势日益严峻，安全性成为影响云计算充分发挥其作用的核心要素。

与传统IT系统架构不同，上云后安全迎来责任共担新时代，建立云计算安全责任共担模型，明确划分云计算相关方的责任成为关键。

白皮书首先介绍了云计算在市场发展、安全等方面的现状及趋势，分析安全责任承担在云计算安全发展中的必要性，以及安全责任共担模式的应用现状与痛点。

重点围绕公有云场景，白皮书建立了更加精细落地、普遍适用的云计算安全责任共担模型，确定责任主体，识别安全责任，对责任主体应承担的责任进行划分，以提升云计算相关方责任共担意识与承担水平。

最后，白皮书对云计算安全责任共担未来发展进行了展望，并分享了责任承担优秀案例。

一、云计算安全责任共担成共识 (1)（一）云计算作为新型基础设施，安全性成关键 (1)（二）安全责任共担，保障云计算全方位安全 (4)（三）云计算安全责任共担应用与发展有痛点 (10)二、云计算安全责任共担模型框架 (12)（一）模型应用场景 (13)（二）云计算安全责任主体 (14)（三）云计算安全责任分类 (14)三、云计算安全责任识别与划分 (16)（一）云计算安全责任识别 (16)（二）云计算安全责任划分 (20)四、云计算安全责任共担未来发展趋势展望 (28)附录1：公有云安全责任承担优秀案例 (30)（一）阿里云 (30)（二）华为云 (38)（三）腾讯云 (46)附录2：政务云安全责任承担优秀案例 (56)（一）浪潮云 (56)图1 中国云计算市场规模及增速 (2)图2 全球云服务安全市场规模 (3)图3 中国云服务安全市场规模 (4)图4 云计算威胁渗透示意图 (5)图5 AWS基础设施服务责任共担模型 (7)图6 AWS容器服务责任共担模型 (7)图7 AWS抽象服务责任共担模型 (7)图8 Azure责任共担模型 (8)图9 云计算服务模式与控制范围的关系 (9)图10 云服务商与云客户责任划分边界 (10)图11 CSA安全责任与云服务模式关系 (10)图12 云计算安全责任共担模型 (15)表目录表1 IaaS模式下云计算安全责任划分 (20)表2 IaaS模式下云计算安全责任协商划分参考 (25)表3 PaaS模式下云计算安全责任划分 (26)表4 SaaS模式下云计算安全责任划分 (27)表5 SaaS模式下云计算安全责任协商划分参考 (28)表6 浪潮政务云安全责任划分案例 (56)一、云计算安全责任共担成共识（一）云计算作为新型基础设施，安全性成关键随着互联网与实体经济深度融合，企业数字化转型成为必然趋势。

会员手册云安全联盟大中华区PART 01 /PART 02 /PART 03 /PART 04 /PART 05/2009CSA正式成立，发布了全球首个全面的云安全最佳实践《云计算关键领域安全指南》发布云安全领域黄金标准云控制矩阵CCM，推出云计算安全知识认证CCSK201020112013美国白宫在CSA峰会上宣布了美国联邦政府云计算战略推出全球权威云安全评估认证CSA STAR2015在中国推出C S A C-STAR认证发布云安全系统专家认证CCSSP201720192020推出CSA GDPR首席认证审计师课程，受欧盟国家认可发布零信任专家认证CZTP，推出针对企业的GDPR合规自检和第三方认证于2016年在中国香港注册成立，聚焦信息技术领域的基础标准和安全标准研究及产业最佳实践，牵引与推动中国与国际标准的接轨，打造国际技术与标准的联接器。

CSA 大中华区单位会员包括北京大学、复旦大学、华为、中兴、腾讯、浪潮、OPPO、深信服、360、奇安信、绿盟科技、启明星辰、安恒信息、天融信、中国工商银行、国家电网、数字认证、金山云、观安信息、UCloud等150多家知名高校和企业，个人会员1万多名，已成为构建中国数字安全生态的重要力量。

云安全联盟大中华区Cloud Security Alliance Greater China Region( CSA GCR )云安全联盟Cloud Security Alliance ( CSA )于2009年在美国注册成立，是数字安全领域中立权威的国际非营利组织，致力于国际云计算安全和下一代新兴信息技术安全的前沿研究和全面发展。

CSA在全球设立四大区，包括美洲区、欧非区、亚太区和大中华区，现有600多家单位会员，10万多名个人会员。

联盟顾问美国联邦原CIOTonyScott俄罗斯国家杜马安全和反腐败委员会第一副主席ErnestValeyev联合国副秘书长FabrizioHochschild联合国科学和技术发展委员会主席PeterMajor挪威工程院院士欧盟首席大数据科学家容淳铭院士加拿大皇家及工程院两院院士数据安全专家杨恩辉院士图灵奖获得者现代密码学之父WhitfieldDiffie零信任之父JohnKindervag中国友谊促进会理事长公安部原副部长陈智敏360集团董事长周鸿祎中国科学院院士中国数据安全专家郑建华院士中国科学院院士中国AI安全专家何积丰院士联盟主席 李雨航现任云安全联盟大中华区主席兼研究院院长，联合国工业发展组织安全专家，中科院云计算安全首席科学家/Fellow研究员，西安交大Fellow教授，原华为首席网络安全专家，微软全球首席安全架构师，IBM全球服务首席技术架构师。

企业云存储解决方案目录1. 内容简述 (3)1.1 文档目的 (4)1.2 背景与需求 (4)1.3 文档结构概览 (5)2. 企业云存储解决方案概述 (6)2.1 云存储技术简介 (7)2.2 云存储解决方案与企业需求匹配分析 (9)2.3 云存储优势与挑战分析 (9)2.4 解决方案核心功能概述 (11)3. 云存储解决方案技术架构 (13)3.1 整体架构图 (14)3.2 核心组件概述 (15)3.2.1 云存储平台 (16)3.2.2 数据中心与基础架构 (17)3.2.3 数据安全性与合规性措施 (19)3.2.4 可扩展性与性能优化 (20)4. 实施与部署 (21)4.1 系统部署架构设计 (22)4.2 实施步骤 (24)4.2.1 初始准备与规划 (26)4.2.2 数据迁移与备份策略规划 (27)4.2.3 安全性措施和合规性要求部署 (29)4.2.4 监控与维护策略制定 (29)4.3 用户培训与支持 (31)4.4 性能优化与调优 (31)5. 云存储解决方案的安全性与合规性 (33)5.1 数据加密与访问控制 (34)5.2 合规性与遵从性管理 (35)5.3 数据备份与灾难恢复策略 (36)6. 性能评估与监控 (38)6.1 性能指标与测试方法 (39)6.2 自适应性能调优 (41)6.3 系统监控与告警机制 (43)7. 迁移策略与数据管理 (44)7.1 迁移策略规划 (46)7.2 数据生命周期管理 (47)7.3 版本控制与恢复 (48)8. 成本效益分析与收益预期 (49)8.1 成本结构分析 (50)8.2 规模化效益分析 (51)8.3 预期ROI分析 (53)8.4 对比传统存储解决方案优势 (55)9. 案例研究与客户部署经验分享 (56)9.1 典型客户使用案例分析 (58)9.2 成功实施的关键要素 (59)9.3 客户反馈与建议 (61)10. 结论与未来展望 (62)10.1 总结陈词 (64)10.2 未来技术趋势与解决方案发展方向 (65)10.3 对企业的价值提升建议 (67)1. 内容简述本企业云存储解决方案文档旨在为贵公司提供一个全面地云存储解决方案的指南。

QDocument: Take Control of Your Data Security Today从今天起掌控您的数据安全Table of Contents 目录•Executive Summary 摘要•Growing Needs for Enterprise Encryption 企业加密需求的增长•Cloud Computing Opportunities and Challenges 云计算的机遇与挑战•User Centric Encryption 以用户为中心加密•QDocument Features Qdocument的特点•Conclusion 结论QDocument by BicDroid1、Executive Summary 摘要As a series of spectacular cyberattacks drew headlines in 2015, this year of 2016 sees growing needs for security solutions, which demand enterprise encryption. The challenge with using encryption is not the actual process of encrypting sensitive information but it is protecting and managing the encryption keys.Encryption key management is such a daunting challenge that most enterprises have delayed the use of strong encryption hoping that encryption scientists would develop an easy and more transparent solution of strong encryption.在2015年臭名昭著的一系列计算机攻击后，企业加密的安全解决方案的需求在2016年将持续增长。

腾讯专有云TCE Tencent Cloud Enterprise分布式云数据库TBase产品白皮书前言【版权声明】©2013-2020 腾讯云版权所有本文档著作权归腾讯云单独所有，未经腾讯云事先书面许可，任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。

【商标声明】及其它腾讯云服务相关的商标均为腾讯云计算（北京）有限责任公司及其关联公司所有。

本文档涉及的第三方主体的商标，依法由权利人所有。

【服务声明】本文档旨在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况，部分产品、服务的内容可能有所调整。

您所购买的腾讯云产品、服务的种类、服务标准等应由您和腾讯云之间的商业合同约定，除非双方另有约定，否则，腾讯云对本文档内容不做任何明示或模式的承诺或保证。

【修订记录】01 2020-01-30 amyleali 第一次发布。

目录前言 (2)目录 (4)1.发展历史 (9)2.业务挑战 (11)2.1.业务迁移便利性 (11)2.2.分布式事务一致性 (11)2.3.服务高可用 (11)2.4.集群可扩展能力 (12)2.5.数据高安全保证 (12)2.6.HTAP-事务以及分析双引擎支持 (12)3.腾云HTAP数据库TBase解决方案 (13)4.产品核心功能 (15)4.1.SQL兼容度高 (15)4.1.1.兼容PostgreSQL语法 (15)4.1.2.兼容Oracle语法 (15)4.1.3.企业级数据库语法支持 (16)4.2.分布式事务全局一致性 (17)4.2.1.TBase的分布式事务全局一致性实现 (17)4.2.2.TBase分布式事务可靠性保证机制 (18)4.3.在线扩容能力 (19)4.4.HTAP事务及分析双引擎方案 (22)4.4.1.概述 (22)4.4.2.如何进行OLTP以及OLAP融合查询 (22)4.4.3.如何进行高效的分布式join (23)4.4.4.行列混合存储能力 (26)4.4.5.多核并行计算能力 (27)4.5.多级容灾能力保证 (31)4.5.1.容灾能力概述 (31)4.5.2.强同步复制 (31)4.5.3.故障自动恢复与转移 (31)4.5.4.基于时间点的恢复能力 (32)4.6.资源隔离能力-读写多平面 (34)4.7.卓越的数据安全保障能力 (34)4.7.1.三权分立体系 (35)4.7.2.数据存储加密 (37)4.7.3.透明数据脱敏 (38)4.7.4.强制访问控制 (39)4.7.5.全方位审计能力支持 (40)4.8.高效的数据治理能力 (41)4.8.1.概述 (41)4.8.2.数据倾斜解决方案 (41)4.8.3.冷热数据分级存储方案 (44)4.9.1.简单易用的TBase运维管理系统 (45)4.9.2.集群PASS平台能力支持 (45)4.9.3.运维系统亮点功能 (46)4.10.丰富的周边生态支持 (47)4.10.1.支持强大的GIS地理信息系统 (47)4.10.2.异构数据复制能力 (48)4.10.3.集群负载均衡能力 (49)4.10.4.JSON数据类型的支持 (50)4.10.5.强大的联邦数据库能力 (51)5.专有云方案简介 (52)5.1.部署架构与软件模块 (52)5.1.1.核心模块 (52)5.1.2.选配模块 (53)5.2.操作系统要求 (53)5.3.物理服务器机型配置建议 (53)5.3.1.功能测试配置 (53)5.3.2.性能测试配置 (55)5.3.3.最小规模配置 (57)5.3.4.服务器采购参考 (58)5.3.5.服务器采购参考 (61)5.3.6.单中心容灾部署建议 (61)5.4.1.同城双中心部署建议 (62)5.4.2.两地三中心部署建议 (62)5.5.TBase对接腾讯专有云平台（TCE） (63)5.6.TBase对接腾讯企业云平台（TStack） (63)6.TBase产品特有优势 (65)6.1.HTAP融合性数据库 (65)6.2.完全保障分布式全局事务一致性 (65)6.3.支持多级安全策略 (65)6.4.完备的运维管理系统支持 (66)7.产品资质 (67)8.典型应用场景 (68)8.1.HTAP业务需求系统 (68)8.2.物联网地理信息系统 (68)8.3.实时高并发事务系统 (68)8.4.海量存储计算需求 (69)8.5.数据高安全依赖型系统 (69)8.6.去O的最佳选择 (69)8.7.多点汇聚业务系统 (69)9.典型案例分享 (71)9.1.某省办事系统核心OLTP后台系统 (71)9.2.某省公安厅汇聚库建设 (71)9.4.东阳人民医院 (73)9.5.许继电器（智能电表物联应用） (73)9.6.微信支付商户订单系统 (74)10.附录 (75)10.1.通用约定格式 (75)10.2.功能术语表 (75)1.发展历史大数据时代的来临以及去IOE浪潮的兴起，大众的目光都投向了开源的系统，基于开源PostgreSQL扩展而来的tPG(tencent PG)系统作为腾讯商业数据库的替代方案，同时作为腾讯大数据平台TDW（Tencent Distributed Warehouse）的实时数据库组件2011年正式引入公司内部使用。

pci dss合规判定标准PCI DSS（Payment Card Industry Data Security Standard）是一种重要的安全规范，它旨在保护持卡人数据的安全性和隐私。

对于处理支付卡交易的组织而言，遵守PCI DSS合规要求至关重要。

本文将介绍PCI DSS合规的判定标准，以帮助组织评估自身合规程度。

一、概述PCI DSS合规判定标准是对各种支付卡数据的处理工具和环境的安全要求的指南。

它由信用卡行业制定和维护，主要适用于商户、支付处理服务提供商、发卡行和其他处理支付卡数据的组织。

二、敏感数据保护1. 保护持卡人数据持卡人数据是指卡号、持卡人姓名、过期日期以及其他与持卡人身份有关的信息。

组织在存储、传输和处理这些数据时应采取适当的措施，如使用加密技术、实施访问控制和定期更新系统。

2. 存储限制组织对持卡人数据的存储应符合以下限制：- 不存储包含卡号的磁道数据- 不存储安全认证码（CVV）或个人识别号码（PIN）- 不存储与持卡人身份有关的敏感信息- 定期删除或销毁过期或不再需要的持卡人数据三、网络安全1. 防火墙保护组织应使用防火墙来保护其内部网络免受未经授权的访问。

防火墙应定期更新，并且只允许必要的网络流量通过。

2. 默认设置和密码管理默认设置和密码应定期更改，以防止未经授权的访问。

组织应采用强密码策略，并实施访问控制以限制对敏感系统的访问。

四、访问控制1. 身份验证组织应使用多因素身份验证来验证用户的身份。

此外，应限制对敏感系统和持卡人数据的访问权限，并定期检查和审计系统访问日志。

2. 业务需求的最小化组织应根据业务需要，限制对持卡人数据的访问权限。

只有在必要的情况下，才授予员工访问敏感数据的权限。

五、安全监控与测试1. 日志记录和监控组织应配置系统以记录关键活动，并定期检查和监控日志。

此外，还应实施入侵检测和预防系统，以及定期执行安全漏洞扫描。

2. 安全事件响应组织应建立和维护一个有效的安全事件响应计划，以及必要的培训和测试。

应用系统数据安全解决方案目录1. 应用系统数据安全概述 (2)2. 安全挑战与风险分析 (3)3. 数据安全策略与框架 (4)4. 数据分类与敏感度评估 (6)5. 访问控制与权限管理 (7)6. 数据加密技术的应用 (8)7. 数据备份与恢复政策 (10)8. 安全审计与监控机制 (11)9. 数据丢失防护技术 (13)10. 应用系统网络安全分析 (14)11. 数据安全教育与意识提升 (16)12. 系统安全评估方法与工具 (17)13. 应急响应计划与数据恢复流程 (20)14. 第三方安全服务与合规性评估 (21)15. 数据法规与隐私保护措施 (23)16. 系统级安全加固与漏洞管理 (24)17. 接口与外部数据交换安全 (26)18. 异常检测与告警系统 (27)19. 全球化数据保护和跨境数据流动政策 (29)20. 敏感数据使用与处理中的隐私保护 (31)21. 数据主权与数据本地化要求 (32)22. 数据安全生命周期管理 (33)23. 行业特定数据安全指南与案例研究 (34)24. 未来趋势与技术创新对数据安全的影响 (36)25. 数据安全白皮书及技术支持文档 (38)26. 课程与教育资源参考 (41)1. 应用系统数据安全概述随着信息技术的快速发展，应用系统数据安全已成为企业面临的重要挑战之一。

数据安全涉及到数据的保密性、完整性、可用性等多个方面，是保障企业业务连续运行、维护企业声誉和资产安全的关键环节。

在当前网络攻击和数据泄露事件频发的背景下，构建一个健全的应用系统数据安全解决方案显得尤为重要。

重要性说明：数据安全不仅关乎企业的商业机密、客户信息安全，也涉及企业合规性问题。

在日益严格的法规要求和不断变化的网络威胁环境下，企业必须提高数据安全意识，全面加强应用系统数据安全防护措施。

本方案旨在为企业在应用系统数据安全方面提供全面的指导和建议。

数据安全的定义与重要性：简要介绍数据安全的基本概念，强调数据安全对企业的重要性，包括对企业资产保护、业务连续性、法规合规等方面的意义。

201712©2016-2017 腾讯云版权所有本文档著作权归腾讯云单独所有，未经腾讯云事先书面许可，任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。

【商标声明】及其它腾讯云服务相关的商标均为腾讯云计算（北京）有限责任公司及其关联公司所有。

本文档涉及的第三方主体的商标，依法由权利人所有。

2017年12月本文档仅供参考。

对于本文档中的信息，腾讯云不作明示、默示的保证。

本文档基于现状编写。

在本文档中的信息和意见，包括网址和其它互联网网站参考，均可能会改变，恕不另行通知。

您将承担使用它的风险。

本文件未授予您任何腾讯产品的任何知识产权的法律权利。

您可以复制和使用本文档内容作为您内部以参考为目的的使用。

这里所描述的一些例子只提供说明，是虚构的。

不能基于此推断或预期任何事实上的关联或联系。

腾讯云，打造云端数据安全新时代目录概要 (6)腾讯云数据安全观 (7)数据保护承诺 (7)数据保护六大原则 (7)云端数据保护职责划分 (10)客户的责任 (11)腾讯云的责任 (11)云平台数据安全保障 (12)事前防范 (12)事中保护 (18)事后追溯 (21)赋能客户共建云端数据安全新时代 (22)数据创建 (23)数据存储 (23)数据传输 (25)数据访问 (26)数据使用 (28)数据销毁 (29)结语 (30)附录 (32)图表目录图表 1腾讯云数据保护六大原则 (7)图表 2云端数据保护职责划分 (10)图表 3腾讯云数据安全模型 (11)图表 4客户访问云资源过程中的数据机密性保障 (12)图表 5腾讯云租户之间的数据机密性保障 (14)图表 6腾讯云全球基础设施 (16)图表 7腾讯云数据安全事中保护能力框架 (18)图表 8一站式数据安全解决方案 - 数盾 (22)图表 9 KMS加密案例示意图 (24)图表10“六把钥匙”鉴权体系 (26)图表 11腾讯云多层次安全团队 (30)概要随着云技术的日趋成熟，越来越多的企业将业务部署到云环境上运行，以获取更灵活的资源调配、扩展能力，从而更快速高效地部署业务，优化投资成本。

PCI-DSS-术语⼩结术语1、PCI-DSS⽀付卡⾏业数据安全标准（PCI Data Security Standard）2、PA-DSS⽀付应⽤程序数据安全标准3、PCI-SSCPCI安全标准委员会（Payment Card Industry Security Standards Council，简称PCI SSC）4、PA-QSA⽀付应⽤程序合格的安全性评估商（Qualified Security Assessor）。

PA-QSA 由 PCI-SSC 授予按照 PA-DSS评估⽀付应⽤程序的资格。

5、ASV授权的扫描服务商（Approved Scanning Vendor）。

由 PCI-SSC 授权可执⾏外部漏洞扫描服务的公司。

商户接收使⽤PCI-SSC⽀付卡⽀付商品和/或服务的所有实体。

可以简单理解为持卡⼈。

请注意接受使⽤相关⽀付卡⽀付商品和/或服务的商户也可能是服务提供商，前提是销售的服务会导致代表其他商户或服务提供商存储、处理或传输持卡⼈数据。

例如，ISP是接受按⽉使⽤⽀付卡结算的商户，但是如果其客户为商户，那么它也是服务提供商。

服务提供商并⾮⽀付品牌的企业实体，代表其他实体直接参与持卡⼈数据的处理、存储或传输。

可以简单理解为处理持卡⼈数据的管理商。

如，处理商、收单机构、发卡机构。

服务提供商也提供控制或可能影响持卡⼈数据安全的服务。

⽰例包括提供托管防⽕墙、IDS和其他服务的托管服务提供商，以及托管提供商和其他实体。

如果某实体提供仅涉及公共⽹络访问提供的服务（例如仅提供通信链接的电信公司），则不认为该实体是相关服务的服务提供商（不过可认为该实体是其他服务的服务提供商）。

ISP互联⽹服务提供商（Internet Service Provider），简称ISP。

处理商⽀付处理商，有时被称为“⽀付⽹关”或“⽀付服务提供商（PSP）”。

可以简单理解为交易结算的银⾏的pos机。

商户雇佣的实体或其他代表商户处理⽀付卡交易的实体。

TData for Oracle数据库一体机技术白皮书【版本发布时间】【版本】【白皮书封面图片】目录产品简介 (3)产品背景 (4)产品架构 (4)产品特性 (5)金融安全 (5)金融合规 (5)高可靠性 (6)高性能 (6)可定制 (6)高性价比 (7)易扩展 (7)快速部署 (7)硬件模块 (7)计算节点 (7)存储节点 (7)InfiniBand交换机 (8)主机通道适配器（HCA） (8)56Gb/s无源铜缆 (8)软件模块 (8)Tencent Linux (8)LinkX (9)ASM (12)TMGR (13)TMON (13)数据迁移、备份 (14)高可用、容灾支持 (14)系统配置 (15)产品简介Oracle Real Application Clusters(Oracle RAC)实现的高可用性和可扩展性已经广泛适用于行业标准的数据库解决方案。

TData for Oracle数据库一体机选择PCIe高速闪存卡、高性能X86服务器、InfiniBand高速互联技术、RDMA远程直接数据存取技术以及服务于腾讯百万级别服务器的Tencent Linux操作系统，结合Oracle RAC进行深度优化整合及调教，为用户提供高可用、易扩展、高性能的数据库服务，适用于OLAP、OLTP以及混合负载等各种应用场景。

产品背景随着市场金融改革的不断深化和云计算技术的不断成熟与完善，云计算在金融行业的发展中发挥着越来越重要的作用。

传统金融机构在探索与实施互联网金融业务创新的过程中，势必需要灵活可变的IT架构和技术支撑，最大限度的缩短创新产品的开发与实施周期以占领市场先机。

云计算服务凭借快速交付、易扩展性、低运维成本等特性，逐渐成为金融机构实现业务创新试验的首选架构。

腾讯金融云敏锐的发觉很多金融行业客户在Oracle数据库系统与拥抱云计算潮流所面临的许多痛点，借助迅猛发展的X86平台、PCIe高速闪存卡、低时延高带宽的InfiniBand 网络等，结合腾讯强大的技术实力推出TData for Oracle数据库一体机产品，助力金融客户业务创新。

超融合基础架构解决方案目录一、前言 (3)1.1 超融合基础架构解决方案概述 (3)1.2 解决方案的重要性和应用场景 (4)二、超融合基础架构原理 (6)2.1 超融合的定义和特点 (7)2.2 超融合基础架构的组成 (8)2.2.1 虚拟化层 (10)2.2.2 存储层 (11)2.2.3 网络层 (12)2.3 超融合基础架构的优势 (14)2.3.1 高可用性 (15)2.3.2 高扩展性 (16)2.3.3 高性能 (18)三、超融合基础架构解决方案的关键技术 (20)3.1 虚拟化技术 (21)3.2 存储技术 (22)3.3 网络技术 (25)3.4 数据备份和容灾技术 (26)3.5 安全技术 (27)四、超融合基础架构解决方案的应用场景 (29)4.1 教育行业 (30)4.2 医疗行业 (31)4.3 金融行业 (33)4.4 企业办公 (34)4.5 云计算 (36)五、超融合基础架构解决方案的选购和实施 (37)5.1 如何选择合适的超融合基础架构解决方案 (39)5.2 实施超融合基础架构解决方案的步骤 (40)5.2.1 规划和设计 (41)5.2.2 部署和配置 (43)5.2.3 测试和验证 (44)5.2.4 运营和维护 (46)六、超融合基础架构解决方案的挑战和未来发展趋势 (47)6.1 超融合基础架构解决方案面临的挑战 (49)6.2 超融合基础架构解决方案的未来发展趋势 (50)七、结论 (51)7.1 超融合基础架构解决方案的价值和意义 (52)7.2 对超融合基础架构解决方案的未来展望 (53)一、前言随着信息技术的快速发展，企业对于数据处理与存储的需求日益增长，传统的IT架构在面对日益增长的数据规模与复杂的业务需求时，显得捉襟见肘。

在这样的背景下，“超融合基础架构解决方案”其旨在为企业提供一种高效、灵活、可扩展的IT基础设施，以满足企业日益增长的业务需求。

基础平台-审计日志产品白皮书本文档著作权归腾讯云单独所有，未经腾讯云事先书面许可，任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。

及其它腾讯云服务相关的商标均为腾讯云计算（北京）有限责任公司及其关联公司所有。

本文档涉及的第三方主体的商标，依法由权利人所有。

本文档旨在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况，部分产品、服务的内容可能有所调整。

您所购买的腾讯云产品、服务的种类、服务标准等应由您和腾讯云之间的商业合同约定，除非双方另有约定，否则，腾讯云对本文档内容不做任何明示或模式的承诺或保证。

编号修改日期修改人修改内容01 2020-01-15 v_syantan 第一次正式发布。

(2) (4)1.概述 (5)2.架构总览 (6)3.产品功能 (7)3.1.操作记录 (7)4.产品优势 (8)4.1.与传统审计工作相比，云审计的优势 (8)5.应用场景 (10)1.概述审计日志是一项支持对云平台账号进行监管、合规性检查、操作审核和风险审核的服务。

借助审计日志，您可以记录日志、持续监控并保留与整个基础设施中操作相关的账号活动。

审计日志提供平台账号活动的事件历史记录，这些活动包括通过管理控制台、API 服务、命令行工具和其他服务执行的操作。

这一事件历史记录可以简化安全性分析、资源更改跟踪和问题排查工作。

2.架构总览审计日志的产品架构如下图所示：云审计主要功能：操作记录。

您可以通过API 或者控制台进行相关操作。

3.1.操作记录操作记录功能记录最近的云平台API 或云平台控制台上的所有操作。

并且在云审计控制台的操作记录页面可展示最近7 天的云平台API 或云平台控制台上的所有操作记录。

•操作记录列表您可以通过控制台查看操作记录列表，以及对应操作事件时间、用户名、事件名称、资源类型、资源名称等。

•操作记录详情同时您可以获取单个操作记录详情，包括访问密钥、区域、错误码、事件ID、事件名称、事件源、事件时间、请求ID、源IP 地址、用户名。

支付卡行业 (PCI)支付应用程序的数据安全标准要求和安全评估程序1.2.1 版2009 年 7 月PCI PA-DSS 要求和安全评估程序 v1.2.1 第 i 页Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月文件变更记录日期版本描述页码2008 年 10 月 1 日 1.2 根据新的 PCI DSS v1.2 调整相关内容，并实施自原始 v1.1 以来所注明的次要变更。

2009 年 7 月 1.2.1 在「PA-DSS 的范围」中，根据《PA-DSS 计划指南》v1.2.1 调整相关内容，以阐明 PA-DSS 适用于哪些应用程序。

v, vi 在实验室要求 6 中，更正了「OWASP」的拼写。

30 在验证证明的第 2a 部分中，更新了支付应用程序功能，以便与《PA-DSS 计划指南》中列出的应用程序类型保持一致，此外，还在第 3b 部分中阐明了年度重新验证程序。

32, 33Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月目录文件变更记.............. . (i)简介................... . (iv)本文件用途....... ........ ........ (iv)PCI DSS 与 PA-DSS 的关系... ........ ........ ........ .. (iv)PA-DSS 的范围 (v)PA-DSS 对硬件终端的适用性 ... ............... . (vii)角色与责任 ... .... .... .... .... . (vii)PA-DSS 实施指南 ... ..... ....... ....... (x)支付应用程序的合格安全评估机构 (PA-QSA) 要求 . (x)测试实验室 (xi)PCI DSS 适用性资讯 (xii)验证报告的说明与内容 (xiii)PA-DSS 完成步骤 (xv)PA-DSS 计划指南 (xv)PA-DSS 要求和安全评估程序 ........... ...... ...... (1)1. 不要保留完整磁条数据、卡验证码或验证值 (CAV2、CID、CVC2、CVV2) 或 PIN 区块资料...... ...... ...... ..... ...... ...... ...... ...... ...... ...... (1)2. 保护储存的持卡人资料 .......... ...... ...... ...... ...... ...... .. (5)3. 提供安全验证功能 ................................. (7)4. 记录支付应用程序活动 (9)5. 开发安全支付应用程式 (10)6. 保护无线传输 (14)7. 针对漏洞测试支付应用程式 (15)8. 便于进行安全的网络实施 (16)9. 不得在连接到因特网的服务器上储存持卡人资料 .... ....... .... .. (16)10. 便于进行安全的远程软件更新 (17)11. 便于对支付应用程序进行安全的远程存取 ........................... .. .. (17)12. 对公用网络上的敏感流量进行加密 .................. ..... ..... (20)13. 对所有非控制台管理存取进行加密 ............... ... ... ... ... .. (21)14. 为客户、经销商与整合商维护指导文件与培训计划 ...... ... ... (21)附录 A：《PA-DSS 实施指南》的内容摘. .... .... .... .... .... .... . (23)附录 B：针对 PA-DSS 评估的测试实验室设定确认 ............ . (28)附录 C：验证证明 (32)Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月简介本文件用途本文件供支付应用程序的合格安全评估机构 (PA-QSA) 在执行支付应用程序审查时使用，以便软件供货商能够验证支付应用程序是否符合 PCI 支付应用程序的数据安全标准(PA-DSS)。

PCI DSS 要求和安全评估程序，v1.2 2008年 10 月 附录 B ：补偿性控制 第 49 页附录 B ： 补偿性控制当实体由于合法的技术限制或文档的业务限制，无法满足明确指定的要求，但已通过实施其他措施或补偿性控制充分减轻了与此类要求相关的风险时，对于大多数 PCI DSS 要求可能需要考虑补偿性控制。

补偿性控制必须满足以下标准：1. 符合最初 PCI DSS 要求的主旨和严格程度。

2. 提供和最初 PCI DSS 要求类似水平的防御机制，使补偿性控制能充分减少最初的 PCI DSS 要求必须防御的风险。

（请参阅 PCI DSS 导航，以了解每则 PCI DSS 要求的主旨。

） 3. “超越”其他 PCI DSS 要求。

（仅仅只是遵循其他 PCI DSS 要求并不构成补偿性控制。

）评估补偿性控制的“超越”时，请考虑以下各项：注：以下从 a) 到 c) 的各项为示例，仅供参考。

所有补偿性控制必须由执行 PCI DS 审核的评估商检查并确认其是否充分有效。

补偿性控制的有效性取决于实施控制的环境的具体情况、相关的安全控制和控制的配置。

公司应理解特定的补偿性控制并非在所有环境都有效。

a) 现有的 PCI DSS 要求如果在审查时某个项目已经需要它，则不能视为补偿性控制。

例如，非控制台管理访问的密码发送时必须加密，以减少明文管理密码遭到拦截的风险。

机构不得使用其他的旨在补偿缺少加密密码的 PCI DSS 密码要求（入侵者锁定、复杂密码等），因为这些其他的密码要求不能减少明文密码遭到拦截的风险。

而且，其他的密码控制在审查（密码）时已经是项目的 PCI DSS 要求。

b) 现有的 PCI DSS 要求如果有其他区域需要它，但审查时的项目不需要它，则可视为补偿性控制。

例如，双因素验证是远程访问的 PCI DSS 要求。

在不支持传输加密密码时，来自于内部网络中的双因素验证可视为非控制台管理访问的补偿性控制。