物理機主機安全保證

機房選址安全

天翼云數據中心的選址嚴格遵循安全標準，確保機房的物理安全。機房選址時，會考慮地理位置的穩定性、自然災害的風險以及周邊環境的安全性，以保障數據中心的穩定運行。

機房安全設計標準與資質

天翼云數據中心的設計符合GB 50174《電子信息機房設計規范》A級及TIA 942《數據中心機房通信基礎設施標準》中T3+標準。這些標準涵蓋了機房的防火、防水、防震、防雷擊等多個方面，確保數據中心在各種惡劣條件下都能正常運行。

機房硬件運維流程

天翼云建立了規范的硬件運維流程，確保硬件設備的穩定運行。運維團隊定期對硬件設備進行巡檢和維護，及時發現并處理潛在問題。同時，運維流程還包括設備的更新和升級，以確保硬件設備能夠適應不斷變化的技術需求。

運維審計

天翼云對運維操作進行全面審計，記錄運維人員的每一次操作。審計記錄不僅包括操作的時間、內容和結果，還涵蓋了操作的背景信息。通過運維審計，可以有效防止誤操作和惡意操作，確保數據中心的安全性。

人員管理標準和要求

天翼云制定了嚴格的人員管理標準，確保機房運維人員的專業性和安全性。運維人員必須經過嚴格的培訓和考核，具備相應的資質和經驗。同時，天翼云還實行嚴格的人員準入制度，確保只有授權人員才能進入機房進行操作。

存儲設備管理

天翼云對存儲設備進行精細化管理，確保數據的安全存儲。存儲設備的管理包括設備的分配、使用和回收，以及數據的備份和恢復。天翼云使用先進的存儲管理系統，實時監控存儲設備的運行狀態，確保數據的完整性和可用性。

數據銷毀

在數據不再使用時，天翼云會進行安全銷毀，防止數據泄露。數據銷毀過程嚴格遵循行業標準，確保數據無法被恢復。銷毀后的存儲介質會進行嚴格的處理，確保不會對環境造成污染。

網絡隔離

天翼云通過網絡隔離技術，確保不同網絡之間的安全隔離。網絡隔離包括物理隔離和邏輯隔離，通過防火墻、虛擬局域網（VLAN）等技術手段，防止不同網絡之間的非法訪問和數據泄露。

硬件安全

硬件固件基線掃描

天翼云定期對硬件固件進行掃描，確保固件的安全性。固件掃描包括固件版本檢查、安全漏洞檢測等，確保硬件設備運行的固件版本是最新的，并且沒有已知的安全漏洞。

設備固件驗簽

天翼云對設備固件進行驗簽，防止固件被篡改。固件驗簽通過數字簽名技術，驗證固件的完整性和來源，確保只有經過授權的固件才能被加載到硬件設備上。

可信計算

可信計算是實現云租戶計算環境高級安全的重要功能之一。通過在虛擬化層面上使用可信虛擬化技術（vTPM）作為可信根，構建從系統啟動到用戶指定應用的信任鏈，并實現遠程證明機制，從而為用戶提供從啟動階段到運行階段的全方位可信保障。在系統和應用中加入可信驗證，可以顯著降低因使用未知或被篡改的系統/軟件而遭受攻擊的風險。

虛擬化安全

租戶隔離

天翼云確保不同租戶之間的計算、網絡、存儲資源隔離，防止資源被非法訪問。租戶隔離通過虛擬化技術實現，確保每個租戶的資源獨立運行，互不干擾。天翼云提供多種隔離機制，包括計算隔離、網絡隔離和存儲隔離，確保租戶之間的安全隔離。

• 租戶隔離：基于硬件虛擬化技術將多個計算節點的虛擬機在系統層面進行隔離，租戶不能訪問相互之間未授權的系統資源。

• 計算隔離：管理系統與客戶虛擬機，以及客戶虛擬機之間互相隔離。

• 網絡隔離：每個虛擬網絡與其他網絡之間互相隔離。

• 存儲隔離：計算與存儲分離，虛擬機只能訪問分配好的物理磁盤空間。

安全加固

天翼云對虛擬化管理程序和宿主機 OS/內核級別進行相應安全加固，并且虛擬化軟件必須編譯和運行在一個安全的執行環境上以保障整個鏈路的安全，確保虛擬化環境的安全性。

熱補丁修復

天翼云支持熱補丁修復技術，無需重啟系統即可修復漏洞。熱補丁修復技術可以在不影響業務運行的情況下，快速修復系統漏洞，提高系統的可用性和安全性。

數據擦除

天翼云提供數據擦除機制，此機制保證分布式塊存儲系統中已刪除的數據一定會被完全擦除，不會被其他用戶通過任何途徑訪問，也無法通過其他方式恢復，進而確保數據的完整性。在用戶釋放云主機實例后，存儲系統將立刻銷毀實例原有的存儲的云數據，確保無法繼續訪問數據。同時，實例原有存儲對應的物理存儲空間會被回收并處理，確保數據無法被恢復，防止用戶數據泄露，保障用戶數據安全。