腾讯云 DDoS 攻击防护权责管理细则
腾讯云 DDoS 攻击防护权责管理细则
为清晰划分腾讯云与云上用户在DDoS攻击防护过程中的责任边界,理顺攻防处置、风险防控、问题溯源及故障兜底的各项工作,规避因权责模糊引发的业务纠纷、防护失效、责任推诿等问题,结合腾讯云安全服务体系及云上业务运营实际,制定本权责管理细则。本细则适用于所有使用腾讯云DDoS基础防护、高防包、高防IP等全部防护产品的云上用户,覆盖日常防护、攻击突发、异常处置、事后复盘全流程场景。
云上业务的网络安全防护从来不是平台单方面的工作,而是腾讯云与用户双向配合、共同兜底的结果。不同层级的防护工作、风险管控义务,对应着双方各自的责任范畴,清晰的权责划分,是保障业务在攻击场景下稳定运行的核心前提。
一、腾讯云平台权责范围
腾讯云主要承担底层基础设施、平台基础防护能力及公共安全体系的保障工作。平台会持续维护全域网络节点、机房硬件设备、底层网络链路的安全与稳定,筑牢整个云上环境的基础防护屏障,从底层规避大范围网络波动、基础链路漏洞引发的攻击风险。
依托自研的DDoS防护系统,平台会常态化部署全域防护策略,实时监测全网流量异常动态,对常见的流量攻击、协议攻击等主流DDoS攻击类型,提供常态化的基础清洗与拦截能力。日常运行中,防护系统会自动适配常规攻击场景,无需用户手动操作,就能完成大部分轻度攻击的化解处置。
针对突发的高强度、大流量攻击,腾讯云会启动专属应急防护机制,调度全网清洗资源进行专项拦截,最大程度削弱攻击对用户业务的冲击。同时,平台会留存完整的攻击日志、流量数据、防护处置记录,可为用户提供溯源协助、数据查询、合规举证等配套支持,满足业务安全审计与合规运营需求。
平台会持续迭代防护规则与技术能力,根据网络攻击的新型变种、攻击趋势动态优化防护策略,修复防护体系存在的短板。针对防护服务本身的功能故障、系统漏洞、平台侧操作失误引发的防护失效问题,由腾讯云承担对应责任,并负责及时修复问题、弥补用户合理损失。
除此之外,腾讯云会搭建完整的安全应急响应通道,用户遭遇复杂攻击、防护异常时,可通过官方渠道反馈问题,平台专属安全团队会跟进处置,同步攻击态势、防护进度及解决方案,配合用户完成应急处置工作。
二、云上用户权责范围
用户作为云上业务的运营主体,需要对自身业务架构、业务配置、自有业务内容的安全负主要责任。接入腾讯云DDoS防护服务后,用户需根据自身业务规模、访问场景、业务特性,合理选购适配的防护产品与防护规格,避免因防护配置不足、产品选型不符导致攻击发生后业务受损。
用户需要自主完成业务侧的安全配置优化,包括端口权限管控、访问规则设置、业务接口防护、异常访问限流等自定义配置。腾讯云的基础防护为通用型防护能力,无法适配所有个性化业务场景,用户需结合自身业务风险特点,补充定制化防护规则,封堵业务专属的安全漏洞。
业务日常运行过程中,用户需主动监测自身业务运行状态,关注平台推送的攻击预警、风险提示及异常通知。发现业务卡顿、访问异常、流量波动等疑似攻击迹象时,及时联动腾讯云安全团队开展排查处置,不要消极等待平台兜底,避免小风险演变为大规模攻击事故。
用户需严格遵守网络安全相关法律法规及腾讯云服务协议,不得利用云上资源开展违规引流、恶意发包、网络攻击、虚假访问等违法违规行为。若因用户自身违规操作、自有业务漏洞、第三方合作设备或软件问题引发DDoS攻击,或是导致攻击影响扩散至腾讯云平台及其他云上用户,相关责任与后续处置成本均由用户自行承担。
遭遇高强度攻击触发平台防护限流、封禁、清洗等强制防护动作时,用户需配合平台的应急处置要求,及时调整业务访问策略、临时关停非核心高危服务、优化异常业务逻辑。拒不配合整改、拖延处置导致业务故障时长延长、损失扩大的,全部后果由用户自行承担。
用户同时需要做好自有人员的安全运维管理,规范后台操作、资源授权、账号权限管理等工作,内部操作失误、权限泄露引发的攻击风险与业务问题,不属于腾讯云防护兜底范畴。
三、特殊场景权责界定
日常轻度攻击、常规流量异常的防护处置,由腾讯云基础防护系统自动完成,相关防护效果由平台技术能力兜底。但如果攻击量级超出用户当前购买的防护规格上限,现有防护资源无法抵御攻击冲击,由此产生的业务卡顿、断线、访问异常等问题,需要用户自主承担,并可通过升级防护规格、开启应急防护资源的方式降低风险。
因不可抗力、公共网络故障、第三方网络链路波动、国家级网络安全整治等非双方可控因素引发的攻击防护失效、业务异常,双方互不追责,各自配合开展后续修复与业务恢复工作。
用户私自修改平台默认防护配置、关闭核心防护功能、绕过防护机制部署业务,导致防护体系失效引发的攻击损害,平台不承担任何赔付与修复责任。刻意规避防护规则、恶意测试防护系统造成的全网资源波动、公共安全风险,用户需承担相应的合规责任与赔偿义务。
四、权责协同与争议处理
攻防防护的核心是快速止损、恢复业务。日常运营中,腾讯云负责输出标准化防护能力、实时监测全网攻击态势、提供专业应急技术支撑,用户负责做好业务侧风险自查、配置优化与应急配合,双方保持高效联动,共同降低攻击风险。
若发生防护事故、业务受损等权责争议,双方可依托平台留存的攻击日志、防护记录、操作日志、沟通记录等材料开展溯源研判,明确问题成因与责任主体。所有权责判定均以真实运行数据、平台服务协议及本细则约定为依据,不做主观推定。
责任明确后,责任方需主动承担整改、修复、赔付等对应义务,及时处置问题、消除不良影响,避免风险持续扩散,保障双方合法权益与云上整体网络环境的安全稳定。
五、附则
本细则为腾讯云DDoS防护服务配套管理规范,与腾讯云服务协议、DDoS防护服务等级协议具有同等效力。细则内容会根据网络安全法规更新、防护技术迭代、业务运营需求适时优化调整,调整后的内容将通过腾讯云官方平台公示,公示后自动生效。
本细则自发布之日起正式执行。
