2020年华为网络安全与隐私保护规范
华为在物联网安全领域的领先技术与解决方案 保障物联网安全与隐私
华为在物联网安全领域的领先技术与解决方案保障物联网安全与隐私华为在物联网安全领域的领先技术与解决方案保障物联网安全与隐私随着物联网的不断发展,各类智能设备的互联互通也带来了越来越多的安全隐患。
而物联网的安全和隐私保护已经成为业界关注的焦点。
华为作为全球领先的信息通信技术解决方案供应商,致力于物联网安全领域的研发与创新,为用户提供全方位的安全保障。
本文将介绍华为在物联网安全领域的领先技术与解决方案,以及保障物联网安全与隐私的措施。
一、基于边缘计算的物联网安全技术在物联网领域,边缘计算技术被广泛应用。
华为提出了一种基于边缘计算的物联网安全技术,通过将部分数据的处理和存储转移到边缘节点,减少了网络带宽的消耗,并提高了数据的处理效率。
同时,华为通过数据隔离和访问控制等手段,保护物联网设备的安全,防止恶意攻击和数据泄露。
这种技术的优势在于可以将物联网设备与云端的交互降到最低,提高了系统运行的安全性。
二、物联网边缘网关的安全解决方案作为物联网边缘网络的关键节点,边缘网关扮演着连接物联网设备和云平台的桥梁角色。
为了保障边缘网关的安全性,华为提出了一系列的安全解决方案。
首先,华为利用自研的芯片安全技术,对边缘网关进行加密和认证,确保设备的合法性和可信度。
其次,基于自主研发的防火墙技术,华为提供了多层次的防护机制,确保在物联网边缘网关与云平台之间的数据传输的安全性。
而且,华为还将网络流量分析和入侵检测技术集成到边缘网关中,及时发现异常行为并做出响应。
三、安全固件技术的应用物联网设备的安全固件技术是保障物联网安全的一项重要措施。
华为秉承“安全先行”的原则,将安全固件技术广泛应用于物联网设备中。
通过安全固件技术,华为能够监控和管理设备的安全性能,及时更新固件以修复已知漏洞,从而提高设备的安全性和稳定性。
此外,华为还通过物理层面的加密和认证技术,保护设备的身份和数据的完整性,有效地防止设备被非法篡改和攻击。
四、全方位的数据安全保障在物联网安全领域,保护用户数据的安全是至关重要的。
HuaWei路由器安全配置规范
HuaWei 路由器安全配置规范
【目的】系统应修改 SNMP 的 Community 默认通行字,通行字应符合口令强度 要求。
【具体配置】 snmp-agent community read XXXX01
2.6.3. SNMP 版本
【目的】系统应配置为 SNMPV2 或以上版本。 【具体配置】
snmp-agent sys-info version v3
2.1.5. 最小权限
【目的】在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权
限。
【具体配置】
aaa local-user 8011 password cipher 8011 local-user 8011 service-type telnet local-user 8011 level 0 # user-interface vty 0 4 authentication-mode aaa
2.1.4. 静态口令加密
【目的】静态口令必须使用不可逆加密算法加密后保存于配置文件中。 【具体配置】
Page 2 of 10
HuaWei 路由器安全配置规范
super password level 3 cipher N`C55QK<`=/Q=^Q`MAF4<1!! local-user 8011 password cipher N`C55QK<`=/Q=^Q`MAF4<1!!
Page 3 of 10
[Router-aaa-domain-default]radius-server shiva
2.2. 关闭不必要的服务
HuaWei 路由器安全配置规范
2.2.1. 关闭不必要的服务
【目的】关闭网络设备不必要的服务,比如 FTP、TFTP 服务等。 【具体配置】
234 华为国际互联网安全管理规定
华为公司国际互联网安全管理规定第一章总则第一条目的为了保障公司计算机国际互联网的系统安全,保证公司内部网络与Internet网的稳定健康互联,有效地防止内部网络系统遭受外部攻击,加强内部信息管理,有效控制信息传播渠道,特制定本规定。
第二条范围本规定适用于公司国际互联网系统。
第三条国际互联网安全保障体系计算机国际互联网安全保障体系包括以下部分:(一)互联网安全管理责任人和安全技术人员(二)安全管理制度和安全稽核制度(三)互联网硬件、软件与安全相关的性能和机房环境(四)技术安全措施第二章安全组织与职责第四条安全机构公司主管IT建设的副总裁主持国际互联网安全工作,成立国际互联网安全管理小组。
第五条职责安全管理小组负责制定和监督实施国际互联网安全管理的各种规章制度;定期检查国际互联网系统的安全运行情况;监督、指导建立国际互联网安全保障体系,组织宣传国际互联网计算机安全管理方面的法律、法规和有关政策。
第三章实体安全管理制度第六条计算机机房设计必须符合下列标准:a:《计算机场地技术条件》(GB2887-89)b:《计算站场地安全要求》(GB9361-88)第七条计算中心机房建筑和结构满足下列条件:机房设置在电梯或楼梯不能直接进入的场所;机房应与外部人员频繁出入的场所隔离;机房周围应设有防止非法进入的设施;外部容易接近的窗口应采取防范措施;无人值守时应有自动报警设备;机房内部设计应便于出入控制和分区控制;机房内用于动力、照明的供电线路应与计算机系统的供电线路分开;机房内不同电压的供电系统应安装互不兼容的插座。
第八条主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求;可采用区域控制的办法,即将可能截获辐射信息的区域控制起来,不许外部人员接近;可采用机房屏蔽的方法,使得信息不能辐射出机房。
第九条磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装;磁带、磁盘应放在距钢筋房柱或类似结构物十厘米以上,以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。
EMUI 11.0 安全技术白皮书说明书
EMUI 11.0安全技术白皮书文档版本V1.0发布日期2020-11-30目录1 概述 (6)简介 (6)EMUI的安全 (7)2 硬件安全 (10)安全启动 (10)硬件加解密引擎及随机数发生器 (11)设备唯一密钥 (12)设备组密钥 (12)设备证明 (12)安全元件* (13)安全存储* (13)移动安全处理器* (13)3 可信执行环境 (15)iTrustee安全OS介绍 (15)可信存储服务 (17)加解密服务 (17)可信显示与输入(TUI) (17)可信时间 (17)4 系统安全 (19)完整性保护技术 (19)内核漏洞防利用技术 (21)内核攻击检测技术 (22)强制访问控制技术 (22)身份认证 (22)5 数据安全 (25)HUKS(华为通用密钥库系统) (25)锁屏密码保护 (26)数据分类分级加密 (26)密码保险箱 (28)6 应用安全 (29)应用上架安全检测 (29)应用安装时签名验证 (30)应用沙箱 (30)应用运行时内存保护 (30)安全输入* (31)应用威胁检测 (31)AI(人工智能)安全防护* (31)恶意网址检测* (31)7 网络与通信安全 (32)VPN (32)TLS (32)无线局域网安全* (33)防伪基站* (33)8 分布式安全 (34)设备互联安全性 (34)分布式系统协同用户身份认证 (35)分布式权限管理 (36)9 高级安全 (37)Huawei Pay (37)手机交通卡 (39)手机门钥匙 (40)手机盾* (41)电子身份证* (42)车钥匙 (42)验证码短信保护* (42)10 互联网云服务安全 (44)华为帐号 (44)帐号保护 (44)华为帐号消息 (46)MyCloud (46)11 设备管理 (48)查找我的手机 & 激活锁* (48)12 隐私保护 (50)权限管理 (50)录音/录像提醒 (51)仅本次允许 (51)定位服务 (51)设备标识符体系 (51)差分隐私 (53)隐私政策声明 (53)13 安全标准遵从与认证 (54)安全标准遵从 (54)安全认证* (54)14 数字版权保护 (56)ChinaDRM 2.0 (56)15 结语 (57)16 缩略语表/ACRONYMS AND ABBREVIATIONS (58)注:*表示不是所有设备都支持该特性。
华为信息安全手册
华为信息安全手册一、新职员入职信息安全须知新职员入职后,在信息安全方面有哪些注意事项?同意“信息安全与保密意识”培训;每年应至少参加一次信息安全网上考试;办理职员卡;签署劳动合同(含保密职责);依照部门和岗位的需要签署保密协议。
职员入职后,需要办理职员卡,职员卡的意义和用途是什么?工卡是公司职员的身份证明,所有进入华为公司的人员,在公司期间一律要正确佩戴相应的卡证。
工卡还有考勤、门禁验证等作用。
工卡不仅关系到公司形象及安全,还关系到职员本人的切身利益,一定要妥善保管。
公司信息安全方面的规定都有哪些?在哪里能够查到信息安全的有关治理规定?网络安全部在参考国际安全标准BS7799和在顾问的关心下,制订了一套比较完整的信息安全方面的治理规定,其中与一般职员关系紧密的有《信息保密治理规定》、《个人运算机安全治理规定》、《信息交流治理规定》、《病毒防治治理规定》、《办公区域安全治理规定》、《网络连接治理规定》、《信息安全奖惩管理规定》、《运算机物理设备安全治理规定》、《开发测试环境治理规定》、《供应商/合作商接待治理方法》、《外部人员信息安全治理规定》、《会议信息安全治理规定》和《帐号和口令标准》等。
这些治理规定都汇总在《信息安全策略、标准和治理规定》(即《信息安全白皮书》)中,同时在不断的修改和完善之中。
在“IS Portal”上您能够查到公司信息安全相关的所有信息,如信息安全方面的规定、制度、操作手册、培训胶片、宣传材料和宣传案例等。
各体系细化的信息安全治理规定,可咨询本体系的信息安全专员。
作为一名一般职员,应该如何做才能够符合公司信息安全要求?积极学习和遵守公司各类信息安全治理规定和安全措施,将遵守安全规定融入自己的日常工作行为中。
在工作中,要有强烈的信息安全和保密意识,要有职业的敏锐性。
有义务禁止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。
二、运算机的安全口令设置公司规定的口令设置最低标准是什么,每次更换口令,都不容易记住新口令,该如何办?一般用户(公司一样职员均为一般用户)设置口令的最低标准要紧有以下几条:(1)口令长度不能少于6位且必须包含字母(2)口令至少应包含一个数字字符另外,一个好的口令除了符合口令的最低标准外,最好还应包含大小写字母和特殊的字符。
2024年网络安全隐私保护协议
20XX 专业合同封面COUNTRACT COVER甲方:XXX乙方:XXX2024年网络安全隐私保护协议本合同目录一览第一条协议范围与定义1.1 协议范围1.2 定义第二条数据保护责任2.1 数据收集与使用2.2 数据存储与保护2.3 数据共享与传输第三条用户隐私权3.1 用户信息保护3.2 用户隐私设置3.3 用户数据访问与更正第四条数据安全措施4.1 数据加密4.2 访问控制4.3 安全事件响应第五条个人信息保护合规5.1 合规要求5.2 合规评估与审计5.3 合规违规处理第六条用户通知与同意6.2 用户同意6.3 重大变更通知第七条责任限制与排除7.1 责任限制7.2 排除责任事项第八条违约责任8.1 违约行为8.2 违约责任承担第九条争议解决9.1 争议解决方式9.2 适用法律9.3 争议解决机构第十条合同的生效与终止10.1 协议生效10.2 协议终止10.3 终止后的权利与义务第十一条一般条款11.1 通知11.2 修改与补充11.3 完整协议第十二条适用法律与管辖12.2 争议管辖第十三条保密条款13.1 保密义务13.2 例外情况13.3 泄露后的处理第十四条权利与义务的转让14.1 权利转让14.2 义务转让14.3 同意转让第一部分:合同如下:第一条协议范围与定义1.1 协议范围1.2 定义(1)甲方:指提供网络服务的公司或个人。
(2)乙方:指使用甲方提供的网络服务的用户。
(3)个人数据:指可以识别或者结合其他信息可以识别乙方的信息,包括姓名、地址、电话号码、电子邮件地址、身份证号码等。
(4)网络服务:指甲方通过互联网提供的各种服务,包括但不限于在线购物、社交、娱乐、电子邮件等。
第二条数据保护责任2.1 数据收集与使用甲方在提供网络服务过程中,将收集乙方必要的个人信息以保障服务的正常运行。
甲方承诺仅收集与服务直接相关的人员信息,并明确告知乙方收集信息的目的、范围和方式。
2.2 数据存储与保护甲方将采取合理、有效的技术措施和与管理措施,确保乙方个人信息的安全,防止未经授权的访问、披露、修改或破坏。
解析新版《个人信息安全规范》中的个人信息保护负责人制度
解析新版《个人信息安全规范》中的个人信息保护负责人制度2020-08-03《网络安全法》出台后,特别是2018年5月1日《信息安全技术 个人信息安全规范》(“旧版规范”)生效以来,不少企业已经搭建起个人信息保护制度框架。
数据合规体系是动态的有机体,需要静态的制度框架,更需要合规人员的动态推动,将制度融入商业决策与交易中。
即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》(“新版规范”或“《安全规范》”)针对个人信息保护负责人的规定,较旧版规范而言更为具体且务实。
一、为什么要建立个人信息保护负责人制度个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。
设立个人信息保护负责人对企业落地数据合规制度至关重要。
具体而言,科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力,亦可增强其核心竞争力。
(一)提高企业风险防御能力个人信息保护不力会给企业带来巨大损失:政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任;个人信息安全事件如果不能及时、妥善处理,企业所面对的信任危机可能比处罚带来的社会影响更为深远;广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。
个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜,提高企业防御风险的综合能力。
2017年3月,有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。
法院综合认定被告存在泄露个人信息的高度可能,同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。
但是,被告未能证明其已履行法定的个人信息保护义务。
[1]2019年12月,同一家航空公司因类似事由被起诉,但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。
原因在于,航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置,还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。
数据保护和隐私政策
数据保护和隐私政策第一章总则第一条目的和适用范围为了确保公司员工、客户、供应商等相关方的个人数据得到合理、安全、合规的处理和保护,保护数据主体的隐私权,确保数据使用的合法性和透亮度,本规章制度订立。
第二条规章制度的法律依据本规章制度依据国家相关法律法规订立,重要包含《中华人民共和国个人信息保护法》《网络安全法》等相关法律法规。
第三条定义1.个人数据:指可以直接或间接识别特定个人身份的任何信息,包含但不限于姓名、住址、联系方式、银行账号等信息。
2.数据处理:指收集、存储、使用、传输、删除等一系列与个人数据相关的操作。
3.数据主体:指个人数据的全部者,包含公司员工、客户、供应商等。
4.数据处理者:指依照公司授权或法律要求进行数据处理的单位或个人。
第二章数据处理原则第四条合法性原则在进行个人数据处理时,公司应遵守国家相关法律法规,确保数据处理的合法性。
第五条公正透亮原则在数据处理过程中,公司应采取措施向数据主体以明确、清楚的方式供应信息,使其了解数据处理的目的、方式、范围等,并可行使相关权利。
第六条限制目的原则公司在处理个人数据时应明确、合法地规定数据处理的具体目的,而且不得超出此目的范围进行处理。
第七条最小化原则在进行个人数据处理时,公司应满足处理的合法性和必需性,避开过度收集和使用个人数据。
第八条存续期限原则公司在进行个人数据处理时,应订立数据存续期限规定,合理确定个人数据的存储时间,并在超出存续期限后及时删除或进行处理。
第三章数据处理措施第九条数据收集1.公司在收集个人数据时应明确收集目的,并征得数据主体的明示同意。
2.公司收集的个人数据应尽量直接从数据主体本人获得,如需间接收集,应确保获得合法来源的数据。
第十条数据存储1.公司应建立合理的数据存储和保护措施,确保个人数据的安全存储,防止泄露、丢失或被未经授权的第三方取得。
2.公司应定期进行数据备份,并确保备份数据的完整性和可恢复性。
第十一条数据使用1.公司在使用个人数据时应遵守事先明示的目的,并遵从合法、正当、必需、透亮的原则。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全与用户隐私保护规范目录contents01网络安全简介02网络安全风险03华为网络安全保障体系04伙伴网络安全管理规范什么是网络安全客户网络承载数据/隐私业务连续及健壮的网络完整性可用性机密性可追溯性抗攻击性网络安全Cyber Security ●可用性:是指有权限的人在需要使用网络服务、信息的时候随时可以使用。
比如客户网络账号权限管理。
●完整性:是指信息是准确的、可靠的、完整的,没有被非授权更改。
比如日志必须完整,禁止未经客户授权删除、修改。
●机密性:是指信息只授权给应该知道的人,信息的传播是受到保护和管理的。
●可追溯性:是指提供的产品或服务是可追溯的,比如操作记录、日志等详细的记录了操作的情况。
●抗攻击性:确保产品、数据配置的健壮性,比如防火墙配置要能够经受的住黑客的攻击。
网络安全的定义:●网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动,从而保障客户的业务连续性和合规运营,避免设备供应商、服务供应商的声誉损失及连带责任。
个人数据处理的七个原则原则原则描述合规解读适用的角色Controller Processor正当、合法、透明•数据主体的个人数据应当以正当、合法、透明的方式被处理•个人数据、敏感数据、儿童数据、雇员数据•记录同意、撤回同意•正当性:提供信息(隐私通知)•透明性:提供信息的方式√N/A目的限制•个人数据应当基于具体、明确、合法的目的收集,不应以与此目的不相容的方式进一步处理•新目的合法性•匿名化√N/A数据最小化•处理的个人数据应与处理数据的目的是适当、相关且必要的•充分、不超乎适度、必要√N/A准确性•个人数据应当是准确的,并在必要的情况下及时更新•根据数据处理的目的,采取合理的措施确保及时删除或修正不准确的个人数据•数据的准确性√N/A存储期限最小化•存储个人数据不超过处理目的所必要的期限•留存、销毁方式√N/A完整性与保密性•采取必要的技术或组织措施确保个人数据的适度安全,包括防止未授权或非法处理个人数据、数据丢失或毁损•风险评估、技术与组织措施、加密、化名、访问控制、监测数据泄露√√可归责•数据控制者须负责且能展示遵从上述原则•记录政策与流程、数据处理活动√N/A Processor需严格按照Controller的指示(通常为合同)进行数据处理并按照法律要求维护数据处理行为的记录,若Processor自行决定数据处理的目的和方式,则构成Controller技术风险:技术与业务创新给人们带来巨大的利益,同时也加剧了安全威胁和挑战X 国税局系统被黑,损失5000万美元。
X 国电力网络受到恶意软件攻击,导致数十万用户停电。
X 国企业机构网络被黑,超过8450万客户的隐私信息泄露,含信用卡信息。
X 国网络被黑,约240万用户的个人信息泄露,含信用卡信息。
以获取经济利益为目的的攻击、窃取日益增多,黑客攻击产业化,网络安全事件频发,给相关企业、机构造成巨大经济和声誉损失。
23.5% Inadvertent actor31.5% Malicious insiders 45.0%Outsiders37%Unauthorized access 20%Malicious code 20%Sustained probe / scanWho are the bad guys?Top 3 Cyber security threats根据业界研究,55%的安全威胁来自企业内部人员,37%的安全威胁来自非授权访问,因此对人员的教育管理及相关预防措施非常重要。
垃圾邮件钓鱼网站传统病毒木马蠕虫APT……伪造篡改窃听网络僵尸网络/DDoS非授权访问恶意/间谍软件随着ICT 技术日益开放、网络IP 化、终端智能化、云计算、大数据应用、多业务融合,技术与业务日趋复杂,攻击手段也日趋多样和复杂。
法律风险:各国加强立法保护通信网络安全、个人数据及隐私,违反法律可能导致民事赔偿、行政处罚甚至承担刑事责任法律禁止的网络安全违法行为系统干扰数据干扰设备滥用未授权访问计算机犯罪个人数据违法转移个人数据违法处理非法监听/拦截法律保护的权益部分国家立法举例欧盟:《网络犯罪公约》、《隐私与电子通信指令》、《欧盟数据保护指令/GDPR 》等德国:《刑法》、《电信法》、《数据保护法》等英国:《调查权限法》、《信息自由法》、《数据保护法》、《滥用计算机法》等法国:《刑法》、《数据保护法》、《电子通信法》等美国:《电子通信隐私法》、《计算机欺诈与滥用法》、《国家信息基础设施保护法》、《加强计算机安全法》等通信秘密及自由个人数据及隐私客户通信网络和信息安全2017年6月,《中华人民共和国网络安全法》正式施行,明确网络空间主权原则及共同治理原则。
中国立法举例处罚包括个人和企业应支付罚金和承担法律责任。
罚款金额为人民币5,000元至1,000,000元不等。
法律责任则包括停业、吊销营业执照、个人被免职或者追究当事人的刑事责任等。
第十条:网络安全和数据安全的要求。
第十六条:加大投入、知识产权保护、支持国家网络安全技术创新项目。
第十七条:支持网络安全认证、检测和风险评估等安全服务。
第十八条:网络数据保护和利用、公共数据资源开发、网络安全管理方式创新。
第二十一条:网络安全等级保护制度。
第二十二条:产品服务的强制性准入要求和义务。
第二十三条:网络关键设备和网络安全专用产品的强制性认证或检测。
第三十五条:网络产品和服务需通过国家安全审查。
第三十六条:产品和服务的保密协议。
第三十七条:境外数据传输需进行安全评估。
第三十八条:开展风险检测评估工作。
第四十八条:电子信息发送和应用软件下载的安全。
网络产品及服务提供者责任客户要求:客户提出网络安全要求,而服务过程是多方参与,故网络安全需要各方共同保障设备商物流商合作伙伴客户商业组织研发生产货物运输交付服务网络运营业务分工篡改、植入、病毒、非授权访问、违规转移数据……,网络安全风险贯穿了整个供应和服务过程,涉及供应过程各方,而不仅是设备商。
网络安全风险客户网络安全要求产品安全物流安全服务安全人员安全物流商货物运输运营安全审查/审计华为网络安全保障:华为端到端网络安全保障体系嵌入到各相关业务流程,包括供应商/合作伙伴管理安全目标持续改进需求期望挑战解决方案产品服务法律法规;安全协议,安全询问,安全关注,验证和审计,安全事故澄清,验证产品,透明互信沟通,审计结果, 安全解决方案客户的安全需求其他利益相关方最终用户客户政府客户的安全需求管理与控制愿景、使命、战略、政策、指南、文化运营使能支撑公司业务流程执行安全基线完整的安全需求收集机制建立基线闭环管理基线执行集成产品开发市场到线索线索到回款问题到解决制定战略到执行资产投资管理客户关系管理服务交付供应链采购合作伙伴管理人力资源管理财经管理BT&IT 管理业务支撑管理组织和能力研发、销服、采购、供应链、片联、法务、公关、MKT审计安全基线合作与贡献商业生态环境建立安全基线其他利益相关方最终用户客户政府华为对伙伴的网络安全政策:No Security No Business重视网络安全,管理网络安全,确保网络安全签署网络安全协议风险类别风险项5. 账号管理离职转岗移交默认账号和密码账号共享明文保存密码工程转维6. 操作安全三审批项目安全管理方案网络安全红线工程转维安全问题/事件漏洞管理7. 备件逆向备件数据备件处理通知8.服务工具交付工具、软件来源合规客户授权工具使用白名单管理一线自开发工具风险类别风险项1.数据安全数据客户授权要素完备最小化采集数据处理数据留存数据转移数据删除2.隐私保护隐私脱敏隐私保护3.人员安全网络安全上岗证出差员工安全项目安全培训人员行为管理人员进出项目检查4. 接入安全接入授权要素完备接入环境和平台安全终端安全病毒查杀权限管理服务相关8类35项安全风险纳入伙伴绩效管理质量经理考取上岗证具体要求华为对伙伴的网络安全保障体系要求No.对伙伴的网络安全保障体系要求1建立网络安全保障体系,包括制度、流程和组织。
2员工签署网络安全承诺函,涵盖《网络安全承诺函》的要求。
3网络安全意识及规范的培训和宣导。
4履行对己方供应商、分包商及代理商的管理职责。
5建立安全防御管理措施,防止非法植入木马、后门、病毒、恶意代码等或被篡改程序、数据等。
6网络安全的交付服务环节中对服务活动建立详细的过程记录,以保证可追溯性。
7建立网络安全违规问责及违规行为快速回溯机制,防止问题重发发生。
8建立网络安全应急响应机制,确保问题发生后能采取紧急有效措施解决问题。
9确保其员工按照客户及/或承包方要求,获取、使用并及时归还其授权的账户和密码。
10主动预防网络安全事故、事件及危机的发生,例行开展网络安全稽查和改善活动。
11对关键安全岗位员工设置操作权限,并对其所使用的IT系统设置符合网络安全要求的账户口令,防止其他人员进行操作。
12内部网络应安装防火墙,计算机、服务器等,应安装杀毒软件,防止病毒木马入侵带来的潜在网络安全风险。
13对员工的离职进行管理,包括收回关键信息、停止相应权限以及脱密期管理、签署必要的离职保密承诺书等。
场景No.网络安全行为规范通用1法律法规:遵守所有适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律、法规;不得利用网络进行危害国家安全或者社会公共利益的活动、窃取或损害他人的信息、或伤害他人的合法权益。
2客户规章制度:遵守客户的各项规章制度,遵从客户的指示及合同条款来开展服务交付活动,包括网络接入操作、个人数据处理、数据转移等;进出客户机房、网管中心、办公区域、敏感区域(如政府机关、军队等)必须遵从客户或机构的管理规定。
3攻击破坏:不攻击、不破坏客户网络,不破解客户账号密码。
4篡改植入:不篡改产品,不在客户设备和系统中植入任何恶意代码、恶意软件、后门,不预留任何私有的、未公开的接口和账号。
5客户数据处理:未经客户书面授权,不访问(包括远程接入)客户系统,收集、持有、处理、修改客户网络中的任何数据和信息。
不超出客户授权范围收集和处理客户网络数据。
6数据保密:不以任何形式泄漏和传播客户网络中的数据和信息,包括个人数据,对于在提供服务期间获悉的任何信息或数据承担严格的保密义务直至相关信息或数据被合法披露为止;未经客户书面授权,在外部沟通、讨论或演示中不引用任何未公开的客户网络数据和信息。
7数据非法使用:不利用客户系统的信息和数据谋取个人利益或用于其它非法目的。
8物料(故障件、备件等)返回:接收客户物料时需提醒客户清除数据,确认部件中存储的数据已删除。
9应急响应:发现网络安全风险事件时,应即时通知华为业务接口人;发现漏洞时应及时报告华为PSIRT@,在产品漏洞预警发布前,不得对第三方交流、传播、泄露漏洞信息,不得传播攻击、越狱的方法。