2020年华为网络安全与隐私保护规范
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全与用户隐私保护规范
目录
contents
01网络安全简介
02
网络安全风险
03
华为网络安全保障体系04
伙伴网络安全管理规范
什么是网络安全
客户网络承载数据/隐私
业务连续及健壮的网络
完整性
可用性
机密性
可追溯性
抗攻击性
网络安全Cyber Security ●可用性:是指有权限的人在需要使用网络服务、信息的时候随时可以使用。比如客户网络账号权限管理。
●完整性:是指信息是准确的、可靠的、完整的,没有被非授权更改。比如日志必须完整,禁止未经客户授权删除、修改。
●机密性:是指信息只授权给应该知道的人,信息的传播是受到保护和管理的。●可追溯性:是指提供的产品或服务是可追溯的,比如操作记录、日志等详细的记录了操作的情况。●抗攻击性:确保产品、数据配置的健壮性,比如防火墙配置要能够经受的住黑客的攻击。
网络安全的定义:
●
网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动,从而保障客户的业务连续性和合规运营,避免设备供应商、服务供应商的声誉损失及连带责任。
个人数据处理的七个原则
原则原则描述合规解读
适用的角色Controller Processor
正当、合法、
透明•数据主体的个人数据应当以正当、合法、透明的方式被处理•个人数据、敏感数据、儿童数据、雇员数据
•记录同意、撤回同意
•正当性:提供信息(隐私通知)
•透明性:提供信息的方式
√N/A
目的限制•个人数据应当基于具体、明确、合法的目的收集,不应以与此目的不相容的方式进一步处理•新目的合法性
•匿名化
√N/A
数据最小化•处理的个人数据应与处理数据的目的是适当、相关且必要的•充分、不超乎适度、必要√N/A
准确性•个人数据应当是准确的,并在必要的情况下及时更新
•根据数据处理的目的,采取合理的措施确保及时删除或修正
不准确的个人数据
•数据的准确性√N/A
存储期限最小化•存储个人数据不超过处理目的所必要的期限•留存、销毁方式√N/A
完整性与保密性•采取必要的技术或组织措施确保个人数据的适度安全,包括
防止未授权或非法处理个人数据、数据丢失或毁损•风险评估、技术与组织措施、加密、化名、访问控
制、监测数据泄露
√√
可归责•数据控制者须负责且能展示遵从上述原则•记录政策与流程、数据处理活动√N/A Processor需严格按照Controller的指示(通常为合同)进行数据处理并按照法律要求维护数据处理行为的记录,
若Processor自行决定数据处理的目的和方式,则构成Controller
技术风险:技术与业务创新给人们带来巨大的利益,同时也加剧了安全威胁和挑战
X 国税局系统被黑,损失5000万美元。
X 国电力网络受到恶意软件攻击,导致数十万用户停电。
X 国企业机构网络被黑,超过8450万客户的隐私信息泄露,含信用卡信息。
X 国网络被黑,约240万用户的个人信息泄露,含信用卡信息。
以获取经济利益为目的的攻击、窃取日益增多,黑客攻击产业化,网络安全事件频发,给相关企业、机构造成巨大经济和声誉损失。
23.5% Inadvertent actor
31.5% Malicious insiders 45.0%
Outsiders
37%
Unauthorized access 20%Malicious code 20%
Sustained probe / scan
Who are the bad guys?
Top 3 Cyber security threats
根据业界研究,55%的安全威胁来自企业内部人员,37%的安全威胁来自非授权访问,因此对人员的教育管理及相关预防措施非常重要。
垃圾邮件
钓鱼网站传统病毒木马蠕虫APT
……
伪造
篡改
窃听
网络
僵尸网络/DDoS
非授权访问
恶意/间谍软件
随着ICT 技术日益开放、网络IP 化、终端智能化、云计算、大数据应用、多业务融合,技术与业务日趋复杂,攻击手段也日趋多样和复杂。
法律风险:各国加强立法保护通信网络安全、个人数据及隐私,违反法律可能导致民事赔偿、行政处罚甚至承担刑事责任
法律禁止的网络安全违
法行为
系统干扰
数据干扰
设备滥用
未授权访
问
计算机犯
罪
个人数据违法转移
个人数据违法处理
非法监听/拦截
法律保护的权益部分国家立法举例
欧盟:《网络犯罪公约》、《隐私与电子通信指令》、《欧盟数据保护指令/GDPR 》等德国:《刑法》、《电信法》、《数据保护法》等英国:《调查权限法》、《信息自由法》、《数据保护法》、《滥用计算机法》等法国:《刑法》、《数据保护法》、《电子通信法》等美国:《电子通信隐私法》、《计算机欺诈与滥用法》、《国家信息基础设施保护法》、《加强计算机安全法》等
通信秘密及自由个人数据及隐私客户通信网络和信息安全
2017年6月,《中华人民共和国网络安全法》正式施行,明确网络空间主权原则及共同治理原则。
中国立法举例
处罚包括个人和企业应支付罚金和承担法律责任。罚款金额为人民币5,000元至1,000,000元不等。法律责任则包括停业、吊销营业执照、个人被免职或者追究当事人的刑事责任等。
第十条:网络安全和数据安全的要求。
第十六条:加大投入、知识产权保护、支持国家网络安全技术创新项目。第十七条:支持网络安全认证、检测和风险评估等安全服务。
第十八条:网络数据保护和利用、公共数据资源开发、网络安全管理方式创新。第二十一条:网络安全等级保护制度。
第二十二条:产品服务的强制性准入要求和义务。
第二十三条:网络关键设备和网络安全专用产品的强制性认证或检测。第三十五条:网络产品和服务需通过国家安全审查。第三十六条:产品和服务的保密协议。
第三十七条:境外数据传输需进行安全评估。第三十八条:开展风险检测评估工作。
第四十八条:电子信息发送和应用软件下载的安全。
网络产品及服务提供者责任