2020年华为网络安全与隐私保护规范

网络安全与用户隐私保护规范

目录

contents

01网络安全简介

02

网络安全风险

03

华为网络安全保障体系04

伙伴网络安全管理规范

什么是网络安全

客户网络承载数据/隐私

业务连续及健壮的网络

完整性

可用性

机密性

可追溯性

抗攻击性

网络安全Cyber Security ●可用性：是指有权限的人在需要使用网络服务、信息的时候随时可以使用。比如客户网络账号权限管理。

●完整性：是指信息是准确的、可靠的、完整的，没有被非授权更改。比如日志必须完整，禁止未经客户授权删除、修改。

●机密性：是指信息只授权给应该知道的人，信息的传播是受到保护和管理的。●可追溯性：是指提供的产品或服务是可追溯的，比如操作记录、日志等详细的记录了操作的情况。●抗攻击性：确保产品、数据配置的健壮性，比如防火墙配置要能够经受的住黑客的攻击。

网络安全的定义：

●

网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动，从而保障客户的业务连续性和合规运营，避免设备供应商、服务供应商的声誉损失及连带责任。

个人数据处理的七个原则

原则原则描述合规解读

适用的角色Controller Processor

正当、合法、

透明•数据主体的个人数据应当以正当、合法、透明的方式被处理•个人数据、敏感数据、儿童数据、雇员数据

•记录同意、撤回同意

•正当性：提供信息（隐私通知）

•透明性：提供信息的方式

√N/A

目的限制•个人数据应当基于具体、明确、合法的目的收集，不应以与此目的不相容的方式进一步处理•新目的合法性

•匿名化

√N/A

数据最小化•处理的个人数据应与处理数据的目的是适当、相关且必要的•充分、不超乎适度、必要√N/A

准确性•个人数据应当是准确的，并在必要的情况下及时更新

•根据数据处理的目的，采取合理的措施确保及时删除或修正

不准确的个人数据

•数据的准确性√N/A

存储期限最小化•存储个人数据不超过处理目的所必要的期限•留存、销毁方式√N/A

完整性与保密性•采取必要的技术或组织措施确保个人数据的适度安全，包括

防止未授权或非法处理个人数据、数据丢失或毁损•风险评估、技术与组织措施、加密、化名、访问控

制、监测数据泄露

√√

可归责•数据控制者须负责且能展示遵从上述原则•记录政策与流程、数据处理活动√N/A Processor需严格按照Controller的指示（通常为合同）进行数据处理并按照法律要求维护数据处理行为的记录，

若Processor自行决定数据处理的目的和方式，则构成Controller

技术风险：技术与业务创新给人们带来巨大的利益，同时也加剧了安全威胁和挑战

X 国税局系统被黑，损失5000万美元。

X 国电力网络受到恶意软件攻击，导致数十万用户停电。

X 国企业机构网络被黑，超过8450万客户的隐私信息泄露，含信用卡信息。

X 国网络被黑，约240万用户的个人信息泄露，含信用卡信息。

以获取经济利益为目的的攻击、窃取日益增多，黑客攻击产业化，网络安全事件频发，给相关企业、机构造成巨大经济和声誉损失。

23.5% Inadvertent actor

31.5% Malicious insiders 45.0%

Outsiders

37%

Unauthorized access 20%Malicious code 20%

Sustained probe / scan

Who are the bad guys?

Top 3 Cyber security threats

根据业界研究，55%的安全威胁来自企业内部人员，37%的安全威胁来自非授权访问，因此对人员的教育管理及相关预防措施非常重要。

垃圾邮件

钓鱼网站传统病毒木马蠕虫APT

……

伪造

篡改

窃听

网络

僵尸网络/DDoS

非授权访问

恶意/间谍软件

随着ICT 技术日益开放、网络IP 化、终端智能化、云计算、大数据应用、多业务融合，技术与业务日趋复杂，攻击手段也日趋多样和复杂。

法律风险：各国加强立法保护通信网络安全、个人数据及隐私，违反法律可能导致民事赔偿、行政处罚甚至承担刑事责任

法律禁止的网络安全违

法行为

系统干扰

数据干扰

设备滥用

未授权访

问

计算机犯

罪

个人数据违法转移

个人数据违法处理

非法监听/拦截

法律保护的权益部分国家立法举例

欧盟：《网络犯罪公约》、《隐私与电子通信指令》、《欧盟数据保护指令/GDPR 》等德国：《刑法》、《电信法》、《数据保护法》等英国：《调查权限法》、《信息自由法》、《数据保护法》、《滥用计算机法》等法国：《刑法》、《数据保护法》、《电子通信法》等美国：《电子通信隐私法》、《计算机欺诈与滥用法》、《国家信息基础设施保护法》、《加强计算机安全法》等

通信秘密及自由个人数据及隐私客户通信网络和信息安全

2017年6月，《中华人民共和国网络安全法》正式施行，明确网络空间主权原则及共同治理原则。

中国立法举例

处罚包括个人和企业应支付罚金和承担法律责任。罚款金额为人民币5,000元至1,000,000元不等。法律责任则包括停业、吊销营业执照、个人被免职或者追究当事人的刑事责任等。

第十条：网络安全和数据安全的要求。

第十六条：加大投入、知识产权保护、支持国家网络安全技术创新项目。第十七条：支持网络安全认证、检测和风险评估等安全服务。

第十八条：网络数据保护和利用、公共数据资源开发、网络安全管理方式创新。第二十一条：网络安全等级保护制度。

第二十二条：产品服务的强制性准入要求和义务。

第二十三条：网络关键设备和网络安全专用产品的强制性认证或检测。第三十五条：网络产品和服务需通过国家安全审查。第三十六条：产品和服务的保密协议。

第三十七条：境外数据传输需进行安全评估。第三十八条：开展风险检测评估工作。

第四十八条：电子信息发送和应用软件下载的安全。

网络产品及服务提供者责任