1、产品信息产品信息/网络安全知识网络安全知识2016.04.06目录1、引子2、什么是网络安全?3、公司要求及规章制度4、制造网络安全管理要求布什尔核电站反应堆已封项,马反应堆已封项,马上可以发电了上可以发电了哈哈!我叫震网,!我叫震网,我来了我来了 2015年2月27日江苏省公安厅紧急通知由于海康威视监控设备存在巨大安全隐患,部分设备已被境外IP控制,要求对海康监控设备进行全面清查。2010年9月,伊朗核设施突遭来源不明的网络病毒攻击,纳坦兹离心浓缩厂的上千台离心机报废警示一、弱密码不可取,未修改初始密码更易被攻击警示二、系统的相对封闭是系统安全运行的首要保障1 1、引子:网络安全问题、引子:
2、网络安全问题上升到政治和法律法规2005年3月,多家媒体曝光了希腊的手机窃听事件,包括希腊首相夫妇、司法部长、雅典市长、美国大使等106位高官电话被窃听,网络安全问题又一次成为全球关注的焦点。回溯启示1 1、引子:网络安全问题关乎公司的生死存亡、引子:网络安全问题关乎公司的生死存亡n2003年1月20日,E 公司(设备商)交付V公司(运营商)AXE R9.1产品,含有合法监听模块。n2004年7到10月,该设备被植入了恶意软件,通过该软件控制合法监听模块,窃听政府官员电话。n2005年3月,多家媒体曝光了一百多名政府官员的电话被窃听,随后E 公司发现此恶意软件,V 公司 CEO下令清除恶意软件
3、。n在2006年和2007年,V公司两次被主管机构罚款共9500万欧元,E公司 被罚700万欧元。nV公司网络经历主管机构长达一年的严酷测试,公司形象被破坏,市场份额后果n通信网络作为国家重要基础设施,一旦受到威胁,极可能对国家利益造成影响。本案例中,涉及公民通信秘密和隐私被侵犯,运营商和设备商都承担了相应的法律和经济责任。所以,对于合法监听模块的启用和维护,一定要严格遵循所适用的法律法规要求。n网络安全问题不仅是技术问题,已上升为法律问题、政治问题,我们应避免因网络安全问题而导致公司崩溃的政治风险和法律后果。n通信网络作为国家重要基础设施,一旦受到威胁,极可能对国家利益造成影响。本案例中,涉
4、及公民通信秘密和隐私被侵犯,运营商和设备商都承担了相应的法律和经济责任。所以,对于合法监听模块的启用和维护,一定要严格遵循所适用的法律法规要求。n网络安全问题不仅是技术问题,已上升为法律问题、政治问题,我们应避免因网络安全问题而导致公司崩溃的政治风险和法律后果。客户数据未授权被访问,维护工程师虽解决问题但仍引起公司间的信任危机回溯启示后果行为1、引子:网络安全问题关乎个人的前途命运引子:网络安全问题关乎个人的前途命运n2009年12月,A公司收到客户反馈,设备存在随机通话中断问题,要求尽快解决。nA公司委任维护工程师 Z 在现网进行定位分析,但在执行操作前需得到客户授权在执行操作前需得到客户授
5、权。nZ 经客户授权,在客户现网采集数据进行定位分析,但故障现象一直没有重现,问题一直无法解决。n两周后故障重现,Z联系客户希望获取授权,但没有打通电话。n考虑到故障现象可能马上消失,Z在未经客户授权的情况下就直接登录客户网络采集数据了,很快就解决了此问题。n客户认为A公司未经授权操作客户的设备是对其资产的侵犯,容易造成网络中个人数据和隐私的泄漏,对Z员工行为非常不满。n客户运维主管将此事升级到客户高层和安全部门,演变成为网络安全事故,造成A公司与客户的信任危机。n如果客户将此事件移交司法,根据当地国法律未授权访问的解释,Z员工将面临员工将面临2年以下监禁或罚金年以下监禁或罚金。n客户设备、网
6、络以及其承载的数据和个人隐私等都属于客户资产,需建立对客户资产的保护意识,避免无意违规甚至违法。n每个员工都要对自己所做的事情和产生的结果负责。不仅要对技术负责,也要承担法律、每个员工都要对自己所做的事情和产生的结果负责。不仅要对技术负责,也要承担法律、政治政治的责的责任任。n客户设备、网络以及其承载的数据和个人隐私等都属于客户资产,需建立对客户资产的保护意识,避免无意违规甚至违法。n每个员工都要对自己所做的事情和产生的结果负责。不仅要对技术负责,也要承担法律、政治的责任。政府监管技术影响美国、欧盟等多国政府已将网络安全列为国家安全战略的重要组成部分;英国、法国、印度等政府基于信任和对安全问题
7、的担心,政府监管和标准法规对运营商和设备商提出安全合规性要求。法律因素市场准入1、引子:全球网络安全的影响和挑战全球网络安全及隐私保护的立法日趋严格,挑战越来越严重;在欧美国家,与一般的公司违法行为相比(税务、IPR、违约),违反网络安全法律往往容易和侵犯人权、危害国家安全联系起来。这样,政府和公众对此的容忍度更低,更容易引起对整个公司的信任危机。随着ICT技术日益开放,电信网络的IP化,终端的智能化和多业务融合,电信网络的安全性面临着越来越严峻的威胁和挑战,华为产品应充分考虑抗攻击和可恢复能力;技术方案选择或实现不当(如未公开接口),可能导致外界攻击引发信任危机;网络安全事故对客户正常业务带
8、来了实际的风险和损失,必须加强安全预防,进一步降低安全的管理和运维成本。业界频繁曝光的重大安全事件,对网络安全问题的担忧,导致设备商失去百亿的大单,甚至不能进入重点市场;运营商将法律责任转移给设备供应商,越来越多主流运营商要求与设备商签署专门的安全协议,遵守当地的法律和法规,提出产品安全性、安全教育和审查要求等等,如印度所有运营商要求如发现安全问题将面临巨额罚款和退网的处罚。美国依然是供应链网络安全的领先者美国通过将供应链的安全纳入国家战略,其核心诉求是建立“促进商品高效安全的流动,加强商品的完整性和建立一个恢复能力强的供应链。”NIST(美国国家标准局)刷新了新的信息安全要求,在其中明确了对
9、的供应链安全要求,如NIST SP800-161(联邦信息系统和组织的供应链风险管理实践)。隐私和客户数据保护依然是政府和客户关注的重点欧盟正在拟制的个人数据保护法,加大了对设备供应商的法律责任,在逆向再利用、已使用货物报废和设备搬迁时需要满足当地的法规要求;从严要求保护个人数据和隐私(德国/土耳其/丹麦客户要求在本地处理个人数据);中国政府客户在政务云招标中直接采取了NIST SP 800-53(联邦信息系统及组织安全和隐私控制)作为安全要求倡导建立统一的供应链评估标准,支持ICT行业全球化的发展美国智库布鲁金斯发布如何在ICT全球供应链建立信任的白皮书,倡导建立统一标准;全球ICT产业界发
10、布声明政府网络安全推荐性实施准则,建议政府统一对业界的网络安全标准;华为参与制定可信技术供应商标准(O-TTPS),是目前业界供应链领域的第一份安全标准,但还不成熟各各方对方对ICTICT供应链网络安全越来越关注,供应链网络安全越来越关注,强调产品在供应链中的高效流动、完整性和数强调产品在供应链中的高效流动、完整性和数据及隐私保护据及隐私保护美国政府的供应链安全管理:美国在供应链安全领域很早就进行规划和布局,并形成了完整的供应链风险管控体系,由于其领先和示范作用,其他各国会效仿和借鉴1、引子:网络安全业界业界形势政府&法律法规从运营商到最终用户对网络安全要求和隐私保护都更加重视从运营商到最终用
11、户对网络安全要求和隐私保护都更加重视运营商对供应链越来越从关注管理方法向关注细节和技术实现方式上转变,如:如何从技术上保证产品加载的软件完整性可校验;客户越来越关注供应商的网络安全管理,尤其是开源软件清单及可追溯问题,越来越多敏感国家客户提出要交流供应商安全议题。UK、德国等国运营商如VDF、DT将对供应链安全要求写入合同,要求遵从当地(AEO)或者美国(C-TPAT)的供应链安全标准。Telenor、BT、VDF等客户强调华为可追溯数据库要利用起来,帮助华为进行漏洞影响的和监控;运营商企业网消费者云服务、银行、交通、电力、医院、政府等企业客户除了传统的网络安全要求外,对用户数据和隐私保护要求
12、更高;企业网客户,如亚马逊、HP等北美客户依据C-TPAT+客户内部少量的定制化需求提出安全要求,其他市场客户尚未明确类似要求;中国政府客户在政务云招标中采取了NIST SP800-53。消费者越来越倚重和使用移动业务,手机成为最重要的交流媒介,手机消费者个人隐私数据的保密要求变得空前重要;Gartner的调查指出使用社交媒体时,最重要的挑战是首先要解决安全和隐私、内容管理等问题个人数据的保护应贯穿到每个产品的生命周期中:数据收集、数据存储、数据转移/共享、数据留存与删除等开源漏洞迅速上升,2014年业界爆发5起一级开源漏洞,几乎涉及华为所有产品和供应商,海康视讯事件突显了供应链的脆弱性1、引
13、子:网络安全业界业界形势客户要求1、引子:网络安全业界业界形势近期事件2015年8月成都超4千家网站遇黑客超半数政府网站有漏洞;8月份成都网络安全面临的威胁主要来自SQL注入,4209家单位网站和系统被黑客入侵,314家企事业单位网站已被黑客利用并被植入暗链。(新华网)2015年9月15日,韩国购物网站“ppomppu”遭黑客袭击190万条个人信息被泄露(中国网)2015年9月21日,苹果被曝安全漏洞多款常用APP感染病毒,苹果应用商店中包括12306、滴滴出行、高德地图等多款常用的76款APP应用均感染上了一种名叫XcodeGhost的病毒。(中新网)2015年9月11日,多家金融机构被曝存
14、在漏洞黑客:价钱合适数据都能买到;包括乌云、补天等漏洞响应平台曝光了多家银行、券商、保险、基金公司网站存在漏洞。这些漏洞主要集中在跨站脚本攻击、金融APP安全问题等,如果不及时处理,包括银行的转账信息、投资者的个人信息、账号密码、交易记录都存在着被泄露的风险。(央广网)网络安全网络安全Cyber security误区误区1:网络安全:网络安全=信息安全信息安全华为的信息安全是确保确保对内关键资产对内关键资产的有效管控;网络安全是指对客户的系统和网络对客户的系统和网络,以及其所承载,以及其所承载的客户或用户的通信内容、个人数据及隐私等进行的客户或用户的通信内容、个人数据及隐私等进行保护。保护。信
15、息信息安全安全防攻击防攻击防病毒防病毒误区误区2:网络安全:网络安全=防攻击防病毒防攻击防病毒网络安全不仅仅是防攻击防病毒,还包括业务连续及健壮的网络、承载及保护的数据/隐私。误区误区3:网络安全:网络安全=物理和人身安全物理和人身安全(Safety)lSafety 主要是人在使用产品时不受到伤害,包括电磁、电容辐射、安规等。物理和人身物理和人身安全安全 Safety 误区误区4:网络:网络Cyber=NetworkNetwork:是指具体实体的网络,包括如计算机、路由器、交换机等组建网络;Cyber:是指虚拟的网络Network security2 2、什么是网络安全?、什么是网络安全?华为
16、对网络安全的定义华为对网络安全的定义网络安全网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动。通过网络安全的保障,避免华为及其客户的经济、声誉受损;避免行为人或华为承担民事、行政甚至刑事责任;避免成为贸易保护的借口,避免成为国际政治危机的导火索。Page 10网络安全五个特性 确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。完整性系统或设备遭受攻击时,具体一定的防护能力。确保实体行动或信息流动可被追踪。抗攻击性确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。可用性机密性可追溯性业界网络安全三性 CIA 机密性(Confidentiality)指只有授权用户可以获取信息完整性(Integrality)指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性可用性(Availabil
