华为始终致力于构筑安全可信的数字化产品与服务,不断优化端到端保障体系,确保各领域的网络安全和隐私保护工作持续夯实并与时俱进。2020年,我们在流程变革、解决方案、技术创新、独立验证、供应链、人员管理等方面落实的重要举措包括:
推进可信变革,提升软件工程能力和网络韧性,打造安全可信的高质量产品与解决方案。软件工程能力提升变革阶段性成果已融入华为管理体系和研发流程;可信工程能力已嵌入IT和工具,为产品开发提供高效、过程可信的研发作业环境;在可信软件方面,我们发布软件过程可信能力框架和衡量标准,建设了9大类共计44个能力及114个子能力,建立起一整套系统的、可持续的和快速反馈的可信编码生产机制;在可信硬件方面,我们在新开发的单板上落地可信与安全设计规范,硬件可信关键组件通过CC EAL4+认证;我们在产品设计中开展威胁建模分析,落实安全韧性架构,并通过单域安全管理、网元入侵检测等安全公共产品与组件帮助产品和解决方案提升安全态势感知能力,从架构上实现结果可信;我们通过开展培训与人员能力认证,不断提升员工的网络安全能力与意识,2020年我们认证了2万多名员工,让可信软件文化逐渐深入人心。
通过技术创新帮助客户应对安全风险。我们围绕5G、AI、云计算、智能终端、自动驾驶、数字智能体等业务场景,基于系统、网络、应用、数据多层次的安全技术栈,持续开展密码学、AI可信、机密计算、差分隐私、数字身份与信任机制等前沿技术的研究探索,并加快这些创新技术的应用落地,提升产品的原生安全能力,增强韧性,帮助客户应对最新的安全风险。以5G基站为例,我们通过部署伪基站检测、用户身份标识加密、空口防DDOS攻击、内置防火墙等功能,增强对终端用户的隐私保护,减少攻击面,提升防御强度,增强网络韧性。我们在2020年华为全联接大会上发布了基于可信执行环境的AI安全保护技术,可以有效提升AI解决方案中高价值数据资产的安全性。截至2020年底,我们在全球已获得2963件网络安全和隐私保护相关的技术发明专利。
持续加强供应链的网络安全风险管理和能力建设。华为已建立了符合ISO 28000的全面供应链安全管理体系,从来料到客户交付的端到端流程中,识别和控制安全风险。我们建立了业界领先的物料可信规格及安全选型测试标准和可信供应商成熟度标准,供应商需要通过安全选型测试及体系认证后方可引入。2020年,我们对全球超过4,000家供应商进行风险评估和跟踪管理,与超过5,000家供应商签署了数据处理协议并进行了数据处理尽职调查,确保隐私合规。我们优化了可供应性和可制造性安全基线和验证流程,并在新产品的生产过程中落地。我们注重各国对供应链安全的要求,累计在五大洲28个国家和地区获得35张AEO(Authorized Economic Operator)证书。我们持续优化产品发货追溯系统,有效支撑问题快速修复及风险缓解。
trustworthy
全面实施服务作业安全可信。疫情期间网络流量激增导致全球客户建站需求大增,华为通过数字化手段提升人员资质管理、接入安全、操作安全以及数据安全管控等能力,开展月度“网络平安日”等主题活动,提升交付与服务人员安全意识,并通过本地加远程交付中心的模式,帮助运营商客户快速安全地建设网络和开展业务,降低疫情的影响。
持续加强全员意识,稳步提升专业能力。我们举办网络安全与隐私保护活动月,通过总裁寄语、专家讲座、知识竞答、透明中心开放日、技术大赛、验证大会等主题活动,开展形式多样的网络安全文化建设,持续加强全员意识。为提升员工专业能力,我们在政策上鼓励员工参与外部专业认证,并提供相应专业培训,已有760多人获得了CISSP、IAPP等权威认证。与此同时,我们依托网络安全与隐私保护知识中心持续规划和开发赋能课程,目前知识中心已上线204门课程,涵盖网络安全与隐私保护洞察、流程建设、验证与测试、隐私保护等方面的内容,超过20万人次参与学习。
在第三方独立验证上加大投入。我们持续与业界权威认证机构和第三方实验室开展合作,以行业标准和优秀实践来检验华为产品、解决方案和服务的网络安全及隐私保护能力,取得了以下业务进展:
2020年共获得70多个网络安全和隐私保护相关认证,如5G和LTE基站行业内率先通过NESAS评估;5G基站获得CC EAL4+认证;路由器产品获得法国ANSSI的CSPN认证;iTrustee通过法国ANSSI CC认证;防火墙和园区交换机产品完成PCI-DSS评估;Mate 40系列手机获得DRM版权认证及德国ePrivacy认证;华为云获得CSA STAR、ISO 27001、ISO 27701、PCI DSS、TISAX等十多项认证。
2020年5月,德国IT安全服务公司ERNW完成了华网网元UDG(Unified Distributed Gateway)的源代码技术审视,报告显示,“UDG整体源代码质量良好,表明华为已建立了成熟的软件开发流程”。
我们在华为云、终端云、手机等领域持续开展漏洞奖励计划,鼓励业界白帽黑客在华为产品中挖掘漏洞,与业界众多安全专家共同构建负责任、透明、协同、安全的漏洞生态。
尊重和保护用户隐私。华为遵守各国隐私保护相关的法律法规要求,并构建端到端的隐私保护管理体系和技术能力;我们构建了隐私保护流程和系列的IT工具平台,提升合规有效性和管理成熟度,提供更为透明、清晰的隐私保护合规过程和结果展示;我们对数据主体权利保障持续投入和完善,及时有效地处理超过20,000次数据主体请求;我们持续地在不同国家和各业务领域开展内外部审计,以确保公司个人隐私保护政策得到有效实施。
【案例】华为浏览器,为用户构建安全可信的上网环境
随着互联网的蓬勃发展,浏览器已经成为我们了解世界的重要窗口。为用户构建安全可信的上网环境,是华为浏览器首要关注的问题。秉承着“创新科技保护隐私”的核心理念,华为浏览器提供了以下特色功能:
恶意网址检测
有些钓鱼网站、欺诈网站通过伪装成正规网站,采用欺骗性的手段企图盗取用户的个人信息。一旦误入这些网站,用户可能面临帐号丢失及隐私泄漏等风险。为此,华为浏览器联合业界顶尖安全厂商对网站安全性进行检测并告知风险,提示用户谨慎访问。检测时,我们不会将用户实际访问的网址传递给第三方安全厂商,而是经过去识别化和匿名化处理的地址,这样华为和第三方都无法获知用户访问的网站内容。同时,华为浏览器的“恶意网址检测”功能默认开启,用户无需更改任何设置便能得到保护。
智能防跟踪
当用户在网上查看过某件想买的商品后,浏览其他网页时往往也能看到这个商品的广告,这是广告商通过跟踪型Cookie跨网站向用户推送的。华为浏览器“智能防跟踪”功能可以提前识别跟踪型网址,并同步到用户的手机。当用户访问这些网址时,华为浏览器会自动禁止携带跟踪型Cookie,从而阻断跨网站跟踪行为,充分保护用户隐私。
内容拦截
浏览网页时出现的广告严重影响用户体验,华为浏览器提供网站级广告过滤控制能力,并在地址伸缩栏实时提示已过滤广告的条数。对骚扰广告重灾区的网站,华为浏览器自动打开广告过滤拦截;对正常网站,用户可根据自己的喜好设置广告过滤功能。
智能拦截App自动打开和下载
网页浏览过程中,华为浏览器会贴心地帮用户自动屏蔽网页自动打开和下载App的行为,减少干扰,保障用户更流畅的网页浏览体验。这项功能默认开启,无需用户自行设置。
除上述功能外,华为浏览器还有很多隐私安全保护功能,比如:个性化可知可控(与第三方个人数据零分享)、无痕浏览、第三方网站敏感权限使用可知可控、儿童模式等。华为浏览器在全球范围内通过了英国标准协会(BSI)颁发的ISO/IEC 27001、ISO/IEC 27018、ISO/IEC 27701、CSA STAR四项国际信息安全和隐私保护领域的权威认证。
(1).2021年食品安全与日常饮食考试题库及答案
(2).大学实验室安全培训考核考试题库及答案
(3).2021年中学生安全知识考试试题及答案
(4).安全师考试《管理知识》训练题及答案【精华篇】
(5).关于安全工程师考试科目《管理知识》试题及答案
(6).2021年注册安全工程师考试安全生产技术预测题【优秀】
(7).关于2020年安全培训考试题及答案
(8).关于注册安全工程师考试《管理知识》练习题及答案
(9).关于安全工程师考试教材《安全生产管理知识》试题
(10).关于2020年注册安全工程师考试管理知识冲刺题
华为浏览器始终以用户为中心,致力于构建安全可信的上网环境,让用户畅享智慧数字生活。
