華為始終致力于構筑安全可信的數字化產品與服務,不斷優化端到端保障體系,確保各領域的網絡安全和隱私保護工作持續夯實并與時俱進。2020年,我們在流程變革、解決方案、技術創新、獨立驗證、供應鏈、人員管理等方面落實的重要舉措包括:
推進可信變革,提升軟件工程能力和網絡韌性,打造安全可信的高質量產品與解決方案。軟件工程能力提升變革階段性成果已融入華為管理體系和研發流程;可信工程能力已嵌入IT和工具,為產品開發提供高效、過程可信的研發作業環境;在可信軟件方面,我們發布軟件過程可信能力框架和衡量標準,建設了9大類共計44個能力及114個子能力,建立起一整套系統的、可持續的和快速反饋的可信編碼生產機制;在可信硬件方面,我們在新開發的單板上落地可信與安全設計規范,硬件可信關鍵組件通過CC EAL4+認證;我們在產品設計中開展威脅建模分析,落實安全韌性架構,并通過單域安全管理、網元入侵檢測等安全公共產品與組件幫助產品和解決方案提升安全態勢感知能力,從架構上實現結果可信;我們通過開展培訓與人員能力認證,不斷提升員工的網絡安全能力與意識,2020年我們認證了2萬多名員工,讓可信軟件文化逐漸深入人心。
通過技術創新幫助客戶應對安全風險。我們圍繞5G、AI、云計算、智能終端、自動駕駛、數字智能體等業務場景,基于系統、網絡、應用、數據多層次的安全技術棧,持續開展密碼學、AI可信、機密計算、差分隱私、數字身份與信任機制等前沿技術的研究探索,并加快這些創新技術的應用落地,提升產品的原生安全能力,增強韌性,幫助客戶應對最新的安全風險。以5G基站為例,我們通過部署偽基站檢測、用戶身份標識加密、空口防DDOS攻擊、內置防火墻等功能,增強對終端用戶的隱私保護,減少攻擊面,提升防御強度,增強網絡韌性。我們在2020年華為全聯接大會上發布了基于可信執行環境的AI安全保護技術,可以有效提升AI解決方案中高價值數據資產的安全性。截至2020年底,我們在全球已獲得2963件網絡安全和隱私保護相關的技術發明專利。
持續加強供應鏈的網絡安全風險管理和能力建設。華為已建立了符合ISO 28000的全面供應鏈安全管理體系,從來料到客戶交付的端到端流程中,識別和控制安全風險。我們建立了業界領先的物料可信規格及安全選型測試標準和可信供應商成熟度標準,供應商需要通過安全選型測試及體系認證后方可引入。2020年,我們對全球超過4,000家供應商進行風險評估和跟蹤管理,與超過5,000家供應商簽署了數據處理協議并進行了數據處理盡職調查,確保隱私合規。我們優化了可供應性和可制造性安全基線和驗證流程,并在新產品的生產過程中落地。我們注重各國對供應鏈安全的要求,累計在五大洲28個國家和地區獲得35張AEO(Authorized Economic Operator)證書。我們持續優化產品發貨追溯系統,有效支撐問題快速修復及風險緩解。
trustworthy
全面實施服務作業安全可信。疫情期間網絡流量激增導致全球客戶建站需求大增,華為通過數字化手段提升人員資質管理、接入安全、操作安全以及數據安全管控等能力,開展月度“網絡平安日”等主題活動,提升交付與服務人員安全意識,并通過本地加遠程交付中心的模式,幫助運營商客戶快速安全地建設網絡和開展業務,降低疫情的影響。
持續加強全員意識,穩步提升專業能力。我們舉辦網絡安全與隱私保護活動月,通過總裁寄語、專家講座、知識競答、透明中心開放日、技術大賽、驗證大會等主題活動,開展形式多樣的網絡安全文化建設,持續加強全員意識。為提升員工專業能力,我們在政策上鼓勵員工參與外部專業認證,并提供相應專業培訓,已有760多人獲得了CISSP、IAPP等權威認證。與此同時,我們依托網絡安全與隱私保護知識中心持續規劃和開發賦能課程,目前知識中心已上線204門課程,涵蓋網絡安全與隱私保護洞察、流程建設、驗證與測試、隱私保護等方面的內容,超過20萬人次參與學習。
在第三方獨立驗證上加大投入。我們持續與業界權威認證機構和第三方實驗室開展合作,以行業標準和優秀實踐來檢驗華為產品、解決方案和服務的網絡安全及隱私保護能力,取得了以下業務進展:
2020年共獲得70多個網絡安全和隱私保護相關認證,如5G和LTE基站行業內率先通過NESAS評估;5G基站獲得CC EAL4+認證;路由器產品獲得法國ANSSI的CSPN認證;iTrustee通過法國ANSSI CC認證;防火墻和園區交換機產品完成PCI-DSS評估;Mate 40系列手機獲得DRM版權認證及德國ePrivacy認證;華為云獲得CSA STAR、ISO 27001、ISO 27701、PCI DSS、TISAX等十多項認證。
2020年5月,德國IT安全服務公司ERNW完成了華網網元UDG(Unified Distributed Gateway)的源代碼技術審視,報告顯示,“UDG整體源代碼質量良好,表明華為已建立了成熟的軟件開發流程”。
我們在華為云、終端云、手機等領域持續開展漏洞獎勵計劃,鼓勵業界白帽黑客在華為產品中挖掘漏洞,與業界眾多安全專家共同構建負責任、透明、協同、安全的漏洞生態。
尊重和保護用戶隱私。華為遵守各國隱私保護相關的法律法規要求,并構建端到端的隱私保護管理體系和技術能力;我們構建了隱私保護流程和系列的IT工具平臺,提升合規有效性和管理成熟度,提供更為透明、清晰的隱私保護合規過程和結果展示;我們對數據主體權利保障持續投入和完善,及時有效地處理超過20,000次數據主體請求;我們持續地在不同國家和各業務領域開展內外部審計,以確保公司個人隱私保護政策得到有效實施。
【案例】華為瀏覽器,為用戶構建安全可信的上網環境
隨著互聯網的蓬勃發展,瀏覽器已經成為我們了解世界的重要窗口。為用戶構建安全可信的上網環境,是華為瀏覽器首要關注的問題。秉承著“創新科技保護隱私”的核心理念,華為瀏覽器提供了以下特色功能:
惡意網址檢測
有些釣魚網站、欺詐網站通過偽裝成正規網站,采用欺騙性的手段企圖盜取用戶的個人信息。一旦誤入這些網站,用戶可能面臨帳號丟失及隱私泄漏等風險。為此,華為瀏覽器聯合業界頂尖安全廠商對網站安全性進行檢測并告知風險,提示用戶謹慎訪問。檢測時,我們不會將用戶實際訪問的網址傳遞給第三方安全廠商,而是經過去識別化和匿名化處理的地址,這樣華為和第三方都無法獲知用戶訪問的網站內容。同時,華為瀏覽器的“惡意網址檢測”功能默認開啟,用戶無需更改任何設置便能得到保護。
智能防跟蹤
當用戶在網上查看過某件想買的商品后,瀏覽其他網頁時往往也能看到這個商品的廣告,這是廣告商通過跟蹤型Cookie跨網站向用戶推送的。華為瀏覽器“智能防跟蹤”功能可以提前識別跟蹤型網址,并同步到用戶的手機。當用戶訪問這些網址時,華為瀏覽器會自動禁止攜帶跟蹤型Cookie,從而阻斷跨網站跟蹤行為,充分保護用戶隱私。
內容攔截
瀏覽網頁時出現的廣告嚴重影響用戶體驗,華為瀏覽器提供網站級廣告過濾控制能力,并在地址伸縮欄實時提示已過濾廣告的條數。對騷擾廣告重災區的網站,華為瀏覽器自動打開廣告過濾攔截;對正常網站,用戶可根據自己的喜好設置廣告過濾功能。
智能攔截App自動打開和下載
網頁瀏覽過程中,華為瀏覽器會貼心地幫用戶自動屏蔽網頁自動打開和下載App的行為,減少干擾,保障用戶更流暢的網頁瀏覽體驗。這項功能默認開啟,無需用戶自行設置。
除上述功能外,華為瀏覽器還有很多隱私安全保護功能,比如:個性化可知可控(與第三方個人數據零分享)、無痕瀏覽、第三方網站敏感權限使用可知可控、兒童模式等。華為瀏覽器在全球范圍內通過了英國標準協會(BSI)頒發的ISO/IEC 27001、ISO/IEC 27018、ISO/IEC 27701、CSA STAR四項國際信息安全和隱私保護領域的權威認證。
(1).2021年食品安全與日常飲食考試題庫及答案
(2).大學實驗室安全培訓考核考試題庫及答案
(3).2021年中學生安全知識考試試題及答案
(4).安全師考試《管理知識》訓練題及答案【精華篇】
(5).關于安全工程師考試科目《管理知識》試題及答案
(6).2021年注冊安全工程師考試安全生產技術預測題【優秀】
(7).關于2020年安全培訓考試題及答案
(8).關于注冊安全工程師考試《管理知識》練習題及答案
(9).關于安全工程師考試教材《安全生產管理知識》試題
(10).關于2020年注冊安全工程師考試管理知識沖刺題
華為瀏覽器始終以用戶為中心,致力于構建安全可信的上網環境,讓用戶暢享智慧數字生活。