华为网络安全白皮书2013年10月

ningjing

网络安全透视
构筑公司的网络安全基因
—— 一套综合流程、政策与标准
约翰 ● 萨福克
高级副总裁 | 全球网络安全官
华为技术有限公司
2013年10月
目录2013年10月
1. 序言 ...................................................................................................... 1
2. 执行概要 .............................................................................................. 2
3. 引言 ...................................................................................................... 4
4. 我们12个月前说过的话 ........................................................................ 5
5. 保卫将来——明日世界的安全 ............................................................. 6
6. 标准的问题在于它们并不标准 ............................................................. 7
6.1 客户要求我们的与安全相关的前100件事情 ............................................8
7. 华为端到端的网络安全方法 ................................................................. 8
7.1 战略、治理与控制 ...............................................................................................10
7.2 构建基本要素：流程与标准.................................................................................12
7.3 法律法规 ...............................................................................................................14
7.4 人员很重要 ...........................................................................................................16
7.5 研发 ......................................................................................................................18
7.5.1 配置管理和构建中心 ..................................................................................20
7.5.2 工具和第三方部件管理 ..............................................................................21
7.6 验证：不假定任何事情，不相信任何人，检验所有的东西 ...............................22
7.7 第三方供应商管理 ................................................................................................24
7.7.1 供应链 .........................................................................................................24
7.7.2 采购安全 .....................................................................................................26
7.8 制造 ......................................................................................................................27
7.9 安全地交付服务 ...................................................................................................29
7.10 出现问题时：问题、缺陷和漏洞的识别与解决 ................................................32
7.11 可追溯：大海捞针 ..............................................................................................35
7.12 审计 ....................................................................................................................36
8. 共同前进——按下安全的重置按钮 .................................................... 37
9. 关于华为 ............................................................................................ 39
图1：简化的网络安全治理结构 ...................................................................... 11
图2：整体流程架构 .........................................................................................13
图3：网络安全融入人力资源流程 ...................................................................16
图4：市场管理到集成产品开发 ......................................................................18
图5：安全融入IPD流程 ....................................................................................19
图6：多层的独立验证方法 .............................................................................. 22
图7：供应商管理模型......................................................................................26
图8：条码可追溯方法......................................................................................29
图9：服务交付概览 .........................................................................................30
图10：PSIRT与其他流程的衔接 ........................................................................ 32
图11：PSIRT/CERT流程 .....................................................................................34
图12：软件的正向和逆向可追溯图示 ............................................................ 35
图13：硬件的正向和逆向可追溯图示 ............................................................ 36