本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策>

华为网络安全白皮书(2014年12月)

2014-12-02

在我们2013年10月发布的白皮书《构筑公司的网络安全基因——一套综合流程、政策与标准》中 ,我们详细描述了我们全面建立端到端网络安全流程的方法。我们说过,我们借此机会将客户告诉我们的与安全相关的前100件事情记录下来。实际上,任何人都可能向其技术供应商提出那些问题,了解他们的网络安全方法。本白皮书是一个清单,详细讲述了前100件事情,聚焦于技术购买商向其技术供应商提出的问题。

其目的是根据别人向华为提出的问题以及我们针对一系列的“标准”和最佳实践所做的评估提出建议,让购买者可以在招投标时系统性地分析供应商的网络安全能力。

为了撰写这前100个要求,我们参考了很多的资料。

• 首先也是最重要的是,我们认真倾听了客户的心声。他们的问题和关注点是什么?他们的担心是什么?他们自己的要求,他们的行业或者国家的要求是什么?

• 作为全球ICT行业的领军企业,华为的业务遍及大规模通信基础设施、云计算、企业和消费者解决方案等所有东西。我们拥有来自150000员工、科学家和工程师的丰富知识——我们利用他们的知识和激情来做好这件事。

• 最后,我们浏览了1200多份“标准”、文章或者“最佳实践”,以确保一定程度的一致性。

我们认识到,在很多国家,与网络安全相关的法律和行业要求越来越多。政府和规则制定者开始将网络安全义务和网络安全失败的后续责任转嫁给国家关键基础设施供应商和计算机或信息技术服务供应商,这种现象确实不再罕见了。越来越多的公司不得不详细阐述其应对网络安全的方法,并详细说明他们对其自身的技术供应商和服务供应商所做的分析和评估。

服务供应商可以说“我不知道“或者“我原以为他们是优秀的,有能力的”,这样的时代正快速走向终点。技术购买者不对其所有供应商使用一致的评估问题的时代马上就要终结了。在一个全球相互交织的世界,威胁可能来自任何地方,而且也确实如此。这前100个要求是一个开始,让你开始评估供应商的网络安全能力,减少自身的风险。至关重要的是,我们相信,在要求高质量的安全保障方面,购买者的要求越高,购买者越一致,ICT供应商对安全进行投资、提高其安全标准的可能性就越大。

本白皮书大部分篇幅阐述了根据我们的研究,我们认为你在选择技术供应商时应该考虑的100件事情。我们把它们分成了几个章节,包括:战略、治理与控制,标准和流程,法律法规,人力资源,研究和开发,验证,第三方供应商管理,制造,安全地交付服务,问题、缺陷和漏洞解决以及审计。

每个章节都详细讲述了许多你应该考虑向你的技术供应商提出的要求。我们也提供了一些额外的理据,说明为什么这可能很重要的原因。其中一些问题可能会在以下方面对你们自己的组织有所帮助:内部审计人员要看什么,你自身的治理可能要考虑什么,以及你的董事会和审计委员会可能会问些什么问题。

最后,我们向标准组织发出请求:

• 首先,我们应该团结起来,减少不同标准之间的交叉和重复。

• 第二,我们要将这些各种各样的标准进行重建,让它们建立在一个一致的构建模块之上:举个例子,治理与控制应该是所有含有此要求的标准中相同的构建模块,而不是很多标准有稍微不同的模块。

• 第三,我们需要尽可能地多关注结果性措施,而不是界定输入或者任务。

我们鼓励尽可能多的公司、政策顾问、供应商和买家思考这最初的Top100作为第一版,并提出改进建议。本着这种精神,我们很高兴地宣布,东西方研究所(EWI)已经同意采用首版Top100,并利用其广博的知识和网络,引导版本的刷新和定制化。我们希望Top100的概念能够成为买家方法的一个组成部分,能够有助于ICT行业进一步推动改进产品和服务的安全设计、开发和部署。

Top100网络安全要求白皮书(PDF, 531KB)