华为网络安全白皮书-Huawei.PDF

网络安全透视 构筑公司的网络安全基因 —— 一套综合流程、政策与标准 ● 约翰 萨福克 高级副总裁 | 全球网络安全官 华为技术有限公司 20 13年10月 作者 本文档由来自世界各地的很多优秀的同事共同撰写。我只 是在他们细致工作的基础上进行一些简单的编辑，形成白 皮书，清楚一致地表达华为对网络安全的立场和看法，希 望能够很好地反映他们的工作。 在此，我想要感谢那些给我提出了宝贵意见并对本文档做 出重大贡献的人 ：南建峰、王唯践、彭丽巍、David Francis 、 黄莎莎、Andy Purdy 、张博、Debu Nayak、马宏伟、Peter Rossi、刘晨曦、Michael Moore 、刘海军、Andy Hopkins 、梁 永刚、薛勇波、牟德俊、Wout van Wij k、William Plummer、 Brent Hooley 、Olaf Reus 、Scott Sy kes 、Scott Bradley 、Ruri Tomioka 、李冬、刘松、刘斌、Ludovic Petit 、Ulf Feger ，以 及其他直接或间接对本白皮书做出贡献的人，恕不一一列举。 约翰● 萨福克 目录 2013年10月 1. 序言 1 2. 执行概要 2 3. 引言 4 4. 我们12个月前说过的话 5 5. 保卫将来——明日世界的安全 6 6. 标准的问题在于它们并不标准 7 6.1 客户要求我们的与安全相关的前100件事情8 7. 华为端到端的网络安全方法 8 7.1 战略、治理与控制 10 7.2 构建基本要素：流程与标准 12 7.3 法律法规 14 7.4 人员很重要 16 7.5 研发 18 7.5.1 配置管理和构建中心20 7.5.2 工具和第三方部件管理21 7.6 验证：不假定任何事情，不相信任何人，检验所有的东西22 7.7 第三方供应商管理24 7.7.1 供应链24 7.7.2 采购安全26 7.8 制造27 7.9 安全地交付服务29 7.10 出现问题时：问题、缺陷和漏洞的识别与解决32 7.11 可追溯：大海捞针35 7.12 审计36 8. 共同前进——按下安全的重置按钮 37 9. 关于华为 39 网络安全透视 构筑公司的网络安全基因 —— 一套综合流程、政策与标准 图表 图1：简化的网络安全治理结构 11 图2 ：整体流程架构 13 图3 ：网络安全融入人力资源流程 16 图4 ：市场管理到集成产品开发 18 图5 ：安全融入IPD流程 19 图6 ：多层的独立验证方法 22 图7 ：供应商管理模型26 图8 ：条码可追溯方法29 图9 ：服务交付概览30 图10 ：PSIRT与其他流程的衔接 32 图11：PSIRT/CERT流程34 图12 ：软件的正向和逆向可追溯图示 35 图13 ：硬件的正向和逆向可追溯图示 36 1 序言 网络安全一直是我们的客户非常关注的一件事情，也是政府和供应商非常关注的事情。这也是华为关注 的一个焦点，保障网络安全是我们公司的核心战略之一。 我们认为，只有通过供应商、客户和政策与法律制定者之间的全球合作，我们才能在应对全球网络安全