2020年华为网络安全与隐私保护规范

华为在物联网安全领域的领先技术与解决方案保障物联网安全与隐私华为在物联网安全领域的领先技术与解决方案保障物联网安全与隐私随着物联网的不断发展，各类智能设备的互联互通也带来了越来越多的安全隐患。

而物联网的安全和隐私保护已经成为业界关注的焦点。

华为作为全球领先的信息通信技术解决方案供应商，致力于物联网安全领域的研发与创新，为用户提供全方位的安全保障。

本文将介绍华为在物联网安全领域的领先技术与解决方案，以及保障物联网安全与隐私的措施。

一、基于边缘计算的物联网安全技术在物联网领域，边缘计算技术被广泛应用。

华为提出了一种基于边缘计算的物联网安全技术，通过将部分数据的处理和存储转移到边缘节点，减少了网络带宽的消耗，并提高了数据的处理效率。

同时，华为通过数据隔离和访问控制等手段，保护物联网设备的安全，防止恶意攻击和数据泄露。

这种技术的优势在于可以将物联网设备与云端的交互降到最低，提高了系统运行的安全性。

二、物联网边缘网关的安全解决方案作为物联网边缘网络的关键节点，边缘网关扮演着连接物联网设备和云平台的桥梁角色。

为了保障边缘网关的安全性，华为提出了一系列的安全解决方案。

首先，华为利用自研的芯片安全技术，对边缘网关进行加密和认证，确保设备的合法性和可信度。

其次，基于自主研发的防火墙技术，华为提供了多层次的防护机制，确保在物联网边缘网关与云平台之间的数据传输的安全性。

而且，华为还将网络流量分析和入侵检测技术集成到边缘网关中，及时发现异常行为并做出响应。

三、安全固件技术的应用物联网设备的安全固件技术是保障物联网安全的一项重要措施。

华为秉承“安全先行”的原则，将安全固件技术广泛应用于物联网设备中。

通过安全固件技术，华为能够监控和管理设备的安全性能，及时更新固件以修复已知漏洞，从而提高设备的安全性和稳定性。

此外，华为还通过物理层面的加密和认证技术，保护设备的身份和数据的完整性，有效地防止设备被非法篡改和攻击。

四、全方位的数据安全保障在物联网安全领域，保护用户数据的安全是至关重要的。

华为公司国际互联网安全管理规定第一章总则第一条目的为了保障公司计算机国际互联网的系统安全，保证公司内部网络与Internet网的稳定健康互联，有效地防止内部网络系统遭受外部攻击，加强内部信息管理，有效控制信息传播渠道，特制定本规定。

第二条范围本规定适用于公司国际互联网系统。

第三条国际互联网安全保障体系计算机国际互联网安全保障体系包括以下部分：（一）互联网安全管理责任人和安全技术人员（二）安全管理制度和安全稽核制度（三）互联网硬件、软件与安全相关的性能和机房环境（四）技术安全措施第二章安全组织与职责第四条安全机构公司主管IT建设的副总裁主持国际互联网安全工作，成立国际互联网安全管理小组。

第五条职责安全管理小组负责制定和监督实施国际互联网安全管理的各种规章制度；定期检查国际互联网系统的安全运行情况；监督、指导建立国际互联网安全保障体系，组织宣传国际互联网计算机安全管理方面的法律、法规和有关政策。

第三章实体安全管理制度第六条计算机机房设计必须符合下列标准：a:《计算机场地技术条件》（GB2887－89）b:《计算站场地安全要求》（GB9361－88）第七条计算中心机房建筑和结构满足下列条件：机房设置在电梯或楼梯不能直接进入的场所；机房应与外部人员频繁出入的场所隔离；机房周围应设有防止非法进入的设施；外部容易接近的窗口应采取防范措施；无人值守时应有自动报警设备；机房内部设计应便于出入控制和分区控制；机房内用于动力、照明的供电线路应与计算机系统的供电线路分开；机房内不同电压的供电系统应安装互不兼容的插座。

第八条主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求；可采用区域控制的办法，即将可能截获辐射信息的区域控制起来，不许外部人员接近；可采用机房屏蔽的方法，使得信息不能辐射出机房。

第九条磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装；磁带、磁盘应放在距钢筋房柱或类似结构物十厘米以上，以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。

EMUI 11.0安全技术白皮书文档版本V1.0发布日期2020-11-30目录1 概述 (6)简介 (6)EMUI的安全 (7)2 硬件安全 (10)安全启动 (10)硬件加解密引擎及随机数发生器 (11)设备唯一密钥 (12)设备组密钥 (12)设备证明 (12)安全元件* (13)安全存储* (13)移动安全处理器* (13)3 可信执行环境 (15)iTrustee安全OS介绍 (15)可信存储服务 (17)加解密服务 (17)可信显示与输入（TUI） (17)可信时间 (17)4 系统安全 (19)完整性保护技术 (19)内核漏洞防利用技术 (21)内核攻击检测技术 (22)强制访问控制技术 (22)身份认证 (22)5 数据安全 (25)HUKS（华为通用密钥库系统） (25)锁屏密码保护 (26)数据分类分级加密 (26)密码保险箱 (28)6 应用安全 (29)应用上架安全检测 (29)应用安装时签名验证 (30)应用沙箱 (30)应用运行时内存保护 (30)安全输入* (31)应用威胁检测 (31)AI（人工智能）安全防护* (31)恶意网址检测* (31)7 网络与通信安全 (32)VPN (32)TLS (32)无线局域网安全* (33)防伪基站* (33)8 分布式安全 (34)设备互联安全性 (34)分布式系统协同用户身份认证 (35)分布式权限管理 (36)9 高级安全 (37)Huawei Pay (37)手机交通卡 (39)手机门钥匙 (40)手机盾* (41)电子身份证* (42)车钥匙 (42)验证码短信保护* (42)10 互联网云服务安全 (44)华为帐号 (44)帐号保护 (44)华为帐号消息 (46)MyCloud (46)11 设备管理 (48)查找我的手机 & 激活锁* (48)12 隐私保护 (50)权限管理 (50)录音/录像提醒 (51)仅本次允许 (51)定位服务 (51)设备标识符体系 (51)差分隐私 (53)隐私政策声明 (53)13 安全标准遵从与认证 (54)安全标准遵从 (54)安全认证* (54)14 数字版权保护 (56)ChinaDRM 2.0 (56)15 结语 (57)16 缩略语表/ACRONYMS AND ABBREVIATIONS (58)注：*表示不是所有设备都支持该特性。

华为信息安全手册一、新职员入职信息安全须知新职员入职后，在信息安全方面有哪些注意事项？同意“信息安全与保密意识”培训；每年应至少参加一次信息安全网上考试；办理职员卡；签署劳动合同（含保密职责）；依照部门和岗位的需要签署保密协议。

职员入职后，需要办理职员卡，职员卡的意义和用途是什么？工卡是公司职员的身份证明，所有进入华为公司的人员，在公司期间一律要正确佩戴相应的卡证。

工卡还有考勤、门禁验证等作用。

工卡不仅关系到公司形象及安全，还关系到职员本人的切身利益，一定要妥善保管。

公司信息安全方面的规定都有哪些？在哪里能够查到信息安全的有关治理规定？网络安全部在参考国际安全标准BS7799和在顾问的关心下，制订了一套比较完整的信息安全方面的治理规定，其中与一般职员关系紧密的有《信息保密治理规定》、《个人运算机安全治理规定》、《信息交流治理规定》、《病毒防治治理规定》、《办公区域安全治理规定》、《网络连接治理规定》、《信息安全奖惩管理规定》、《运算机物理设备安全治理规定》、《开发测试环境治理规定》、《供应商/合作商接待治理方法》、《外部人员信息安全治理规定》、《会议信息安全治理规定》和《帐号和口令标准》等。

这些治理规定都汇总在《信息安全策略、标准和治理规定》（即《信息安全白皮书》）中，同时在不断的修改和完善之中。

在“IS Portal”上您能够查到公司信息安全相关的所有信息，如信息安全方面的规定、制度、操作手册、培训胶片、宣传材料和宣传案例等。

各体系细化的信息安全治理规定，可咨询本体系的信息安全专员。

作为一名一般职员，应该如何做才能够符合公司信息安全要求？积极学习和遵守公司各类信息安全治理规定和安全措施，将遵守安全规定融入自己的日常工作行为中。

在工作中，要有强烈的信息安全和保密意识，要有职业的敏锐性。

有义务禁止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。

二、运算机的安全口令设置公司规定的口令设置最低标准是什么，每次更换口令，都不容易记住新口令，该如何办？一般用户（公司一样职员均为一般用户）设置口令的最低标准要紧有以下几条：(1)口令长度不能少于6位且必须包含字母(2)口令至少应包含一个数字字符另外，一个好的口令除了符合口令的最低标准外，最好还应包含大小写字母和特殊的字符。

20XX 专业合同封面COUNTRACT COVER甲方：XXX乙方：XXX2024年网络安全隐私保护协议本合同目录一览第一条协议范围与定义1.1 协议范围1.2 定义第二条数据保护责任2.1 数据收集与使用2.2 数据存储与保护2.3 数据共享与传输第三条用户隐私权3.1 用户信息保护3.2 用户隐私设置3.3 用户数据访问与更正第四条数据安全措施4.1 数据加密4.2 访问控制4.3 安全事件响应第五条个人信息保护合规5.1 合规要求5.2 合规评估与审计5.3 合规违规处理第六条用户通知与同意6.2 用户同意6.3 重大变更通知第七条责任限制与排除7.1 责任限制7.2 排除责任事项第八条违约责任8.1 违约行为8.2 违约责任承担第九条争议解决9.1 争议解决方式9.2 适用法律9.3 争议解决机构第十条合同的生效与终止10.1 协议生效10.2 协议终止10.3 终止后的权利与义务第十一条一般条款11.1 通知11.2 修改与补充11.3 完整协议第十二条适用法律与管辖12.2 争议管辖第十三条保密条款13.1 保密义务13.2 例外情况13.3 泄露后的处理第十四条权利与义务的转让14.1 权利转让14.2 义务转让14.3 同意转让第一部分：合同如下：第一条协议范围与定义1.1 协议范围1.2 定义（1）甲方：指提供网络服务的公司或个人。

（2）乙方：指使用甲方提供的网络服务的用户。

（3）个人数据：指可以识别或者结合其他信息可以识别乙方的信息，包括姓名、地址、电话号码、电子邮件地址、身份证号码等。

（4）网络服务：指甲方通过互联网提供的各种服务，包括但不限于在线购物、社交、娱乐、电子邮件等。

第二条数据保护责任2.1 数据收集与使用甲方在提供网络服务过程中，将收集乙方必要的个人信息以保障服务的正常运行。

甲方承诺仅收集与服务直接相关的人员信息，并明确告知乙方收集信息的目的、范围和方式。

2.2 数据存储与保护甲方将采取合理、有效的技术措施和与管理措施，确保乙方个人信息的安全，防止未经授权的访问、披露、修改或破坏。

解析新版《个人信息安全规范》中的个人信息保护负责人制度2020-08-03《网络安全法》出台后，特别是2018年5月1日《信息安全技术 个人信息安全规范》（“旧版规范”）生效以来，不少企业已经搭建起个人信息保护制度框架。

数据合规体系是动态的有机体，需要静态的制度框架，更需要合规人员的动态推动，将制度融入商业决策与交易中。

即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》（“新版规范”或“《安全规范》”）针对个人信息保护负责人的规定，较旧版规范而言更为具体且务实。

一、为什么要建立个人信息保护负责人制度个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。

设立个人信息保护负责人对企业落地数据合规制度至关重要。

具体而言，科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力，亦可增强其核心竞争力。

（一）提高企业风险防御能力个人信息保护不力会给企业带来巨大损失：政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任；个人信息安全事件如果不能及时、妥善处理，企业所面对的信任危机可能比处罚带来的社会影响更为深远；广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。

个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜，提高企业防御风险的综合能力。

2017年3月，有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。

法院综合认定被告存在泄露个人信息的高度可能，同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。

但是，被告未能证明其已履行法定的个人信息保护义务。

[1]2019年12月，同一家航空公司因类似事由被起诉，但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。

原因在于，航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置，还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。

数据保护和隐私政策第一章总则第一条目的和适用范围为了确保公司员工、客户、供应商等相关方的个人数据得到合理、安全、合规的处理和保护，保护数据主体的隐私权，确保数据使用的合法性和透亮度，本规章制度订立。

第二条规章制度的法律依据本规章制度依据国家相关法律法规订立，重要包含《中华人民共和国个人信息保护法》《网络安全法》等相关法律法规。

第三条定义1.个人数据：指可以直接或间接识别特定个人身份的任何信息，包含但不限于姓名、住址、联系方式、银行账号等信息。

2.数据处理：指收集、存储、使用、传输、删除等一系列与个人数据相关的操作。

3.数据主体：指个人数据的全部者，包含公司员工、客户、供应商等。

4.数据处理者：指依照公司授权或法律要求进行数据处理的单位或个人。

第二章数据处理原则第四条合法性原则在进行个人数据处理时，公司应遵守国家相关法律法规，确保数据处理的合法性。

第五条公正透亮原则在数据处理过程中，公司应采取措施向数据主体以明确、清楚的方式供应信息，使其了解数据处理的目的、方式、范围等，并可行使相关权利。

第六条限制目的原则公司在处理个人数据时应明确、合法地规定数据处理的具体目的，而且不得超出此目的范围进行处理。

第七条最小化原则在进行个人数据处理时，公司应满足处理的合法性和必需性，避开过度收集和使用个人数据。

第八条存续期限原则公司在进行个人数据处理时，应订立数据存续期限规定，合理确定个人数据的存储时间，并在超出存续期限后及时删除或进行处理。

第三章数据处理措施第九条数据收集1.公司在收集个人数据时应明确收集目的，并征得数据主体的明示同意。

2.公司收集的个人数据应尽量直接从数据主体本人获得，如需间接收集，应确保获得合法来源的数据。

第十条数据存储1.公司应建立合理的数据存储和保护措施，确保个人数据的安全存储，防止泄露、丢失或被未经授权的第三方取得。

2.公司应定期进行数据备份，并确保备份数据的完整性和可恢复性。

第十一条数据使用1.公司在使用个人数据时应遵守事先明示的目的，并遵从合法、正当、必需、透亮的原则。

研发运营安全白皮书（2020年）云计算开源产业联盟OpenSource Cloud Alliance for industry，OSCAR2020年7月前言近年来，安全事件频发，究其原因，软件应用服务自身存在代码安全漏洞，被黑客利用攻击是导致安全事件发生的关键因素之一。

随着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域，其自身安全问题也愈发成为业界关注的焦点。

传统研发运营模式之中，安全介入通常是在应用系统构建完成或功能模块搭建完成之后，位置相对滞后，无法完全覆盖研发阶段的安全问题。

在此背景下，搭建整体的研发运营安全体系，强调安全左移，覆盖软件应用服务全生命周期安全，构建可信理念是至关重要的。

本白皮书首先对于研发运营安全进行了概述，梳理了全球研发运营安全现状，随后对于信通院牵头搭建的研发运营安全体系进行了说明，归纳了研发运营安全所涉及的关键技术。

最后，结合当前现状总结了研发运营安全未来的发展趋势，并分享了企业组织研发运营安全优秀实践案例以供参考。

参与编写单位中国信息通信研究院、华为技术有限公司、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、浪潮云信息技术股份公司、京东云计算（北京）有限公司、北京金山云网络技术有限公司、深圳华大生命科学研究院、奇安信科技集团股份有限公司、杭州默安科技有限公司、新思科技（上海）有限公司主要撰稿人吴江伟、栗蔚、郭雪、耿涛、康雪婷、徐毅、章可镌、沈栋、郭铁涛、张祖优、马松松、黄超、伍振亮、祁景昭、朱勇、贺进、宋文娣、张娜、蔡国瑜、张鹏程、张玉良、董国伟、周继玲、杨国梁、肖率武、薛植元目录一、研发运营安全概述 (1)（一）研发层面安全影响深远，安全左移势在必行 (1)（二）覆盖软件应用服务全生命周期的研发运营安全体系 (4)二、研发运营安全发展现状 (5)（一）全球研发运营安全市场持续扩大 (5)（二）国家及区域性国际组织统筹规划研发运营安全问题 (7)（三）国际标准组织及第三方非盈利组织积极推进研发运营安全共识 (12)（四）企业积极探索研发运营安全实践 (14)（五）开发模式逐步向敏捷化发展，研发运营安全体系随之向敏捷化演进 (19)三、研发运营安全关键要素 (21)（一）覆盖软件应用服务全生命周期的研发运营安全体系 (22)（二）研发运营安全解决方案同步发展 (31)四、研发运营安全发展趋势展望 (41)附录：研发运营安全优秀实践案例 (43)（一）华为云可信研发运营案例 (43)（二）腾讯研发运营安全实践 (50)（三）国家基因库生命大数据平台研发运营安全案例 (58)图目录图1 Forrester外部攻击对象统计数据 (2)图2研发运营各阶段代码漏洞修复成本 (3)图3 研发运营安全体系 (4)图4 Cisco SDL体系框架图 (16)图5 VMware SDL体系框架图 (17)图6 微软SDL流程体系 (20)图7 DevSecOps体系框架图 (21)图8 研发运营安全解决方案阶段对应图 (32)表目录表1 2019-2020全球各项安全类支出及预测 (6)表2 2019-2020中国各项安全类支出及预测 (7)表3 重点国家及区域性国际组织研发运营安全相关举措 (12)表4 国际标准组织及第三方非营利组织研发运营安全相关工作 (14)表5 企业研发运营安全具体实践 (19)表6 SDL与DevSecOps区别对照 (21)一、研发运营安全概述（一）研发层面安全影响深远，安全左移势在必行随着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域，软件应用服务的自身安全问题也愈发成为业界关注的焦点。

IT顾客安全手册一、目旳为保证公司信息系统安全稳定旳运营，规范员工合理安全旳使用公司IT资源。

1二、范畴本规范合用公司所有员工。

三、细则（一）通则1. 员工应自觉遵守职业道德，有高度旳责任心并自觉维护公司旳利益；2. 员工不应擅自收集、泄露公司机密信息；3. 员工不应运用公司网络传播和散布与工作无关旳文章和评论，特别是破坏社会秩序旳文章或政治性评论；4. 员工不应下载、使用、传播与工作无关旳文献，如：屏幕保护文献、图片文献、故事、音乐文献等；5. 未经容许员工不应使用未经公司许可旳软件。

(二) 计算机使用熋口令旳设立：1. 员工在使用自己所属旳计算机时，应当设立开机、屏幕保护、目录共享口令，口令长度不能少于6个字符；2. 顾客口令应为同步涉及大、小写字母和数字旳至少6位旳字符串，如：w4hwyg；口令必须难猜，且以便记忆（一般不写在纸上或文献中），建议使用引导词，如前面旳口令就是用“我是华为员工”作提示，在口令中推荐使用键盘上旳符号，如!@#$%^&等；3. 在口令中不使用如下组合：顾客名、姓名旳拼音、英文名、身份证号码、常用词、电话号码、日期、以及其她系统已使用旳口令；4. 口令至少每月更改一次，6个月内不得反复。

煟计算机设备使用1. 员工不得擅自使用软驱、可读写光驱、磁带机、磁光盘机等外置存储设备；2. 员工如须使用外置存储设备，研发系统员工向各部门文档室申请，其她系统员工向各部门干部部提出申请，并备案；3. 员工不应擅自携带便携机、软盘、硬盘、光盘等设备离开公司，需要携带此类物品离开公司旳，须办理携物出门单；4. 员工不应擅自启动计算机机箱，如需拆机箱，研发系统员工向各部门文档室申请，其她系统员工向本部门干部部申请。

煟软件使用1. 员工应安装、运营公司原则规定旳防病毒软件并及时升级，对公司发布旳防病毒措施应及时完毕；2. 员工不应安装未经公司许可旳防病毒软件；3. 如果员工发现公司规定旳防病毒软件不能清除旳病毒，应立即报告管理工程部IT热线，在问题解决之前，应严禁使用感染该病毒旳文献，同步将这些文献隔离，等待解决。

GTS质量红线及违规处理机制解读1、执行不到位，是最大的管理问题2、面向客户和网络的质量责任体系的建立就要让大家主动承担责任，而不是躲避责任.3、制定作业指导书也要考虑分层，第一层是绝对不能做和必须做的，第二层再考虑怎么做的更好。

第一步做好的目的，是首先培育守规矩的文化，令行禁止，养成好的业务习惯4、质量管理三层保障：第一层保障：自己对工作结果负责，一次做对；第二层保障：独立的质量控制，首检/抽检/巡检；第三层保障：基于预防的质量体系5、质量红线是指在日常交付与服务业务活动过程中严格禁止的行为，通常是指一些渎职或严重失职的行为，一旦触犯将会给公司造成损害和负面的影响或者带来较大的风险，相关直接责任人及其管理责任人也将受到相应处理。

6、根据行为的性质和后果的严重程度分为A类红线和B类红线A类质量红线通常指严重的违规行为，该行为通常存在明显的不诚信B类质量红线通常是指较严重的质量违规行为，这种行为导致了较严重质量后果或存在严重质量隐患7、质量红线首先要起到威慑作用，让员工知道有业务底线，不能触碰8、质量红线总体关注点:服务现场作业的高风险点；行为规范以及违规行为的影响度；保护客户商业利益，保护华为公司信誉，防止经济损失和法律风险9、违规处理机制的原则有：分层分级处理原则和管理责任原则10、分层分级处理原则：对质量红线违规人员处理定量的依据是对公司的危害大小或主观上恶意，触犯质量红线行为性质以及后果确定问责处理等级，分级处理。

11、管理责任原则：违规行为发生时的违规人相关主管（管理责任人）若存在管理不力或知情不作为等情形，须承担管理责任。

12、参考制造质量红线违规问责标准，简化问责等级：从违规性质（A类或B类红线）、造成后果两个纬度确定两级问责等级；而问责措施由AT基于具体事实讨论确定13、12个月内同一责任人出现3次二级问责则升级为1次一级问责；当同一行为或结果满足多项问责条件时，从严问责。

14、属于质量红线列表中A类行为，并造成客户投诉、网上问题、质量事故、工程整改的，对于后果严重或性质恶劣的按严重违纪直接解除劳动关系。

华为网络安全产品
华为网络安全产品是华为公司提供的一系列网络安全解决方案，旨在保护用户的网络安全和数据隐私。

这些产品包括防火墙、入侵检测和防御系统、边界安全网关、安全信息与事件管理系统等。

通过华为网络安全产品，用户可以监控和管理网络流量、检测和阻止网络入侵、构建安全的网络边界，以及对网络进行全面的安全管理和应急响应。

华为网络安全产品具有高可靠性、高安全性和高性能的特点，可以满足各种规模和复杂度的网络环境的安全需求。

同时，华为还不断研发和更新网络安全产品，以应对日益复杂和多样化的网络安全威胁。

华为系统网络安全手册目录一、总则 (3)二、目的 (3)三、网络操作安全细则 (3)1. 网络操作安全要求 (3)2. 网络操作流程要求 (4)3. 网络操作影响级别定义 (5)4. 常见操作影响分级 (5)5. 常用操作注意事项 (7)6. 风险操作注意事项 (9)一、总则优化工程师在进行网络数据修改时，对修改流程规范缺乏统一认识，网络数据修改缺乏统一的管理制度，导致数据修改无章可循和制度不明，现场数据修改存在很大的随意性。

一方面不利于网络优化效率的提高，另一方面也不利于减少重大事故的发生。

所以需形成统一的网络数据修改制度，规范工程师行为。

二、目的⏹网络数据修改有章可循；⏹保障网络安全，杜绝人为事故；⏹提高网络优化效率；⏹保障数据修改的可行性、合理性；⏹数据修改规范化。

三、网络操作安全细则1.网络操作安全要求⏹操作习惯规范自己的OMC-R操作习惯，严禁长期开启多个无用进程。

⏹操作安全不得试图登录软路由器，不得试图探测路由表。

⏹登陆方法严禁将登录方法和网络拓扑结构外泄，不得当众登录并操作OMC-R。

⏹中途离开终端如果进程运行过程中操作人员暂时离开，必须锁定操作系统。

⏹重大操作确认对于影响网络的重大操作，需要向命令发出者确认，得到确定后再执行。

⏹及时知会对网络的操作完整记录，及时知会相关人员。

2.网络操作流程要求3.网络操作影响级别定义⏹0级——对网络服务基本无影响。

操作过程中不影响所有用户的使用和状态，即用户感觉不到网络有变化，可以独立操作。

⏹1级——对网络服务影响较小，不中断网络服务。

修改参数的过程中不影响正在通话或及网络建立连接的用户的操作，但对空闲状态的用户行为有一定影响，可以在厂家及无线中心的指导下完成；⏹2级——对网络服务影响较大，会短时间中断部分网络服务。

修改参数会造成用户通话的中断。

但在短时间内可以恢复，建议在厂家及无线中心的协助下完成；⏹3级——对网络服务影响重大，会中断网络服务。

厦门纵横集团建设开发有限公司华为网络安全红线及处罚规定发布日期2016年06月30日发布部门信息安全管理小组实施日期2016年07月01日版本修订记录版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0初次发布魏中飞、王蔚/2016年06月25日陈飞/2016-6-29徐惠明/2016-6-30目录1目的 (3)2适用范围 (3)3网络安全红线要求 (3)4网络安全重大事故处罚规定 (3)1目的为加强管理指导、规范网络安全遵从行为、提高员工的网络安全意识，保证交付过程中网络安全及设备的正常运行，特制定网络安全红线要求，并针对违反网络安全相关规定而造成的网络安全重大事故，制定处罚规定。

2适用范围本程序适用于本公司在工程交付过程中的网络安全行为控制及发生网络安全重大事故后的内部处罚。

3网络安全红线要求3.1遵守所适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律、法规，严格遵从客户的指示、相应的合同条款来处理个人数据处理或转移及其他相关业务。

3.2遵守客户的各项规章制度，服从客户的管理，不攻击、破坏客户网络，不破解客户账户密码。

3.3遵守客户账号管理的要求，不共享账号和密码，不使用他人账号或非授权账号登录设备进行操作。

3.4不在客户设备和系统中植入任何恶意代码、恶意软件、后门，不预留任何未公开接口和账号。

3.5未经客户书面许可，不使用个人便携设备、存储介质接入客户网络。

3.6未经客户书面授权，不访问客户系统、收集、持有、处理、修改客户网络中的任何数据和信息。

3.7不泄漏和传播客户网络中的数据和信息，对于在提供服务期间获悉的任何信息或数据承担严格的保密义务直至相关信息或数据被合法披露为止。

3.8在商用或转入维护阶段后，不保留或使用管理员账号及其它非授权账号。

3.9不利用客户系统的信息和数据谋取个人利益或用于其它非法目的。

3.10不使用非法软件在客户网络上运行，需使用来自客户正式渠道的软件版本、补丁、许可。

网络安全与用户隐私保护规范目录contents01网络安全简介02网络安全风险03华为网络安全保障体系04伙伴网络安全管理规范什么是网络安全客户网络承载数据/隐私业务连续及健壮的网络完整性可用性机密性可追溯性抗攻击性网络安全Cyber Security ●可用性：是指有权限的人在需要使用网络服务、信息的时候随时可以使用。

比如客户网络账号权限管理。

●完整性：是指信息是准确的、可靠的、完整的，没有被非授权更改。

比如日志必须完整，禁止未经客户授权删除、修改。

●机密性：是指信息只授权给应该知道的人，信息的传播是受到保护和管理的。

●可追溯性：是指提供的产品或服务是可追溯的，比如操作记录、日志等详细的记录了操作的情况。

●抗攻击性：确保产品、数据配置的健壮性，比如防火墙配置要能够经受的住黑客的攻击。

网络安全的定义：●网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动，从而保障客户的业务连续性和合规运营，避免设备供应商、服务供应商的声誉损失及连带责任。

个人数据处理的七个原则原则原则描述合规解读适用的角色Controller Processor正当、合法、透明•数据主体的个人数据应当以正当、合法、透明的方式被处理•个人数据、敏感数据、儿童数据、雇员数据•记录同意、撤回同意•正当性：提供信息（隐私通知）•透明性：提供信息的方式√N/A目的限制•个人数据应当基于具体、明确、合法的目的收集，不应以与此目的不相容的方式进一步处理•新目的合法性•匿名化√N/A数据最小化•处理的个人数据应与处理数据的目的是适当、相关且必要的•充分、不超乎适度、必要√N/A准确性•个人数据应当是准确的，并在必要的情况下及时更新•根据数据处理的目的，采取合理的措施确保及时删除或修正不准确的个人数据•数据的准确性√N/A存储期限最小化•存储个人数据不超过处理目的所必要的期限•留存、销毁方式√N/A完整性与保密性•采取必要的技术或组织措施确保个人数据的适度安全，包括防止未授权或非法处理个人数据、数据丢失或毁损•风险评估、技术与组织措施、加密、化名、访问控制、监测数据泄露√√可归责•数据控制者须负责且能展示遵从上述原则•记录政策与流程、数据处理活动√N/A Processor需严格按照Controller的指示（通常为合同）进行数据处理并按照法律要求维护数据处理行为的记录，若Processor自行决定数据处理的目的和方式，则构成Controller技术风险：技术与业务创新给人们带来巨大的利益，同时也加剧了安全威胁和挑战X 国税局系统被黑，损失5000万美元。