2020年华为网络安全与隐私保护规范
华为在物联网安全领域的领先技术与解决方案 保障物联网安全与隐私
华为在物联网安全领域的领先技术与解决方案保障物联网安全与隐私华为在物联网安全领域的领先技术与解决方案保障物联网安全与隐私随着物联网的不断发展,各类智能设备的互联互通也带来了越来越多的安全隐患。
而物联网的安全和隐私保护已经成为业界关注的焦点。
华为作为全球领先的信息通信技术解决方案供应商,致力于物联网安全领域的研发与创新,为用户提供全方位的安全保障。
本文将介绍华为在物联网安全领域的领先技术与解决方案,以及保障物联网安全与隐私的措施。
一、基于边缘计算的物联网安全技术在物联网领域,边缘计算技术被广泛应用。
华为提出了一种基于边缘计算的物联网安全技术,通过将部分数据的处理和存储转移到边缘节点,减少了网络带宽的消耗,并提高了数据的处理效率。
同时,华为通过数据隔离和访问控制等手段,保护物联网设备的安全,防止恶意攻击和数据泄露。
这种技术的优势在于可以将物联网设备与云端的交互降到最低,提高了系统运行的安全性。
二、物联网边缘网关的安全解决方案作为物联网边缘网络的关键节点,边缘网关扮演着连接物联网设备和云平台的桥梁角色。
为了保障边缘网关的安全性,华为提出了一系列的安全解决方案。
首先,华为利用自研的芯片安全技术,对边缘网关进行加密和认证,确保设备的合法性和可信度。
其次,基于自主研发的防火墙技术,华为提供了多层次的防护机制,确保在物联网边缘网关与云平台之间的数据传输的安全性。
而且,华为还将网络流量分析和入侵检测技术集成到边缘网关中,及时发现异常行为并做出响应。
三、安全固件技术的应用物联网设备的安全固件技术是保障物联网安全的一项重要措施。
华为秉承“安全先行”的原则,将安全固件技术广泛应用于物联网设备中。
通过安全固件技术,华为能够监控和管理设备的安全性能,及时更新固件以修复已知漏洞,从而提高设备的安全性和稳定性。
此外,华为还通过物理层面的加密和认证技术,保护设备的身份和数据的完整性,有效地防止设备被非法篡改和攻击。
四、全方位的数据安全保障在物联网安全领域,保护用户数据的安全是至关重要的。
HuaWei路由器安全配置规范
HuaWei 路由器安全配置规范
【目的】系统应修改 SNMP 的 Community 默认通行字,通行字应符合口令强度 要求。
【具体配置】 snmp-agent community read XXXX01
2.6.3. SNMP 版本
【目的】系统应配置为 SNMPV2 或以上版本。 【具体配置】
snmp-agent sys-info version v3
2.1.5. 最小权限
【目的】在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权
限。
【具体配置】
aaa local-user 8011 password cipher 8011 local-user 8011 service-type telnet local-user 8011 level 0 # user-interface vty 0 4 authentication-mode aaa
2.1.4. 静态口令加密
【目的】静态口令必须使用不可逆加密算法加密后保存于配置文件中。 【具体配置】
Page 2 of 10
HuaWei 路由器安全配置规范
super password level 3 cipher N`C55QK<`=/Q=^Q`MAF4<1!! local-user 8011 password cipher N`C55QK<`=/Q=^Q`MAF4<1!!
Page 3 of 10
[Router-aaa-domain-default]radius-server shiva
2.2. 关闭不必要的服务
HuaWei 路由器安全配置规范
2.2.1. 关闭不必要的服务
【目的】关闭网络设备不必要的服务,比如 FTP、TFTP 服务等。 【具体配置】
234 华为国际互联网安全管理规定
华为公司国际互联网安全管理规定第一章总则第一条目的为了保障公司计算机国际互联网的系统安全,保证公司内部网络与Internet网的稳定健康互联,有效地防止内部网络系统遭受外部攻击,加强内部信息管理,有效控制信息传播渠道,特制定本规定。
第二条范围本规定适用于公司国际互联网系统。
第三条国际互联网安全保障体系计算机国际互联网安全保障体系包括以下部分:(一)互联网安全管理责任人和安全技术人员(二)安全管理制度和安全稽核制度(三)互联网硬件、软件与安全相关的性能和机房环境(四)技术安全措施第二章安全组织与职责第四条安全机构公司主管IT建设的副总裁主持国际互联网安全工作,成立国际互联网安全管理小组。
第五条职责安全管理小组负责制定和监督实施国际互联网安全管理的各种规章制度;定期检查国际互联网系统的安全运行情况;监督、指导建立国际互联网安全保障体系,组织宣传国际互联网计算机安全管理方面的法律、法规和有关政策。
第三章实体安全管理制度第六条计算机机房设计必须符合下列标准:a:《计算机场地技术条件》(GB2887-89)b:《计算站场地安全要求》(GB9361-88)第七条计算中心机房建筑和结构满足下列条件:机房设置在电梯或楼梯不能直接进入的场所;机房应与外部人员频繁出入的场所隔离;机房周围应设有防止非法进入的设施;外部容易接近的窗口应采取防范措施;无人值守时应有自动报警设备;机房内部设计应便于出入控制和分区控制;机房内用于动力、照明的供电线路应与计算机系统的供电线路分开;机房内不同电压的供电系统应安装互不兼容的插座。
第八条主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求;可采用区域控制的办法,即将可能截获辐射信息的区域控制起来,不许外部人员接近;可采用机房屏蔽的方法,使得信息不能辐射出机房。
第九条磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装;磁带、磁盘应放在距钢筋房柱或类似结构物十厘米以上,以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。
EMUI 11.0 安全技术白皮书说明书
EMUI 11.0安全技术白皮书文档版本V1.0发布日期2020-11-30目录1 概述 (6)简介 (6)EMUI的安全 (7)2 硬件安全 (10)安全启动 (10)硬件加解密引擎及随机数发生器 (11)设备唯一密钥 (12)设备组密钥 (12)设备证明 (12)安全元件* (13)安全存储* (13)移动安全处理器* (13)3 可信执行环境 (15)iTrustee安全OS介绍 (15)可信存储服务 (17)加解密服务 (17)可信显示与输入(TUI) (17)可信时间 (17)4 系统安全 (19)完整性保护技术 (19)内核漏洞防利用技术 (21)内核攻击检测技术 (22)强制访问控制技术 (22)身份认证 (22)5 数据安全 (25)HUKS(华为通用密钥库系统) (25)锁屏密码保护 (26)数据分类分级加密 (26)密码保险箱 (28)6 应用安全 (29)应用上架安全检测 (29)应用安装时签名验证 (30)应用沙箱 (30)应用运行时内存保护 (30)安全输入* (31)应用威胁检测 (31)AI(人工智能)安全防护* (31)恶意网址检测* (31)7 网络与通信安全 (32)VPN (32)TLS (32)无线局域网安全* (33)防伪基站* (33)8 分布式安全 (34)设备互联安全性 (34)分布式系统协同用户身份认证 (35)分布式权限管理 (36)9 高级安全 (37)Huawei Pay (37)手机交通卡 (39)手机门钥匙 (40)手机盾* (41)电子身份证* (42)车钥匙 (42)验证码短信保护* (42)10 互联网云服务安全 (44)华为帐号 (44)帐号保护 (44)华为帐号消息 (46)MyCloud (46)11 设备管理 (48)查找我的手机 & 激活锁* (48)12 隐私保护 (50)权限管理 (50)录音/录像提醒 (51)仅本次允许 (51)定位服务 (51)设备标识符体系 (51)差分隐私 (53)隐私政策声明 (53)13 安全标准遵从与认证 (54)安全标准遵从 (54)安全认证* (54)14 数字版权保护 (56)ChinaDRM 2.0 (56)15 结语 (57)16 缩略语表/ACRONYMS AND ABBREVIATIONS (58)注:*表示不是所有设备都支持该特性。
华为信息安全手册
华为信息安全手册一、新职员入职信息安全须知新职员入职后,在信息安全方面有哪些注意事项?同意“信息安全与保密意识”培训;每年应至少参加一次信息安全网上考试;办理职员卡;签署劳动合同(含保密职责);依照部门和岗位的需要签署保密协议。
职员入职后,需要办理职员卡,职员卡的意义和用途是什么?工卡是公司职员的身份证明,所有进入华为公司的人员,在公司期间一律要正确佩戴相应的卡证。
工卡还有考勤、门禁验证等作用。
工卡不仅关系到公司形象及安全,还关系到职员本人的切身利益,一定要妥善保管。
公司信息安全方面的规定都有哪些?在哪里能够查到信息安全的有关治理规定?网络安全部在参考国际安全标准BS7799和在顾问的关心下,制订了一套比较完整的信息安全方面的治理规定,其中与一般职员关系紧密的有《信息保密治理规定》、《个人运算机安全治理规定》、《信息交流治理规定》、《病毒防治治理规定》、《办公区域安全治理规定》、《网络连接治理规定》、《信息安全奖惩管理规定》、《运算机物理设备安全治理规定》、《开发测试环境治理规定》、《供应商/合作商接待治理方法》、《外部人员信息安全治理规定》、《会议信息安全治理规定》和《帐号和口令标准》等。
这些治理规定都汇总在《信息安全策略、标准和治理规定》(即《信息安全白皮书》)中,同时在不断的修改和完善之中。
在“IS Portal”上您能够查到公司信息安全相关的所有信息,如信息安全方面的规定、制度、操作手册、培训胶片、宣传材料和宣传案例等。
各体系细化的信息安全治理规定,可咨询本体系的信息安全专员。
作为一名一般职员,应该如何做才能够符合公司信息安全要求?积极学习和遵守公司各类信息安全治理规定和安全措施,将遵守安全规定融入自己的日常工作行为中。
在工作中,要有强烈的信息安全和保密意识,要有职业的敏锐性。
有义务禁止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。
二、运算机的安全口令设置公司规定的口令设置最低标准是什么,每次更换口令,都不容易记住新口令,该如何办?一般用户(公司一样职员均为一般用户)设置口令的最低标准要紧有以下几条:(1)口令长度不能少于6位且必须包含字母(2)口令至少应包含一个数字字符另外,一个好的口令除了符合口令的最低标准外,最好还应包含大小写字母和特殊的字符。
2024年网络安全隐私保护协议
20XX 专业合同封面COUNTRACT COVER甲方:XXX乙方:XXX2024年网络安全隐私保护协议本合同目录一览第一条协议范围与定义1.1 协议范围1.2 定义第二条数据保护责任2.1 数据收集与使用2.2 数据存储与保护2.3 数据共享与传输第三条用户隐私权3.1 用户信息保护3.2 用户隐私设置3.3 用户数据访问与更正第四条数据安全措施4.1 数据加密4.2 访问控制4.3 安全事件响应第五条个人信息保护合规5.1 合规要求5.2 合规评估与审计5.3 合规违规处理第六条用户通知与同意6.2 用户同意6.3 重大变更通知第七条责任限制与排除7.1 责任限制7.2 排除责任事项第八条违约责任8.1 违约行为8.2 违约责任承担第九条争议解决9.1 争议解决方式9.2 适用法律9.3 争议解决机构第十条合同的生效与终止10.1 协议生效10.2 协议终止10.3 终止后的权利与义务第十一条一般条款11.1 通知11.2 修改与补充11.3 完整协议第十二条适用法律与管辖12.2 争议管辖第十三条保密条款13.1 保密义务13.2 例外情况13.3 泄露后的处理第十四条权利与义务的转让14.1 权利转让14.2 义务转让14.3 同意转让第一部分:合同如下:第一条协议范围与定义1.1 协议范围1.2 定义(1)甲方:指提供网络服务的公司或个人。
(2)乙方:指使用甲方提供的网络服务的用户。
(3)个人数据:指可以识别或者结合其他信息可以识别乙方的信息,包括姓名、地址、电话号码、电子邮件地址、身份证号码等。
(4)网络服务:指甲方通过互联网提供的各种服务,包括但不限于在线购物、社交、娱乐、电子邮件等。
第二条数据保护责任2.1 数据收集与使用甲方在提供网络服务过程中,将收集乙方必要的个人信息以保障服务的正常运行。
甲方承诺仅收集与服务直接相关的人员信息,并明确告知乙方收集信息的目的、范围和方式。
2.2 数据存储与保护甲方将采取合理、有效的技术措施和与管理措施,确保乙方个人信息的安全,防止未经授权的访问、披露、修改或破坏。
解析新版《个人信息安全规范》中的个人信息保护负责人制度
解析新版《个人信息安全规范》中的个人信息保护负责人制度2020-08-03《网络安全法》出台后,特别是2018年5月1日《信息安全技术 个人信息安全规范》(“旧版规范”)生效以来,不少企业已经搭建起个人信息保护制度框架。
数据合规体系是动态的有机体,需要静态的制度框架,更需要合规人员的动态推动,将制度融入商业决策与交易中。
即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》(“新版规范”或“《安全规范》”)针对个人信息保护负责人的规定,较旧版规范而言更为具体且务实。
一、为什么要建立个人信息保护负责人制度个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。
设立个人信息保护负责人对企业落地数据合规制度至关重要。
具体而言,科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力,亦可增强其核心竞争力。
(一)提高企业风险防御能力个人信息保护不力会给企业带来巨大损失:政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任;个人信息安全事件如果不能及时、妥善处理,企业所面对的信任危机可能比处罚带来的社会影响更为深远;广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。
个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜,提高企业防御风险的综合能力。
2017年3月,有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。
法院综合认定被告存在泄露个人信息的高度可能,同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。
但是,被告未能证明其已履行法定的个人信息保护义务。
[1]2019年12月,同一家航空公司因类似事由被起诉,但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。
原因在于,航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置,还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。
数据保护和隐私政策
数据保护和隐私政策第一章总则第一条目的和适用范围为了确保公司员工、客户、供应商等相关方的个人数据得到合理、安全、合规的处理和保护,保护数据主体的隐私权,确保数据使用的合法性和透亮度,本规章制度订立。
第二条规章制度的法律依据本规章制度依据国家相关法律法规订立,重要包含《中华人民共和国个人信息保护法》《网络安全法》等相关法律法规。
第三条定义1.个人数据:指可以直接或间接识别特定个人身份的任何信息,包含但不限于姓名、住址、联系方式、银行账号等信息。
2.数据处理:指收集、存储、使用、传输、删除等一系列与个人数据相关的操作。
3.数据主体:指个人数据的全部者,包含公司员工、客户、供应商等。
4.数据处理者:指依照公司授权或法律要求进行数据处理的单位或个人。
第二章数据处理原则第四条合法性原则在进行个人数据处理时,公司应遵守国家相关法律法规,确保数据处理的合法性。
第五条公正透亮原则在数据处理过程中,公司应采取措施向数据主体以明确、清楚的方式供应信息,使其了解数据处理的目的、方式、范围等,并可行使相关权利。
第六条限制目的原则公司在处理个人数据时应明确、合法地规定数据处理的具体目的,而且不得超出此目的范围进行处理。
第七条最小化原则在进行个人数据处理时,公司应满足处理的合法性和必需性,避开过度收集和使用个人数据。
第八条存续期限原则公司在进行个人数据处理时,应订立数据存续期限规定,合理确定个人数据的存储时间,并在超出存续期限后及时删除或进行处理。
第三章数据处理措施第九条数据收集1.公司在收集个人数据时应明确收集目的,并征得数据主体的明示同意。
2.公司收集的个人数据应尽量直接从数据主体本人获得,如需间接收集,应确保获得合法来源的数据。
第十条数据存储1.公司应建立合理的数据存储和保护措施,确保个人数据的安全存储,防止泄露、丢失或被未经授权的第三方取得。
2.公司应定期进行数据备份,并确保备份数据的完整性和可恢复性。
第十一条数据使用1.公司在使用个人数据时应遵守事先明示的目的,并遵从合法、正当、必需、透亮的原则。
研发运营安全白皮书(2020年)
研发运营安全白皮书(2020年)云计算开源产业联盟OpenSource Cloud Alliance for industry,OSCAR2020年7月前言近年来,安全事件频发,究其原因,软件应用服务自身存在代码安全漏洞,被黑客利用攻击是导致安全事件发生的关键因素之一。
随着信息化的发展,软件应用服务正在潜移默化的改变着生活的各个方面,渗透到各个行业和领域,其自身安全问题也愈发成为业界关注的焦点。
传统研发运营模式之中,安全介入通常是在应用系统构建完成或功能模块搭建完成之后,位置相对滞后,无法完全覆盖研发阶段的安全问题。
在此背景下,搭建整体的研发运营安全体系,强调安全左移,覆盖软件应用服务全生命周期安全,构建可信理念是至关重要的。
本白皮书首先对于研发运营安全进行了概述,梳理了全球研发运营安全现状,随后对于信通院牵头搭建的研发运营安全体系进行了说明,归纳了研发运营安全所涉及的关键技术。
最后,结合当前现状总结了研发运营安全未来的发展趋势,并分享了企业组织研发运营安全优秀实践案例以供参考。
参与编写单位中国信息通信研究院、华为技术有限公司、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、浪潮云信息技术股份公司、京东云计算(北京)有限公司、北京金山云网络技术有限公司、深圳华大生命科学研究院、奇安信科技集团股份有限公司、杭州默安科技有限公司、新思科技(上海)有限公司主要撰稿人吴江伟、栗蔚、郭雪、耿涛、康雪婷、徐毅、章可镌、沈栋、郭铁涛、张祖优、马松松、黄超、伍振亮、祁景昭、朱勇、贺进、宋文娣、张娜、蔡国瑜、张鹏程、张玉良、董国伟、周继玲、杨国梁、肖率武、薛植元目录一、研发运营安全概述 (1)(一)研发层面安全影响深远,安全左移势在必行 (1)(二)覆盖软件应用服务全生命周期的研发运营安全体系 (4)二、研发运营安全发展现状 (5)(一)全球研发运营安全市场持续扩大 (5)(二)国家及区域性国际组织统筹规划研发运营安全问题 (7)(三)国际标准组织及第三方非盈利组织积极推进研发运营安全共识 (12)(四)企业积极探索研发运营安全实践 (14)(五)开发模式逐步向敏捷化发展,研发运营安全体系随之向敏捷化演进 (19)三、研发运营安全关键要素 (21)(一)覆盖软件应用服务全生命周期的研发运营安全体系 (22)(二)研发运营安全解决方案同步发展 (31)四、研发运营安全发展趋势展望 (41)附录:研发运营安全优秀实践案例 (43)(一)华为云可信研发运营案例 (43)(二)腾讯研发运营安全实践 (50)(三)国家基因库生命大数据平台研发运营安全案例 (58)图目录图1 Forrester外部攻击对象统计数据 (2)图2研发运营各阶段代码漏洞修复成本 (3)图3 研发运营安全体系 (4)图4 Cisco SDL体系框架图 (16)图5 VMware SDL体系框架图 (17)图6 微软SDL流程体系 (20)图7 DevSecOps体系框架图 (21)图8 研发运营安全解决方案阶段对应图 (32)表目录表1 2019-2020全球各项安全类支出及预测 (6)表2 2019-2020中国各项安全类支出及预测 (7)表3 重点国家及区域性国际组织研发运营安全相关举措 (12)表4 国际标准组织及第三方非营利组织研发运营安全相关工作 (14)表5 企业研发运营安全具体实践 (19)表6 SDL与DevSecOps区别对照 (21)一、研发运营安全概述(一)研发层面安全影响深远,安全左移势在必行随着信息化的发展,软件应用服务正在潜移默化的改变着生活的各个方面,渗透到各个行业和领域,软件应用服务的自身安全问题也愈发成为业界关注的焦点。
《2024年智能家居安全保护个人隐私与智能家居设备的网络安全》
设备被控制:黑 客可能控制智能 家居设备,如智 能锁、智能摄像 头等,威胁用户 安全
案例二:某品牌智能门锁被 破解,家门安全受到威胁
案例一:某品牌智能摄像头 被黑客入侵,用户隐私泄露
案例三:某品牌智能音箱被 黑客控制,语音数据泄露
案例四:某品牌智能灯泡被黑 客攻击,灯光亮度和颜色被控
制
防火墙:保护智能家居设备免受外部攻 击
国际企业合作:如谷歌、亚马逊、 华为等,共同研发智能家居设备网 络安全技术和产品
网络安全意识的重 要性:保护个人隐 私和智能家居设备 的安全
网络安全文化的形成: 通过教育、宣传和培 训等方式提高人们的 网络安全意识
网络安全文化的影 响:影响人们的行 为和决策,提高网 络安全水平
网络安全文化的推广 :通过政府、企业和 社会组织等各方共同 努力,推广网络安全 文化
提供用户反馈渠 道,及时解决用 户问题
认证机构:权威的 第三方认证机构, 如ISO、IEC等
认证标准:符合国 际标准,如ISO 27001、IEC 62443 等
监管措施:定期检 查和评估,确保智 能家居设备符合安 全标准
法律责任:对于不 符合安全标准的设 备,采取法律措施 ,如罚款、召回等
智能家居设备网络 安全的发展趋势
隐私权:个人对其个人信息的 支配权
隐私保护法律法规:包括《个 人信息保护法》、《网络安全 法》等
隐私保护的原则:合法、正当、 必要、透明
隐私保护的措施:加密、匿名 化、数据最小化等
挑战:智能家居设备可能 被黑客攻击,导致个人隐 私泄露
应对策略:使用加密技术 保护数据传输和存储
挑战:智能家居设备可能 被恶意软件感染,导致个 人隐私泄露
完善相关法律法 规,明确智能家 居安全保护个人 隐私安 全保护个人隐私 与智能家居设备 的网络安全得到 有效实施
华为安全等保二、三级方案介绍
2
采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施
3
采取检测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月
4
采取数据分类、重要数据备份和加密等措施
5
法律、行政法规规定的其他义务
对不履行第二十一条规定的,将对运营者及直接负责的主管人员处以责令整改、警告、罚款等行政处罚,情节严 重的还将追究刑事责任
(二)铁路、银行、海关、税务、银 行、电力、证券、保险、外交、科技、 发展改革、国防科技、公安、人事劳 动和社会保障、财政、审计、商务、 水利、国土资源能源、交通、文化、 教育、统计、工商行政管理、邮政行 业部门的生产、调度、管理、办公等 重要信息系统
等级保护价值
满足监管要求
明确安全责任
体系化建设
社会秩序和公共利益。
第二级:信息系统受到破坏后,会对公民、法人和 其他组织的合法权益产生严重损害,或者对社会秩 序和公共利益造成损害,但不损害国家安全。
第三级:信息系统受到破坏后,会对社会秩序和公 共利益造成严重损害,或者对国家安全造成损害。
第四级:信息系统受到破坏后,会对社会秩序和公 共利益造成特别严重损害,或者对国家安全造成严 重损害。
集约化运营
优化安全收益
满足政策、法律与行 业要求,安全状况获
得公安机关认可
谁主管,谁负责 谁使用,谁负责 谁运营,谁负责
整体规划,分区域, 分层,分类,分级别,分 阶段进行建设,安 全建设更加体系化
利于企业集约化运 营,相同等级的信 息资产共享相同的
保护措施
根据信息资产价值 实施保护,平衡安
全投入与产出
由公安监督检查
•公安机关负责信息安全等级保护工作 的监督、检查、指导 •国家保密工作部门负责等级保护工作 中有关保密工作的监督、检查、指导 •国家密码管理部门负责等级保护工作 中有关密码工作的监督、检查、指导
华为用户安全手册
IT顾客安全手册一、目旳为保证公司信息系统安全稳定旳运营,规范员工合理安全旳使用公司IT资源。
1二、范畴本规范合用公司所有员工。
三、细则(一)通则1. 员工应自觉遵守职业道德,有高度旳责任心并自觉维护公司旳利益;2. 员工不应擅自收集、泄露公司机密信息;3. 员工不应运用公司网络传播和散布与工作无关旳文章和评论,特别是破坏社会秩序旳文章或政治性评论;4. 员工不应下载、使用、传播与工作无关旳文献,如:屏幕保护文献、图片文献、故事、音乐文献等;5. 未经容许员工不应使用未经公司许可旳软件。
(二) 计算机使用熋口令旳设立:1. 员工在使用自己所属旳计算机时,应当设立开机、屏幕保护、目录共享口令,口令长度不能少于6个字符;2. 顾客口令应为同步涉及大、小写字母和数字旳至少6位旳字符串,如:w4hwyg;口令必须难猜,且以便记忆(一般不写在纸上或文献中),建议使用引导词,如前面旳口令就是用“我是华为员工”作提示,在口令中推荐使用键盘上旳符号,如!@#$%^&等;3. 在口令中不使用如下组合:顾客名、姓名旳拼音、英文名、身份证号码、常用词、电话号码、日期、以及其她系统已使用旳口令;4. 口令至少每月更改一次,6个月内不得反复。
煟计算机设备使用1. 员工不得擅自使用软驱、可读写光驱、磁带机、磁光盘机等外置存储设备;2. 员工如须使用外置存储设备,研发系统员工向各部门文档室申请,其她系统员工向各部门干部部提出申请,并备案;3. 员工不应擅自携带便携机、软盘、硬盘、光盘等设备离开公司,需要携带此类物品离开公司旳,须办理携物出门单;4. 员工不应擅自启动计算机机箱,如需拆机箱,研发系统员工向各部门文档室申请,其她系统员工向本部门干部部申请。
煟软件使用1. 员工应安装、运营公司原则规定旳防病毒软件并及时升级,对公司发布旳防病毒措施应及时完毕;2. 员工不应安装未经公司许可旳防病毒软件;3. 如果员工发现公司规定旳防病毒软件不能清除旳病毒,应立即报告管理工程部IT热线,在问题解决之前,应严禁使用感染该病毒旳文献,同步将这些文献隔离,等待解决。
华为网络安全汇总
GTS质量红线及违规处理机制解读1、执行不到位,是最大的管理问题2、面向客户和网络的质量责任体系的建立就要让大家主动承担责任,而不是躲避责任.3、制定作业指导书也要考虑分层,第一层是绝对不能做和必须做的,第二层再考虑怎么做的更好。
第一步做好的目的,是首先培育守规矩的文化,令行禁止,养成好的业务习惯4、质量管理三层保障:第一层保障:自己对工作结果负责,一次做对;第二层保障:独立的质量控制,首检/抽检/巡检;第三层保障:基于预防的质量体系5、质量红线是指在日常交付与服务业务活动过程中严格禁止的行为,通常是指一些渎职或严重失职的行为,一旦触犯将会给公司造成损害和负面的影响或者带来较大的风险,相关直接责任人及其管理责任人也将受到相应处理。
6、根据行为的性质和后果的严重程度分为A类红线和B类红线A类质量红线通常指严重的违规行为,该行为通常存在明显的不诚信B类质量红线通常是指较严重的质量违规行为,这种行为导致了较严重质量后果或存在严重质量隐患7、质量红线首先要起到威慑作用,让员工知道有业务底线,不能触碰8、质量红线总体关注点:服务现场作业的高风险点;行为规范以及违规行为的影响度;保护客户商业利益,保护华为公司信誉,防止经济损失和法律风险9、违规处理机制的原则有:分层分级处理原则和管理责任原则10、分层分级处理原则:对质量红线违规人员处理定量的依据是对公司的危害大小或主观上恶意,触犯质量红线行为性质以及后果确定问责处理等级,分级处理。
11、管理责任原则:违规行为发生时的违规人相关主管(管理责任人)若存在管理不力或知情不作为等情形,须承担管理责任。
12、参考制造质量红线违规问责标准,简化问责等级:从违规性质(A类或B类红线)、造成后果两个纬度确定两级问责等级;而问责措施由AT基于具体事实讨论确定13、12个月内同一责任人出现3次二级问责则升级为1次一级问责;当同一行为或结果满足多项问责条件时,从严问责。
14、属于质量红线列表中A类行为,并造成客户投诉、网上问题、质量事故、工程整改的,对于后果严重或性质恶劣的按严重违纪直接解除劳动关系。
《华为案例分析》课件
华为提供广阔的职业发展空间和培训机会,帮助员工实现个人和职业目标。
激励机制
通过激励机制和优厚待遇,华为吸引和留住了大批优秀人才。
产品研发
智能手机
华为在智能手机领域持续创 新,推出高性能、创意设计 的产品。
笔记本电脑
华为的MateBook系列笔记本 电脑在设计和性能上追求卓 越,受到用户的青睐。
《华为案例分析》PPT课 件
华为是全球知名的信息和通信技术(ICT)解决方案提供商,本课件将深入分 析华为在全球市场上的发展和挑战。
公司简介
全球领先企业
华为是全球领先的ICT解决 方案提供商,为全球超过 170个国家和地区的电信运 营商和企业客户提供产品 和解决方案。
创新驱动
华为一直致力于技术创新 和研发投入,在5G、云计 算、人工智能等领域保持 领先地位。
智能穿戴
华为与Gentle Monster合作推 出的智能眼镜结合了科技和 时尚。
科技创新
1 5G技术领先
华为在5G技术研发和商用方面处于领先地位,推动全球数字化转型。
2 人工智能应用
华为将人工智能技术应用于各个领域,提高工作效率和用户体验。
3 区块链技术
华为积极研究和应用区块链技术,提供更安全和可信的解决方案。
国际化布局
华为在全球范围内建立了 广泛的研发中心、销售和 服务机构,不断拓展市场 份额。
安全问题
1 网络安全挑战
华为面临来自多方的 网络安全挑战,需要 加强安全策略和技术 防护。
2 供应链安全
华为在全球供应链中 面临的安全问题需加 强管理和监控,以确 保产品和服务的可信 度。
3 用户数据隐私
随着5G技术的推广, 用户数据隐私保护变 得更加重要,华为需 要确保数据安全性和 合规性。
华为网络安全产品
华为网络安全产品
华为网络安全产品是华为公司提供的一系列网络安全解决方案,旨在保护用户的网络安全和数据隐私。
这些产品包括防火墙、入侵检测和防御系统、边界安全网关、安全信息与事件管理系统等。
通过华为网络安全产品,用户可以监控和管理网络流量、检测和阻止网络入侵、构建安全的网络边界,以及对网络进行全面的安全管理和应急响应。
华为网络安全产品具有高可靠性、高安全性和高性能的特点,可以满足各种规模和复杂度的网络环境的安全需求。
同时,华为还不断研发和更新网络安全产品,以应对日益复杂和多样化的网络安全威胁。
参考信息安全手册HUAWEI
华为系统网络安全手册目录一、总则 (3)二、目的 (3)三、网络操作安全细则 (3)1. 网络操作安全要求 (3)2. 网络操作流程要求 (4)3. 网络操作影响级别定义 (5)4. 常见操作影响分级 (5)5. 常用操作注意事项 (7)6. 风险操作注意事项 (9)一、总则优化工程师在进行网络数据修改时,对修改流程规范缺乏统一认识,网络数据修改缺乏统一的管理制度,导致数据修改无章可循和制度不明,现场数据修改存在很大的随意性。
一方面不利于网络优化效率的提高,另一方面也不利于减少重大事故的发生。
所以需形成统一的网络数据修改制度,规范工程师行为。
二、目的⏹网络数据修改有章可循;⏹保障网络安全,杜绝人为事故;⏹提高网络优化效率;⏹保障数据修改的可行性、合理性;⏹数据修改规范化。
三、网络操作安全细则1.网络操作安全要求⏹操作习惯规范自己的OMC-R操作习惯,严禁长期开启多个无用进程。
⏹操作安全不得试图登录软路由器,不得试图探测路由表。
⏹登陆方法严禁将登录方法和网络拓扑结构外泄,不得当众登录并操作OMC-R。
⏹中途离开终端如果进程运行过程中操作人员暂时离开,必须锁定操作系统。
⏹重大操作确认对于影响网络的重大操作,需要向命令发出者确认,得到确定后再执行。
⏹及时知会对网络的操作完整记录,及时知会相关人员。
2.网络操作流程要求3.网络操作影响级别定义⏹0级——对网络服务基本无影响。
操作过程中不影响所有用户的使用和状态,即用户感觉不到网络有变化,可以独立操作。
⏹1级——对网络服务影响较小,不中断网络服务。
修改参数的过程中不影响正在通话或及网络建立连接的用户的操作,但对空闲状态的用户行为有一定影响,可以在厂家及无线中心的指导下完成;⏹2级——对网络服务影响较大,会短时间中断部分网络服务。
修改参数会造成用户通话的中断。
但在短时间内可以恢复,建议在厂家及无线中心的协助下完成;⏹3级——对网络服务影响重大,会中断网络服务。
03-华为网络安全红线及处罚规定-V1.0-20160630
厦门纵横集团建设开发有限公司华为网络安全红线及处罚规定发布日期2016年06月30日发布部门信息安全管理小组实施日期2016年07月01日版本修订记录版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0初次发布魏中飞、王蔚/2016年06月25日陈飞/2016-6-29徐惠明/2016-6-30目录1目的 (3)2适用范围 (3)3网络安全红线要求 (3)4网络安全重大事故处罚规定 (3)1目的为加强管理指导、规范网络安全遵从行为、提高员工的网络安全意识,保证交付过程中网络安全及设备的正常运行,特制定网络安全红线要求,并针对违反网络安全相关规定而造成的网络安全重大事故,制定处罚规定。
2适用范围本程序适用于本公司在工程交付过程中的网络安全行为控制及发生网络安全重大事故后的内部处罚。
3网络安全红线要求3.1遵守所适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律、法规,严格遵从客户的指示、相应的合同条款来处理个人数据处理或转移及其他相关业务。
3.2遵守客户的各项规章制度,服从客户的管理,不攻击、破坏客户网络,不破解客户账户密码。
3.3遵守客户账号管理的要求,不共享账号和密码,不使用他人账号或非授权账号登录设备进行操作。
3.4不在客户设备和系统中植入任何恶意代码、恶意软件、后门,不预留任何未公开接口和账号。
3.5未经客户书面许可,不使用个人便携设备、存储介质接入客户网络。
3.6未经客户书面授权,不访问客户系统、收集、持有、处理、修改客户网络中的任何数据和信息。
3.7不泄漏和传播客户网络中的数据和信息,对于在提供服务期间获悉的任何信息或数据承担严格的保密义务直至相关信息或数据被合法披露为止。
3.8在商用或转入维护阶段后,不保留或使用管理员账号及其它非授权账号。
3.9不利用客户系统的信息和数据谋取个人利益或用于其它非法目的。
3.10不使用非法软件在客户网络上运行,需使用来自客户正式渠道的软件版本、补丁、许可。
2020年华为网络安全与隐私保护规范
网络安全与用户隐私保护规范目录contents01网络安全简介02网络安全风险03华为网络安全保障体系04伙伴网络安全管理规范什么是网络安全客户网络承载数据/隐私业务连续及健壮的网络完整性可用性机密性可追溯性抗攻击性网络安全Cyber Security ●可用性:是指有权限的人在需要使用网络服务、信息的时候随时可以使用。
比如客户网络账号权限管理。
●完整性:是指信息是准确的、可靠的、完整的,没有被非授权更改。
比如日志必须完整,禁止未经客户授权删除、修改。
●机密性:是指信息只授权给应该知道的人,信息的传播是受到保护和管理的。
●可追溯性:是指提供的产品或服务是可追溯的,比如操作记录、日志等详细的记录了操作的情况。
●抗攻击性:确保产品、数据配置的健壮性,比如防火墙配置要能够经受的住黑客的攻击。
网络安全的定义:●网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动,从而保障客户的业务连续性和合规运营,避免设备供应商、服务供应商的声誉损失及连带责任。
个人数据处理的七个原则原则原则描述合规解读适用的角色Controller Processor正当、合法、透明•数据主体的个人数据应当以正当、合法、透明的方式被处理•个人数据、敏感数据、儿童数据、雇员数据•记录同意、撤回同意•正当性:提供信息(隐私通知)•透明性:提供信息的方式√N/A目的限制•个人数据应当基于具体、明确、合法的目的收集,不应以与此目的不相容的方式进一步处理•新目的合法性•匿名化√N/A数据最小化•处理的个人数据应与处理数据的目的是适当、相关且必要的•充分、不超乎适度、必要√N/A准确性•个人数据应当是准确的,并在必要的情况下及时更新•根据数据处理的目的,采取合理的措施确保及时删除或修正不准确的个人数据•数据的准确性√N/A存储期限最小化•存储个人数据不超过处理目的所必要的期限•留存、销毁方式√N/A完整性与保密性•采取必要的技术或组织措施确保个人数据的适度安全,包括防止未授权或非法处理个人数据、数据丢失或毁损•风险评估、技术与组织措施、加密、化名、访问控制、监测数据泄露√√可归责•数据控制者须负责且能展示遵从上述原则•记录政策与流程、数据处理活动√N/A Processor需严格按照Controller的指示(通常为合同)进行数据处理并按照法律要求维护数据处理行为的记录,若Processor自行决定数据处理的目的和方式,则构成Controller技术风险:技术与业务创新给人们带来巨大的利益,同时也加剧了安全威胁和挑战X 国税局系统被黑,损失5000万美元。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全与用户隐私保护规范目录contents01网络安全简介02网络安全风险03华为网络安全保障体系04伙伴网络安全管理规范什么是网络安全客户网络承载数据/隐私业务连续及健壮的网络完整性可用性机密性可追溯性抗攻击性网络安全Cyber Security ●可用性:是指有权限的人在需要使用网络服务、信息的时候随时可以使用。
比如客户网络账号权限管理。
●完整性:是指信息是准确的、可靠的、完整的,没有被非授权更改。
比如日志必须完整,禁止未经客户授权删除、修改。
●机密性:是指信息只授权给应该知道的人,信息的传播是受到保护和管理的。
●可追溯性:是指提供的产品或服务是可追溯的,比如操作记录、日志等详细的记录了操作的情况。
●抗攻击性:确保产品、数据配置的健壮性,比如防火墙配置要能够经受的住黑客的攻击。
网络安全的定义:●网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动,从而保障客户的业务连续性和合规运营,避免设备供应商、服务供应商的声誉损失及连带责任。
个人数据处理的七个原则原则原则描述合规解读适用的角色Controller Processor正当、合法、透明•数据主体的个人数据应当以正当、合法、透明的方式被处理•个人数据、敏感数据、儿童数据、雇员数据•记录同意、撤回同意•正当性:提供信息(隐私通知)•透明性:提供信息的方式√N/A目的限制•个人数据应当基于具体、明确、合法的目的收集,不应以与此目的不相容的方式进一步处理•新目的合法性•匿名化√N/A数据最小化•处理的个人数据应与处理数据的目的是适当、相关且必要的•充分、不超乎适度、必要√N/A准确性•个人数据应当是准确的,并在必要的情况下及时更新•根据数据处理的目的,采取合理的措施确保及时删除或修正不准确的个人数据•数据的准确性√N/A存储期限最小化•存储个人数据不超过处理目的所必要的期限•留存、销毁方式√N/A完整性与保密性•采取必要的技术或组织措施确保个人数据的适度安全,包括防止未授权或非法处理个人数据、数据丢失或毁损•风险评估、技术与组织措施、加密、化名、访问控制、监测数据泄露√√可归责•数据控制者须负责且能展示遵从上述原则•记录政策与流程、数据处理活动√N/A Processor需严格按照Controller的指示(通常为合同)进行数据处理并按照法律要求维护数据处理行为的记录,若Processor自行决定数据处理的目的和方式,则构成Controller技术风险:技术与业务创新给人们带来巨大的利益,同时也加剧了安全威胁和挑战X 国税局系统被黑,损失5000万美元。
X 国电力网络受到恶意软件攻击,导致数十万用户停电。
X 国企业机构网络被黑,超过8450万客户的隐私信息泄露,含信用卡信息。
X 国网络被黑,约240万用户的个人信息泄露,含信用卡信息。
以获取经济利益为目的的攻击、窃取日益增多,黑客攻击产业化,网络安全事件频发,给相关企业、机构造成巨大经济和声誉损失。
23.5% Inadvertent actor31.5% Malicious insiders 45.0%Outsiders37%Unauthorized access 20%Malicious code 20%Sustained probe / scanWho are the bad guys?Top 3 Cyber security threats根据业界研究,55%的安全威胁来自企业内部人员,37%的安全威胁来自非授权访问,因此对人员的教育管理及相关预防措施非常重要。
垃圾邮件钓鱼网站传统病毒木马蠕虫APT……伪造篡改窃听网络僵尸网络/DDoS非授权访问恶意/间谍软件随着ICT 技术日益开放、网络IP 化、终端智能化、云计算、大数据应用、多业务融合,技术与业务日趋复杂,攻击手段也日趋多样和复杂。
法律风险:各国加强立法保护通信网络安全、个人数据及隐私,违反法律可能导致民事赔偿、行政处罚甚至承担刑事责任法律禁止的网络安全违法行为系统干扰数据干扰设备滥用未授权访问计算机犯罪个人数据违法转移个人数据违法处理非法监听/拦截法律保护的权益部分国家立法举例欧盟:《网络犯罪公约》、《隐私与电子通信指令》、《欧盟数据保护指令/GDPR 》等德国:《刑法》、《电信法》、《数据保护法》等英国:《调查权限法》、《信息自由法》、《数据保护法》、《滥用计算机法》等法国:《刑法》、《数据保护法》、《电子通信法》等美国:《电子通信隐私法》、《计算机欺诈与滥用法》、《国家信息基础设施保护法》、《加强计算机安全法》等通信秘密及自由个人数据及隐私客户通信网络和信息安全2017年6月,《中华人民共和国网络安全法》正式施行,明确网络空间主权原则及共同治理原则。
中国立法举例处罚包括个人和企业应支付罚金和承担法律责任。
罚款金额为人民币5,000元至1,000,000元不等。
法律责任则包括停业、吊销营业执照、个人被免职或者追究当事人的刑事责任等。
第十条:网络安全和数据安全的要求。
第十六条:加大投入、知识产权保护、支持国家网络安全技术创新项目。
第十七条:支持网络安全认证、检测和风险评估等安全服务。
第十八条:网络数据保护和利用、公共数据资源开发、网络安全管理方式创新。
第二十一条:网络安全等级保护制度。
第二十二条:产品服务的强制性准入要求和义务。
第二十三条:网络关键设备和网络安全专用产品的强制性认证或检测。
第三十五条:网络产品和服务需通过国家安全审查。
第三十六条:产品和服务的保密协议。
第三十七条:境外数据传输需进行安全评估。
第三十八条:开展风险检测评估工作。
第四十八条:电子信息发送和应用软件下载的安全。
网络产品及服务提供者责任客户要求:客户提出网络安全要求,而服务过程是多方参与,故网络安全需要各方共同保障设备商物流商合作伙伴客户商业组织研发生产货物运输交付服务网络运营业务分工篡改、植入、病毒、非授权访问、违规转移数据……,网络安全风险贯穿了整个供应和服务过程,涉及供应过程各方,而不仅是设备商。
网络安全风险客户网络安全要求产品安全物流安全服务安全人员安全物流商货物运输运营安全审查/审计华为网络安全保障:华为端到端网络安全保障体系嵌入到各相关业务流程,包括供应商/合作伙伴管理安全目标持续改进需求期望挑战解决方案产品服务法律法规;安全协议,安全询问,安全关注,验证和审计,安全事故澄清,验证产品,透明互信沟通,审计结果, 安全解决方案客户的安全需求其他利益相关方最终用户客户政府客户的安全需求管理与控制愿景、使命、战略、政策、指南、文化运营使能支撑公司业务流程执行安全基线完整的安全需求收集机制建立基线闭环管理基线执行集成产品开发市场到线索线索到回款问题到解决制定战略到执行资产投资管理客户关系管理服务交付供应链采购合作伙伴管理人力资源管理财经管理BT&IT 管理业务支撑管理组织和能力研发、销服、采购、供应链、片联、法务、公关、MKT审计安全基线合作与贡献商业生态环境建立安全基线其他利益相关方最终用户客户政府华为对伙伴的网络安全政策:No Security No Business重视网络安全,管理网络安全,确保网络安全签署网络安全协议风险类别风险项5. 账号管理离职转岗移交默认账号和密码账号共享明文保存密码工程转维6. 操作安全三审批项目安全管理方案网络安全红线工程转维安全问题/事件漏洞管理7. 备件逆向备件数据备件处理通知8.服务工具交付工具、软件来源合规客户授权工具使用白名单管理一线自开发工具风险类别风险项1.数据安全数据客户授权要素完备最小化采集数据处理数据留存数据转移数据删除2.隐私保护隐私脱敏隐私保护3.人员安全网络安全上岗证出差员工安全项目安全培训人员行为管理人员进出项目检查4. 接入安全接入授权要素完备接入环境和平台安全终端安全病毒查杀权限管理服务相关8类35项安全风险纳入伙伴绩效管理质量经理考取上岗证具体要求华为对伙伴的网络安全保障体系要求No.对伙伴的网络安全保障体系要求1建立网络安全保障体系,包括制度、流程和组织。
2员工签署网络安全承诺函,涵盖《网络安全承诺函》的要求。
3网络安全意识及规范的培训和宣导。
4履行对己方供应商、分包商及代理商的管理职责。
5建立安全防御管理措施,防止非法植入木马、后门、病毒、恶意代码等或被篡改程序、数据等。
6网络安全的交付服务环节中对服务活动建立详细的过程记录,以保证可追溯性。
7建立网络安全违规问责及违规行为快速回溯机制,防止问题重发发生。
8建立网络安全应急响应机制,确保问题发生后能采取紧急有效措施解决问题。
9确保其员工按照客户及/或承包方要求,获取、使用并及时归还其授权的账户和密码。
10主动预防网络安全事故、事件及危机的发生,例行开展网络安全稽查和改善活动。
11对关键安全岗位员工设置操作权限,并对其所使用的IT系统设置符合网络安全要求的账户口令,防止其他人员进行操作。
12内部网络应安装防火墙,计算机、服务器等,应安装杀毒软件,防止病毒木马入侵带来的潜在网络安全风险。
13对员工的离职进行管理,包括收回关键信息、停止相应权限以及脱密期管理、签署必要的离职保密承诺书等。
场景No.网络安全行为规范通用1法律法规:遵守所有适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律、法规;不得利用网络进行危害国家安全或者社会公共利益的活动、窃取或损害他人的信息、或伤害他人的合法权益。
2客户规章制度:遵守客户的各项规章制度,遵从客户的指示及合同条款来开展服务交付活动,包括网络接入操作、个人数据处理、数据转移等;进出客户机房、网管中心、办公区域、敏感区域(如政府机关、军队等)必须遵从客户或机构的管理规定。
3攻击破坏:不攻击、不破坏客户网络,不破解客户账号密码。
4篡改植入:不篡改产品,不在客户设备和系统中植入任何恶意代码、恶意软件、后门,不预留任何私有的、未公开的接口和账号。
5客户数据处理:未经客户书面授权,不访问(包括远程接入)客户系统,收集、持有、处理、修改客户网络中的任何数据和信息。
不超出客户授权范围收集和处理客户网络数据。
6数据保密:不以任何形式泄漏和传播客户网络中的数据和信息,包括个人数据,对于在提供服务期间获悉的任何信息或数据承担严格的保密义务直至相关信息或数据被合法披露为止;未经客户书面授权,在外部沟通、讨论或演示中不引用任何未公开的客户网络数据和信息。
7数据非法使用:不利用客户系统的信息和数据谋取个人利益或用于其它非法目的。
8物料(故障件、备件等)返回:接收客户物料时需提醒客户清除数据,确认部件中存储的数据已删除。
9应急响应:发现网络安全风险事件时,应即时通知华为业务接口人;发现漏洞时应及时报告华为PSIRT@,在产品漏洞预警发布前,不得对第三方交流、传播、泄露漏洞信息,不得传播攻击、越狱的方法。