2021年年报 |
您所在的位置:网站首页 › 华为p20自动亮度 › 2021年年报 |
|
网络安全与隐私保护的挑战和机遇
如今,我们生活在一个高度互联的世界,物理世界和数字世界日益融合,网络边界渐渐模糊,网络安全与隐私保护的重要性日益凸显。过去的一年,致命漏洞、供应链攻击、APT攻击层出不穷,从产品、服务到运营,从内部IT系统到供应链、代码和人员,我们面临的网络安全威胁无处不在。各国政府对网络安全和隐私保护越来越关注,相继推出法律法规来加强网络空间的治理和个人数据保护。数据变得越来越重要,数据保护及合规使用成为基本要求。各行各业的数字化转型方兴未艾,云计算、人工智能、5G、大数据等新技术的应用带来了机遇,也引入了风险。如何满足监管部门日益严格的合规要求,如何提供安全可信的产品和服务以履行对客户的承诺,如何构建纵深防御体系来保护企业数据安全和业务连续性,如何在保护用户隐私的同时提升效率和客户体验,这些都是数字经济所带来的挑战和机遇。 过去三十多年,华为与运营商一起建设了1,500多张网络,助力数以百万计的企业进行数字化转型,帮助全球超过30亿人口实现联接,我们一直保持着良好的安全记录。随着数字化转型的加速,我们深刻地意识到网络安全将成为未来数字世界的基石,没有安全可信和隐私保护,就没有数字世界里的业务成功。华为已经明确将网络安全和隐私保护作为公司的最高纲领,致力于通过管理变革、技术创新、开放合作来迎接网络安全和隐私保护带来的挑战和机遇,通过打造安全可信的产品、解决方案和服务,守护未来数字世界的美好生活。 持续打造安全可信的产品、解决方案和服务,助力客户实现网络韧性我们致力于持续优化端到端保障体系,确保各领域的网络安全和隐私保护工作得到持续夯实并与时俱进: 深化可信变革,持续提升软件工程能力和网络韧性,打造安全可信的高质量产品与解决方案。2021年我们健全了可信技术货架和设计师作业平台,通过推行Clean Code机制来持续提升代码质量,有效减少漏洞,通过加强威胁分析和可信设计来持续提升产品与解决方案的安全及韧性能力,将软件工程能力变革成果固化并落入IPD12.0流程版本。在组织方面,我们加强了安全公共能力的整合和持续构建,如在产品安全事件响应团队(PSIRT)基础上成立了公司级的漏洞管理中心,以加强漏洞管理的公共能力建设;在产品线层面整合了可信使能部和IT装备部,通过IT装备来促进软件工程能力的落地。 夯实隐私治理,尊重和保护用户隐私。华为遵守所在国隐私保护相关的法律法规要求,从2016年开始对标GDPR的标准和要求,构建了统一的隐私保护治理架构。随着其他区域/国家个人信息保护法律(如中国《个人信息保护法》)以及数据跨境流动要求的相继出台,我们持续完善治理架构和技术能力,并在研发、服务、运营等各个环节融入隐私保护和跨境传输要求。华为基于治理架构和流程开发了系列的IT工具和平台,支撑了合规有效性和管理成熟度的提升,并提供透明、清晰的合规过程和结果展示;我们及时有效地处理超过20,000次数据主体请求,保障了数据主体的权利;我们在不同国家和业务领域开展了30次内外部审计,多个子公司通过了国际权威的隐私保护认证,确保了公司的隐私保护政策得到有效实施。 通过技术创新帮助客户应对安全风险。我们持续开展密码学、AI可信、机密计算、差分隐私等前沿基础技术的研究探索及应用落地,通过安全技术解决方案加速安全技术栈在产品中的应用,在ICT产品中引入漏洞消减、高级威胁检测、数据保护等技术,增强安全韧性。以5G基站为例,通过部署启动态软件完整性校验、运行态软件完整性度量、一键式安全配置核查等功能,提供基站全栈安全校验、加固和检测能力,构建5G内生安全,使网络具备更高效的一体化安全防护体系,增强网络韧性。我们在手机产品中引入端云协同的应用隐私行为检测等,增强产品的隐私保护能力。我们发布了AI态势感知技术,可以有效提升AI模型的攻击检测及审计能力,保护AI模型资产。 保障消费者使用HarmonyOS时的隐私与安全。HarmonyOS是新一代的智能终端操作系统,为不同设备的智能化、互联与协同提供了统一的语言,为消费者带来简捷、流畅、连续、安全可靠的全场景全新交互体验。在HarmonyOS构建之初,我们就把如何保护消费者的隐私安全作为根本问题,通过构建系统安全架构和生态管控框架,从源头解决隐私与安全问题。HarmonyOS构建了面向超级终端的安全架构,实现了设备安全分类分级的管理,设备可信连接,分布式访问控制,安全协同平台等能力,保障了消费者使用超级终端的安全。在生态管控方面,针对HarmonyOS应用构建了全生命周期管控框架,确保应用在开发、调试、上架、安装、运行等各个环节都得到安全管控,让用户免受恶意应用侵扰,用户隐私安全得到有效保障。 持续夯实服务作业安全可信。华为持续投入作业可信IT化能力建设,通过数字化手段确保网络操作透明、可追溯。成立作业可信实验室,加强与全球标准组织的对接和前沿研究,构筑能力,应对未来网络安全挑战。华为电信服务支撑数据安全管理体系通过外部审计机构的SOC2审计,鉴证了华为对电信服务支撑数据生命周期的有效管理。同时持续开展“网络平安日”专题活动,与客户一起加强网络安全意识提升和风险管控,助力客户提升网络韧性。 稳步提升全员意识和专业能力。我们鼓励员工积极参加外部网络安全或隐私保护专业资质认证,已有超过1,200人获得了CISSP、CIPP、CCSK等行业权威认证。为促进知识在组织内部快速分享与传递,我们建立了网络安全与隐私知识中心,上线MOOC课程超过200门。为不断提升全员网络安全与隐私保护意识,我们举办网络安全月活动,通过总裁寄语、专家大讲堂、知识竞答、夺旗大赛、网络安全技术大会、验证大会等主题活动,吸引了约15万余员工通过线上、线下等各种形式参加。 持续加强供应链的网络安全风险管理和能力建设。华为已建立了符合ISO 28000的全面供应链安全管理体系,在从来料、制造到客户交付的端到端流程中,识别和控制安全风险。我们建立了业界领先的物料安全可信规格、安全选型测试标准和供应商安全可信成熟度标准,供应商需要通过安全体系认证及安全测试后方可引入。2021年,我们对全球超过4,000家涉及网络安全的供应商进行风险评估,并对评估过程中发现的问题进行记录、追踪和纠正,与超过5,000家涉及隐私保护的供应商签署了数据处理/保护协议,并落实供应商隐私保护管理要求,确保安全隐私合规。我们优化了可制造性和可供应性安全基线和验证流程,并在新产品的生产和交付过程中落地。我们注重各国对供应链安全的要求,累计在五大洲28个国家和地区获得35张AEO(Authorized Economic Operator)证书,我们和合作伙伴共建安全生态,全球25家物流服务商获得了TAPA安全证书。我们持续优化供应链追溯系统,具备从来料到客户的小时级软硬件追溯能力,有效支撑问题快速修复及风险缓解。 在第三方独立验证上加大投入。我们持续与业界权威认证机构开展合作,以国际标准和最佳实践来检验华为的网络安全能力,让客户得到国际认可的安全保障。2021年共获得70余张网络安全认证证书,如:5G基站在行业内率先完成NESAS/SCAS 2.0认证评估,HarmonyOS获得CC高等级认证,智能汽车解决方案BU全球率先通过汽车网络安全ISO/SAE 21434认证,数字能源产品获得IEC 62443高等级证书。 责任共担、能力共建、合作共赢网络安全与隐私保护是全社会面临的共同挑战,也是政府、行业/标准组织、企业、技术供应商、消费者等所有利益相关方的共同责任。华为愿意以开放透明、负责任的态度和各利益相关方沟通合作,并通过技术创新、知识分享、标准/验证等一系列措施共同提升网络安全和隐私保护能力,应对网络安全挑战,使人们在享受新技术带来便利的同时,网络安全和个人隐私能够得到最大程度的保护。 2021年,我们在外部合作方面所取得的关键进展包括: 在移动通信领域,华为向国际标准组织3GPP和GSMA贡献了超过400篇网络安全提案,已连续多年保持业界领先;华为在ETSI、IETF、ITU-T、CCS等国际标准组织中贡献了远程证明安全架构、交互模型、YANG数据模型、园区IoT终端接入安全等提案,持续为各产业安全标准制定作出贡献。 中国移动和华为在浙江成立5G网络安全联合创新中心。该中心结合制造、电网等行业的典型网络安全需求,孵化出网元安全风险检测、终端多重接入控制、切片安全隔离、移动边缘计算(MEC)安全服务化等安全解决方案,持续增强5G网络的安全能力,为行业数字化转型保驾护航。该中心的创新成果“5G服务化安全能力护航制造业数字化转型”获得中国第四届“绽放杯”5G应用征集大赛应用安全专题赛决赛一等奖。创新中心入选中国工业和信息化部的2021年度5G应用安全创新示范中心。 华为加入全球第三大计算机应急响应组织—伊斯兰合作组织计算机应急响应团队(OIC-CERT),积极参与5G网络安全工作组,开发用于风险评估和管理的5G网络安全框架,旨在帮助成员国提升5G网络安全管理能力。 在印尼,我们和国家网络与密码局(BSSN)续签网络安全合作谅解备忘录,重申了华为支持网络安全知识分享的承诺,助力印尼网络安全及数字化转型人才的培养计划。 在德国,华为基于业务用例的试点项目向德国联邦信息安全办公室(BSI)提供建议,支持其发布了AI云服务合规标准目录(AI C4),这是业界首个面向AI云服务的安全标准。12月,华为云OCR服务正式通过独立机构的AI C4审计认证。 在马来西亚,我们和马来西亚网络安全组织(CSM)、运营商Celcom共同建设网络安全测试实验室(My 5G),旨在提升国家的网络安全能力,为5G部署做准备。在12月的CSM-ACE年会上,马来西亚通讯和多媒体部发布了My 5G,CSM为华为颁发了“年度网络安全创新奖”。 在泰国,我们与国家网络安全局(NCSA)合作,组织600多名专业人才参与泰国网络安全人才竞赛(Cyber Top Talent),助力本地网络安全储备人才选拔;华为还将协助NCSA建设培训专用e-lab,为本地组织和人才提供深入的网络安全技术和标准培训。 在新加坡,华为入选网络安全局(CSA)的网络安全合作伙伴计划,作为该计划的“倡导者”之一,华为将与CSA在产品和服务开发、社区外展活动等方面开展深入合作,进一步提升本地企业和公众的网络安全意识,推广网络安全最佳实践。 在阿联酋,我们和国家网络安全委员会(CSC)深入合作,积极参与本地网络安全生态建设,推动区域网络安全意识和能力的提升。CSC为华为颁发了“年度网络安全公司奖”和“年度网络安全CEO奖”。华为阿联酋网络安全与隐私保护官在网络安全周上向CSC主席汇报 2021年6月,华为全球网络安全与隐私保护透明中心(东莞)正式启用,旨在搭建一个交流合作的平台。我们真诚地希望与各利益相关方在安全标准、技术创新、安全治理、测试验证等方面加强沟通合作,共建能力,共享价值,共同迎接网络安全和隐私保护的挑战和机遇,守护未来数字世界的美好生活。 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |