產品安全培訓教材

1、2016.04.06目錄1、引子 2、什么是網絡安全？3、公司要求及規(guī)章制度4、制造網絡安全管理要求布什爾核電站反應堆已封項，馬反應堆已封項，馬上可以發(fā)電了上可以發(fā)電了哈哈！我叫震網，！我叫震網，我來了我來了 2015年2月27日江蘇省公安廳緊急通知由于海康威視監(jiān)控設備存在巨大安全隱患，部分設備已被境外IP控制，要求對?？当O(jiān)控設備進行全面清查。2010年9月，伊朗核設施突遭來源不明的網絡病毒攻擊，納坦茲離心濃縮廠的上千臺離心機報廢警示一、弱密碼不可取，未修改初始密碼更易被攻擊警示二、系統(tǒng)的相對封閉是系統(tǒng)安全運行的首要保障1 1、引子：網絡安全問題、引子：網絡安全問題上升到政治和法律法規(guī)2005

2、年3月，多家媒體曝光了希臘的手機竊聽事件，包括希臘首相夫婦、司法部長、雅典市長、美國大使等106位高官電話被竊聽，網絡安全問題又一次成為全球關注的焦點?；厮輪⑹? 1、引子：網絡安全問題關乎公司的生死存亡、引子：網絡安全問題關乎公司的生死存亡n2003年1月20日，E 公司(設備商)交付V公司 (運營商)AXE R9.1產品，含有合法監(jiān)聽模塊。n2004年7到10月，該設備被植入了惡意軟件，通過該軟件控制合法監(jiān)聽模塊，竊聽政府官員電話。n2005年3月，多家媒體曝光了一百多名政府官員的電話被竊聽，隨后E 公司發(fā)現(xiàn)此惡意軟件，V 公司 CEO下令清除惡意軟件。n在2006年和2007年，V公司兩

3、次被主管機構罰款共9500萬歐元，E公司 被罰700萬歐元。nV公司網絡經歷主管機構長達一年的嚴酷測試，公司形象被破壞, 市場份額后果n通信網絡作為國家重要基礎設施，一旦受到威脅，極可能對國家利益造成影響。本案例中，涉及公民通信秘密和隱私被侵犯，運營商和設備商都承擔了相應的法律和經濟責任。所以，對于合法監(jiān)聽模塊的啟用和維護，一定要嚴格遵循所適用的法律法規(guī)要求。n網絡安全問題不僅是技術問題，已上升為法律問題、政治問題，我們應避免因網絡安全問題而導致公司崩潰的政治風險和法律后果。n通信網絡作為國家重要基礎設施，一旦受到威脅，極可能對國家利益造成影響。本案例中，涉及公民通信秘密和隱私被侵犯，運營商和

4、設備商都承擔了相應的法律和經濟責任。所以，對于合法監(jiān)聽模塊的啟用和維護，一定要嚴格遵循所適用的法律法規(guī)要求。n網絡安全問題不僅是技術問題，已上升為法律問題、政治問題，我們應避免因網絡安全問題而導致公司崩潰的政治風險和法律后果。客戶數(shù)據(jù)未授權被訪問，維護工程師雖解決問題但仍引起公司間的信任危機回溯啟示后果行為1、引子：網絡安全問題關乎個人的前途命運引子：網絡安全問題關乎個人的前途命運n2009年12月，A公司收到客戶反饋，設備存在隨機通話中斷問題，要求盡快解決。nA公司委任維護工程師 Z 在現(xiàn)網進行定位分析，但在執(zhí)行操作前需得到客戶授權在執(zhí)行操作前需得到客戶授權。nZ 經客戶授權，在客戶現(xiàn)網采集

5、數(shù)據(jù)進行定位分析，但故障現(xiàn)象一直沒有重現(xiàn)，問題一直無法解決。n兩周后故障重現(xiàn)， Z聯(lián)系客戶希望獲取授權，但沒有打通電話。n考慮到故障現(xiàn)象可能馬上消失，Z在未經客戶授權的情況下就直接登錄客戶網絡采集數(shù)據(jù)了，很快就解決了此問題。 n客戶認為A公司未經授權操作客戶的設備是對其資產的侵犯，容易造成網絡中個人數(shù)據(jù)和隱私的泄漏，對Z員工行為非常不滿。 n客戶運維主管將此事升級到客戶高層和安全部門，演變成為網絡安全事故，造成A公司與客戶的信任危機。 n如果客戶將此事件移交司法，根據(jù)當?shù)貒晌词跈嘣L問的解釋，Z Z員工將面臨員工將面臨2 2年以下監(jiān)禁或罰金年以下監(jiān)禁或罰金。n客戶設備、網絡以及其承載的數(shù)據(jù)和

6、個人隱私等都屬于客戶資產，需建立對客戶資產的保護意識，避免無意違規(guī)甚至違法。n每個員工都要對自己所做的事情和產生的結果負責。不僅要對技術負責，也要承擔法律、每個員工都要對自己所做的事情和產生的結果負責。不僅要對技術負責，也要承擔法律、政治政治的責的責任任。n客戶設備、網絡以及其承載的數(shù)據(jù)和個人隱私等都屬于客戶資產，需建立對客戶資產的保護意識，避免無意違規(guī)甚至違法。n每個員工都要對自己所做的事情和產生的結果負責。不僅要對技術負責，也要承擔法律、政治的責任。政府監(jiān)管技術影響美國、歐盟等多國政府已將網絡安全列為國家安全戰(zhàn)略的重要組成部分；英國、法國、印度等政府基于信任和對安全問題的擔心，政府監(jiān)管和標

7、準法規(guī)對運營商和設備商提出安全合規(guī)性要求。法律因素市場準入1、引子：全球網絡安全的影響和挑戰(zhàn)全球網絡安全及隱私保護的立法日趨嚴格，挑戰(zhàn)越來越嚴重；在歐美國家，與一般的公司違法行為相比(稅務、IPR、違約)，違反網絡安全法律往往容易和侵犯人權、危害國家安全聯(lián)系起來。這樣，政府和公眾對此的容忍度更低，更容易引起對整個公司的信任危機。隨著ICT技術日益開放，電信網絡的IP化，終端的智能化和多業(yè)務融合，電信網絡的安全性面臨著越來越嚴峻的威脅和挑戰(zhàn)，華為產品應充分考慮抗攻擊和可恢復能力;技術方案選擇或實現(xiàn)不當（如未公開接口），可能導致外界攻擊引發(fā)信任危機; 網絡安全事故對客戶正常業(yè)務帶來了實際的風險和損

8、失，必須加強安全預防，進一步降低安全的管理和運維成本。業(yè)界頻繁曝光的重大安全事件，對網絡安全問題的擔憂，導致設備商失去百億的大單，甚至不能進入重點市場；運營商將法律責任轉移給設備供應商，越來越多主流運營商要求與設備商簽署專門的安全協(xié)議, 遵守當?shù)氐姆珊头ㄒ?guī)，提出產品安全性、安全教育和審查要求等等，如印度所有運營商要求如發(fā)現(xiàn)安全問題將面臨巨額罰款和退網的處罰。 美國依然是供應鏈網絡安全的領先者美國通過將供應鏈的安全納入國家戰(zhàn)略，其核心訴求是建立“促進商品高效安全的流動， 加強商品的完整性和建立一個恢復能力強的供應鏈?！?NIST（美國國家標準局）刷新了新的信息安全要求，在其中明確了對的供應鏈安

9、全要求，如NIST SP800-161（聯(lián)邦信息系統(tǒng)和組織的供應鏈風險管理實踐）。 隱私和客戶數(shù)據(jù)保護依然是政府和客戶關注的重點歐盟正在擬制的個人數(shù)據(jù)保護法，加大了對設備供應商的法律責任，在逆向再利用、已使用貨物報廢和設備搬遷時需要滿足當?shù)氐姆ㄒ?guī)要求；從嚴要求保護個人數(shù)據(jù)和隱私（德國/土耳其/丹麥客戶要求在本地處理個人數(shù)據(jù)）；中國政府客戶在政務云招標中直接采取了NIST SP 800-53（聯(lián)邦信息系統(tǒng)及組織安全和隱私控制）作為安全要求 倡導建立統(tǒng)一的供應鏈評估標準，支持ICT行業(yè)全球化的發(fā)展美國智庫布魯金斯發(fā)布如何在ICT全球供應鏈建立信任的白皮書，倡導建立統(tǒng)一標準； 全球ICT產業(yè)界發(fā)布聲

10、明政府網絡安全推薦性實施準則，建議政府統(tǒng)一對業(yè)界的網絡安全標準；華為參與制定可信技術供應商標準（O-TTPS），是目前業(yè)界供應鏈領域的第一份安全標準，但還不成熟各各方對方對ICTICT供應鏈網絡安全越來越關注，供應鏈網絡安全越來越關注，強調產品在供應鏈中的高效流動、完整性和數(shù)強調產品在供應鏈中的高效流動、完整性和數(shù)據(jù)及隱私保護據(jù)及隱私保護美國政府的供應鏈安全管理：美國在供應鏈安全領域很早就進行規(guī)劃和布局，并形成了完整的供應鏈風險管控體系，由于其領先和示范作用，其他各國會效仿和借鑒1、引子：網絡安全業(yè)界業(yè)界形勢政府&法律法規(guī)從運營商到最終用戶對網絡安全要求和隱私保護都更加重視從運營商到最終用戶對

11、網絡安全要求和隱私保護都更加重視運營商對供應鏈越來越從關注管理方法向關注細節(jié)和技術實現(xiàn)方式上轉變，如：如何從技術上保證產品加載的軟件完整性可校驗；客戶越來越關注供應商的網絡安全管理，尤其是開源軟件清單及可追溯問題，越來越多敏感國家客戶提出要交流供應商安全議題。UK、德國等國運營商如VDF、DT將對供應鏈安全要求寫入合同，要求遵從當?shù)兀ˋEO）或者美國（C-TPAT）的供應鏈安全標準。Telenor、BT、VDF等客戶強調華為可追溯數(shù)據(jù)庫要利用起來，幫助華為進行漏洞影響的和監(jiān)控；運營商企業(yè)網消費者云服務、銀行、交通、電力、醫(yī)院、政府等企業(yè)客戶除了傳統(tǒng)的網絡安全要求外，對用戶數(shù)據(jù)和隱私保護要求更高

12、；企業(yè)網客戶，如亞馬遜、HP等北美客戶依據(jù)C-TPAT+客戶內部少量的定制化需求提出安全要求，其他市場客戶尚未明確類似要求；中國政府客戶在政務云招標中采取了NIST SP800-53。消費者越來越倚重和使用移動業(yè)務，手機成為最重要的交流媒介，手機消費者個人隱私數(shù)據(jù)的保密要求變得空前重要；Gartner的調查指出使用社交媒體時，最重要的挑戰(zhàn)是首先要解決安全和隱私、內容管理等問題個人數(shù)據(jù)的保護應貫穿到每個產品的生命周期中: 數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)轉移/共享、數(shù)據(jù)留存與刪除等開源漏洞迅速上升，2014年業(yè)界爆發(fā)5起一級開源漏洞，幾乎涉及華為所有產品和供應商，?？狄曈嵤录伙@了供應鏈的脆弱性1、引子

13、：網絡安全業(yè)界業(yè)界形勢客戶要求1、引子：網絡安全業(yè)界業(yè)界形勢近期事件2015年8月成都超4千家網站遇黑客 超半數(shù)政府網站有漏洞； 8月份成都網絡安全面臨的威脅主要來自SQL注入，4209家單位網站和系統(tǒng)被黑客入侵，314家企事業(yè)單位網站已被黑客利用并被植入暗鏈。 (新華網)2015年9月15日，韓國購物網站“ppomppu”遭黑客襲擊 190萬條個人信息被泄露(中國網)2015年9月21日，蘋果被曝安全漏洞 多款常用APP感染病毒，蘋果應用商店中包括12306、滴滴出行、高德地圖等多款常用的76款APP應用均感染上了一種名叫XcodeGhost的病毒。（中新網)2015年9月11日，多家金融機

14、構被曝存在漏洞 黑客：價錢合適數(shù)據(jù)都能買到；包括烏云、補天等漏洞響應平臺曝光了多家銀行、券商、保險、基金公司網站存在漏洞。這些漏洞主要集中在跨站腳本攻擊、金融APP安全問題等，如果不及時處理，包括銀行的轉賬信息、投資者的個人信息、賬號密碼、交易記錄都存在著被泄露的風險。 (央廣網)網絡安全網絡安全Cyber Cyber securitysecurity誤區(qū)誤區(qū)1 1：網絡安全：網絡安全= =信息安全信息安全 華為的信息安全是確保確保對內關鍵資產對內關鍵資產的有效管控； 網絡安全是指對客戶的系統(tǒng)和網絡對客戶的系統(tǒng)和網絡，以及其所承載，以及其所承載的客戶或用戶的通信內容、個人數(shù)據(jù)及隱私等進行的客戶

15、或用戶的通信內容、個人數(shù)據(jù)及隱私等進行保護。保護。信息信息安全安全防攻擊防攻擊防病毒防病毒誤區(qū)誤區(qū)2 2：網絡安全：網絡安全= =防攻擊防病毒防攻擊防病毒 網絡安全不僅僅是防攻擊防病毒，還包括業(yè)務連續(xù)及健壯的網絡、承載及保護的數(shù)據(jù)/隱私。誤區(qū)誤區(qū)3 3：網絡安全：網絡安全= = 物理和人身安全物理和人身安全（SafetySafety） lSafetySafety 主要是人在使用產品時不受到傷害，包括電磁、電容輻射、安規(guī)等。物理和人身物理和人身安全安全 SafetySafety 誤區(qū)誤區(qū)4 4：網絡：網絡Cyber= NetworkCyber= Network Network: Network:

16、 是指具體實體的網絡，包括如計算機、路由器、交換機等組建網絡； CyberCyber：是指虛擬的網絡Network Network securitysecurity2 2、什么是網絡安全？、什么是網絡安全？華為對網絡安全的定義華為對網絡安全的定義網絡安全網絡安全是指在法律合規(guī)下保護產品、解決方案和服務的可用性、完整性、機密性、可追溯性和抗攻擊性，及保護其所承載的客戶或用戶的通信內容、個人數(shù)據(jù)及隱私、客觀信息流動。通過網絡安全的保障，避免華為及其客戶的經濟、聲譽受損；避免行為人或華為承擔民事、行政甚至刑事責任；避免成為貿易保護的借口，避免成為國際政治危機的導火索。Page 10網絡安全五個特性

17、確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改，同時還要防止授權用戶對系統(tǒng)及信息進行不恰當?shù)拇鄹?，保持信息內、外部表示的一致性。確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。完整性系統(tǒng)或設備遭受攻擊時，具體一定的防護能力。確保實體行動或信息流動可被追蹤?？构粜源_保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。可用性機密性可追溯性業(yè)界網絡安全三性 CIA 機密性（Confidentiality）指只有授權用戶可以獲取信息完整性（Integrality）指信息在輸入和傳輸?shù)倪^程中，不被非法授權修改和破壞，保證數(shù)據(jù)的一致性可用性（Avai

18、lability）指保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^。2、什么網絡安全？ 五個特性的解讀2、什么是網絡安全？、什么是網絡安全？Page 12美國食品及藥物管理局發(fā)現(xiàn)370多起病患因為電子數(shù)據(jù)出問題受傷害事件：病人過敏性數(shù)據(jù)在更新了之后卻被刪除了。重要的生命體征數(shù)據(jù)在觀察完了之后從記錄里面消失了。完整性可用性抗攻擊性某種服務每秒發(fā)一個格式不對的文件包就會導致服務不可用的情況；2011年初，小偷們進入一個英國第二大移動通訊公司的交換站，導致幾十萬的用戶無法使用服務。德國明鏡報報道稱，美國ASN組織入侵了蘋果、cisco、華為等多家設備通信商的外包工廠(但未被證實)，但依然說明一個問

19、題，即：如果真被攻破并入侵，說明這家外包廠的網絡抗抗擊性很差。終端simlock號碼被盜販賣問題沃達豐毫微微蜂窩基遭黑客攻擊：設計違背 3GPP 安全標準，攻擊者能夠修改設備，達到截取設備附近任意用戶通話信息。（3GPP第三代伙伴計劃協(xié)議)機密性可追溯性S公司案例：黑客使用一連串的受損害的系統(tǒng)攻擊S公司，導致大量S公司客戶信息泄露，由于沒有日志導致很難識別黑客。常見的網絡安全失效案例類別類別目的及威脅目的及威脅主要攻擊方式主要攻擊方式信息竊取類主要以盜取機密信息、個人數(shù)據(jù)、敏感數(shù)據(jù)為目的，隱蔽性強，威脅國家保密信息、公司商業(yè)機密，個人隱私數(shù)據(jù)等，對于被攻擊目標危害極大。木馬、網絡釣魚、垃圾郵件

20、、間諜軟件等拒絕服務類以攻癱目標為目的，即攻擊者想辦法讓目標機器停止提供服務，是黑客常用的攻擊手段之一。拒絕服務攻擊問題也一直得不到合理的解決，究其原因是因為這是由于網絡協(xié)議本身的安全缺陷造成的，從而拒絕服務攻擊也成為了攻擊者的終極手法病毒、蠕蟲、DDOS、僵尸網絡遠程控制類所謂遠程控制，是指管理人員在異地通過計算機網絡異地撥號或雙方都接入Internet等手段，連通需被控制的計算機，將被控計算機的桌面環(huán)境顯示到自己的計算機上，通過本地計算機對遠方計算機進行配置、軟件安裝程序、修改等工作，可以進行任何危險操作。木馬、間諜軟件、病毒、APT2、什么是網絡安全？常見的威脅Page 14黑客承載及保

21、護的數(shù)據(jù)/隱私業(yè)務連續(xù)及健壯的網絡光弘利用漏洞機密性完整性可用性可追溯抗攻擊被懷疑利用所謂的“后門”業(yè)界網絡安全光弘網絡安全白上加白政治上打消質疑法律上自證清白業(yè)界網絡安全是指用健壯的網絡承載和保護數(shù)據(jù)/隱私，抵御黑客攻擊。光弘的網絡安全除此之外，還要白上加白。2 2、什么是網絡安全？、什么是網絡安全？ 轉變到主觀上無惡意客觀上無風險公司員工和管理者要真正認識到網絡安全的重要性，改變思想意識員工意識和行為，是公司網絡安全戰(zhàn)略落實的重要保障 公司網絡安全最大的障礙就是缺乏網絡安全意識，始終認為我們主觀上是沒有惡意。我們千萬不要認為主觀上沒有惡意，就可以不承擔責任。 每個員工都要對自己所做的事情和

22、產生的結果負責。不僅要對技術負責，也要承擔法律的責任。 光弘交付的網絡產品、服務等不允許出現(xiàn)任何問題，一旦發(fā)生，都要經得起法律的追溯。Page 153、公司要求及規(guī)章制度Page 16網絡安全違規(guī)行為很多被法律界定為違法行為保護對保護對象象違法行違法行為為法律解讀法律解讀法律依據(jù)法律依據(jù)法律后果（以德法律后果（以德國為例）國為例）保護用戶保護用戶通信秘密通信秘密和隱私、和隱私、及通信自及通信自由由未授權訪問；非法監(jiān)聽；數(shù)據(jù)干擾；數(shù)據(jù)非法轉移；偽造計算機數(shù)據(jù)。 通信秘密及自由是一項基本人權，通信秘密依法受到保護，而除了合法目的（如合法監(jiān)聽、維護監(jiān)聽或法律允許的正常商業(yè)目的）外，通信自由不應受到不

23、適當?shù)南拗疲?個人數(shù)據(jù)不僅關乎財產利益，如涉及到了個人隱私更將關乎人格尊嚴，同樣屬于人的基本權利; 因此，法律對于一切違法的干涉、破壞通信秘密及自由，非法獲取、轉移及利用個人數(shù)據(jù)及隱私的行為都予以懲罰。 歐盟:網絡犯罪公約 英國:調查權限法濫用計算機法 德國:電信法、電信媒體法、刑法 法國:刑法 美國:美國國家信息安全法案 歐盟及英、德、法等各成員國的個人數(shù)據(jù)保護法 美國一攬子制裁伊朗法案 歐盟制裁敘利亞的決定 中國：刑法、侵權責任法、電信條例刑法：206條：5年監(jiān)禁或罰金 （通信秘密）201條 ：3年監(jiān)禁或罰金（侵犯談話隱私）202條 /303條：2年監(jiān)禁或罰金（數(shù)據(jù)間諜/數(shù)據(jù)篡改）個人數(shù)據(jù)

24、保護法：44(1)：2年監(jiān)禁或罰金 （未授權訪問/非法監(jiān)聽/數(shù)據(jù)非法轉移）保障客戶保障客戶通信通信（計算機系統(tǒng)、網絡、數(shù)據(jù)）安全系統(tǒng)干擾；設備濫用；計算機欺詐等；個人數(shù)據(jù)非法利用。 計算機信息系統(tǒng)是個人數(shù)據(jù)及隱私的載體，也直接影響到通信秘密能否得到保護，通信自由能否通暢。 同時，對于相應的違法行為如非法入侵計算機系統(tǒng)，非法控制計算機系統(tǒng)，為前述違法行為專門提供工具或接口等都將予以刑事處罰。 歐盟:網絡犯罪公約 美國:美國計算機保護法美國計算機網絡保護法 德國:電信法、刑法 英國:濫用計算機法 中國：刑法、電信條例 中華人民共和國網絡安全法(草案)刑法：303條：3年監(jiān)禁或罰金 （計算機破壞）；

25、3年監(jiān)禁或罰金（設備濫用）263條：5年監(jiān)禁或罰金（計算機欺詐）個人數(shù)據(jù)保護法：44(1)：2年監(jiān)禁或罰金 （個人數(shù)據(jù)非法利用）3、公司要求及規(guī)章制度網絡安全關鍵崗位清單網絡安全關鍵崗位清單1、IQC（存儲類）（存儲類）2、測試工程師、測試工程師/技術員技術員3、手工測試員、手工測試員 （含無線模板測試、（含無線模板測試、FT及整機測試）及整機測試）4、軟件燒錄、軟件燒錄5、IT工程師工程師6、文控、文控、7、貴材管理員、貴材管理員3、公司要求及規(guī)章制度網絡安全關鍵部件網絡安全關鍵部件1、硬盤、硬盤、2、儲存卡（、儲存卡（U盤、盤、SD卡）、卡）、3、測試卡、測試卡、4、操作系統(tǒng)、操作系統(tǒng)、5

26、、網絡服務器軟件、網絡服務器軟件網絡安全物料網絡安全物料主要是：主要是：IC3、公司要求及規(guī)章制度1、IQC（存儲類）（存儲類）1）對于關鍵物料的來料要進行安全檢測、病毒的比對，確保編碼、數(shù)量、訂單、配置表、格式、具體內容的一致性。 2）新購電腦及維修過的硬盤，IT技術人員要對其進行安裝正版殺毒軟件，殺毒后移交使用部門。 3）對新采購的存儲介質，設備室要進行殺毒并注冊編號后發(fā)給使用部門所有的關鍵崗位人員都要簽安全協(xié)議所有的關鍵崗位人員都要簽安全協(xié)議3、公司要求及規(guī)章制度2、測試工程師、測試工程師/技術員技術員1）所有工程師或技術員必須經授權后才可以使中測試設備。2）生產測試方法依客戶要求進行。

27、3）測試電腦不得用于測試之外的用途，不得利用技術手段上外部網絡，由專業(yè)人員進行調試和加載，不可使用私人光盤或U盤。 4）測試與維修終端只能安裝與測試與維修相關的軟件，不得安裝 其它無關軟件。5）測試電腦至少每周要進行一次殺毒并及時升級病毒庫。3、公司要求及規(guī)章制度3、軟件燒錄、軟件燒錄1） 燒錄軟件要統(tǒng)一從指定的服務器中下載，禁止通過U盤和移動介質下載。對燒錄文件的下載和安裝要有專門的人員進行。2）對軟件的燒錄和下載都要保留記錄，軟件燒錄后應進行有效的軟件檢驗，檢驗文件與燒錄文件非同一份文件。3）燒錄技術人員及作業(yè)員、禁止帶私人存儲卡做任何的拷貝或下載。4）不使用的USB接口一律封閉。 5）燒

28、錄區(qū)域配備閉路電視監(jiān)控，非工作人員進出必須登記。3、公司要求及規(guī)章制度4、IT工程師工程師1）確保生產網絡與辦公室網絡分別，生產網絡不用上外網。2）IT人員不得利用工作便利制造、下載、傳播、攻擊性病毒。3）不得安裝 其它無關軟件，同時不得安裝盜版有風險性軟件或操作系統(tǒng)。4）不得私帶存儲設備進行任何的生產活動。5）不得利用技術手段更改或攻擊客戶軟件。 6）安裝防病毒軟件與數(shù)據(jù)監(jiān)控軟件,定期執(zhí)行病毒查殺動作并保存記錄,預防軟件被篡改及感染病毒，系統(tǒng)補丁定期升級。3、公司要求及規(guī)章制度5、文控、文控1）文控專用電腦禁止接外部網絡（用于生產接客戶網絡除外），授權人才能進入。安裝殺毒軟件，并每周要進行殺

29、毒，同時病毒庫要定期升級。2）文件下載在客戶指定的網絡系統(tǒng)中下載。3）不得安裝 其它無關軟件，不得存放與本工作無關的私人文件。4）文控電腦必須設置密碼，且至少三個月更換一次密碼。3、公司要求及規(guī)章制度6、貴材管理員、貴材管理員1）貴材區(qū)域配備閉路電視監(jiān)控，授權人才能進入，非工作人員進出必須登記。2）門禁密碼至少三個月更換一次，同時在有人員離職時必須更換密碼。3、公司要求及規(guī)章制度1、硬盤、儲存卡（、硬盤、儲存卡（U盤、盤、SD卡）、測試卡類卡）、測試卡類1）必須實施嚴格的賬目管理,實物交接必須簽字確認，必須經過殺毒或格式化后才能使用。2）可移動存儲器件在生產使用過程中必須定期進行病毒檢查、實物

30、交接管理、每班盤點 。3）可移動存儲器件禁止帶出公司。4）報廢必須以客戶要求，或對實物進行物理性的破壞后才能報廢。網絡安全關鍵部件具體要求網絡安全關鍵部件具體要求3、公司要求及規(guī)章制度2、操作系統(tǒng)、網絡服務器軟件 1）不得安裝盜版操作系統(tǒng)。 2）安裝防病毒軟件,定期執(zhí)行病毒查殺動作并保存記錄, 系統(tǒng)補丁定期升級。3、公司要求及規(guī)章制度關鍵崗位人員安全要求關鍵崗位人員安全要求1、入職時需做社會背景調查，確定無犯罪記錄、無吸毒史。2、入職前需經過網絡安全知識培訓，熟悉/了解華為產品信息/網絡安全要求。3、入職后需與公司簽署“安全協(xié)議書”。4、在離職時需交回電腦密碼、鑰匙等，必須落實保密協(xié)議內容。3

31、、公司要求及規(guī)章制度違規(guī)處罰違規(guī)處罰1、 對關鍵崗位人員輕微違反崗位網絡安全管理要求，沒有造成產品實質性安全的，但有存在安全風險的，以批評教育用主。 2、對違反崗位網絡安全管理要求，造成產品實質性安全，給公司或客戶帶來經濟損失或負面影響的，將根據(jù)問題的嚴重程度給予經濟處罰，情節(jié)特別嚴重的將移送檢查機關處理。3、公司要求及規(guī)章制度4、制造網絡安全管理要求-概要保障產品在供應鏈中的完整性、真實性、可追溯性，防止產品被篡改、植入、偽造等網絡安全風險，并通過對供應過程的可追溯來達到供應鏈風險的有效管理。供應鏈是保障產品從研發(fā)、生產到客戶端到端完整性的重要一環(huán)，供應鏈應避免華為生產或購買的產品中的軟件、

32、硬件或數(shù)據(jù)等在生產與交付中被惡意篡改或植入、確保交付給客戶的產品與研發(fā)發(fā)布的一致。供應鏈在生產、交付過程中防止使用被偽造部件，保障生產過程及交付給客戶產品的真實性.供應鏈應建立可追溯系統(tǒng)，支撐產品和部件在供應鏈過程中的可追溯性。供應鏈須對產品和部件建立唯一標識，并確保這些信息被有效記錄。4、制造網絡安全管理要求-術語偽造產品(Counterfeit)：產品不是由或者不是為了華為而生產，或者不是通過正規(guī)可靠渠道供應的，但是卻以合法產品的身份出現(xiàn)。篡改/植入(Tainted)：華為生產的產品，或華為購買的供應商產品，但因為軟件、硬件或數(shù)據(jù)等被惡意更改，導致產品功能、性能和服務與設計意圖不符?？勺匪?Traceability)：使用專業(yè)管理工具和綜合系統(tǒng)，實現(xiàn)基于數(shù)據(jù)倉庫的來料到站點的全交付過程的軟硬件記錄回溯，讓相關產品和部件在整個供應鏈中可以追蹤。O-TTPS：開放組織技術供應商標準，該標準敘述了一套行業(yè)最佳實踐要求和建議，當組織采用這套要求和建議時，可以為買家減少買到被篡改產品或者偽造產品的風險，帶來商業(yè)利益。ISO28000: 是國際標準化組織（ISO）制定的應對供應鏈威脅的系統(tǒng)解決方案，為供應鏈