PDF《网络安全透视》

网络安全透视 与你的技术供应商考虑端到端网络 安全时的100个要求 约翰 ? 萨福克 高级副总裁 | 全球网络安全官 华为技术有限公司 2014年12月 作者 在此,我想要感谢那些对本文档做出重大贡献的人 : 刘海军、南建峰、王唯践、David Francis、Andy Purdy、 Debu Nayak、Peter Rossi、Andy Hopkins、罗明、薛勇波、 李花兰、Wout van Wijk、William Plummer、Ludovic Petit、 Ulf Feger、牟德俊、杨光磊,以及其他直接或间接对本 白皮书做出贡献的人,恕不一一列举.

约翰 ? 萨福克 1. 执行概要.1 2. 引言

2 3. 捕捉和精炼问题的方法论.4 4. 设计强健的网络安全方案需要考虑的问题和事情.5 4.1 战略、治理与控制

5 4.2 标准和流程.7 4.3 法律法规

8 4.4 人力资源

9 4.5 研究和开发.10 4.6 验证:不假定任何事情,不相信任何人,检验所有东西.13 4.7 第三方供应商管理

14 4.8 制造.15 4.9 安全地交付服务.17 4.10 问题、缺陷和漏洞解决.18 4.11 审计.19 5. 关于华为.20 目录 2014年12月1在我们2013年10月发布的白皮书《构筑公司的网络安全基因――一套综合流程、政策与标准》1 中 ,我们详细 描述了我们全面建立端到端网络安全流程的方法.我们说过,我们借此机会将客户告诉我们的与安全相关的前 100件事情记录下来.实际上,任何人都可能向其技术供应商提出那些问题,了解他们的网络安全方法.本白 皮书是一个清单,详细讲述了前100件事情,聚焦于技术购买商向其技术供应商提出的问题. 其目的是根据别人向华为提出的问题以及我们针对一系列的 标准 和最佳实践所做的评估提出建议,让购买 者可以在招投标时系统性地分析供应商的网络安全能力. 为了撰写这前100个要求,我们参考了很多的资料. ? 首先也是最重要的是,我们认真倾听了客户的心声.他们的问题和关注点是什么?他们的担心是什么?他 们自己的要求,他们的行业或者国家的要求是什么? ? 作为全球ICT行业的领军企业,华为的业务遍及大规模通信基础设施、云计算、企业和消费者解决方案等所 有东西.我们拥有来自150000员工、科学家和工程师的丰富知识――我们利用他们的知识和激情来做好这 件事. ? 最后,我们浏览了1200多份 标准 、文章或者 最佳实践 ,以确保一定程度的一致性. 我们认识到,在很多国家,与网络安全相关的法律和行业要求越来越多.政府和规则制定者开始将网络安全义 务和网络安全失败的后续责任转嫁给国家关键基础设施供应商和计算机或信息技术服务供应商,这种现象确实 不再罕见了.越来越多的公司不得不详细阐述其应对网络安全的方法,并详细说明他们对其自身的技术供应商 和服务供应商所做的分析和评估. 服务供应商可以说 我不知道 或者 我原以为他们是优秀的,有能力的 ,这样的时代正快速走向终点.技 术购买者不对其所有供应商使用一致的评估问题的时代马上就要终结了.在一个全球相互交织的世界,威胁可 能来自任何地方,而且也确实如此.这前100个要求是一个开始,让你开始评估供应商的网络安全能力,减少 自身的风险.至关重要的是,我们相信,在要求高质量的安全保障方面,购买者的要求越高,购买者越一致, ICT供应商对安全进行投资、提高其安全标准的可能性就越大. 本白皮书大部分篇幅阐述了根据我们的研究,我们认为你在选择技术供应商时应该考虑的100件事情.我们把 它们分成了几个章节,包括:战略、治理与控制,标准和流程,法律法规,人力资源,研究和开发,验证,第 三方供应商管理,制造,安全地交付服务,问题、缺陷和漏洞解决以及审计. 每个章节都详细讲述了许多你应该考虑向你的技术供应商提出的要求.我们也提供了一些额外的理据,说明为 什么这可能很重要的原因.其中一些问题可能会在以下方面对你们自己的组织有所帮助:内部审计人员要看什 么,你自身的治理可能要考虑什么,以及你的董事会和审计委员会可能会问些什么问题.

1 执行概要

1 http://pr.huawei.com/en/news/hw-310599-cyber.htm

2 最后,我们向标准组织发出请求: ? 首先,我们应该团结起来,减少不同标准之间的交叉和重复. ? 第二,我们要将这些各种各样的标准进行重建,让它们建立在一个一致的构建模块之上:举个例子,治理 与控制应该是所有含有此要求的标准中相同的构建模块,而不是很多标准有稍微不同的模块. ? 第三,我们需要尽可能地多关注结果性措施,而不是界定输入或者任务. 我们鼓励尽可能多的公司、政策顾问、供应商和买家思考这最初的Top100作为第一版,并提出改进建议.本 着这种精神,我们很高兴地宣布,东西方研究所(EWI)已经同意采用首版Top100,并利用其广博的知识和网 络,引导版本的刷新和定制化.我们希望Top100的概念能够成为买家方法的一个组成部分,能够有助于ICT行 业进一步推动改进产品和服务的安全设计、开发和部署. 在我们2013年10月发布的白皮书《构筑公司的网络安全基因―一套综合流程、政策与标准》2 中 ,我们详细描 述了我们全面建立端到端的网络安全流程的方法.我们说过,我们借此机会将客户告诉我们的与安全相关的前 100件事情记录下来.实际上,这个清单中的一些问题,任何人都可以向其技术供应商提出,了解他们的网络 安全方法. 我们给这个清单取名叫 逆向信息征询书 .其实它就是客户与他的供应商见面时,应该问供应商的一个潜的 网络安全要求清单――换言之,我们将流程倒着走了,我们让客户问我们,作为供应商,我们是如何处理网络 安全的. 这第三份白皮书记录了前100个要求和我们制定这些要求所采取的方法. 首先,我们来讨论这样一个问题:是什么原因导致网络安全相关的一整套国际标准、规范和实践如此难以制 定、达成一致并得到执行呢?难道是因为做这件事情得不偿失?当你看到网络犯罪带来的巨大损失的时候, 你就知道显然不是这样的.是因为还没有被企业或者是政府提上日程吗?不管是关于网络犯罪的国际政府会 议的数量,还是关于数据遭到破坏、知识产权被盗以及因为拒绝服务攻击而导致的在线服务中断的重要媒体 报道,都在告诉你不是这么回事.也许是因为这个挑战的规模实在太大了,我们无从下手,也许是因为有太 多的关于 标准 、 最佳实践 和 指南 的看法了.我们当然认为这是其中一个因素,正如我们在上一 份《白皮书》中所说的: 标准的问题在于它们并不标准 .最后,你们在分析现有标准的时候会发现,它 们都倾向于聚焦企业或政府部门,有些聚焦最终用户,很少标准,如果真有的话,真正聚焦硬件和软件生产 商――供应商.

2 引言

2 http://pr.huawei.com/en/news/hw-310599-cyber.htm

3 事实上,由于技术的广度,我们永远也无法达成 单一标准 .但是我们可以做的是关注那些在很多标准、准 则和最佳实践中经常提到的关键要求(可能措辞有所不同),并让它们聚焦供应商应该共同采取的措施,以改 进其产品安全. 在本白皮书中,我们旨在详细描述我们的客户和其他利益相关方问得最多的关于网络安全的非技术性问题.在 这里, 最多 还指那些引起对话、审视或者后续问题最多的一些问题.我们采用 诗的破格 的方法把这些 提给我们的问题进行了处理,把它们转化成一般性的问题.我们还加了一些反映最新事件的问题,比如斯诺登 泄密事件,并且填补了问题之间的空白,使得文章的每个部分都衔接紧密. 我们把这些问题提出来,以持续增地强知识,促进正在进行的讨论,并对评估网络安全中 什么是好的 这样 的工作做出贡献. 在详细叙述这些问题时,我们并不试图将它们按优先次序进行排列,也没有把它们套到某个特定的框架或者 方法论上.实际上,对华为的每个核心流程,我们都详细地阐述了这个问题:它们大致位于华为流程的哪些 地方? 本质上来说,这个清单不可能对每个行业而言都是全面的,也不可能覆盖所有法律和技术标准.这不是我们的 目的.我们的目的是根据别人向华为提出的问题以及我们对 标准 和最佳实践课题的评估提出建议,让购买 者可以在供应商答标时系统性地分析其网络安全能力,在寻找满足其即期和长期技术需求的最佳供应商时,让 他们能够使用这些信息增强其信息征询书(RFI)和建议征询书(RFP)的质量. 我们真挚地认为,在要求高质量的安全保障方面,购买者的要求越高,购买者越一致,ICT供应商对安全进行 投资、提高其安全标准的可能性就越大. 团结一致,我们可以增强技术产品和服务中安全考虑的质量,从而让我们可以齐心协力地做更多的事情,通过 信息和通信技术(ICT)的使用去丰富人们的生活.

4 为撰写前100个要求我们参考了很多资料: ? 首先也是最重要的,我们认真倾听了客户的声音.他们的问题和关注点是什么?他们的担心是什么?他们 自己的要求,他们的行业或国家的要求是什么?通过这些我们有幸请到数以千计的访客参观我们的深圳总 部,向他们展示我们的价值观、能力、政策和方法――这些活动激发了很多问题和思索,我们在此感谢这 些客人的真知灼见. ? 作为全球ICT行业的领军企业,华为的业务遍及大规模通信基础设施,云计算、企业和消费者解决方案等所 有东西.我们拥有来自150000员工、科学家和工程师的丰富知识――我们利用他们的知识和激情来做好这 件事. 作为一家公司,华为热切支持国际主流标准,并为这些标准的制定积极做出贡献.截至2012年底,华为加 入了150多个行业标准组织,如,3GPP IETF、IEEE、ITU(国际电信联盟)、OMA、ETSI(欧洲电信标准化协 会)、TMF(电信管理论坛)、ATIS、Open Group等.华为向这些标准组织总共提交了5,000多个提案,在 这些组织中占180多个席位,支持形成一致的国际标准方面的努力.在标准和框架方面,我们为新兴的美 国国家标准与技术研究所框架(NIST)的制定做出了贡献,支持加强ISO27001标准,我们也是ITU和3GPP工 作和概念的积极贡献者.在撰写这前100个要求时,我们参考了这些材料的很多内容. ? 最后,我们浏览了1200多份 标准 ,文章或者 最佳实践 ,以确保一定程度的一致性. 虽然我们确实希望你们中的大多数人会把此文件做为参考,但是这前100个要求并不是一个全面的购物清单式 的问题清单,上面列出了你向你的供应商提出的问题.提问很容易,但是理解答案,确保答案的精确性、实证 性和可审计性还是需要技能的. 最后,我们要向标准组织发出一些请求: ? 首先,我们应该团结起来,减少不同标准之间的交叉和重复. ? 第二,我们要将这些各种各样的标准进行重建,让它们建立在一个一致的构建模块之上:举个例子,治理 与控制应该是所有含有此要求的标准中相同的构建模块,而不是很多标准有稍微不同的模块. ? 第三,我们........