網(wǎng)絡(luò)安全透視技術(shù)白皮書(shū)

1、網(wǎng)絡(luò)安全透視21世紀(jì)的技術(shù)和安全 一場(chǎng)艱難的聯(lián)姻目錄 HYPERLINK l _TOC_250012 前言1 HYPERLINK l _TOC_250011 執(zhí)行概要2 HYPERLINK l _TOC_250010 通信與我們的21世紀(jì)社會(huì)4 HYPERLINK l _TOC_250009 日益增長(zhǎng)的網(wǎng)絡(luò)安全挑戰(zhàn)5 HYPERLINK l _TOC_250008 終端、數(shù)據(jù)和事件7 HYPERLINK l _TOC_250007 識(shí)別參與者8 HYPERLINK l _TOC_250006 理解全球供應(yīng)鏈的影響9 HYPERLINK l _TOC_250005 數(shù)字世界的法律11 HYPER

2、LINK l _TOC_250004 華為的方法12 HYPERLINK l _TOC_250003 網(wǎng)絡(luò)安全是公司的全球政策12 HYPERLINK l _TOC_250002 從內(nèi)部構(gòu)筑安全“嵌入” 而不是“附加”14管理全球安全難題這需要共同合作18 HYPERLINK l _TOC_250001 共同前進(jìn)19 HYPERLINK l _TOC_250000 關(guān)于華為202012年9月1前言本文件公開(kāi)坦誠(chéng)地闡述了華為對(duì)于以下問(wèn)題的觀(guān)點(diǎn)：網(wǎng)絡(luò)安全以及其對(duì)技術(shù)、社會(huì)和我們?nèi)粘Ｉ顜?lái)的后果和影響。在本文件中，我們結(jié)合歷史背景從總體上闡述了網(wǎng)絡(luò)安全的現(xiàn)狀、參與者以及空前擴(kuò)展的全球供應(yīng)鏈給我們大

3、家?guī)?lái)的獨(dú)特挑戰(zhàn)。文件還概述了華為的網(wǎng)絡(luò)安全方法和全球供應(yīng)鏈的挑戰(zhàn)，并就全行業(yè)如何積極務(wù)實(shí)地解決這些擔(dān)憂(yōu)提出了一些建議。毫無(wú)疑問(wèn)，我們需要在全行業(yè)的公共和私有部門(mén)之間持續(xù)增強(qiáng)透明，更加團(tuán)結(jié)合作，主動(dòng)管理網(wǎng)絡(luò)安全并降低全球供應(yīng)鏈風(fēng)險(xiǎn)。作為一個(gè)全球性的公司，華為致力于與各利益相關(guān)方密切合作、持續(xù)創(chuàng)新、共建標(biāo)準(zhǔn)，確保我們提供的網(wǎng)絡(luò)解決方案和服務(wù)的完整性和安全性能夠滿(mǎn)足或超越我們客戶(hù)的需求，并為他們的客戶(hù)提供必要的保障信心。本文件是為了促進(jìn)全行業(yè)對(duì)我們的了解而采取的一個(gè)舉措， 促進(jìn)行業(yè)了解我們?cè)谌蚍秶鷥?nèi)為確保我們大家將來(lái)有一個(gè)安全和更好的網(wǎng)絡(luò)而做出的努力，并就企業(yè)和政府在管理全球網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面需要

4、采取的行動(dòng)提出自己的意見(jiàn)。1執(zhí)行概要我們所處的世界已經(jīng)變得真正相互連接。過(guò)去的二十年間， 我們見(jiàn)證了商業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展， 為一個(gè)相互連接的全球數(shù)字網(wǎng)絡(luò)播下了種子，使得從電子郵件到遠(yuǎn)程醫(yī)療、網(wǎng)站瀏覽、社交網(wǎng)站、網(wǎng)上銀行和零售等服務(wù)無(wú)處不在且讓人們能負(fù)擔(dān)得起。網(wǎng)絡(luò)空間是不同于我們習(xí)以為常的地理空間的新的戰(zhàn)略領(lǐng)域，已逐步成為社會(huì)運(yùn)轉(zhuǎn)的“神經(jīng)系統(tǒng)”。各國(guó)現(xiàn)在都高度重視網(wǎng)絡(luò)空間技術(shù)的發(fā)展。網(wǎng)絡(luò)的發(fā)展有助于促進(jìn)社會(huì)進(jìn)步。網(wǎng)絡(luò)的開(kāi)放促進(jìn)信息流動(dòng)和分享，帶來(lái)更多創(chuàng)新機(jī)會(huì)，降低創(chuàng)新成本，促進(jìn)了世界的健康、富裕和繁榮。網(wǎng)絡(luò)技術(shù)是偉大的創(chuàng)新。網(wǎng)絡(luò)的開(kāi)放使信息獲取和分享更加便捷，并為人類(lèi)帶來(lái)了大量創(chuàng)新機(jī)會(huì)。隨著技術(shù)

5、的普及，創(chuàng)新的成本也降低了。這就意味著，消費(fèi)者、中小型和微型企業(yè)有機(jī)會(huì)跟大企業(yè)在同一個(gè)平臺(tái)上展開(kāi)創(chuàng)新?；ヂ?lián)網(wǎng)的發(fā)展帶動(dòng)了投資， 創(chuàng)造了新的消費(fèi)模式。這些新的消費(fèi)模式推動(dòng)了全球經(jīng)濟(jì)發(fā)展， 驅(qū)動(dòng)了全球經(jīng)濟(jì)。網(wǎng)絡(luò)的開(kāi)放使世界相互連接， 促進(jìn)了不同區(qū)域的經(jīng)濟(jì)交流和全球化貿(mào)易的便利。信息技術(shù)已經(jīng)成為經(jīng)濟(jì)增長(zhǎng)的重要引擎。世界銀行的報(bào)告顯示，發(fā)展中國(guó)家的寬帶普及率每提高10%，GDP將增長(zhǎng)1.38%。1隨著數(shù)據(jù)以及技術(shù)使用的大量增長(zhǎng)，我們要用正確積極的態(tài)度面對(duì)信息的增長(zhǎng)，不要一味視之為洪水猛獸。我們必須利用信息去消除數(shù)字鴻溝， 讓更多的人接入通信和信息系統(tǒng)， 更好地實(shí)現(xiàn)信息資源的分配。這樣地球上人人都可以從

6、使用技術(shù)中獲益。網(wǎng)絡(luò)的開(kāi)放有助于保障人們平等地接觸信息，促進(jìn)社會(huì)公平，平衡區(qū)域發(fā)展。網(wǎng)絡(luò)的開(kāi)放促進(jìn)了文化交流，有助于不同文化背景的人們消除誤解和歧視，減少文明沖突。然而，雖然我們看到了數(shù)字和寬帶革命對(duì)個(gè)人、社會(huì)和企業(yè)帶來(lái)的里程碑式的利益，現(xiàn)實(shí)社會(huì)中一些由來(lái)已久的罪惡，如：故意破壞、盜竊、擾亂、間諜活動(dòng)和肆意毀壞等行為，已經(jīng)自然地延伸到了新的數(shù)字環(huán)境。華為是一個(gè)全球性的公司，業(yè)務(wù)延伸到140多個(gè)國(guó)家，連接世界三分之一的人口。作為這樣一家公司，華 為積極正面地應(yīng)對(duì)這些挑戰(zhàn)。作為全球領(lǐng)先的ICT解決方案提供商之一，華為從技術(shù)方面能深刻地理解網(wǎng) 絡(luò)如何運(yùn)行，以及技術(shù)如何從根本上支撐和促進(jìn)全球公民的健康

7、、富裕、安全和成功。1 HYPERLINK /Reports/Report_2_Executive_Summary.pdf /Reports/Report_2_Executive_Summary.pdf2但是，我們沒(méi)有一天不耳聞目睹政治上煽動(dòng)或競(jìng)爭(zhēng)對(duì)手煽動(dòng)的一些網(wǎng)絡(luò)安全負(fù)面評(píng)論。雖然對(duì)網(wǎng)絡(luò)安全破壞的擔(dān)心是可以理解的，但是這樣一些言辭可能會(huì)讓我們不聚焦于行業(yè)所面臨的各種挑戰(zhàn)。要形成一個(gè)有效的全球以及全行業(yè)的解決方案需要進(jìn)行冷靜且實(shí)事求是的對(duì)話(huà)，而不是基于商業(yè)競(jìng)爭(zhēng)或政治斗爭(zhēng)。當(dāng)今世界，全球有超過(guò)87%的人口是移動(dòng)用戶(hù)，蘋(píng)果應(yīng)用商店的下載已經(jīng)超過(guò)了250億，Google Play應(yīng)用商店下載量也超過(guò)

8、了200億次。現(xiàn)實(shí)是，網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)日益增長(zhǎng)的全球挑戰(zhàn)，需要理性的全球解決方案。2、3、4技術(shù)不再是僅在一個(gè)國(guó)家設(shè)計(jì)、開(kāi)發(fā)和部署； 任何國(guó)家或大型企業(yè)再也不能說(shuō)他們只依賴(lài)一個(gè)采購(gòu)模式；如今技術(shù)生態(tài)系統(tǒng)和架構(gòu)很復(fù)雜，我們?cè)僖膊荒苷f(shuō)我們能阻止來(lái)自所有威脅方的所有威脅。政府、企業(yè)和消費(fèi)者都越來(lái)越依賴(lài)ICT解決方案。這些解決方案集成了由世界各地多個(gè)供應(yīng)商設(shè)計(jì)、開(kāi) 發(fā)、編程和制造的產(chǎn)品。因此，網(wǎng)絡(luò)安全挑戰(zhàn)的規(guī)模也成倍增長(zhǎng)。網(wǎng)絡(luò)安全并不是某個(gè)國(guó)家或公司的問(wèn)題。所有的利益相關(guān)方政府和行業(yè)都必須意識(shí)到網(wǎng)絡(luò)安全是全球共同面臨的問(wèn)題，需要我們采取基于風(fēng)險(xiǎn)的方法以及最佳實(shí)踐，并進(jìn)行國(guó)際合作去應(yīng)對(duì)這個(gè)挑戰(zhàn)。最近

9、公布了一些威脅，如Stuxnet和Flame等。隨著這些威脅的公布，世界已經(jīng)到達(dá)了這樣一個(gè)決策點(diǎn)： 我們要不要沿著現(xiàn)有道路前行？在這條道路上，任何誤入歧途的行為人，無(wú)論出于什么動(dòng)機(jī)，都能在這個(gè)沒(méi)有管制的世界中進(jìn)行任意操作，為任何目的開(kāi)發(fā)惡意軟件。如果我們接受這條道路的話(huà)，我們就必須停止抱怨，而且要接受這樣的后果：網(wǎng)絡(luò)會(huì)馳入一個(gè)深淵，西部荒漠將會(huì)卷土重來(lái)?；蛘哒缥覀兠媾R其他形式的沖突時(shí)那樣，我們應(yīng)該集體從懸崖邊上退回來(lái)，建立法律、規(guī)范、標(biāo)準(zhǔn)和協(xié)議接受事實(shí)： 信任是需要建立并持續(xù)驗(yàn)證的， 而現(xiàn)在談到網(wǎng)絡(luò)安全， 各利益相關(guān)方之間缺乏信任。在這種形勢(shì)下，我們必須要實(shí)際和堅(jiān)定。本白皮書(shū)贊同并支持將國(guó)際

10、合作、開(kāi)放和可驗(yàn)證的信任作為這個(gè)世界的基礎(chǔ)：對(duì)全球70億人口中的大部分人來(lái)說(shuō)，技術(shù)能夠持續(xù)促進(jìn)經(jīng)濟(jì)和社會(huì)發(fā)展。我們希望你們也能支持這個(gè)選擇。在華為，我們做出了如下承諾：我們將支持和采用廣義的國(guó)際認(rèn)可的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)或最佳實(shí)踐；我們將支持增強(qiáng)網(wǎng)絡(luò)防御能力的研究工作；我們將繼續(xù)改善和采用開(kāi)放透明的方法，讓政府能夠評(píng)估華為的安全能力。最后，正如我們迄今為止所做的一樣，我們熱烈歡迎我們的客戶(hù)來(lái)幫助我們?cè)鰪?qiáng)流程、提高技術(shù)、改進(jìn)網(wǎng)絡(luò)安全的方法，讓我們可以為他們以及他們的客戶(hù)帶來(lái)更多的利益。2 HYPERLINK /ITU-D/ict/facts/2011/material/ICTFactsFigures20

11、11.pdf /ITU-D/ict/facts/2011/material/ICTFactsFigures2011.pdf3 HYPERLINK /pr/library/2012/03/05Apples-App-Store-Downloads-Top-25-Billion.html /pr/library/2012/03/05Apples-App-Store-Downloads-Top-25-Billion.html4 /a/google-i-o-press-2012/android3通信與我們的21世紀(jì)社會(huì)這是關(guān)于保持對(duì)全球生態(tài)系統(tǒng)的信心世界上大多數(shù)人往往認(rèn)為通過(guò)聲音和數(shù)據(jù)進(jìn)行溝通是理所當(dāng)然

12、的，我們期望這種溝通所應(yīng)用的技術(shù)永遠(yuǎn)且隨時(shí)可以獲得。通信技術(shù)已經(jīng)融入到我們社會(huì)生活的交互中了，其融入方式本身就是一個(gè)奇跡。我們已經(jīng)逐漸依賴(lài)于日常使用的系統(tǒng)和應(yīng)用，其可用性及各種功能讓我們的生活更加便捷。政府、企業(yè)和消費(fèi)者對(duì)技術(shù)的使用大幅增長(zhǎng)。2011 年底， 全球移動(dòng)用戶(hù)達(dá)到了59 . 6 億， 占全球人口的86%，比2010年增加了12.3%。5電信和互聯(lián)網(wǎng)應(yīng)用日益豐富，而且隨處可以獲得。智能手機(jī)的市場(chǎng)份額逐年增長(zhǎng)。以美國(guó)為例，智能手機(jī)的市場(chǎng)份額2011年12月時(shí)為47.8%，而在2012年3月增加到了50.4%。6 智能手機(jī)集成的功能和應(yīng)用越來(lái)越多，其中有些應(yīng)用程序涉及個(gè)人數(shù)據(jù)，如聯(lián)系人、

13、位置數(shù)據(jù)、個(gè)人照片、手機(jī)銀行等。 智能手機(jī)應(yīng)用程序的數(shù)量飛速增長(zhǎng)，比如，蘋(píng)果應(yīng)用商店的程序數(shù)量已經(jīng)達(dá)到了250億下載的里程碑，也就是說(shuō)，每 個(gè)iPhone、iPod Touch和iPad用戶(hù)下載的應(yīng)用程序平均數(shù)量為79個(gè)。7惡意搜集個(gè)人數(shù)據(jù)和無(wú)意的設(shè)計(jì)錯(cuò)誤都可能會(huì)對(duì)網(wǎng)絡(luò)及其用戶(hù)造成破壞。社交網(wǎng)站全球范圍的增長(zhǎng)也帶來(lái)了一些個(gè)人安全挑戰(zhàn)。一次調(diào)查顯示，在英格蘭和威爾士，“每40分鐘就有一個(gè)通過(guò)Facebook進(jìn)行的犯罪在發(fā)生，12,300個(gè)案例都跟這個(gè)網(wǎng)站相關(guān)?！? 這并不能反映社交網(wǎng)站提供的網(wǎng)絡(luò)安全，而是反映了本身無(wú)害的社交網(wǎng)絡(luò)技術(shù)能如何被誤用或?yàn)E用。隨著智能手機(jī)使用的增加，攻擊智能手機(jī)的動(dòng)機(jī)和

14、方法也隨之增長(zhǎng)。2004年到2011年間，智能手機(jī)惡意 軟件的感染率增加了6倍。9隨著業(yè)務(wù)能力的豐富和用戶(hù)體驗(yàn)的提升，ICT相關(guān)軟件的復(fù)雜程度和規(guī)模都迅速膨脹。在軟件的規(guī)模和復(fù) 雜性增加的同時(shí)，安全漏洞的數(shù)量也出現(xiàn)了增長(zhǎng)。10過(guò)去的電信網(wǎng)絡(luò)基礎(chǔ)設(shè)施是封閉和專(zhuān)用的?，F(xiàn)在，隨著VOIP IMS等新型業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)基礎(chǔ)架構(gòu)也向第三方服務(wù)提供商開(kāi)放接口，基于IP的開(kāi)放協(xié)議應(yīng)用得越來(lái)越多。過(guò)去的電信設(shè)備通常在專(zhuān)用的硬件上運(yùn)5 HYPERLINK /ITU-D/ict/statistics/ /ITU-D/ict/statistics/6 HYPERLINK /2012/05/07/nielsen-sm

15、artphones-used-by-50-4-of-u-s-consumers-android-48-5-of-them/ /2012/05/07/nielsen-smartphones-used-by-50-4-of-u-s-consumers-android-48-5-of-them/7 HYPERLINK http:/www.guardian.co.uk/technology/appsblog/2011/jul/07/apple-iphone-app-store-downloads http:/www.guardian.co.uk/technology/appsblog/2011/jul

16、/07/apple-iphone-app-store-downloads8 HYPERLINK http:/www.dailymail.co.uk/news/article-2154624/A-Facebook-crime-40-minutes-12-300-cases-linked-site.html http:/www.dailymail.co.uk/news/article-2154624/A-Facebook-crime-40-minutes-12-300-cases-linked-site.html9 F-Secure Mobile Threat Report Q4 201110 A

17、lhazmi OH et al., Measuring, analyzing and predicting security vulnerabilities in software systems, Computers & Security (2006), doi:10.1016/j.cose.2006.10.0024行。而現(xiàn)在，越來(lái)越多的設(shè)備基于通用架構(gòu)的硬件和操作系統(tǒng)。基于通用架構(gòu)硬件和操作系統(tǒng)的ATCA(高 級(jí)電信計(jì)算架構(gòu))平臺(tái)的發(fā)貨量在2008年到2011年間增長(zhǎng)了10倍，現(xiàn)在有一百多家公司參與構(gòu)建了ATCA的生態(tài)系統(tǒng)。11不確定能否安全地通信并訪(fǎng)問(wèn)在線(xiàn)數(shù)據(jù)及應(yīng)用程序，會(huì)造成混亂和困惑

18、，并動(dòng)搖用戶(hù)的信心。作為通信技術(shù)的提供者，我們需要確保這種信任得到維護(hù)，關(guān)系、流程和方法得到持續(xù)改善以應(yīng)對(duì)21世紀(jì)以及之后的數(shù)字化挑戰(zhàn)。日益增長(zhǎng)的網(wǎng)絡(luò)安全挑戰(zhàn)網(wǎng)絡(luò)安全方法最初是為了保護(hù)網(wǎng)絡(luò)和數(shù)據(jù)。近幾十年來(lái)，網(wǎng)絡(luò)安全開(kāi)始演進(jìn)到打擊網(wǎng)絡(luò)犯罪以及其他在線(xiàn)惡意活動(dòng)。網(wǎng)絡(luò)犯罪與其他種類(lèi)的犯罪一樣都有罪犯和受害人。跟其他犯罪一樣，要構(gòu)成網(wǎng)絡(luò)犯罪，需要：犯罪動(dòng)機(jī)、犯罪機(jī)會(huì)和犯罪方式。技術(shù)已經(jīng)變得越來(lái)越普及，而且越來(lái)越融入政府、企業(yè)和個(gè)人日常生活的使用中。網(wǎng)絡(luò)犯罪的潛在利益也是如此。由于可訪(fǎng)問(wèn)性和連接性的增加，造成網(wǎng)絡(luò)事故的方式和機(jī)會(huì)也增加了。在互聯(lián)網(wǎng)時(shí)代之前，只有少數(shù)人知道如何使用電腦，攻擊它們的原因也很

19、少。如今，通過(guò)你口袋里的移動(dòng)終端就可以很便捷地訪(fǎng)問(wèn)互聯(lián)網(wǎng)。因此，網(wǎng)絡(luò)犯罪的方式和機(jī)會(huì)就大大增加了?，F(xiàn)在， 幾乎人人都通過(guò)網(wǎng)絡(luò)相互連接， 有很多方式去利用網(wǎng)絡(luò)空間， 不論是為了個(gè)人還是商業(yè)用途出于好的還是壞的動(dòng)機(jī)。來(lái)自丹麥計(jì)算機(jī)安全服務(wù)提供商Secunia公司的史蒂芬.弗雷博士在RSA會(huì)議的演講中闡述了威脅環(huán)境如何 變化：由腳本小子因好奇而進(jìn)行黑客攻擊，發(fā)展到專(zhuān)家為個(gè)人利益而幫別人開(kāi)發(fā)攻擊手段。只要有錢(qián)或有利益的地方就會(huì)有犯罪技術(shù)領(lǐng)域并沒(méi)有什么不同，在某些情況下，技術(shù)只是讓犯罪變得更加容易而已。12全球的技術(shù)公司必須要保護(hù)他們的技術(shù)以避免一系列惡意用途，包括： 用于破壞：控制、癱瘓、破壞或破解網(wǎng)

20、絡(luò)或基礎(chǔ)設(shè)施用于間諜活動(dòng)：促使第三方能夠通過(guò)他們的技術(shù)非法監(jiān)視其他個(gè)人或組織成為其他組織/國(guó)家的延伸： 公司的全球觸角和能力被其他政府/組織主導(dǎo)用來(lái)與其他國(guó)家/亞國(guó)、組織或個(gè)人進(jìn)行對(duì)抗。缺少預(yù)防措施和能力: 缺少最佳實(shí)踐以及端到端的網(wǎng)絡(luò)安全能力從而使得技術(shù)成為一個(gè)非常容易的攻擊向量任何威脅方都能夠使用公司的技術(shù)或能力用于非法或不當(dāng)?shù)哪康摹?1 HYPERLINK /details.asp?sku_id=2228&skuitem_itemid=1111 /details.asp?sku_id=2228&skuitem_itemid=111112 HYPERLINK /resources/repo

21、rts/?action=fetch&filename=Secunia_Moving /resources/reports/?action=fetch&filename=Secunia_Moving Target_presentation_RSA2012.pdf5所有進(jìn)行技術(shù)開(kāi)發(fā)和支持的公司都必須嵌入風(fēng)險(xiǎn)告知機(jī)制、應(yīng)對(duì)措施、政策和程序，以減少主觀(guān)感知的或客觀(guān)存在的威脅成功攻擊的可能性。這些威脅包括但不限于：硬件/軟件的“致命切斷開(kāi)關(guān)”（固定或遠(yuǎn)程控制）通過(guò)后門(mén)、木馬、病毒或軟件邏輯炸彈進(jìn)行控制公司（個(gè)人或團(tuán)體）受到指使去關(guān)閉網(wǎng)絡(luò)；從事間諜或破壞活動(dòng)；或幫助第三方進(jìn)行非法活動(dòng)促使能夠訪(fǎng)問(wèn)數(shù)據(jù)（包括

22、技術(shù)情報(bào)、國(guó)家安全信息、商業(yè)安全信息和私人數(shù)據(jù)）嵌入“自動(dòng)通報(bào)”/監(jiān)聽(tīng)能力以轉(zhuǎn)移數(shù)據(jù)或控制到其他國(guó)家/組織研發(fā)流程的弱點(diǎn)安插人員或軟件威脅供應(yīng)鏈的弱點(diǎn)植入組件（構(gòu)建之前或之后）人員的弱點(diǎn)賄賂現(xiàn)場(chǎng)支持能力的弱點(diǎn)安插/賄賂人員或安裝非法軟件一個(gè)技術(shù)供應(yīng)商的硬件和軟件可以通過(guò)一系列方法和方式被惡意利用。這就要求對(duì)技術(shù)和潛在弱點(diǎn)進(jìn)行持續(xù)評(píng)估。在華為，我們?cè)u(píng)估所有這些項(xiàng)目，并問(wèn)自己這樣的問(wèn)題：“若有人想要實(shí)施這些攻擊機(jī)制中的其中一個(gè)， 他需要做些什么？” 然后， 我們?cè)賳?wèn)：“ 成本和風(fēng)險(xiǎn)更低、成功可能性更高的機(jī)制是什么？”從這些問(wèn)題的答案中，我們知道如何最好地降低此類(lèi)事件的發(fā)生。我們現(xiàn)在的模式是：我們不

23、假定任何事情，我們不相信任何人，我們檢驗(yàn)所有的東西。6終端、數(shù)據(jù)和事件由于媒體對(duì)網(wǎng)絡(luò)安全的強(qiáng)烈關(guān)注，你可能會(huì)認(rèn)為“數(shù)據(jù)/知識(shí)產(chǎn)權(quán)丟失”是新事物，是在非數(shù)據(jù)或紙質(zhì)時(shí)代沒(méi)有出現(xiàn)的。但是，它以前確實(shí)發(fā)生過(guò)，而且現(xiàn)在仍在繼續(xù)。要知道，那些離開(kāi)公司的人隨之帶走了客戶(hù)名單、將來(lái)的產(chǎn)品組合或產(chǎn)品定價(jià)模型，甚至是下一個(gè)產(chǎn)品的設(shè)計(jì)和技術(shù)圖紙。而技術(shù)恰好幫助了這些想要這樣做的人更快、以更低的成本去做，獲得更多的數(shù)據(jù) 他們甚至可以遠(yuǎn)程操作。近期，一個(gè)調(diào)查發(fā)現(xiàn)，歐洲有51%的上班族在他們換工作的時(shí)候從他們現(xiàn)有雇主 那里帶走信息，幫助他們?cè)L問(wèn)機(jī)密客戶(hù)數(shù)據(jù)庫(kù)，盡管有數(shù)據(jù)保護(hù)法禁止他們這樣做 。13雖然無(wú)法精確評(píng)估這種損失

24、，但無(wú)論是無(wú)意的數(shù)據(jù)泄露或惡意的工業(yè)間諜，數(shù)據(jù)泄露的代價(jià)都可能達(dá)到數(shù)十億。可以肯定的是，既找不到一家公司，其資產(chǎn)價(jià)值因所謂的網(wǎng)絡(luò)間諜而減少；也無(wú)法在外部審計(jì)報(bào)告或上市公司董事因誠(chéng)信義務(wù)而發(fā)布的股票交易聲明中看到這種潛在的損失。除非我們坦誠(chéng)面對(duì)所發(fā)生的事情，否則我們無(wú)法評(píng)估在哪里投資。重要的是，我們可能會(huì)因?yàn)檫^(guò)度管制而走向滅亡，減少技術(shù)帶來(lái)的很多好處。其他的事情也發(fā)生了變化。我們幾乎完全依賴(lài)于技術(shù)去存儲(chǔ)數(shù)據(jù)、進(jìn)行交易、管理生意，并在某種程度上，經(jīng)營(yíng)我們的生活。我們存儲(chǔ)的數(shù)據(jù)繼續(xù)以顯著的速度在增長(zhǎng)。我們擁有的終端越來(lái)越多，連接的終端也越來(lái)越多。在發(fā)達(dá)國(guó)家，移動(dòng)滲透率超過(guò)公民人數(shù)，這并不罕見(jiàn) 每個(gè)終

25、端都給了我們另外一個(gè)地方去存儲(chǔ)數(shù)據(jù)， 但仍有可能丟失數(shù)據(jù)。關(guān)鍵是， 對(duì)于有些人來(lái)說(shuō)想要從你的基礎(chǔ)設(shè)施中偷取數(shù)據(jù)、全部毀壞，或更糟的是，對(duì)你的數(shù)據(jù)進(jìn)行部分破壞，大大降低你對(duì)所持有數(shù)據(jù)的信心，這些終端還是他們的潛在入口。想象一下， 存儲(chǔ)的血型信息被隨意更改會(huì)造成什么樣的恐慌， 或你的有些銀行交易偶爾被隨意篡改數(shù)目這很難發(fā)現(xiàn)、很難追溯，因此也很難解決。想象一下這種事件對(duì)受影響機(jī)構(gòu)的公眾信任帶來(lái)的負(fù)面影響。當(dāng)然，威脅不限于隨意操作?？赡苡腥斯裟愕钠?chē)技術(shù)，通過(guò)一條短信開(kāi)啟或關(guān)閉你的引擎14，盡管有很多公司努力阻止這種情況發(fā)生15 。或者，可能是網(wǎng)絡(luò)恐怖主義者攻擊電站。英國(guó)皇家聯(lián)合服務(wù)研究所（RUSI

26、）雜志里有一篇題為“網(wǎng)絡(luò)武器”的文章詳細(xì)描述了這種情況。這篇文章由里德和麥克伯尼撰 寫(xiě)，清楚地指出關(guān)鍵基礎(chǔ)設(shè)施是如何經(jīng)常遠(yuǎn)程訪(fǎng)問(wèn)，從而是可以被利用的。16還有一些場(chǎng)景沒(méi)有那么戲劇化。比如，你下載的一個(gè)小小的智能手機(jī)應(yīng)用程序它要求處于“信任狀態(tài)”才能訪(fǎng)問(wèn)你存儲(chǔ)的電話(huà)數(shù)據(jù)。如果無(wú)意之間下載了惡意軟件，你的日程、聯(lián)系人、郵件和信息都突然被上傳（可能是未加密的）到某個(gè)遠(yuǎn)程服務(wù)器上，其目的你永遠(yuǎn)不知道，而且你可能不會(huì)知道發(fā)生了這樣的事情。13 HYPERLINK http:/www.businesscomputingworld.co.uk/when-employees-leave-your-compan

27、y-so-does-your-data/ http:/www.businesscomputingworld.co.uk/when-employees-leave-your-company-so-does-your-data/14 HYPERLINK /car-hacking-researchers-highlight-emerging-risks-and-lack-security-automobiles /car-hacking-researchers-highlight-emerging-risks-and-lack-security-automobiles15 HYPERLINK /ar

28、ticle/2012/08/20/us-autos-hackers-idUSBRE87J03X20120820 /article/2012/08/20/us-autos-hackers-idUSBRE87J03X2012082016 HYPERLINK /10.1080/03071847.2012.664354 /10.1080/03071847.2012.6643547識(shí)別參與者我們要識(shí)別出我們生活的這個(gè)網(wǎng)絡(luò)世界中的眾多對(duì)手，這點(diǎn)很重要。他們包括：個(gè)人：從事騷擾、恐嚇、欺辱或誘拐兒童進(jìn)行性侵等一系列活動(dòng)的人；黑客：有特定目的去利用或通過(guò)黑客攻擊提升其事業(yè)的個(gè)人或組織（松散的或緊密相連的組織）

29、；犯罪分子 ：有組織的（和沒(méi)組織的），實(shí)施非法交易、偽造商品、工業(yè)間諜等各種詭計(jì)；恐怖主義者：不論其定義是什么，是指那些預(yù)謀制造危害的人；政府支持的人員：利用技術(shù)以及其他情報(bào)方法去收集對(duì)他們有利的數(shù)據(jù)和信息；其他各方：從事商業(yè)間諜活動(dòng)，從某個(gè)國(guó)家或競(jìng)爭(zhēng)者獲得先進(jìn)信息為自己所用。毋庸置疑，人人都需要考慮技術(shù)安全的問(wèn)題，因?yàn)樗俏覀兩詈凸ぷ髦写蟮娘L(fēng)險(xiǎn)環(huán)境的一部分。隨著世界相互連接得更緊密，以及政府、企業(yè)和消費(fèi)者對(duì)技術(shù)的日益依賴(lài)，挑戰(zhàn)的規(guī)模也大幅增加。我們可能已經(jīng)丟失了比地球上的人口更多的機(jī)密信息。人們很容易會(huì)有這樣的印象：安全破壞比暴風(fēng)雨的雨點(diǎn)還多。很少有一天看不到這樣的報(bào)道：某個(gè)地方的關(guān)鍵基礎(chǔ)

30、設(shè)施被網(wǎng)絡(luò)犯罪分子攻擊（或有被攻擊的可能性）。我們部署的技術(shù)越多，連接、使用和共享的技術(shù)越多，我們會(huì)更加覺(jué)得個(gè)人和公司數(shù)據(jù)以及所使用的技術(shù)會(huì)無(wú)關(guān)緊要。這種無(wú)知體現(xiàn)了對(duì)數(shù)據(jù)在我們?nèi)粘Ｉ钪兄匾缘牟蛔鹬亍＿@種不尊重是危險(xiǎn)的，本身也加快了安全風(fēng)險(xiǎn)的增長(zhǎng)。設(shè)想一下：國(guó)際上防護(hù)軟件供應(yīng)商宣稱(chēng)每秒17有12種由新的、專(zhuān)門(mén)的惡意軟件造成的技術(shù)威脅產(chǎn)生。如果知道在哪里能找到價(jià)格僅為249美元的專(zhuān)門(mén)的惡意軟件，我們每個(gè)人都可能會(huì)去購(gòu)買(mǎi)。這樣的價(jià)格還包含了服務(wù)水平協(xié)議和更換保證，保證所購(gòu)買(mǎi)的惡意軟件在9個(gè)月之內(nèi)如果被任何防病毒軟件發(fā)現(xiàn)，將負(fù)責(zé)更換。將政府列入網(wǎng)絡(luò)世界的對(duì)手名單中似乎不對(duì)，因?yàn)檎芴孤?，激烈地譴

31、責(zé)那些攻擊他們國(guó)家的人。但是我們必須要清楚，縱觀(guān)歷史，間諜活動(dòng)都持續(xù)在外交中發(fā)揮著作用，無(wú)論是積極還是消極的。最近，福布斯雜志的兩篇文章對(duì)話(huà)黑客：銷(xiāo)售間諜軟件攻擊你電腦的工具 （并收取六位數(shù)的價(jià)格）和購(gòu)買(mǎi)零天漏洞：黑客秘密軟件攻擊漏洞價(jià)目表說(shuō)明了有一個(gè)識(shí)別和銷(xiāo)售零天漏洞的“生機(jī)勃勃”的行業(yè)，也就是說(shuō)，安全漏洞一經(jīng)發(fā)現(xiàn)就對(duì)其進(jìn)行攻擊。實(shí)際上，文章還表明，世界各國(guó)政府經(jīng)常購(gòu)買(mǎi)零天漏洞，并且大型的國(guó)防承包商也購(gòu)買(mǎi)和銷(xiāo)售零天漏洞。如果政府確實(shí)參與購(gòu)買(mǎi)零天漏洞或者開(kāi)發(fā)或利用像Flame和Stuxnet之類(lèi)的攻擊軟件作為武器，腦海中出現(xiàn)這樣一句話(huà)：“我們播種什么就會(huì)收獲什么”。18、19、20、2117

32、HYPERLINK /threatreport/topic.jsp?id=threatreport&aid=2011_in_numbers&om_ext_cid=biz_socmed_twitter_facebook_marketwire_ /threatreport/topic.jsp?id=threatreport&aid=2011_in_numbers&om_ext_cid=biz_socmed_twitter_facebook_marketwire_ linkedin_2012Apr_worldwide_ISTR1718 HYPERLINK http:/www.bbc.co.uk/ne

33、ws/technology-12633240 http:/www.bbc.co.uk/news/technology-1263324019 HYPERLINK /CBS%2BUS%2BIsrael%2BOpened%2Bup%2BCyberwarfare%2BPandoras%2BBox%2Bwith%2BStuxnet/article24155.htm /CBS+US+Israel+Opened+up+Cyberwarfare+Pandoras+Box+with+Stuxnet/article24155.htm20 HYPERLINK /EA-November-2011/main-cyber

34、-threats-now-coming-from-governments-as-state-actors.html /EA-November-2011/main-cyber-threats-now-coming-from-governments-as-state-actors.html21 HYPERLINK /8301-1009_3-57445975-83/flame-a-glimpse-into-the-future-of-war/ /8301-1009_3-57445975-83/flame-a-glimpse-into-the-future-of-war/8理解全球供應(yīng)鏈的影響打開(kāi)任何

35、一個(gè)智能手機(jī)、平板電腦、個(gè)人計(jì)算機(jī)、電視機(jī)、甚至是消費(fèi)者白色家電，你都會(huì)看到這些設(shè)備中有一個(gè)全球供應(yīng)鏈在起作用。以臺(tái)灣為例，它每0.35秒生產(chǎn)一臺(tái)筆記本電腦；每8.54秒生產(chǎn)一臺(tái)PDA；每0.68秒生產(chǎn)一臺(tái)臺(tái)式電腦。22美國(guó)審計(jì)總署2012年3月發(fā)布的報(bào)告指出：IT產(chǎn)品的全球供應(yīng)鏈可能會(huì)給國(guó)家安全帶來(lái)風(fēng)險(xiǎn)：“聯(lián)邦機(jī)構(gòu)廣泛依賴(lài)計(jì)算機(jī)信息系統(tǒng)和電子數(shù)據(jù)去實(shí)施其行動(dòng)。通過(guò)全球供應(yīng)鏈去攻擊信息技術(shù)的產(chǎn)品和服務(wù)已經(jīng)成為一個(gè)新興威脅，將削弱關(guān)鍵和敏感機(jī)構(gòu)網(wǎng)絡(luò)和數(shù)據(jù)的機(jī)密性、完整性和可用性?！?3報(bào)告稱(chēng)：能源部、國(guó)土安全部、司法部以及國(guó)防部的官員告訴審計(jì)總署的調(diào)查員說(shuō)：他們不知道他們的通信網(wǎng)絡(luò)中究竟包含多少

36、國(guó)外開(kāi)發(fā)的設(shè)備、軟件或服務(wù)。根據(jù)這份報(bào)告，能源部和國(guó)土安全部并沒(méi)有制定供應(yīng)鏈保護(hù)措施。司法部已經(jīng)制定了保護(hù)措施，但是并沒(méi)有實(shí)施或制定流程去監(jiān)控這些措施的遵從程度。似乎也沒(méi)有對(duì)“國(guó)外開(kāi)發(fā)”的含義做出定義。雖然這篇報(bào)告關(guān)注的是電信網(wǎng)絡(luò)，但是它確實(shí)需要考慮來(lái)自所有供應(yīng)商的所有技術(shù)。現(xiàn)實(shí)是：一個(gè)單一的設(shè)備，如手提電腦，包含的器件可能來(lái)自世界各地加拿大、愛(ài)爾蘭、波蘭、意大利、捷克、斯洛伐克一直到中國(guó)、以色列、日本、馬來(lái)西亞、菲律賓、新加坡、韓國(guó)、臺(tái)灣、泰國(guó)、越南和其他很多國(guó)家和地區(qū)。再看一下，中國(guó)成都，有16,000家公司注冊(cè)，其中820家是外商投資公司。24 在這些公司中，189家為財(cái)富500強(qiáng)企業(yè)。

37、一些家喻戶(hù)曉的品牌也落戶(hù)這里，舉幾個(gè)例子： Intel、微軟、思愛(ài)普、思科、甲骨文、BAE、愛(ài)立信、諾基亞、波音、IBM和阿朗等。這些公司所做的事情應(yīng)該被認(rèn)為是“國(guó)外開(kāi)發(fā)”嗎？思科在中國(guó)有著龐大的組織，在6大城市設(shè)有研發(fā)中心。思科所有的產(chǎn)品中超過(guò)25%是由其中國(guó)伙伴生產(chǎn) 的。思科宣布在中國(guó)投資160億美元，其中包括培訓(xùn)10萬(wàn)名網(wǎng)絡(luò)工程師，并將在職業(yè)技術(shù)學(xué)院成立300個(gè) 中心給學(xué)生培訓(xùn)網(wǎng)絡(luò)技術(shù)。25 思科CEO 約翰 錢(qián)伯斯宣稱(chēng)：“我們正在努力勾勒成為中國(guó)公司的整體戰(zhàn)略”。26、27 這構(gòu)成“國(guó)外開(kāi)發(fā)”嗎？根據(jù)相關(guān)公司報(bào)告，每個(gè)主要的電信設(shè)備供應(yīng)商都在中國(guó)設(shè)有重要基地。阿爾卡特朗訊全球1/3的生

38、產(chǎn)制22 HYPERLINK /edit/p/epaper/200902180.htm /edit/p/epaper/200902180.htm23 HYPERLINK /assets/590/589568.pdf /assets/590/589568.pdf24 HYPERLINK http:/www.chengduhitech.co.uk/Default.asp http:/www.chengduhitech.co.uk/Default.asp25 HYPERLINK /tech/products/2007-11-01-425344141_x.htm /tech/products/2007

39、-11-01-425344141_x.htm26 HYPERLINK /publications/trade_policy_and_the_american_worker/ /publications/trade_policy_and_the_american_worker/27 HYPERLINK /english/2005-06/17/content_3096764.htm /english/2005-06/17/content_3096764.htm9造由上海貝爾完成；28 愛(ài)立信的合資企業(yè)南京愛(ài)立信熊貓通信有限公司已經(jīng)成為愛(ài)立信全球最大的供應(yīng)中心；29 截至到2011年底，諾基亞西門(mén)子

40、網(wǎng)絡(luò)的全球10家工廠(chǎng)中有5家在中國(guó)、2家在印度30 他們做的是“國(guó)外開(kāi)發(fā)”嗎？我們?cè)倏匆豢从《?。在過(guò)去的二十多年中，已經(jīng)建立了很多成熟、專(zhuān)業(yè)的國(guó)際公司和支撐服務(wù)，向全球企業(yè)界提供國(guó)內(nèi)外技術(shù)。從純粹的財(cái)政角度來(lái)講，印度2011財(cái)年IT行業(yè)的總出口額為590億美元。在全球 經(jīng)濟(jì)增長(zhǎng)放緩的情況下，該行業(yè)在2007到2011財(cái)年間，仍實(shí)現(xiàn)了強(qiáng)勁增長(zhǎng)，達(dá)到了16.4%的復(fù)合年增長(zhǎng) 率。31 印度也產(chǎn)生了一些世界一流的企業(yè)，如TATA、Wipro、Infosys和HCL技術(shù)等。另外，上述提到的一些世界一流品牌，以及像西門(mén)子、惠普、飛利浦、ABB、偉創(chuàng)力和AT&T等一些企業(yè)都在這里設(shè)立了運(yùn)營(yíng) 基地。思科在印

41、度有8000多名員工，包括研發(fā)、銷(xiāo)售和業(yè)務(wù)支持，建立了18個(gè)物流中心為客戶(hù)提供強(qiáng)大的支持系統(tǒng)。思科在班加羅爾的研發(fā)中心是美國(guó)之外最大的全球研發(fā)中心。另外，思科還與Wipro技術(shù)和Infosys技術(shù)在班加羅爾建立了聯(lián)合發(fā)展中心；與HCL技術(shù)在欽奈，與Zensar技術(shù)在普納也成立了聯(lián)合研發(fā) 中心。32總之，“國(guó)外開(kāi)發(fā)”的概念在如今全球相互連接的世界中沒(méi)有任何意義，正如這個(gè)理念是一樣的：世界某個(gè)地方的公司或產(chǎn)品比另外一個(gè)地方的公司或產(chǎn)品更值得信任。你們必須要思考一下這個(gè)想法是否更像是披著國(guó)家安全外衣的貿(mào)易保護(hù)主義。在當(dāng)今全球化的世界中，任何僅基于供應(yīng)商國(guó)籍或供應(yīng)商總部所在地而制定的網(wǎng)絡(luò)安全政策都必定

42、無(wú)效。簡(jiǎn)單地因?yàn)楣镜哪竾?guó)而將這些公司孤立的網(wǎng)絡(luò)安全方法是不符合邏輯的。而且，這樣的方法本身就帶有歧視性，違反了最惠國(guó)待遇。我們完全贊同微軟的白皮書(shū)網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理：實(shí)現(xiàn)透明和信任的全球構(gòu)想。該文件說(shuō)道：“首先，供應(yīng)商有極大的經(jīng)濟(jì)動(dòng)機(jī)來(lái)抵制政府出于以下簡(jiǎn)單原因而破壞供應(yīng)鏈的工作：后門(mén)或其他有意缺陷很有可能被發(fā)現(xiàn)和公開(kāi)，此類(lèi)公開(kāi)將導(dǎo)致公共信任的喪失，并最終丟掉市場(chǎng)份額。實(shí)際上，故意從事此類(lèi)活動(dòng)的公司很可能被強(qiáng)制破產(chǎn)，特別是當(dāng)它認(rèn)識(shí)到將在全球范圍內(nèi)喪失信任時(shí)；也就是說(shuō)，即使插入后門(mén)的主要目的是為使本國(guó)政府可在防御外敵時(shí)贏(yíng)得優(yōu)勢(shì)， 供應(yīng)商本國(guó)的人們也可能拒絕包含秘密后門(mén)的產(chǎn)品。在許多國(guó)家/地區(qū)，不

43、僅擔(dān)憂(yōu)外國(guó)監(jiān)視，而且擔(dān)憂(yōu)國(guó)內(nèi)監(jiān)視。”他們的結(jié)論是：“雖然政府擔(dān)憂(yōu)可以理解，但政府響應(yīng)不要威脅全球信息和通信技術(shù)（ICT）部門(mén)的活力，以免壓制創(chuàng)新和競(jìng)爭(zhēng)?！?3事實(shí)上，當(dāng)你把從不同的供應(yīng)商獲得的設(shè)備跟你的技術(shù)基礎(chǔ)設(shè)施連接時(shí)，設(shè)備和軟件可能是由世界各地的公司設(shè)計(jì)、開(kāi)發(fā)和制造的，如果沒(méi)有幾百家，也有幾十家公司。28 HYPERLINK /Default.aspx?tabid=262&ArticleID=1173 /Default.aspx?tabid=262&ArticleID=117329 HYPERLINK /cn/thecompany/ericsson-china/background-chi

44、na /cn/thecompany/ericsson-china/background-china30 HYPERLINK /blob/view/-/1015984/data/3/-/form20-f-11-pdf.pdf /blob/view/-/1015984/data/3/-/form20-f-11-pdf.pdf31 HYPERLINK /industry/IT-ITeS.aspx /industry/IT-ITeS.aspx32 HYPERLINK /web/IN/about/company_overview.html /web/IN/about/company_overview.h

45、tml33 HYPERLINK /en-us/download/details.aspx?id=26826 /en-us/download/details.aspx?id=2682610全球ICT供應(yīng)鏈問(wèn)題是由理查德 克拉克總結(jié)出來(lái)的。他曾經(jīng)是喬治.布什總統(tǒng)下屬的反恐安全小組負(fù)責(zé)人 和國(guó)家安全委員會(huì)成員，他也曾經(jīng)在克林頓政府任過(guò)職。2002至2003年間，克拉克擔(dān)任布什總統(tǒng)的網(wǎng)絡(luò) 安全特別顧問(wèn)以及總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)主席。該委員會(huì)幫助起草了布什總統(tǒng)于2003年2月發(fā)布的美國(guó)網(wǎng)絡(luò)空間國(guó)家安全戰(zhàn)略。克拉克說(shuō)：“我的態(tài)度是，不管來(lái)自于紐約州還是上海市，軟件都可能有同樣的風(fēng)險(xiǎn)。在美國(guó)，也有人可能

46、會(huì)被賄賂。” 34數(shù)字世界的法律網(wǎng)絡(luò)安全是一個(gè)全球問(wèn)題。數(shù)據(jù)的傳輸和處理是一個(gè)全球性的活動(dòng)，數(shù)據(jù)流并不因?yàn)閲?guó)家邊界、政府或法庭的地域限制而停止。發(fā)生在美國(guó)的一個(gè)搜索可能由在美國(guó)的服務(wù)器處理，但也可能由歐洲甚至亞洲的服務(wù)器處理。但是，法律和法規(guī)體系都是基于地域邊界的。這就給所有涉及到處理和傳輸數(shù)據(jù)的跨國(guó)企業(yè)帶來(lái)了一系列的挑戰(zhàn)。在所有影響ICT行業(yè)的法律中，以網(wǎng)絡(luò)安全和隱私保護(hù)法律為例，歐洲在數(shù)據(jù)保護(hù)法方面有著更加統(tǒng)一的 方法。但即使這樣，雖然歐盟數(shù)據(jù)保護(hù)指令提供了歐洲對(duì)數(shù)據(jù)保護(hù)法律的統(tǒng)一方法，歐盟27個(gè)成員國(guó)對(duì)該指令的實(shí)施卻大相徑庭。在美國(guó)，隱私法律分散在聯(lián)邦和州法律中。聯(lián)邦法律僅限于在具體領(lǐng)域

47、，如金融、醫(yī)療和某些行業(yè)來(lái)保護(hù)隱私，并沒(méi)有綜合的聯(lián)邦法律來(lái)保護(hù)隱私。各州也有隱私法律，但是并沒(méi)有實(shí)現(xiàn)讓各州的法律保持一致。例如，事實(shí)上，每個(gè)州都頒布了自己的數(shù)據(jù)安全違規(guī)通報(bào)法律。但是， 關(guān)于違規(guī)通報(bào)內(nèi)容以及公司是否要通知監(jiān)管機(jī)構(gòu)、州司法部長(zhǎng)或信用局等義務(wù)可能會(huì)大不相同。很多國(guó)家和地區(qū)（如：澳大利亞、印度、中國(guó)、阿根廷、馬來(lái)西亞、香港等）在立法和執(zhí)法方面的義務(wù)都存在很大不同。即使是一個(gè)國(guó)家的不同區(qū)域在相關(guān)法律的執(zhí)行和解釋上也可能不一致。企業(yè)在有些國(guó)家還面臨這樣的挑戰(zhàn)：制定了標(biāo)準(zhǔn)和規(guī)范，但是并沒(méi)有寫(xiě)入正式的法律?？傊?，這些都說(shuō)明，所有公司，包括像華為這樣的設(shè)備供應(yīng)商及其企業(yè)客戶(hù)，都面臨著不同法律法

48、規(guī)的混合， 其義務(wù)不僅會(huì)因地域而變化， 還會(huì)因標(biāo)的物而變化。法律法規(guī)環(huán)境規(guī)定了關(guān)于監(jiān)控和監(jiān)聽(tīng)的義務(wù)，從而影響了行業(yè)標(biāo)準(zhǔn)。因此，設(shè)備制造商必須生產(chǎn)遵從眾多的行業(yè)標(biāo)準(zhǔn)和法律的設(shè)備。另外，因?yàn)榉山^不會(huì)是靜止的，設(shè)備制造商還面臨著額外的挑戰(zhàn)。隨著法律的變化，硬件和軟件也必須改變以體現(xiàn)新的法律要求。在數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)安全方面，華為歡迎一個(gè)原則上協(xié)同一致的國(guó)際方法。我們相信這種方法將幫助建立更好的基于全球的數(shù)據(jù)保護(hù)整體標(biāo)準(zhǔn)，而不是讓設(shè)備商、服務(wù)提供商和企業(yè)努力在不同國(guó)家采用不一致的標(biāo)準(zhǔn)和方法。正如本白皮書(shū)所說(shuō)，像華為這樣的設(shè)備制造商是在一個(gè)復(fù)雜的法律法規(guī)環(huán)境中運(yùn)營(yíng)。華為承諾遵從其運(yùn)營(yíng)的每個(gè)行政區(qū)域所有適用

49、的法律法規(guī)，并將其運(yùn)營(yíng)限制在必要的范圍內(nèi)以遵從國(guó)際制裁法案和當(dāng)?shù)胤伞?4 HYPERLINK /news/2011/091911-clarke-cybersecurity-251014.html /news/2011/091911-clarke-cybersecurity-251014.html11華為的方法網(wǎng)絡(luò)安全，是一場(chǎng)馬拉松，而不是短跑。華為為自己的歷史感到驕傲，為擁有一個(gè)具有創(chuàng)業(yè)精神的創(chuàng)始人而感到自豪我們的創(chuàng)始人，命運(yùn)使然，恰好出生在中國(guó)。如果我們是一家美國(guó)、印度、德國(guó)或其他國(guó)家的公司，我們也會(huì)感到同樣驕傲。通信基礎(chǔ)設(shè)施的復(fù)雜性、供應(yīng)商的多樣性、快速發(fā)展而帶來(lái)的技術(shù)漏洞以及遵從變化的

50、法律法規(guī)指令的難度都使得管理供應(yīng)鏈風(fēng)險(xiǎn)非常具有挑戰(zhàn)性，但是，根據(jù)我們的經(jīng)驗(yàn)，這個(gè)問(wèn)題并非無(wú)法克服。華為的商業(yè)價(jià)值觀(guān)之一就是在商言商,保持政治上獨(dú)立。作為一家總部在中國(guó)的全球性公司，華為知道它需要努力在網(wǎng)絡(luò)安全保障方面多走一步。華為從來(lái)沒(méi)有獲取任何國(guó)家、公司或個(gè)人敏感信息的動(dòng)機(jī)，也不允許我們的技術(shù)被用于非法目的。華為沒(méi)有，也絕不會(huì)支持、容忍或從事任何類(lèi)似活動(dòng)。這是一個(gè)持續(xù)努力的過(guò)程。華為致力于提供業(yè)界最好的產(chǎn)品和服務(wù)以滿(mǎn)足客戶(hù)的需求（“業(yè)界最好”由客戶(hù)和政府利益相關(guān)方來(lái)定義）。我們非常重視網(wǎng)絡(luò)安全，已經(jīng)投入了很多資源去提升和改善我們公司、業(yè)界同行以及其他各方的能力，提供盡可能好的安全保障，確保所

51、有人有一個(gè)更加安全的網(wǎng)絡(luò)世界。網(wǎng)絡(luò)安全是公司的全球政策華為一直理解，在少數(shù)市場(chǎng)上，地方或區(qū)域的政治、商業(yè)環(huán)境會(huì)要求購(gòu)買(mǎi)“本地”或“西方”產(chǎn)品，面對(duì)這種“挑戰(zhàn)”， 客戶(hù)會(huì)要求華為展示可信度。這就需要我們進(jìn)行本地化的同時(shí)對(duì)產(chǎn)品和流程進(jìn)行獨(dú)立評(píng)估，從而確保供應(yīng)/支持流程的完整性得以維持，可以保證高水平的安全保障。華為構(gòu)筑并全面實(shí)施端到端的全球網(wǎng)絡(luò)安全保障體系。我們強(qiáng)調(diào)：將公司對(duì)網(wǎng)絡(luò)和業(yè)務(wù)安全性保障的責(zé)任置于公司的商業(yè)利益之上，保障客戶(hù)網(wǎng)絡(luò)和業(yè)務(wù)的穩(wěn)定安全運(yùn)營(yíng)（特別是在遭遇地震、海嘯等自然災(zāi)害和其他突發(fā)事件時(shí)）是我們的首要責(zé)任，并以此來(lái)指導(dǎo)我們的具體行動(dòng)；我們理解行業(yè)、社會(huì)對(duì)網(wǎng)絡(luò)安全的關(guān)注日益高漲。由

52、于上文提到的微軟白皮書(shū)里面詳述的原因，為了我們的生存，我們從來(lái)沒(méi)有危害任何國(guó)家、或者獲取任何國(guó)家信息、企業(yè)機(jī)密、侵犯?jìng)€(gè)人隱私的動(dòng)機(jī)，也永遠(yuǎn)不會(huì)支持或容忍任何類(lèi)似行為。我們?cè)谌魏螄?guó)家都絕不會(huì)支持希望我們從事非法活動(dòng)的任何實(shí)體。世界的眼睛總是在關(guān)注我們；我們積極鼓勵(lì)審計(jì)和審查我們的能力。在這種背景下，那些希望某個(gè)供應(yīng)商能夠從事這種行為的人更大可能會(huì)選擇一個(gè)監(jiān)督比較少的公司。12我們理解所從事的行業(yè)的敏感性以及任何先進(jìn)技術(shù)的脆弱性。我們從政策、組織、流程、管理、技術(shù)和規(guī)范等方面構(gòu)筑并全面實(shí)施端到端可信賴(lài)的全球網(wǎng)絡(luò)安全保障體系。華為1999年就正式開(kāi)始了網(wǎng)絡(luò)安全旅程，發(fā)布了首批安全技術(shù)規(guī)范，以增強(qiáng)產(chǎn)品

53、與解決方案的安全性。2011年，公司創(chuàng)始人及CEO任正非 簽署并發(fā)布了如下的網(wǎng)絡(luò)安全保障政策，進(jìn)一步強(qiáng)調(diào)了我們的承諾：“作為全球領(lǐng)先的電信解決方案供應(yīng)商，華為技術(shù)有限公司（以下簡(jiǎn)稱(chēng)“華為”）充分理解網(wǎng)絡(luò)安全的重要性，同時(shí)我們也理解各國(guó)政府及客戶(hù)對(duì)此的擔(dān)憂(yōu)與高度關(guān)注。隨著電信網(wǎng)絡(luò)和信息技術(shù)的不斷演進(jìn)與發(fā)展，網(wǎng)絡(luò)安全面臨的威脅和挑戰(zhàn)將日益嚴(yán)重。我們也心存憂(yōu)患。華為對(duì)此高度重視，并致力于采取切實(shí)有效的措施提升產(chǎn)品和服務(wù)的安全性，從而幫助客戶(hù)規(guī)避和減少安全方面的風(fēng)險(xiǎn)，以贏(yíng)得各利益相關(guān)者的信賴(lài)。華為認(rèn)為，構(gòu)建一個(gè)開(kāi)放、透明、可視的安全問(wèn)題解決框架，將有助于整個(gè)產(chǎn)業(yè)鏈持續(xù)健康發(fā)展，也將會(huì)促進(jìn)通信技術(shù)創(chuàng)新和

54、人類(lèi)溝通交流。鑒于上述認(rèn)識(shí)，華為在此承諾：將構(gòu)筑并全面實(shí)施端到端的全球網(wǎng)絡(luò)安全保障體系作為公司的重要發(fā)展戰(zhàn)略之一，在遵從所有適用的國(guó)家和地區(qū)安全法規(guī)、國(guó)際電信標(biāo)準(zhǔn)和參考行業(yè)最佳實(shí)踐的基礎(chǔ)上，從政策、組織、流程、管理、技術(shù)和規(guī)范等方面建立和完善可持續(xù)、可信賴(lài)的安全保障體系， 并與有關(guān)政府、客戶(hù)及行業(yè)伙伴以開(kāi)放和透明的方式， 共同應(yīng)對(duì)安全方面的挑戰(zhàn)，全面滿(mǎn)足客戶(hù)的網(wǎng)絡(luò)安全需求。華為同時(shí)承諾：將公司對(duì)網(wǎng)絡(luò)和業(yè)務(wù)安全性保障的責(zé)任置于公司的商業(yè)利益之上。在組織方面，全球網(wǎng)絡(luò)安全委員會(huì)作為華為公司的最高網(wǎng)絡(luò)安全管理機(jī)構(gòu)，負(fù)責(zé)決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全戰(zhàn)略。全球網(wǎng)絡(luò)安全官是全球網(wǎng)絡(luò)安全委員會(huì)的重要成員，負(fù)責(zé)

55、領(lǐng)導(dǎo)團(tuán)隊(duì)制定安全戰(zhàn)略，統(tǒng)一規(guī)劃、管理和監(jiān)督研發(fā)、供應(yīng)鏈、市場(chǎng)與銷(xiāo)售、工程交付及技術(shù)服務(wù)等相關(guān)部門(mén)的安全組織和業(yè)務(wù)，確保網(wǎng)絡(luò)安全保障體系在各體系、各區(qū)域、全流程的實(shí)施，積極推動(dòng)與政府、客戶(hù)、合作伙伴、員工等各利益相關(guān)方的溝通。全球網(wǎng)絡(luò)安全官直接向公司CEO匯報(bào)。在業(yè)務(wù)流程方面，安全保障活動(dòng)融入研發(fā)、供應(yīng)鏈、市場(chǎng)與銷(xiāo)售、工程交付及技術(shù)服務(wù)等各環(huán)節(jié)中，作為質(zhì)量管理體系的基本要求，通過(guò)管理制度和技術(shù)規(guī)范來(lái)確保其有效實(shí)施。華為通過(guò)內(nèi)部審計(jì)和接受各國(guó)政府安全部門(mén)、第三方獨(dú)立機(jī)構(gòu)的安全認(rèn)證和審計(jì)等來(lái)監(jiān)督和改進(jìn)各項(xiàng)業(yè)務(wù)流程。華為的安全管理體系自2004年起已通過(guò)BS7799-2/ ISO27001認(rèn)證。在人員

56、管理方面，華為全體員工以及合作伙伴、外部顧問(wèn)都必須嚴(yán)格執(zhí)行公司相關(guān)安全政策，接受安全培訓(xùn)，使安全理念融入整個(gè)組織之中。華為對(duì)積極參與網(wǎng)絡(luò)安全保障的員工給予獎(jiǎng)勵(lì)，對(duì)違反網(wǎng)絡(luò)安全保障政策的員工給予處罰，違反相關(guān)法律法規(guī)的員工，將依法承擔(dān)法律責(zé)任。華為愿意以開(kāi)放、透明的態(tài)度真誠(chéng)地與各國(guó)政府、客戶(hù)、行業(yè)伙伴通過(guò)各種平臺(tái)、組織、渠道開(kāi)展安全交流與合作， 共同應(yīng)對(duì)全球網(wǎng)絡(luò)的安全威脅和挑戰(zhàn)。華為將根據(jù)需要設(shè)立區(qū)域安全認(rèn)證中心， 這些認(rèn)證中心對(duì)當(dāng)?shù)卣涂蛻?hù)是高度透明的， 由當(dāng)?shù)卣J(rèn)可的機(jī)構(gòu)和人員對(duì)13相關(guān)產(chǎn)品的安全性進(jìn)行審查，確保華為對(duì)當(dāng)?shù)乜蛻?hù)的安全交付。同時(shí)，華為積極、持續(xù)地參與ITU-T、3GPP、I

57、ETF等國(guó)際電信標(biāo)準(zhǔn)組織中的安全標(biāo)準(zhǔn)制定，加入FIRST等安全組織，并通過(guò)和主流安全廠(chǎng)商緊密合作，為行業(yè)的健康發(fā)展作出自己的貢獻(xiàn)，努力保障全球客戶(hù)的網(wǎng)絡(luò)安全。本聲明適用于深圳市華為投資控股有限公司及其全球范圍內(nèi)直接或間接控股子公司和分支機(jī)構(gòu)。本聲明應(yīng)符合所在國(guó)家的法律、法規(guī)，在與當(dāng)?shù)胤伞⒎ㄒ?guī)發(fā)生沖突的情況下，以當(dāng)?shù)胤?、法?guī)為準(zhǔn)。公司將每年進(jìn)行一次本聲明的審核，根據(jù)相關(guān)法律規(guī)定進(jìn)行重新修訂。華為技術(shù)有限公司CEO 任正非”從內(nèi)部構(gòu)筑安全“嵌入” 而不是“附加”很多公司都會(huì)談質(zhì)量和創(chuàng)新。但是為了交付持續(xù)、創(chuàng)新的高質(zhì)量產(chǎn)品和服務(wù)，需要一致、可重復(fù)且在全球推行的流程。否則，每件事、每個(gè)產(chǎn)品、每次客

58、戶(hù)互動(dòng)都將成為隨機(jī)事件客戶(hù)體驗(yàn)和產(chǎn)品質(zhì)量時(shí)好時(shí)壞。華為自1997年起就聘請(qǐng)IBM促進(jìn)、培訓(xùn)和支撐華為成為一個(gè)基于流程的組織，由可重復(fù)的流程進(jìn) 行驅(qū)動(dòng)，交付質(zhì)量一致的產(chǎn)品和服務(wù)。下圖展示了我們的高階流程圖。從圖中可以看到， 我們聘請(qǐng)了世界最具有創(chuàng)新精神的專(zhuān)業(yè)組織提供支撐：流程和技術(shù)方面是IBM；客戶(hù)關(guān)系管理方面是埃森哲；人力資源管理方面是合益集團(tuán)；財(cái)務(wù)方面是普 華永道；外部財(cái)務(wù)審計(jì)方是畢馬威（圖中未顯示）。14為滿(mǎn)足網(wǎng)絡(luò)安全的要求，在我們的標(biāo)準(zhǔn)流程、基線(xiàn)、政策和規(guī)范中融入了所需要的最佳實(shí)踐。這種方式使網(wǎng)絡(luò)安全并不是馬后炮，而成為我們?nèi)粘＝?jīng)營(yíng)方式的一個(gè)標(biāo)準(zhǔn)部分我們基因的一部分。但是，我們大家都必須

59、接受這樣的事實(shí)：你有一個(gè)流程并不意味著這是一個(gè)好的流程，或者人人都執(zhí)行了這個(gè)流程。為了解決這些問(wèn)題，我們采取了如下行動(dòng)：華為已經(jīng)在全球建立了標(biāo)準(zhǔn)化的業(yè)務(wù)流程，明確了全球流程責(zé)任人（GPOs），并識(shí)別出了每個(gè)流程的 關(guān)鍵控制點(diǎn)（KCPs）。此外，公司還制定了適用于所有子公司和業(yè)務(wù)單元的全球流程控制手冊(cè)和職責(zé) 分離矩陣。全球流程責(zé)任人（GPOs）負(fù)責(zé)根據(jù)運(yùn)營(yíng)環(huán)境和風(fēng)險(xiǎn)暴露的變化，確保整體內(nèi)控的有效性。管理方面，成立了一個(gè)專(zhuān)門(mén)管理網(wǎng)絡(luò)安全的委員會(huì)，由副董事長(zhǎng)領(lǐng)導(dǎo)，其成員包括主要的董事會(huì)成員，以及在確保網(wǎng)絡(luò)安全要求融入流程、政策以及標(biāo)準(zhǔn)并有效執(zhí)行過(guò)程中發(fā)揮作用的全球流程責(zé)任人（GPOs）。在網(wǎng)絡(luò)安全方

60、面，如果出現(xiàn)了任何沖突或資源問(wèn)題，該委員會(huì)有權(quán)力和資格自行做出決 策，調(diào)整業(yè)務(wù)，不需要獲得其他人批準(zhǔn)。華為的審計(jì)方利用關(guān)鍵控制點(diǎn)和全球流程控制手冊(cè)確保流程有效且得到執(zhí)行。審計(jì)、外部調(diào)查和第三方審查都是通過(guò)將發(fā)生的事情與應(yīng)該發(fā)生的事情對(duì)比來(lái)進(jìn)行驗(yàn)證。個(gè)人的職責(zé)和責(zé)任（規(guī)章制度）融入到了華為的商業(yè)行為準(zhǔn)則（BCG）和業(yè)務(wù)流程中，在商業(yè)行為準(zhǔn)則和業(yè)務(wù)流程中詳細(xì)說(shuō)明了我 們?cè)谌粘I(yè)務(wù)中應(yīng)該如何執(zhí)行。每年都會(huì)通過(guò)在線(xiàn)考試的方式讓員工都收到最新信息，了解最新知識(shí)。這也是我們內(nèi)部遵從措施的一部分。但是， 沒(méi)有什么比開(kāi)放你的流程和內(nèi)部系統(tǒng)， 允許客戶(hù)和政府進(jìn)行審計(jì)和審查更加重要。讓真正的客戶(hù)、來(lái)自各領(lǐng)域的專(zhuān)家