Top100网络安全要求白皮书-中文V1 0

约翰.萨福克@华为

网络安全 安全设计 安全架构 供应商

网络安全透视

与你的技术供应商考虑端到端网络安全时的100个要求

在此，我想要感谢那些对本文档做出重大贡献的人：刘海军、南建峰、王唯践、David Francis、Andy Purdy、 Debu Nayak、Peter Rossi、Andy Hopkins、罗明、薛勇波、 李花兰、Wout van Wijk、William Plummer、Ludovic Petit、 Ulf Feger、牟德俊、杨光磊，以及其他直接或间接对本 白皮书做出贡献的人，恕不一一列举。 约翰• 萨福克

在我们2013年10月发布的白皮书《构筑公司的网络安全基因——一套综合流程、政策与标准》1中 ，我们详细描述了我们全面建立端到端网络安全流程的法。我们说过，我们借此机会将客户告诉我们的与安全相关的前100件事情记录下来。实际上，任何人都可能向其技术供应商提出那些问题，了解他们的网络安全方法。本白皮书是一个清单，详细讲述了前100件事情，聚焦于技术购买商向其技术供应商提出的问题。其目的是根据别人向华为提出的问题以及我们针对一系列的“标准”和最佳实践所做的评估提出建议，让购买者可以在招投标时系统性地分析供应商的网络安全能力。

为了撰写这前100个要求，我们参考了很多的资料。

• 首先也是最重要的是，我们认真倾听了客户的心声。他们的问题和关注点是什么？他们的担心是什么？他们自己的要求，他们的行业或者国家的要求是什么？
• 作为全球ICT行业的领军企业，华为的业务遍及大规模通信基础设施、云计算、企业和消费者解决方案等所有东西。我们拥有来自150000员工、科学家和工程师的丰富知识——我们利用他们的知识和激情来做好这件事。

• 最后，我们浏览了1200多份“标准”、文章或者“最佳实践”，以确保一定程度的一致性。

• 1.执行概要

• 2.引言
• 3.捕捉和精炼问题的方法论
• 4.设计强健的网络安全方案需要考虑的问题和事情 5
  • 4.1 战略、治理与控制 5
  • 4.3 法律法规 8
  • 4.4 人力资源 9
  • 4.5 研究和开发 10
  • 4.6 验证：不假定任何事情，不相信任何人，检验所有东西 13
  • 4.7 第三方供应商管理 14
  • 4.8 制造 15
  • 4.9 安全地交付服务 17
  • 4.10 问题、缺陷和漏洞解决 18
  • 4.11 审计 19
• 5.关于华为 20