1、华为技术有限公司深圳龙岗区坂田华为基地电话:+86 755 28780808邮编:商标声明 ,是华为技术有限公司商标或者注册商标,在本手册中以及本手册描述的产品中,出现的其它商标,产品名称,服务名称以及公司名称,由其各自的所有人拥有。免责声明本文档可能含有预测信息,包括但不限于有关未来的财务、运营、产品系列、新技术等信息。由于实践中存在很多不确定因素,可能导致实际结果与预测信息有很大的差别。因此,本文档信息仅供参考,不构成任何要约或承诺,华为不对您在本文档基础上做出的任何行为承担责任。华为可能不经通知修改上述信息,恕不另行通知。版权所有 华为技术有限公司 2019。保留一切权利。非经华为技术有
2、限公司书面同意,任何单位和个人不得擅自摘抄、复制本手册内容的部分或全部,并不得以任何形式传播。白皮书目录执行概要华为智能安防安全可信架构与生态白皮书华为智能安防安全可信架构与生态白皮书智能安防时代已到来,安防涉及领域已经愈来愈广,不再只停留在视频监控上,除了公共安全、平安城市、平安交通、平安园区、平安社区,已逐步延伸至政府、银行、机场等重要机构,安全可信问题的重要性已经被提升到一个前所未有的新高度。执行概要发展道路千万条,安全可信第一条:智能安防守护城市平安!无论过去、现在,还是未来,安全可信在不断增强、升级与变革新技术广泛应用于安防行业,安全可信是技术创新与结果的根本高质量要求,不仅实现结果
3、的安全可信,也要实现过程的安全可信华为已经明确把网络安全和隐私保护作为公司的最高纲领,倡导并践行在创新中构筑安全,在合作中增进安全,共建可信的数字世界。华为智能安防在拥抱华为最高纲领,并成立了安全可信变革专项组与委员会,实施安全可信变革,立志把“安全可信”打造成行业和客户可感知的智能安防解决方案核心竞争力。视觉、算法、芯片、云计算、大数据、人工智能、5G等新技术被广泛应用于安防行业,从数据采集,到数据解析,到大数据中心智能分析,全过程中一旦设备与数据被黑客攻击、利用,会对个人隐私、社会信息安全,甚至对国家安全产生非常严重的影响,因此,打造安全可信的产品与解决方案是必须的。安全是外在质量的保障,
4、可信不仅仅是外在表现的高质量结果,更是内在实现的高质量过程,是结果和过程的双重可验证的高质量。安全可信贯穿于研发、全生命周期管理、制造与供应、组织与文化建设、合规运营,开放合作等过程或流程中,以打造安全可信的工程与服务能力。坚持安全可信发展道路,从平安城市走向智慧城市,幸福“大小家”!坚持做安防智能进化的同路人,以客户为中心,联合客户、携手合作伙伴共同推动安防行业健康发展,建议放眼安防行业,坚持以加快安全可信技术创新为主线,以遵标守规为保障,以监管规范为牵引,大力推进标准建设、行业规范、人才培养、宣传教育等工作,全面提升安全可信在城市综合治理中的保障能力。目 录执行概要01战略方向打造匹配变革
5、的安全可信新架构02技术引领打造安全可信的高质量解决方案07管理规范打造安全可信的工程和服务能力16行动建议智能安防时代安全可信发展建议26战略方向:打造匹配变革的安全可信新架构华为智能安防安全可信架构与生态白皮书战略方向打造匹配变革的安全可信新架构智能安防进入新时代,安全可信是挑战是机会智能安防产业从“洞见”时代进入“预见”的新时代,在产业发展“四将”转型征程中,安全可信的产品和解决方案是加速智能安防产业升级的基石,是产业升级的刚需。智能摄像机拖动非智能摄像机,软件定义摄像机动态加载算法,全区、县、市、甚至摄像机大联动,保障好大量摄像机的安全和数据不受损,摄像机的安全防护是必须的。图1:智能
6、安防新时代“四真”特征真智能将智能推向“全境”摄像机安全防护防非法入侵真开放将开放进行到底云平台安全可信使能应用百花齐放真数据将数据贯穿端云数据安全管控和溯源数据丢失不泄密真安全将安全深入骨髓芯片级安全供应自主有保证将智能推向全境,实现真智能聚焦“视觉、算法、芯片、云计算、大数据、人工智能、5G”等硬核技术创新,需要从“芯”大数据的安全到全栈技术的自主可控,产业链的供应安全,以保证业务的连续性。将安全深入骨髓,实现真安全基于大数据云平台底座,将硬件、平台、数据、算法、应用分层解耦,建立智能安防健康的行业生态体系,构建安全可信的大平台,赋能上层业务安全可信。将开放进行到底,实现真开放公安大数据智
7、能化建设要求打通数据,需要端边云数据协同,多维大数据融合贯穿其中,对数据的安全访问与管控提出了很高的要求,数据全生命周期安全管控和溯源很重要。将数据贯穿端云,实现真数据战略方向:打造匹配变革的安全可信新架构战略方向:打造匹配变革的安全可信新架构华为智能安防安全可信架构与生态白皮书华为智能安防安全可信架构与生态白皮书随着安防行业的发展,终端智能化的普及、多维数据的融合、端边云协同的今天,没有安全可信基因的产品和解决方案未来肯定没有市场,可信是安全的基因,从“洞见”到“预见”可信变革势不可挡。图2:智能安防安全可信变革架构智能安防可信新变革,重塑安防安全可信目标全面变革,把“安全可信”打造成行业和
8、客户可感知的智能安防解决方案核心竞争力。变革使命面向智能安防行业客户,把“安全可信”打造成产品和解决方案的核心竞争力,构建可信的行业生态,打造智能安防可信领域的“朋友圈”。变革目标重新定义了可信产品,并在研发流程中引入可信过程,规范化安全可信组织与运作,加强安全可信宣传及人才赋能,积极引领行业安全可信标准和参与安防安全合规认证,并主动构建安全可信的行业生态合作与联盟等。变革内容主管当责“一把手”主导变革,各业务单元结合业务特点独立思考并落地可信变革,职能部门赋能。对标业界分析业界标准,洞察业界标杆,制定世界一流目标,第三方合作认证。对准活动对准各业务价值创造流活动改进,寻找可信问题背后根因并制
9、定改进措施。全员参与从外部驱动改进转为自下而上主动改进,可信文化理念深入人心,PDCA持续改进。变革策略构建安全可信的产品与解决方案安全产品规划智能安防可信变革项目组可信专家可信首架可信工程师可信认证智能安防可信与安全管理分委会架构设计软件E2E硬件E2E合同与生命周期韧性隐私可靠可用无害开放实验室联合实验室行业联盟产业联盟安全合规准入认证行业规范产业标准可信标准规范可信产品可信过程可信组织可信文化开放合作华为智能安防开发了自己的安全可信与生态架构,其架构全方位地呈现智能安防要提升行业安全环境洞察能力,识别威胁并与行业最佳实践保持同步的安全可信变革内容,包括客户需求/洞察、客户场景化、有竞争力
10、的产品与解决方案、安全可信流程与组织保障、生态合作、标准规范、以及客户价值的传递/沟通等。安全可信新体系架构,构建E2E安全可信框架安全:保护系统非法攻击进不来,攻击不生效;隐私:隐私是保护个人权益,保护敏感或个人信息不被披露;韧性:入侵后要保证最小功能集可用,并提供快速恢复能力;可靠:在外界偶发异常下系统稳定可靠运行;可用:系统内部出现故障后确保业务连续可用;无害:保护客体不受伤害,包括人、环境、周边设备等。安全可信产品定义六个特性:安全、韧性、隐私、可靠、可用、无害图3:智能安防安全可信与生态架构面向智能安防行业客户,把“安全可信”打造成产品和解决方案的核心竞争力,构建可信的行业生态,打造
11、智能安防可信领域的“朋友圈”。平安城市客户安平技术产品供应链客户安平项目媒体利益相关方变革项目组规划设计AI芯片安全启动态势感知安全基础资源安全防护体系零信任体系立体纵深防御安全管理数字水印存储加密隐私遮挡安全传输主机级入侵检测终端OS5G网络云平台大数据鲲鹏CPU分布式存储敏捷开发构建管理持续集成配置管理生命周期管理安全可信分委会人人懂可信赋能&考试人才培养雪亮工程公安大脑智慧交警智慧园区警务大数据安全可信大数据客户需求/洞察客户场景智能大数据智能视频云智能摄像机硬核技术基础质量组织、文化、人才提出的场景和问题提前和客户沟通(自外而内)客户价值/沟通传递独特安全价值主动和客户沟通(开放透明)
12、安全可信流程与组织保障安全可信产品与解决方案(核心竞争力)标准规范与客户、伙伴一起,统一标准、统一规范,共同服务客户。(产业+行业)生态合作与合作伙伴一起能力共建、价值共享,共同商业成功。(产业+行业)安全合规准入认证行业规范产业标准朋友圈生态圈大咖联盟联合创新技术引领打造安全可信的高质量解决方案战略方向:打造匹配变革的安全可信新架构华为智能安防安全可信架构与生态白皮书积极与客户沟通,深度挖掘客户需求,提出的场景和问题提前和客户交流,从“客户-行业-技术-产品-供应链”全链条满足客户。以客户为中心,洞察需求从场景化业务出发,主要涉及公共安全行业,包括平安城市、视频监控、公安信息化、以及道路安全
13、、平安园区类等场景。以客户为中心,确定场景坚持“业务与技术”双轮驱动,基于华为硬核技术构筑智能安防摄像机、视频云平台、智能大数据领域等产品与解决方案的安全可信竞争力。安全可信产品与解决方案质量是基础,可信基于质量,持续提升产品与解决方案质量以及关键安全可信技术&工程能力。并通过组织建设、文化宣传、人才培养等,确保安全可信变革目标达成。安全可信流程与组织保障践行“平台+行业智慧+AI+生态”战略,华为提供开放合作大平台,共建朋友圈、生态圈、大咖联盟、共同联合产品与解决方案合作与创新。开放生态合作,商业共赢持续夯实合规,系统性强化合规能力,遵循业界的、行业安全可信规范和标准,参与标准与规范的编写,
14、积极为引领行业标准与规范做贡献。坚持合规运营,遵标守规面向客户,要开放透明、主动传递产品、解决方案的安全可信竞争力,同客户、媒体等利益相关方营造积极良性合作环境。与客户多沟通、传递价值技术引领:打造安全可信的高质量解决方案技术引领:打造安全可信的高质量解决方案华为智能安防安全可信架构与生态白皮书华为智能安防安全可信架构与生态白皮书通过安全启动、视频数据安全传输、入侵检测等保障摄像机系统安全。软件定义摄像机安全可信从采、传、存、用四个方面进行安全防护,围绕数据安全构建能力,让攻击者进不来、看不到、拿不到、赖不掉。智能视频云平台安全可信华为鲲鹏服务器内置的CPU通过国密算法实现了芯片级的数据加解密
15、,保障数据偷走不泄密。从“芯”开始的安全可信以零信任体系、安全防护体系为抓手,从“云、数据、应用、网、边界、端”六维构建纵深防御体系,实现数据安全访问和防护。智能大数据平台安全可信华为智能安防的可信场景中,智能摄像机作为数据业务区的视频数据采集端,从前端的安全防护,端到云的数据安全管控,到大数据的安全访问,需要纵深防御的安全防护,围绕安全、韧性、隐私、可靠、可用、无害六个产品可信特性重新定义了智能安防可信产品,以达到安全合规、全程可控、全时可用、数据不丢失、隐私不泄漏、可追溯。明确安全可信新场景,重新定义安全可信能力图4:智能安防安全可信场景定义场景定义可信定义智能摄像机数据传输数据传输数据查
16、询视频导出视频实况数据访问(视频/图片/人、车、案.)(人、车、案.)智能大数据云平台智能视频云平台智能指挥云平台智能大数据云平台访问客户端华为昇腾310指挥中枢公安大脑进不去安全隐私韧性可靠&可用无害看不到改不了拿不到赖不掉防攻击防劫持窃取信息保密信息防篡改重要数据加密泄露行为追溯全程可控,设备防劫持,安全准入,防止非法接入,防刷机,防篡改,防泄露敏感信息不泄漏、不被篡改、防非法越权访问、可溯源,满足合规多层次安全防御,攻击行为可检测、可响应、可恢复全时可用、7*24小时业务不中断、数据不丢失满足EMC、安规、环保等认证,对人、环境、系统等无害区县市省强中心敏边缘敏边缘敏边缘KX数据JZ数据
17、WA数据智能摄像机安全启动,防止恶意软件非法入侵海量摄像机暴露在室外,非安全域的接入(无线、Wifi等),容易受到物理劫持、篡改,信息泄露,一旦非法入侵,立即会引发连锁反应,后果不堪设想。通过摄像机的安全启动可防止固件/软件被篡改,视频数据传输过程安全可防止信息泄露,有效入侵检测可防止非法入侵/劫持。系统启动过程是系统一切行为的基础,如果系统在启动之前就由于被篡改或破坏等原因进入一种不可信的状态,则基于该系统而建立的任何安全机制都无法确保系统的可信性。华为智能摄像机支持安全启动功能有效保障系统本身安全,安全启动代码固化在芯片中,设备启动过程中逐级校验引导程序、系统、应用的完整性和合法性,只有校
18、验通过的才允许执行,阻止非法程序在设备上运行,有效防止摄像机物理劫持、篡改、非法刷机。安全启动防固件、软件被篡改非法接入和不安全的网络传输,易受网络窃听,暴力破解,词典攻击,重放cookie,盗窃凭据、泄漏机密数据,篡改数据,引诱攻击。华为智能摄像机支持国际公认的安全传输协议HTTPS、TLS1.2,通过证书认证用户和服务器,确保数据发送到正确的客户机和服务器,并对数据进行加密以防止中途被窃取。支持802.1X认证,确保接入网络的安全性。安全传输防信息泄露图5:智能摄像机安全启动摄像机业务场景问题人脸底库被窃取AI模型被窃取系统安全问题导致被攻击劫持系统、应用被篡改硬件芯片MEASUREEXE
19、CUTEApplications,Libraries,Configurations,.Core Root of Trustfor MeasurementOS KernelOS LoaderBIOS13456782音视频数据被截取和篡改安全启动技术引领:打造安全可信的高质量解决方案技术引领:打造安全可信的高质量解决方案华为智能安防安全可信架构与生态白皮书华为智能安防安全可信架构与生态白皮书视频云平台存储大量的视频和图片数据,对数据存储加密是防止数据泄露、降低数据泄露影响的最后一道防线。视频云平台通过芯片内置国密算法,实现视频、图片线性加解密存储。配合标准的密钥管理系统对视频密钥进行安全管理,确保
20、密钥管理安全合规及视频云网络视频和图片数据存储安全。存储加密,国密算法防泄露为了确保视频云平台采集的海量视频数据最小化使用,符合隐私保护要求,遵从 GDPR,视频云实现基于用户角色的隐私遮挡,对低级别的用户提供隐私遮挡后的视频信息,同时对数据的使用和访问进行严格的权限控制,降低数据滥用、误用所导致的数据泄露的风险。隐私遮挡,控权限防滥用视频云平台数据量大、数据访问入口多导致数据泄露后难以追溯。视频云平台实现对视频、图片数据自动添加数字水印,不影响视频和图片的视觉效果,并且能有效防止数据泄露,确保数据泄漏后能追踪泄漏源。数字水印,防泄露可溯源视频云平台安全防护,采传存用全面安全防护万物互联的大安
21、全时代,尤其是海量摄像机接入视频云网络,安全形势日趋严峻,如何主动感知终端安全风险、提升数据存储安全、数据的安全管控与访问、资源不因被滥用、恶意使用等所导致的数据泄密或破坏和溯源,是巨大的挑战。华为视频云平台从采、传、存、用四个方面做了安全防护,围绕数据安全,步步设防,让攻击者进不去、看不到、拿不到、赖不掉。通过安全态势感知,数据存储芯片级国密加解密,数据访问自动加数字水印,隐私遮挡最小化权限数据使用等安全防护策略,使视频云平台的安全风险可以主动感知与可视化、变静态防护为动态防御和主动检测、单点防护为综合防控,形成事前提前预警、事中主动检测、事后无缝溯源的全方位检测防护体系。摄像机的联网特性使
22、其漏洞频发成为直面的安全隐患,摄像机一旦被黑客入侵,就会面临业务被中断、服务不稳定、数据被窃取的风险。主机级入侵检测防黑客海量智能摄像机接入视频云网络,安全防护面临着检测困难、威胁无法及时发现,响应能力不足等问题。视频云基于专业的安全分析模型和大数据分析平台,可准确、高效地感知智能终端设备、视频云网络内的安全状态和安全变化趋势,从而对攻击和态势感知,风险可控可视图6:视频云平台安全防护进不去采传存用看不到拿不到赖不掉接入认证,入侵检测GB35114安全态势感知身份认证访问控制传输隧道加密安全传输协议 视频导出加密视频调阅加密数据隐私保护数据存储加密用户组权限分离、控制隐形水印日志审计数字签名安
23、全审计数据库防火墙华为智能摄像机支持主机入侵检测功能,提供多层次的可视化入侵检测能力,第一时间发现黑客入侵行为以便阻断入侵、防劫持,可以有效保障摄像机安全。危害智能终端、视频云网络的行为进行及时地发现,配合安全处置平台进行及时响应,确保智能终端、云平台网络的安全风险可控、安全状态可视、攻击事件快速响应闭环。技术引领:打造安全可信的高质量解决方案技术引领:打造安全可信的高质量解决方案华为智能安防安全可信架构与生态白皮书华为智能安防安全可信架构与生态白皮书统一安全访问平台,实现网间安全互联。一是通过与安全基础设施身份管理和权限管理的联动,对接入用户进行统一身份管理、授权和访问控制,对用户、设备和应
24、用采用精细授权和动态精准鉴权。结合实时环境感知,实现用户对应用和数据的安全访问;二是按照统一管理、统一调度、集约利用的思想重构数据交换平台,实现数据中心与外部其他网络数据的高效共享。“零信任”安全访问平台公安大数据安全建设应遵循架构开放原则,关键安全组件的功能和接口开放和标准化,并以安全服务化形式提供安全能力,实现随需随用,灵活调度的效果;同时安全建设应充分考虑公安现有安全能力,充分利现,实现建设统一化和集约化。架构开放,集约共享加快构建全局化、统一化、自动化、协同化的智慧网络安全运营管理平台,增强整体网络态势感知能力、加密流量检测能力、网络攻击诱捕能力、云网安业务安全协同能力等,提高监测和服
25、务的时效性、精准性和前瞻性,提升资源的协同管理水平,实现快捷响应、灵活调度、智能高效的运维管理,更好的满足大数据业务的按需快速部署和差异化、精细化管理,为维护新一代公安信息网的安全、高效运行提供强有力的保障。云网安维,高效闭环坚持安全与发展并重,完善网络管控机制,通过芯片及设备国产化实现安全自主可控,通过芯片可信和系统可信等技术实现安全产品可靠。推进“零信任”概念、数据安全芯片加解密、国产密码应用等安全能力,强化网络准入控制、流量监测分析、策略自动下发、威胁识别响应等网络安全防护技术措施,实现网络主动纵深防御、实时全方位态势感知和动态安全威胁预警,进一步加强网络安全应急管理能力和处置能力,提升
26、网络安全技术保障水平,为新一代公安信息网安全体系建设保驾护航。自主可控,安全可信安全管理中心立体化纵深安全防御体系安全基础资源安全防护体系零信任体系图7:智能大数据平台纵深防御体系安全标准规范及制度安全态势感知安全运行管理终端安全安全识别安全防护安全检测云安全资源非云安全资源安全响应认证审计可信环境感知权限管理边界安全网络安全数据安全云平台安全应用安全安全风险管理安全策略管理安全合规管理应急处置管理安全机构人员智能大数据安全可信,系统化的全栈数据安全随着公安大数据智能化建设的不断深入,大数据安全问题成为大数据建设的主要矛盾之一。公安部围绕“公安大脑”建设,聚焦公安大数据安全风险防控,坚持大数据
27、建设应用与安全防护同步规划实施,制定了大数据智能化安全纵深防御体系规划与标准体系。华为大数据智能化安全纵深防御体系,聚焦数据安全,以安全管理中心为核心,以安全基础资源为支撑,以零信任体系、安全防护体系为抓手,从“云、数据、应用、网、边界、端”六维构建纵深,实现了高效安全应用和运行管理。技术引领:打造安全可信的高质量解决方案技术引领:打造安全可信的高质量解决方案华为智能安防安全可信架构与生态白皮书华为智能安防安全可信架构与生态白皮书随着公安信息化的建设,数据的全方位获取、全网络汇聚、全维度整合,大数据价值的放大,对数据的安全存储、安全传输、安全计算提出了很最大的挑战,不同密级数据融合导致权限污染
28、,被动抬高整体安全等级,打破安全和业务体验的平衡;大数据融合放大静态、粗放的权限管控风险,数据滥用风险大。华为安全可信大数据解决方案,利用鲲鹏服务器的CPU专用硬件加速引擎承担华为大数据平台上数据的加解密运算,实现了芯片级的数据加解密,实现从“芯”启动的数据安全。芯片级大数据加解密,深入内“芯”的安全可信图8:芯片级大数据加解密大数据应用华为国密大数据平台Taishan V2GaussDBRedisSparkHBaseHiveMapReduceHDFS(加解密)KMSOpenSSL国密加解密库国密引擎内核驱动CPU核内存控制器IO控制器CPU核加解密加速引擎片内总线KafkaESFlink明文
29、操作系统CPU加密分区多维大数据的融合,数据智慧不断加大,价值数据的安全性引起了极大的重视。芯片级加解密,数据存储态加密,计算时解密,数据偷走不泄密。数据加解密不占用CPU的计算核心,不与业务应用抢夺CPU资源,相关接口适配工作在平台内完成,对外接口保持一致,业务无感知。芯片级数据安全,数据丢失不泄密最新的公安大数据安全规范中明确要求敏感数据使用国密算法加密,华为国密大数据平台通过标准接口与主流数据安全厂商的KMS系统对接,加密密钥统一由KMS生成和管理,实现大数据加密密钥的生成管理,支持“一数一密”,每个文件使用不同的密钥,为业务数据提供高标准的安全防护。国密加解密算法,敏感数据安全可控鲲鹏
30、服务器主要芯片全自研,鲲鹏920CPU采用7nm工艺,最高64核心,性能超出业界25%。云计算及大数据平台代码安全加固,软件功能自研增强。匹配公共安全行业应用场景。服务器自主可控,持续供应不断供华为云平台、大数据平台和分布式存储软件可以运行在鲲鹏服务器上,支持鲲鹏服务器和异构服务器混部,灵活扩容。国产数据库南大通用,达梦,人大金仓,神舟通用均已支持运行在鲲鹏服务器上。开源数据库MySQL、PostgreSQL、Redis等已支持运行在鲲鹏服务器上。鲲鹏产业生态,持续发展不间断管理规范打造安全可信的工程和服务能力管理规范:打造安全可信的工程和服务能力华为智能安防安全可信架构与生态白皮书华为高度重
31、视产品的安全可信的诉求,将其摆放在第一优先级的位置,并在研发流程中融入了安全可信活动,通过华为的IPD研发管理流程,在产品全生命周期内可以做到研发质量的有效保障。研发过程安全可信,基于对行业的深刻洞察,同时基于可信的设计要求,在可信需求、可信设计、可信开发、可信测试、可信交付和维护都设置了可信的专门要求,以确保产品全生命周期内都能达到可信的要求。公司要求要打造可持续交付可信高质量产品的软件工程能力安全可信入研发流程,全栈生命周期安全可信可信产品第一位把可信作为产品开发的第一要素,放在功能、特性和进度之上。可信不仅仅体现在高质量的结果,更体现在高质量的过程,是结果和过程双重可验证的高质量体现。只
32、有全面提升软件工程能力,才有可能打造出可信的高质量产品。强化培训与认证可信软件工程学院的核心职责是通过培训和认证,让华为所有软件工程师包括外包人员都能达到编写可信的高质量代码的要求。开放心态去学习软件工程师要开放,要主动去了解和学习业界软件先进的思想及工程实践,主动提升自身能力和实践,并运用到实际工作中。自我发展有定位软件工程师要努力成为一名优秀的、资深的编码人员,为公司创造更大的价值。交付高质量代码Committer要在软件实现环节聚焦“保证和提升代码基础质量”,不仅自己要交付可信的高质量 代码,还要能辅导他人交付可信的高质量代码。图9:研发管理流程引入可信需求管理Charter开发可信需求
33、可信需求收集和识别可信架构设计静态分析合规测试病毒扫描版本数字签名漏洞管理开源/第三方/平台生命周期管理动态分析Fuzz测试渗透测试第三方独立验证产品认证代码可信检视可信编译可信硬件设计隐私风险评估威胁建模特性可信设计开源/第三方/平台选型可信测试设计配置管理 研发工具,编译构建管理 开源及第三方软件管理可信竞争力需求分析合规需求管理可信要求融入DCP/TR检查点可信活动可信基线,标准,指导书等可信设计可信开发可信测试可信交付和维护概念与计划TR1 TR3开发TR4 TR4A TR5验证TR6发布GA生命周期IPDCharterCDCPPDCPADCP管理规范:打造安全可信的工程和服务能力管理
34、规范:打造安全可信的工程和服务能力华为智能安防安全可信架构与生态白皮书华为智能安防安全可信架构与生态白皮书为切实落实“网络安全和用户隐私保护作为公司的最高纲领”这一战略,华为依据国际安全标准和业界最佳实践,制定了可信制造流程与可信供应流程与保障措施,聚焦“三防”(防篡改,防植入,防泄漏)和“四可”(可防止、可溯源、可甄别、可管理)。六个100%保障产品制造过程零植入、零篡改100%自动签名校验、100%自动端口扫描、100%数据清除、100%来料拦截、100%过程防呆、100%发货可溯。制定可信制造交付件并融合到可信制造流程中以可行网络制造解决方案、可信DFM(可制造性设计评审要素)需求基线、
35、可信制造导入验证用例等交付件为承载、并组织验证,将固化活动融入到产品制造设计与导入流程,更新MFR(制造领域交付件质量评审),同时形成基于IT化的生命周期响应机制。制造安全可信从产品制造设计与导入、生产、出货及逆向全过程进行可行网络制造设计,目的是实现产品在制造的完整性、真实性及可追溯性,防止产品被篡改、植入、伪造等网络安全风险,制造团队建立制造网络安全项目组织,隶属于公司网络安全。供应安全可信完善了全球供应链安全管理体系,聚焦产品流通过程中防篡改,防植入,防泄漏,实现供应环节的可防止、可溯源、可甄别、可管理,达成华为合同履行与客户合同一致、逆向物料处理与当地法规要求一致。安全可信入制造供应,
36、贯穿全过程必三防四可制造出厂与安全设计一致产品可信制造设计设计软件完整性保护(数字签名)未公开端口关闭来料安全拦截(软件):软件云化、自动加载、自动校验(网络):网络隔离、低版本安全加固,终端接入检测,未知威胁检测待部署(CIS、沙箱、诱捕)(人员):背景调查、关键岗位管理、出入权限管理(实物):关键部件管理、物理隔离、CCTV(高清监控)来料加工/测试维修物流发货客户制造安全系统过程防呆透明化:生产测试网络及应用监控系统(病毒防护、高危端管控、补丁发布)、SDSe软件定义安全系统(态势感知、安全运维)逆向数据清除发货可追溯图10:制造引入可信要求建立从供应商来料到客户的网络安全追溯系统完善产
37、品的来料、发货数据入湖,集成产品测试版本,实现从来料到客户追溯,并与研发系统对接,支撑可信追溯;建立从供应商版本到客户的追溯能力;建立从供应链发货与现网版本的追溯能力。构建数字化供应链安全防御系统协同流程IT构建数字化采购、智慧物流等覆盖全球交付的纵深防御系统,强化身份识别、访问控制、安全加固,实现自动探测和预警,提升网络安全韧性;对新建系统和版本进行安全评估,组织安全问题整改和验收;供应安全可信对物流安全、信息安全等相关要求(防篡改,防植入,防泄漏)在招标书和物流服务商合同中落实。图11:供应引入可信要求合同履行与客户合同要求一致逆向处理与当地法规一致供应全流程过程可视可监控供应链IT系统安
38、全:协同流程IT,构建数字化供应链的安全纵深防御系统统一数据底座,建立从来料到客户的供应链端到端“1小时”快速追溯系统通过ISO28000供应链安全管理标准,美国关贸反恐安全标准C-TPAT/各国海关AEO,TAPA运输资产保护协会安全标准运输线路安全:全球区域3级物流解决方案,每年使用ISO31000/NIST SP 800-161 对线路进行风险评估物流供应商:与安全标杆LSP签署安全协议,所有LSP遵循安全标准仓储管理:实物交接安全验证,出仓时记录条形码并7x24安保,报警系统、监控系统。一线本地管理要加强完整性验证:研发建立产品完整性可验证能力逆向管理:根据政府和客户的规则和要求进行管
39、理负责智能安防领域产品可信定义,包括可信洞察、可信GAP、可信竞争力规划、路标管理、可信需求管理、可信竞争力面向市场包装上市、可信标准认证规划等。可信规划组基于业界可信理论和可用性设计要求,负责智能安防领域产品架构可信分析,架构可信GAP和变革点分析,构建产品安全可信竞争力。推动可信架构、可信设计等方面要求落地。可信架构组负责智能安防领域可信编码、可信构建、可信验证、安全可信流水线等软件工程体系的构建,确保软件研发过程可信。秉承公司“开放创新,构建为我所知、为我所用、为我所有”的全球能力布局原则,引入产业与行业的专家与人才。软件可信E2E组依托华为全球16个研发能力中心,围绕云计算、大数据、人
40、工智能、图像、视频智能处理、视频应用、视频算法、智能摄像机等核心技术进行优质资源布局,吸引产业与行业精英。吸引研发精英通过高校项目合作、顾问、联合创新等多种模式,与业界的可信领军人物进行合作,全面提升智能安防的可信端到端能力。与业界领军合作在社会招聘和校园招聘中强化对可信的能力要求,大力引入软件工程、网络信息安全、可靠性等专项人才。引入专项人才负责硬件架构可信分析,识别可信GAP和变革点,确保硬件安全可信竞争力构建和达成。硬件可信E2E组负责智能安防领域合同与生命周期管理可信分析,识别可信GAP和变革点,制定相关变革措施。合同与产品生命周期管理组负责智能安防领域可信标准和生态相关工作,主动构建
41、安全可信的行业生态,积极引领行业安全标准认证、标准引导、生态伙伴建设等。可信生态与标准组通过组织、流程、评价体系、激励等系统性变革,围绕“可信”改变组织思考问题和做事的方式,将可信落入日常的工作中。可信及软件文化组管理规范:打造安全可信的工程和服务能力管理规范:打造安全可信的工程和服务能力华为智能安防安全可信架构与生态白皮书华为智能安防安全可信架构与生态白皮书为了端到端地提升产品、解决方案和服务的安全性,遵从法律保护用户隐私,并明显改善政府、客户等利益相关方对华为的信任。华为成立了公司网络安全与用户隐私保护组织。华为智能安防产品线成立“智能安防可信变革项目组”,同时,“智能安防可信与安全管理分
42、委会”,月度例行运作,高效推进。吸引产业与行业精英,共建安全可信专项组织负责端到端网络安全与用户隐私保护政策的制定及推行。根据公司业务发展战略,遵从所有适用的国家和地区安全与隐私保护法规、国际和区域电信标准,参考行业最佳实践,建立透明、互信的端到端网络安全与用户隐私保护的保障体系,满足客户对网络和业务的安全与隐私保护需求,保证客户的长期信任。全球网络安全与用户隐私保护办公室独立于业务体系,对发往管控国家的产品(包括OEM产品)进行把关,验证其是否符合安全红线和国际认可的最佳实践(如OWASP)。内部网络安全实验室提升公司在网络安全方面的技术能力,做到技术ready,以满足公司市场开拓全球客户、
43、政府的诉求。网络安全能力中心产品与解决方案的网络安全与用户隐私保护的设计和端到端的竞争力;同步业界最佳实践,完善网络安全与用户隐私保护工程能力的布局和建设。产品线安全工程部图12:智能安防可信变革项目组智能安防可信变革项目组可信生态和标准组明确的目标、清晰的组织、高效地运作!可信标准可信生态可信认证可信规划组可信架构组软件可信E2E组硬件可信E2E组可信文化组合同与产品生命周期管理组可信定义可信洞察可信GAP可信竞争力可信需求管理可信路标管理可信标准认证可信竞争力上市架构可信分析架构可信GAP变革点分析可信编码安全编码Committer机制可信流水线架构可信分析架构可信GAP变革点分析组织流程
44、评价体系激励机制合同可信生命周期管理可信坚持开放透明,持续开展意识教育、能力培训以及考试,营造智能安防的安全可信文化。不仅仅是功能、特性的高质量,也包括产品开发到交付过程的高质量。全体研发人员从最基础的编码质量做起,视高质量代码为尊严和个人声誉。追求打造可信的高质量产品以可信的视角,从初始设计、完整构建到产品生命周期管理,全面提升软件工程能力和实践。形成一套适应可信要求的流程面向智能安防全体员工发布智能安防员工安全合规工作准则,对员工的意识、行为、能力提出了具体的规定,每年例行学习和考试。形成统一规范,制定考核机制华为不仅在公司内部建立成熟高效的安全可信体系,同时积极参与国家、行业安全标准制定
45、工作,至今为止,华为已经参与TC28、TC100、TC260等数十个国内外标准组织,支持主流国家标准,至今参与国内外近百项安全相关的标准制修订,涉及云计算、云存储、数据传输、大数据、AI技术以及音视频编解码等技术领域,涵盖公安、交通、园区等行业,贯穿智能安防端到端的产品。制定统一标准与规范,引领产业与行业速发展致力于把摄像机安全启动、远程可信启动、黑名单库、AI模型加密保护等安全可信功能固化为摄像机的基础功能,大力推动摄像机安全可信标准制定落地,并积极通过独立的第三方评估机构对摄像机产品进行公正的安全评估和认证。2018年4月,华为摄像机正式获得CC认证证书-EAL3+级认证,成为全球首个通过
46、该级别认证的摄像机产品。此外,华 为 全 系 列 视 频 监 控 产 品 均 已 符 合 国 标GB35114-2017标准要求,其中摄像机已获得A类证书,其他产品也在积极认证中华为全系列视频监控产品均已符合GB35114-2017标准要求,其中摄像机已获得A类证书,其他产品也在积极认证中这充分表明华为摄像机产品的安全稳定性已经达到了国际领先水平,能真正为客户提供安全可信的服务。智能摄像机安全可信综合了华为在超宽泛网络、高性能云计算、海量多维数据处理、智能视频等领域多年的技术积累,自主研发可信智能云平台整合提供“四个一”,即“一网一云一湖一平台”解决方案,实现软件与硬件解耦、应用与数据解耦,。
47、华为智能视频云产品以态势感知、数字水印、存储加密、隐私遮挡等安全可信特性为产品核心竞争力,遵循主要的国家标准 和 安 全 认 证,目 前 正 配 合 公 安 部 开 展GB35114-2017平台安全等级检测和公共安全视频监控联网信息安全测试规范国家标准的标准工作。此外华为还先后参与了信息安全技术 可信计算规范 服务器可信支撑平台、信息安全技术 云计算安全参考架构、信息安全技术 服务器安全技术要求和测评准则等云计算、云存储、可信服务器领域多个国家标准制定。智能视频云安全可信管理规范:打造安全可信的工程和服务能力管理规范:打造安全可信的工程和服务能力华为智能安防安全可信架构与生态白皮书华为智能安
48、防安全可信架构与生态白皮书管理规范:打造安全可信的工程和服务能力管理规范:打造安全可信的工程和服务能力华为智能安防安全可信架构与生态白皮书华为智能安防安全可信架构与生态白皮书华为始终致力于构建“开放、协作、共赢”的安防行业生态与公共安全行业生态的建设,安全可信能力的构建贯穿其中,与合作伙伴一起努力带给客户最好的选择。通过华为智能安防开放合作的大平台,与华为客户、合作伙伴、开发者联盟,建设安全可信朋友圈。开放协作共赢大平台,共建安全可信生态体系华为智能安防产品基于开放的架构,提供算法开放平台,算法厂家也可以通过此平台加入到华为的算法生态圈,解除解决方案厂商自身集成的算法限制。应用厂商可以通过发布
49、API接口,增强应用系统能力。开放架构华为智能安防开发者社区是为开发者良好的开发体验平台,提供开放的接口、必要的技术支持和实验室资源,并对合作伙伴的开发能力和解决方案予以认证,支持高价值方案走向市场,助力客户成功,推进安防行业的智能化转型。开发者社区华为在全球范围内有10+个Openlab,用于合作伙伴与华为联合方案创新,支持从方案设计、开发适配、验证、上线、演示到交付,目前已经有百家ISV集成验证,孵化联合解决方案50多个。开放实验室华为从“芯”开始,持续研发与创新15年,让智能计算无所不及!超强算力、芯片级数据安全加速了安防智能化进程。产业联盟官网,已有100余家企业申请加入智能生态联盟,
50、共同推动产业发展。产业联盟基于“开放黑土地、汇聚数据湖、应用百花齐放”的理念,聚合客户及生态伙伴力量,共筑“永远在线智能安防云”体验平台,共计80+个云服务,联合40+解决方案,30+个客户案例,60+个合作伙伴。行业联盟随着大数据时代已经到来,大数据生命周期安全问题 也 越 发 凸 显,华 为 先 后 参 与 G B/T 35274-2017信息安全技术 大数据服务安全能力要求、信息安全技术 数据安全能力成熟度模型等多个大数据安全标准的编写工作,当前正积极投入公安大数据安全 总体技术框架、公安大数据安全 安全访问平台技术设计要求、公安大数据安全 云平台安全技术要求 等公安部大数据标准编写工作
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100