Viễn cảnh An ninh mạng Đưa an ninh mạng trở thành một thành tố trong DNA của

công ty – Một bộ các tiêu chuẩn, chính sách và quy trình tích

hợp

John Suffolk

Phó Chủ tịch Cấp cao | Giám đốc An ninh Mạng Toàn

cầu

Huawei Technologies

Tháng 10/2013

Lời tác giả

Cuốn sách này được đồng biên soạn bởi nhiều đồng sự ưu tú trên

toàn thế giới. Vai trò của tôi chỉ đơn giản là biên tập lại các công

trình của họ thành một cuốn sách trắng sao cho có thể truyền tải

được vị thế và quan điểm thực tiễn của Huawei về bảo mật không

gian mạng - Cyber Security (an ninh mạng) một cách rõ ràng và

nhất quán. Tôi hy vọng mình đã đánh giá các công trình đó một

cách xứng đáng.

Tôi xin gửi lời cảm ơn chân thành và sâu sắc tới những người đã

đưa ra cho tôi những ý kiến góp ý quý báu, họ đã có đóng góp

đáng ghi nhận cho tài liệu này, đó là: Jeff Nan (Jianfeng), Jupiter

Wang (Weijian), Penny Peng (Liwei), David Francis, Huang

Shasha, Andy Purdy, Eric Zhang (Bo), Debu Nayak, March Ma

(Hongwei), Peter Rossi, Jerry Liu (Chenxi), Micheal Moore,

Harry Liu (Haijun), Andy Hopkins, Liang Yonggang, Xue

Yongbo, Mu Dejun, Wout van Wijk, William Plummer, Brent

Hooley, Olaf Reus, Scott Sykes, Scott Bradley, Ruri Tomioka,

Daisy Li (Lidong) Sam Liu (Liusong), Brian Liu (Liubin),

Ludovic Petit, Ulf Feger và những người khác đã trực tiếp hoặc

gián tiếp đóng góp công sức vào tài liệu này. Xin thứ lỗi nếu tôi

quên không nhắc tới tên bạn, và xin cảm ơn vì những đóng góp

của bạn.

John Suffolk

Mục Lục

Tháng 10 năm 2013

1 Lời mở đầu ...................................................................................................................................................... 5

2 Tóm tắt ............................................................................................................................................................ 7

3 Giới thiệu ....................................................................................................................................................... 10

4 Điều chúng tôi công bố 12 tháng trước ......................................................................................................... 11

5 Bảo vệ tương lai – an ninh cho thế giới ngày mai ......................................................................................... 13

6 Vấn đề với những tiêu chuẩn là chúng không hề đạt tiêu chuẩn ........................................................................ 14

6.1. Top 100 điều khách hàng hỏi chúng tôi về vấn đề bảo mật ........................................................................ 15

7 Phương pháp an ninh mạng end-to-end của Huawei .......................................................................................... 15

7.1 Chiến lược, quản trị, và kiểm soát ............................................................................................................... 18

7.2 . Xây dựng các vấn đề cơ bản: các quy trình và tiêu chuẩn ......................................................................... 21

7.3 Luật pháp và quy định ................................................................................................................................. 23

7.4 Vấn đề về con người ............................................................................................................................ 25

7.5 Nghiên cứu và phát triển ...................................................................................................................... 28

7.5.1 Quản lý khâu thiết lập cấu hình và Trung tâm xây dựng ................................................................. 30

7.5.2 Quản lý công cụ và các thành phần của bên thứ ba ......................................................................... 32

7.6 Kiểm tra: Không giả định, không tin tưởng ai, kiểm tra mọi thứ ......................................................... 33

7.7 Quản lý nhà cung cấp bên thứ ba. ....................................................................................................... 36

7.7.1 Chuỗi cung ứng ............................................................................................................................... 36

7.2.2 An ninh trong công tác cung ứng ..................................................................................................... 38

7.8 Sản xuất................................................................................................................................................ 40

7.10 Khi gặp sự cố: Vấn đề, sai sót, phát hiện và giải pháp khắc phục yếu điểm bảo mật ................................ 45

7.11 Khả năng truy xuất nguồn gốc: Mò kim đáy biển ..................................................................................... 49

7.12 Kiểm toán ............................................................................................................................................. 50

8 Cùng tiến về phía trước – nhấn nút reset bảo mật ......................................................................................... 51

9 Đôi nét về Huawei ........................................................................................................................................ 53

DANH MỤC HÌNH

Hình 1.Cơ cấu quản trị an ninh mạng giản đơn ..................................................................................................... 20

Hình 2. Kiến trúc quy trình tổng thể ...................................................................................................................... 22

Hình 3: Đưa an ninh mạng vào các quy trình Nhân lực ....................................................................................... 25

Hình 4. Quản lý thị trường đối với Phát triển Sản phẩm tích hợp ......................................................................... 28

Hình 5. An ninh tích hợp trong quá trình IPD ....................................................................................................... 30

Hình 6. Phương pháp kiểm tra độc lập đa tầng...................................................................................................... 34

Hình 7. Mô hình quản lý nhà cung cấp ................................................................................................................. 38

Hình 8. Phương pháp tiếp cận truy xuất mã vạch .................................................................................................. 42

Hình 9. Tổng quan cung cấp dịch vụ ..................................................................................................................... 44

Hình 10. Tích hợp PSIRT với các quy trình khác ................................................................................................. 46

Hình 11. Quy trình PSIRT/CERT.......................................................................................................................... 48

Hình 12. Sơ đồ truy xuất ngược và chuyển tiếp phần mềm ................................................................................... 49

Hình 13. Sơ đồ khả năng truy xuất ngược và chuyển tiếp ..................................................................................... 50

1 Lời mở đầu

Bảo mật không gian mạng (an ninh mạng) tiếp tục trở thành vấn đề thu hút sự quan tâm sâu

sắc từ các khách hàng của công ty chúng tôi và chính phủ các nước, cũng như các nhà cung

cấp; an ninh mạng trở thành vấn đề trọng tâm của Huawei và công tác đảm bảo an ninh mạng

là một trong những chiến lược cốt lõi của công ty.

Chúng tôi tin rằng chỉ khi tất cả chúng ta cùng hợp tác trên phạm vi quốc tế, với cương vị là

các nhà cung cấp, khách hàng và các nhà hoạch định chính sách, nhà lập pháp, thì chúng ta

mới có thể tạo nên sự khác biệt lớn khi đối mặt với thách thức an ninh mạng toàn cầu. Chúng

tôi cũng tin tưởng rằng chúng ta cần chia sẻ kiến thức và sự hiểu biết về những gì nên và

không nên làm để giảm thiểu rủi ro người dùng sử dụng công nghệ vì những mục đích không

mong muốn.

Nếu tồn tại một câu trả lời hoặc một giải pháp đơn giản cho thách thức an ninh mạng, thì có lẽ

giờ người ta đã tìm ra và áp dụng nó. Tuy nhiên, một sự thực rõ ràng là cả thế giới vẫn tiếp

tục tranh luận về các tiêu chuẩn, bộ luật, quy tắc và quy phạm, cho thấy chúng ta vẫn chỉ đang

bước đi những bước đầu tiên – chúng ta cần chia sẻ những điều gì nên làm, để những người

khác có thể áp dụng và nâng cấp lên.

Cuốn sách trắng này là sự đóng góp nho nhỏ cho lượng kiến thức góp nhặt của chúng tôi và

chúng tôi đã viết cuốn sách này để giúp mọi người hiểu rõ hơn về một số chính sách, quy

trình và sự thay đổi liên quan tới an ninh mạng mà các nhà cung cấp như Huawei đang cân

nhắc. Chúng tôi mong rằng cuốn sách này sẽ hữu dụng khi quý độc giả đọc nó và hoan

nghênh những ý kiến phản hồi và những góp ý mang tính xây dựng của quý độc giả về những

nội dung mà quý vị tin là chúng tôi nói riêng, cũng như toàn ngành nói chung, cần phải thực

hiện để hoàn thiện hơn nữa hướng tiếp cận mà chúng tôi sử dụng để thiết kế, xây dựng và

triển khai một nền công nghệ an toàn hơn.

Cụ thể, với tư cách là Phó chủ tịch Hội đồng Quản trị của Huawei kiêm Chủ tịch của

Ủy ban An ninh mạng toàn cầu của Huawei, tôi mong muốn vị thế của công ty mình

được rõ ràng. Chúng tôi có thể xác nhận rằng chúng tôi chưa từng nhận được bất kỳ

chỉ thị hoặc yêu cầu nào từ các Chính phủ hoặc cơ quan chính phủ về việc thay đổi địa

vị, chính sách, quy trình, phần cứng, phần mềm hoặc công tác tuyển dụng hay các vấn

đề khác, ngoài gợi ý tăng cường khả năng an ninh mạng đầu cuối của chúng tôi.

Chúng tôi có thể xác nhận rằng chúng tôi chưa từng nhận được yêu cầu cung cấp

quyền tiếp cận công nghệ của chúng tôi hay cung cấp bất kỳ dữ liệu hoặc thông tin

nào về bất kỳ công dân hay tổ chức nào khác cho Chính phủ hoặc các cơ quan chính

phủ.

Chúng tôi khẳng định rằng chúng tôi sẽ kiên định theo đuổi cam kết tiếp tục hợp tác

với các bên liên quan để tăng cường hơn nữa khả năng cũng như tính hiệu quả trong

công tác thiết kế, phát triển và triển khai công nghệ bảo mật.

Chúng tôi tin chắc rằng thế giới sẽ trở nên tốt đẹp hơn khi tối đa hóa những lợi ích mà việc sử

dụng công nghệ mang lại, giúp nâng cao đời sống con người, và giúp nền kinh tế phát triển.

Huawei sẽ tiếp tục áp dụng phương pháp tiếp cận mở và minh bạch cùng vị thế chịu trách

nhiệm đối với hoạt động của công ty và trong mọi việc chúng tôi làm.

(Đã ký)

Ken Hu

Phó Chủ tịch Hội đồng Quản trị của Huawei kiêm

Chủ tịch Ủy ban An ninh mạng Toàn cầu Huawei

2 Tóm tắt

Chúng ta đang sống trong một thế giới kết nối toàn cầu phải đối mặt với nhiều mối đe dọa

mạng ở khắp nơi trên toàn cầu. Những mối đe dọa này không bị giới hạn bởi ranh giới địa lý

và nhắm tới toàn bộ công nghệ, nhà cung cấp phần mềm/phần cứng/dịch vụ cũng như những

người sử dụng - khách hàng, cũng như khu vực công và khu vực tư nhân. Các mối đe dọa

luôn ở mức độ cao, xét về mức độ tinh vi và số lượng, và vẫn có xu hướng tiếp tục còn tăng

cao.

Câu thần chú cho an ninh mạng của chúng tôi từ trước tới nay luôn là: “Không giả định điều

gì, Không tin bất kỳ ai và Kiểm tra mọi thứ”

Một năm về trước, Huawei phát hành cuốn Sách trắng về Bảo mật không gian mạng đầu tiên,

thể hiện ý định và cam kết hợp tác với các bên liên quan thuộc khu vực công và tư để cùng tận

dụng những lợi ích mà công nghệ và quá trình toàn cầu hóa mang lại khi đối mặt với những

thách thức có liên quan một cách hợp lý và thiết thực.

Chúng tôi đã mô tả một môi trường mà ở đó đời sống cá nhân cũng như hoạt động của các

doanh nghiệp được kết nối thông qua các cơ sở hạ tầng viễn thông có mối liên hệ toàn cầu

được xây dựng trên nền tảng các công nghệ do nhiều nhà cung cấp công nghệ thông tin và

truyền thông (ICT) cung cấp, nhận được các nguồn cấp đầu vào từ một bộ phận toàn cầu rộng

lớn và từ hệ sinh thái của các nhà cung cấp dịch vụ.

Chúng tôi miêu tả chi tiết cách thức mà tất cả chúng tôi được tín nhiệm trong lĩnh vực công

nghệ, và làm thế nào để cuộc cải cách kỹ thuật số khiến cho thế giới trở nên nhỏ bé hơn, dễ

bao quát hơn, thúc đẩy sự phát triển xã hội, giúp cải tiến nền giáo dục, các dịch vụ y tế phổ

biến và có chất lượng tốt hơn, và nâng cao trải nghiệm cho nhân loại nói chung.

Đồng thời, chúng tôi hiểu rằng quá trình toàn cầu hóa, mối quan hệ tương liên phụ thuộc lẫn

nhau và quá trình số hóa cuộc sống cũng mang lại những thách thức cho những người mong

muốn sử dụng công nghệ cho các mục đích sai trái– để ăn cắp, hối lộ hoặc phá hoại.

Bảo vệ tương lai – an ninh cho thế giới ngày mai

Quay trở lại với các đề tài chính này trong cuốn Sách trắng về Bảo mật không gian mạng thứ

hai này, chúng tôi sẽ tiếp tục đào sâu chi tiết để đưa ra cái nhìn tổng quan về phương thức tiếp

cận chúng tôi dùng để thiết kế, xây dựng và phát triển công nghệ mà trong đó chúng tôi đưa

vào những cân nhắc về bảo mật không gian mạng. Chúng tôi sẽ trình bày và phân tích chiến

lược tổng thể và mô hình cơ cấu quản trị, các quy trình và tiêu chuẩn hoạt động hàng ngày của

chúng tôi, hiểu biết về những quy định pháp luật quốc tế và sở tại, cách thức tiếp cận các

nguồn nhân lực cũng như công tác nghiên cứu phát triển, và chúng tôi cam kết tiếp tục thực

hiện các quy trình, nguyên tắc thẩm định trên phương châm “Không giả định điều gì, Không

tin bất kỳ ai và Kiểm tra mọi thứ”.

Ngoài ra, chúng tôi cũng vạch ra những chi tiết đóng vai trò quan trọng trong phương pháp

tiếp cận của chúng tôi để quản lý các nhà cung cấp bên thứ ba, quản lý chuỗi cung ứng và các

công tác đầu thầu, cũng như cách thức chúng tôi sử dụng để quản trị và bảo mật quy trình sản

xuất và cung cấp dịch vụ, đồng thời mô tả sâu hơn các quy trình liên quan tới công tác kiểm

toán, truy xuất nguồn gốc và nhận diện sai lỗi và điểm yếu bảo mật cũng như các giải pháp sử

dụng.

Cuốn sách trắng này vạch ra những xu hướng số chủ chốt từ bản chất thiết yếu của Internet

trong mọi hoạt động của chúng ta, cho tới sự tự do mà Internet mang lại cho những phong

cách, lối sống kết nối mọi lúc-mọi nơi, cho tới những viễn cảnh kinh doanh không biên giới,

tới triển vọng về công nghệ Cloud - công nghệ điện toán đám mây, một nguồn tri thức tập thể

mới mẻ, mạnh mẽ, và năng động. Chúng tôi cũng trình bày làm cách nào để các luồng thông

tin rộng lớn và thông minh hơn có thể đạt tới mức “không khoảng cách” giữa những người sử

dụng và các mạng lưới, kết nối mọi khả năng mới mẻ trong làn sóng mới của xã hội số, và

làm sao để thế giới thực và thế giới số có thể giao thoa, hội tụ với nhau, và xu hướng the

Internet of Things - Kết nối mọi thứ sẽ mang lại những thay đổi đột phá cho toàn nhân loại.

Khi trình bày các lợi ích hiện tại và trong tương lại của công nghệ, chúng tôi vẫn quan tâm tới

các thách thức song hành với những lợi ích đó, xét về khía cạnh bảo mật mạng, bảo mật dữ

liệu và tính toàn vẹn của dữ liệu, chúng tôi muốn nhấn mạnh rằng tại Huawei, khi xét tới vấn

đề an ninh, bảo mật thì chúng tôi không chỉ xử lý những vấn đề của ngày hôm qua, hay thậm

chí là những vấn đề chúng tôi gặp phải ngày hôm nay, mà còn tập trung cả vào việc đặt nền

tảng để bảo vệ thế giới của ngày mai, một thế giới khác xa so với thế giới hiện tại.

Vấn đề đối với các tiêu chuẩn là chúng không hề chuẩn

Dõi mắt nhìn vào tương lai, chúng tôi nhận ra cần phải có các tiêu chuẩn ngành ở cấp quốc tế

đối với an ninh mạng. Chính phủ các nước, các doanh nghiệp và các nhà cung cấp công nghệ

càng trình bày chi tiết về các tiêu chuẩn thông thường, càng hiểu rõ mục đích và đóng góp

tích cực của chúng và cam kết áp dụng các tiêu chuẩn này một cách hiệu quả, thì thế giới sẽ

càng đồng tình trong cách nhìn nhận“thế nào là tốt”. Điều này không phải về việc giải quyết

mọi vấn đề, mà nhằm có được một sự thống nhất chung khi xác định chúng ta đang nỗ lực

giải quyết những vấn đề gì và bằng cách nào.

Thực tế, vấn đề đối với các tiêu chuẩn là bản thân chúng lại không hề chuẩn. Chúng tôi xin

nhấn mạnh rằng đây là một thách thức trên phạm vi toàn cầu và toàn ngành. Ngay khi ngành

ICT phá vỡ những tiêu chuẩn kỹ thuật và quy luật toàn cầu, ngàn phải làm việc cùng nhau để

đảm bảo lợi ích cho xã hội số thông qua các phương thức tiếp cận an ninh thông thường và

tiêu chuẩn. Chúng tôi tin rằng một trong những thách thức lớn nhất mà các nhà cung cấp và

người mua công nghệ phải đối mặt chính là tình trạng có quá nhiều tiêu chuẩn và cách làm tốt

nhất.

Công trình thực hiện tại Châu Âu và Mỹ về chủ đề này đã khích lệ chúng tôi và bản thân

chúng tôi cũng đã nắm bắt cơ hội để lập tài liệu về 100 câu hỏi thường gặp nhất về an ninh từ

khách hàng. Nội dung các câu hỏi đó tuy không phải là chuẩn nhưng thực sự chúng tập trung

vào những yếu tố then chốt tạo nên thành công trong công tác bảo mật không gian mạng qua

con mắt đánh giá của khách hàng.

Hướng tiếp cận an ninh mạng đầu cuối của Huawei

Huawei không tự nhận rằng chúng tôi có cách tiếp cận tốt nhất hay toàn diện nhất khi đối mặt

với nhữn thách thức về không gian mạng hay những thách thức có liên quan khác. Chúng tôi

hiểu rằng còn nhiều việc phải làm đối với vấn đề còn nhiều diễn biến phức tạp này. Cuốn sách

trắng này tập trung chi tiết vào cách tiếp cận đầu cuối end-to-end của chúng tôi, đáp lại ý kiến

phản hồi lớn nhất mà chúng tôi đã nhận được liên quan tới cuốn sách trắng năm ngoái, như đã

được phản hồi từ nhiều cuộc hội thoại giữa công ty chúng tôi và khách hàng, chính phủ và các

bên liên quan khác: “Xin cung cấp thêm thông tin chi tiết về cách tiếp cận an ninh mạng đầu

cuối của quý công ty”.

Chúng tôi tích cực khuyến khích input cho các quy trình của chúng tôi, và rộng hơn là trong

các phương pháp để đối mặt với những thách thức chung của toàn ngành mà chúng ta đang

phải đối mặt. Hy vọng nhỏ bé nhất của chúng tôi chỉ là cuốn sách trắng này có tác dụng như

một chất xúc tác cho cuộc đối thoại công -tư, được thông báo phù hợp trên tinh thần hợp tác

nhằm đạt được các mục đích và mục tiêu an ninh mạng thông thường.

3 Giới thiệu

Nếu vấn đề an ninh mạng có thể dễ dàng được giải quyết, chúng tôi sẽ không phải ngồi viết

cuốn sách trắng này. Sự thực là không thể có câu trả lời dễ dàng hoặc thấu đáo cho thách thức

này. An ninh mạng vốn là một vấn đề quá rộng, có quá nhiều thiết bị được kết nối với mạng

internet có mức độ bảo mật khác nhau, phần cứng và phần mềm có yếu điểm bảo mật, tỷ lệ

thay đổi công nghệ quá lớn, và những người có ý định xấu chỉ cần làm thành công một lần

trong khi những người bảo vệ an ninh mạng cần phải luôn luôn thành công.

Trong cuốn Sách trắng đầu tiên về Bảo mật không gian mạng với tiêu đề “Công nghệ và bảo

mật thế kỉ 21 – cuộc hôn nhân nhiều khó khăn” được xuất bản vào tháng 9 năm 2012, chúng

tôi đã đóng góp vào một cuộc tranh luận trên diện rộng toàn cầu sự cần thiết phải hợp tác để

giảm thiểu rủi ro từ các vụ tấn công an ninh mạng.

Sau lần xuất bản trước, cuộc tranh luận vẫn tiếp tục diễn ra ác liệt, các thách thức vẫn tiếp tục

nối tiếp nhau, và chính phủ cũng như khách hàng, tiếp tục định rõ, cải tiến và thực hiện các

chiến lược tương ứng.

Trong cuốn sách trắng này, chúng tôi tập trung chú ý vào công tác quản trị, chiến lược, chính

sách và quy trình của Huawei liên quan tới an ninh mạng. Chúng tôi đặt ra mục tiêu trình bày

ở mức độ chi tiết hơn, thực tiễn hơn so với cuốn trước về cách đưa an ninh mạng trở thành

một thành tố trong DNA của công ty. Nhờ đó, chúng tôi đang cố gắng để một mặt nhắm tới sự

cân bằng hợp lý giữa việc trình bày ngắn gọn và, mặt khác, vẫn đáp ứng cung cấp đủ thông tin

nhằm đóng góp vào cuộc đối thoại an ninh mạng. Chúng tôi mong rằng tài liệu này giúp nâng

cao hiểu biết của quý vị về phương thức tiếp cận của chúng tôi, để tiếp tục tăng cường độ an

toàn, bảo mật và chất lượng sản phẩm và dịch vụ của chúng tôi.

Tuy nhiên, không có tài liệu nào có thể trình bày đầy đủ, chi tiết về mọi chính sách, quy trình,

quy trình mẫu và hướng dẫn thực hiện cho một tổ chức lớn và phức tạp như Huawei. Trong

hoàn cảnh như vậy, tài liệu này chỉ nhằm mục đích đưa ra được chỉ dẫn phù hợp cho chiến

lược an ninh mạng đầu cuối của chúng tôi nhằm đóng góp vào một cuộc đối thoại công khai

về các vấn đề quan trọng này.

4 Điều chúng tôi công bố 12 tháng trước

Cuốn sách trắng đầu tiên của chúng tôi, “Công nghệ và bảo mật thế kỉ 21 – cuộc hôn nhân

nhiều khó khăn” đã được xuất bản rộng rãi và được giới truyền thông nhận xét về:

Thực tế rằng an ninh mạng có thể không tốt cho công việc kinh doanh

Chuỗi cung ứng ICT thế giới đã hòa lẫn với nhau và không thể gọi bất kỳ thiết bị ICT

nào là “của nước ngoài”

Tất cả chúng ta phải thận trọng không để mạng internet trở thành một “miền Tây

hoang dã” không có luật pháp.

Giải quyết hoặc giảm thiểu rủi ro từ các thách thức an ninh mạng đòi hỏi tất cả người

chơi toàn cầu phải hợp tác.

Cuốn sách trắng đầu tiên cho thấy làm cách nào để chúng tôi trở thành một đối tác công nghệ

đáng tin cậy và các lợi ích cơ bản mà công nghệ mang lại cho loài người. Công nghệ giúp cho

thế giới trở nên nhỏ bé hơn, dễ bao quát hơn và tương liên chặt chẽ hơn. Công nghệ giúp xã

hội phát triển, cải thiện nền giáo dục và y tế, đồng thời tạo nên sự thay đổi trong năng lực

quốc gia cũng như tăng cường khả năng cạnh tranh cho các doanh nghiệp trên trường quốc tế.

Chúng tôi trình bày chi tiết sự phát triển nhanh chóng của các thiết bị được nối mạng, việc sử

dụng các ứng dụng trên các thiết bị này và sự nổi lên của của công nghệ điện toán đám mây.

Một môi trường mà ở đó bạn có thể kế thừa và sử dụng chuỗi cung ứng toàn cầu, đồng thời

được kết nối toàn cầu nhờ các cơ sở hạ tầng viễn thông có nối mạng với công nghệ do nhiều

nhà cung cấp ICT khác nhau cung cấp trong cuộc sống cá nhân hàng ngày của bạn cũng như

trong công việc. Trong tình hình phức tạp như này, hệ sinh thái pha trộn đặt ra tiềm năng cho

những ai muốn sử dụng công nghệ vào các mục đích sai trái, để trộm cắp, hối lộ và phá hoại

công nghệ hoặc cơ sở hạ tầng.

Chúng tôi trình bày chi tiết hệ thống các nhà cung cấp của Huawei và giải thích rằng có tên

Huawei trên vỏ hộp không có nghĩa là toàn bộ linh kiện đều là của Huawei. Thực chất có tới

70% linh kiện có trong danh mục đầu tư của Huawei đều không phải xuất phát từ Huawei, mà

từ chuỗi cung ứng toàn cầu mà Hoa Kỳ làm nhà cung cấp linh kiện lớn nhất chiếm khoảng

32%. Chúng tôi cung cấp các số liệu thống kê và thông tin cho thấy nhiều nhà cung cấp ICT

Phương Tây có các trung tâm R&D lớn tại Trung Quốc và chỉ trong phạm vi một thành phố

Thành Đô, đã có tới 189 công ty trong số 500 công ty được xếp hạng bởi tạp chí Fortune có

trụ sở đóng tại thành phố này- hiện nay con số này đã lên tới 250. Việc này diễn ra rất thường

xuyên trên toàn thế giới do các công ty đặc cá cơ sở nghiên cứu và phát triển cũng như các

dịch vụ hỗ trợ của họ tại các quốc gia nơi thuận tiện nhất cho các hoạt động đó.

Chúng tôi thành thực về vai trò của chính phủ trong việc sử dụng công nghệ để thúc đẩy các

mục tiêu của họ và chúng tôi nghi ngờ về thông điệp sự thiếu nhất quán cho thấy một chính

phủ một số nước chỉ trích các công ty nếu họ không đồng tình hoặc với các công ty cạnh tranh

với các công ty của họ, nhưng đồng thời lại đi mua các những sản phẩm lợi dụng lỗ hổng

zero-day1 và sử dụng công nghệ để đẩy mạnh nền kinh tế và thế mạnh chính trị của chính họ

nhờ vào chi phí của các bên khác. Thực sự, chúng tôi cũng phê phán chính phủ và các nhà

chính trị một số quốc gia đang sử dụng an ninh mạng làm rào chắn thương mại mà không đưa

1 Tấn công hoặc đe dọa zero-day (hoặc zero-hour hoặc day zero) là đe dọa hoặc tấn công là một cuộc tấn công

khai thác các lỗi chưa công bố trong hệ thống máy tính, có nghĩa là cuộc tấn công xảy ra ngay tức thì khi nhận ra

lỗ hổng. Điều này có nghĩa là nhà phát triển phần mềm phải ngay lập tức xác định và sửa lỗ hổng.

ra bất kỳ bằng chứng thực tế nào để củng cố nỗ lực của họ trong việc ngăn chặn các công ty

xâm nhập thị trường của họ.

Chúng tôi cũng trình bày cách tiếp cận của Huawei với an ninh mạng và trình bày vô cùng chi

tiết cách chúng tôi xây dựng an ninh mạng trong mọi hoạt động của chúng tôi, và cũng như

trình bày tổng quát về cách chúng tôi thực hiện được điều đó.

Cuối cùng, chúng tôi kêu gọi cần chú trọng vào việc hài hòa và minh bạch hóa luật pháp có

cân nhắc tới một số thông tin tiết lộ gần đây về các cơ quan chính phủ và vai trò của một số

doanh nghiệp mà chúng tôi nghĩ giờ đây vẫn đề này cấp bách hơn cả.

5 Bảo vệ tương lai – an ninh cho thế giới ngày mai

Trong một bài diễn văn với tiêu đề “Làn sóng mới của Xã hội số”2, Phó chủ tịch của công ty

chúng tôi, ông Ken Hu đã chia sẻ những hiểu biết sâu sắc của ông đối với bốn xu hướng trong

xã hội số.

Thứ nhất, Internet sẽ trở thành một yếu tố cơ bản trong tư duy kinh doanh.

Thứ hai, công tác làm việc linh hoạt được hỗ trợ bởi tính lưu động sẽ trở thành lựa

chọn lối sống cơ bản, các doanh nghiệp không biên giới sẽ trở thành hình thức thiết yếu trong

hoạt động kinh doanh.

Thứ ba, thông qua việc sử dụng Internet, điện toán đám mây, và các dữ liệu lớn một

cách có hiệu quả, loài người có thể tận dụng tri thức nhân loại và máy móc trên toàn thế giới

để làm đòn bẩy tạo ra một nền tri thức mới được kết nối và sẻ chia.

Cuối cùng, khi mạng Internet và các phương tiện truyền thông xã hội tiếp tục trở nên

phổ biến, hành vi và sở thích của khách hàng và các nhân sẽ giao thoa với nhau, và các phép

phân tích trí tuệ có thể được tận dụng phục vụ các lợi ích kinh doanh. Vì hệ quả là khi ranh

giới giữa các thị trường nhỏ lẻ và thị trường nội địa đang ngày càng không rõ ràng, thì các

doanh nghiệp phải tiến hành kinh doanh trên phạm vi toàn cầu.

Như chúng ta hy vọng, công nghệ 5G được mong đợi đạt được tốc độ gấp 100 lần băng thông

không dây nhanh nhất hiện nay. Là đơn vị tiên phong trong nghiên cứu và tiêu chuẩn hóa 5G

toàn cầu, Huawei cam kết sẽ mang lại các luồng thông tin rộng hơn, thông minh hơn để đạt

được mức “không khoảng cách” giữa người sử dụng và các mạng, cuối cùng kết nối các khả

năng trong làn sóng mới của thế giới số.

Trong một bản báo cáo mang tên “Vượt trên ICT, tiếp tục cuộc cách mạng số tiếp theo,”3

chúng tôi có nói rằng chúng tôi tin tưởng thế kỷ vừa qua đã chứng kiến nhiều làn sóng tiến bộ

khả thi nhờ các công nghệ thông tin, bao gồm các công nghệ được dùng trong truyền thông

(điện báo, điện thoại và phát thanh), giải trí tại nhà (đài radio, TV), máy tính, và mạng

Internet. Công nghệ thông tin giúp cho kinh tế khắp thế giới tăng trưởng và định hình lại cách

thức mọi người sống và làm việc. Hiện tại, chúng tôi đang phát triển một “xã hội trên bánh

xe” thành một “xã hội trên internet”. Tuy nhiên, các hệ thống thông tin vẫn được là các công

cụ phụ trợ và hệ thống hỗ trợ, giữ cho thế giới số và thế giới thực tồn tại song song và ngăn

cách rõ ràng. Giờ đây, khi thế giới số và thế giới thực bắt đầu hợp nhất, thì sự phát triển của

khái niệm the Internet of Things - kết nối moi thứ đã chứng minh nó là chất xúc tác hữu hiệu

cho sự phát triển dựa trên thông tin và chắc chắn sẽ mang lại thay đổi đột phá cho toàn bộ

nhân loại.

Vượt lên trên thông tin và truyền thông, việc thế giới số và thế giới thực ngày càng tích hợp

vào nhau sẽ dẫn tới một cuộc cách mạng số mới.

Sự phụ thuộc nặng nề vào mạng sẽ mở ra một kỷ nguyên công dân số kéo theo đó là một kỷ

nguyên kinh doanh số, mà khi đó các hoạt động sản xuất và kinh doanh sẽ phụ thuộc về mặt

thương mại vào các mạng. Internet không biên giới khiến cho xã hội số phát triển.

Từ số liệu rộng lớn tới “tri thức rộng lớn”, hệ thống IT của các công ty vận tải và doanh

nghiệp đang phát triển từ các hệ thống hỗ trợ hậu xử lý thành hệ thống kinh doanh thời gian

thực. Vì kiến trúc doanh nghiệp IT truyền thống không còn khả năng xử lý khối lượng dữ liệu

khổng lồ gặp phải, nên kiến trúc điện toán đám mây định hướng Internet sẽ nổi lên. Việc tái

thiết các trung tâm dữ liệu sẽ cung cấp cơ sở hỗ trợ các dữ liệu lớn.

2 http://pr.huawei.com/en/news/hw-266216-kenhu-digitalsociety-nikkei.htm

3 http://www.huawei.com/ilink/en/special-release/HW_200943

Các mạng băng thông thấp sẽ cản trở sự phát triển dựa trên nền tảng thông tin và tăng cường

trải nghiệm người dùng, do đó, mạng Gigabit phổ biến khắp nơi sẽ là một điều kiện tiên quyết

cho một xã hội số.

Một cuộc cách mạng từ ống dẫn truyền dữ liệu “cứng” sang “mềm” cho thấy sự phát triển của

mạng khả lập trình, có quy mô, có tính chất áp dụng, tự động và thông minh. Mạng được định

nghĩa bằng phần mềm sẽ dẫn đến sự phát triển của các kiến trúc mạng thế hệ tiếp theo.

Thiết bị đầu cuối thông minh không chỉ là công cụ cho truyền thông, chúng còn được mở rộng

trải nghiệm của chính chúng ta. Thiết bị đầu cuối trong tương lai sẽ có khả năng nhận thức

hoàn cảnh và có khả năng cảm biến thông minh.

Tại Huawei, khi chúng tôi xem xét vấn đề an ninh nhưng không phải an ninh các vấn đề của

ngày hôm qua cũng không phải những vấn đề chúng ta đang trải nghiệm ngày hôm nay.

Chúng tôi chủ động tập trung đặt nền móng để bảo vệ thế giới ngày mai, một thế giới sẽ có

những thay đổi lớn so với ngày hôm nay. Công nghệ thông tin đóng một vai trò cực kỳ quan

trọng trong việc bảo vệ sự tự do và thịnh vượng cho những thế hệ tiếp theo cũng như sự tương

tác kinh tế xã hội; và đó là lý do tại sao nó quan trọng tới mức chúng tôi phải đảm bảo rằng

chúng tôi có một cách tiếp cận đúng đắn để đối đầu với những thử thách về an ninh mạng.

6 Vấn đề với những tiêu chuẩn là chúng không hề đạt tiêu chuẩn

Một trong những thách thức mà các nhà cung cấp và người mua công nghệ cùng gặp phải đó

là tình trạng có quá nhiều tiêu chuẩn và các tiêu chuẩn thực hành tốt nhất. Không hề nói quá

khi nói rằng “vấn đề của các tiêu chuẩn là chúng không hề đạt tiêu chuẩn”. Không phải lúc

nào chúng ta cũng có chung một hệ thống thuật ngữ khi nói về các tiêu chuẩn, hướng dẫn và

các tiêu chuẩn thực hành tốt nhất. Luôn luôn có sự chồng chéo, trùng lặp của các tiêu chuẩn

hoặc phần lớn các tiêu chuẩn, cũng như sự khác biệt về vùng và khác biệt giữa các ngành.

Tuy nhiên, Jonh Donaldson, chủ tịch ISO/CASCO đã đúng khi nói rằng “Nếu không có các

tiêu chuẩn, thì sự đánh giá mức độ tuân thủ sẽ trở thành vô dụng và vô nghĩa; còn nếu không

có sự đánh giá sự tuân thủ thì giá trị của các tiêu chuẩn sẽ bị hạn chế; do vậy đây là hai

phạm trù không thể tách rời trong việc thúc đẩy thương mại quốc tế”.

Nếu chúng ta có một cây đũa thần, chúng ta chắc chắn sẽ sử dụng nó để hợp lý hóa, đơn giản

hóa, bình thường hóa, và tiêu chuẩn hóa những gì “được xem là tốt đẹp” cho an ninh mạng.

Tuy nhiên, mỗi công ty công nghệ cao đều phải đối mặt với tình huống giống như những gì

họ đang thấy ngày hôm nay, kể cả Huawei.

Phương pháp mà Huawei sử dụng để đối diện với những thách thức này là tận dụng đa dạng

các kỹ thuật quản lý chất lượng như Kano4 và Six Sigma trong số nhiều phương pháp khác, và

phương pháp tiếp cận mở rộng của chúng tôi là:

Bước 1: Chúng tôi đánh giá các luật, tiêu chuẩn, các biện pháp thực hành tốt nhất, yêu cầu

của khách hàng, các nghiên cứu tình huống và các kiến thức mới để đánh giá xem làm thế nào

chúng có thể và nên được sử áp dụng cho các giải pháp, chính sách, và quy trình của Huawei;

4 http://www.kanomodel.com/

Bước 2: Chúng tôi lập/cập nhật tầm nhìn, các mục tiêu chiến lược và các thiết kế tổ chức,vv.

Chúng tôi tạo ra/cập nhật các đường cơ sở bảo mật trong mọi lĩnh vực của Huawei mà cần áp

dụng “kiến thức/yêu cầu” này.

Bước 3: Chúng tôi cập nhật các giải pháp, quá trình, chính sách và quy trình phù hợp với các

yêu cầu trong cơ sở bảo mật được cập nhật.

Bước 4: Từ đó chúng tôi có thể tạo ra những tiêu chuẩn, quy tắc, mẫu và hướng dẫn kỹ thuật,

kiểm tra các Điểm Kiểm soát Quan trọng và chúng tôi sẽ cung cấp nhận thức và đào tạo phù

hợp khi thích hợp.

Bước 5: Để cải tiến liên tục, chúng tôi lặp lại việc áp dụng các kỹ thuật quản lý vòng đóng để

giải quyết các vấn đề khi được phát hiện; và cuối cùng là:

Bước 6: Chúng tôi bắt đầu lại từ Bước 1.

Chúng tôi thực hiện điều này trong từng phần hoạt động của Huawei trong mối tương quan

với kiến thức về các tiêu chuẩn và biện pháp thực hành tốt nhất, và sau đó tiếp tục thực hiện

các hoạt động cải tiến.

6.1. Top 100 điều khách hàng hỏi chúng tôi về vấn đề bảo mật

Để giải quyết các thách thức mà chúng tôi nêu ra trong mục trước, nhân đây chúng tôi kể ra

Top 100 điều các khách hàng của chúng tôi thường trao đổi liên quan tới vấn đề bảo mật. Về

mặt bản chất, danh sách này bao gồm một số câu hỏi mà bất kỳ ai khi tiếp cận với an ninh

mạng cũng muốn hỏi nhà cung cấp công nghệ.

Chúng tôi đặt tên cho danh sách này là “Reverse Request for Information (RFI) (Hỏi đáp

ngược về thông tin)”. Về bản chất, nó là một danh sách tiềm năng về các yêu cầu an ninh

mạng mà khách hàng có thể yêu cầu nhà cung cấp nếu như nhà cung cấp có thể đáp ứng - ví

dụ, khi chúng tôi đảo ngược lại quy trình, chúng tôi sẽ yêu cầu khách hàng hỏi lại chúng tôi,

với tư cách là nhà cung cấp, làm thế nào chúng tôi có thể giải quyết vấn đề an ninh mạng.

Danh sách này về mặt bản chất không thể bao hàm mọi ngành, mọi quy định pháp luật và tất

cả các tiêu chuẩn kỹ thuật; đó cũng không phải là mục đích của danh sách này. Mục đích của

danh sách này là để cung cấp một gợi ý dựa trên các câu hỏi được gửi tới Huawei để khách

hàng có thể phân tích khả năng bảo mật không gian mạng của nhà cung cấp một cách có hệ

thống khi lựa chọn các nhà thầu và có thể sử dụng thông tin này để tăng cường chất lượng

RFI và RFP (Request for Proposals - Yêu cầu đề xuất) khi tìm kiếm nhà cung cấp tốt nhất để

đáp ứng các nhu cầu công nghệ trung hạn và dài hạn.

Chúng tôi sẽ sớm xuất bản danh sách Top 100 này và rất mong nhận được những bình luận,

quan điểm, ý kiến bổ sung và chỉnh sửa cho ấn bản này với ý định xuất bản một bản danh

sách cập nhật vào năm 2014.

7 Phương pháp an ninh mạng end-to-end của Huawei

Phản hồi lớn nhất mà chúng tôi nhận được khi xuất bản cuốn sách trắng trước, và cũng là một

nhân tố chủ chốt trong nhiều cuộc đối thoại của chúng tôi với khách hàng, chính phủ các nước

và các bên liên quan khác, là yêu cầu: “xin công ty cung cấp thêm thông tin chi tiết về tiếp

phương pháp cận an minh mạng end-to-end (từ điểm đầu đến điểm cuối) của công ty”. Trong

mục này, chúng tôi sẽ giải đáp vấn đề đó; chúng tôi sẽ đưa ra một cái nhìn tổng quan nhưng

chi tiết hơn về cách tiếp cận mà chúng tôi sử dụng khi thiết kế, xây dựng và triển khai công

nghệ có liên quan tới những cân nhắc về mặt bảo mật không gian mạng.

Khi trình bày chi tiết phương pháp tiếp cận của chúng tôi, cũng như trong cuốn sách trắng đầu

tiên, chúng tôi không tự nhận rằng phương pháp của chúng tôi là hoàn hảo hay hoàn chỉnh -

bởi đây không phải dành cho chúng tôi tự đánh giá mà xin để cho khách hàng đánh giá..

Chúng tôi biết rằng còn rất nhiều vấn đề chúng tôi cần làm để tiếp tục cải tiến phương pháp.

Tuy nhiên, chúng tôi cam kết về tính cởi mở và minh bạch của phương pháp mình sử dụng, và

đây cũng là động lực thúc đẩy mọi điều mà chúng tôi làm, và chúng tôi tin rằng càng nhiều

người phê bình, xem xét, đánh giá và chất vấn các chính sách và quy trình của chúng tôi, thì

khả năng cung cấp những sản phẩm và dịch vụ chất lượng cao hơn sẽ càng được tác động và

thúc đẩy. Trên tinh thần đó chúng tôi luôn hoan ngênh những phản hồi từ các quý độc giả và

cơ hội được trao đổi mở về các vấn đề nêu trên.

Cuốn sách trắng này được tổ chức trong 12 mục tuân theo các quy trình cốt lõi của Huawei:

Quy trình Tại sao quy trình/khả năng này là quan trọng

1. Chiến lược,

quản trị, và

kiểm soát

Nếu an ninh mạng không phải là vấn đề đối với Hội đồng quản trị và các

viên chức cấp cao, thì đó cũng không phải là vấn đề đối với các nhân viên.

Việc đảm bảo rằng an ninh mạng được đưa vào khâu thiết kế tổ chức, chiến

lược quản trị, quản lý rủi ro và khung kiểm soát nội bộ là điểm khởi đầu cho

công tác thiết kế, phát triển và chuyển giao sản phẩm có khả năng bảo mật

tốt.

2. Xây dựng

các vấn đề cơ

bản: các quy

trình và tiêu

chuẩn

Để có được sản phẩm có chất lượng có thể lặp lại ta cần có các quy trình,

tiêu chuẩn và phương pháp tiếp cận tương tự có chất lượng có thể lặp lại

được áp dụng bởi các nhân viên và nhà cung cấp. An ninh mạng cũng vậy:

nếu như các quy trình của bạn là ngẫu nhiên hoặc tiếp cận với các tiêu chuẩn

cũng là ngẫu nhiên, thì chất lượng, độ an toàn và bảo mật của sản phẩm cuối

cũng là ngẫu nhiên có được.

3. Luật pháp

và quy định

Luật pháp rất phức tạp, biến thiên và hay thay đổi. Thậm chí trong luật pháp

của một quốc gia, các cách thi hành cũng có sự khác biệt lớn hoặc có sự giải

thích khác nhau cho cùng một luật hoặc bộ luật. Các điều luật, quy phạm,

các tiêu chuẩn và các biện pháp kiểm soát quốc tế tạo thêm sự phức tạp, rủi

ro đối với nhà cung cấp hoặc doanh nghiệp. Quy trình của bạn phải chú

trọng và giải quyết được sự thay đổi và sự phức tạp đó và hoạt động ở mức

cao nhất của luật pháp chứ không phải mức thấp nhất.

4. Vấn đề về

Con người

Rất nhiều công ty cho rằng nhân lực của họ là tài sản quan trọng nhất, điều

này rất đúng. Tuy nhiên, về mặt an ninh, đây lại là một điểm yếu lớn nhất.

Cách thức tuyển dụng, đào tạo và động viên nhân viên cũng như quản lý

cách làm việc của nhân viên thường quyết định sự khác biệt giữa thành công

và thất bại - không chỉ vấn đề về an ninh mạng mà còn là cách thực hiện

chiến lược chung của cả công ty.

5. Nghiên cứu

và phát triển

(R&D)

Các công ty không hề muốn sử dụng nguồn vốn eo hẹp mình để mua sản

phẩm công nghệ cao từ các công ty không có quy trình R&D chặt chẽ bởi

các quy trình đó có thể mang lại sản phẩm chất lượng cao lâu bền và an toàn.

Họ cũng không muốn thấy các nhà cung cấp luôn phải băn khoăn khi đưa ra

quyết định đầu tư giữa “đầu tư vào một sản phẩm mới” hay “đầu tư vào việc

làm cho mọi sản phẩm an toàn và bảo mật”. Nếu một sản phẩm không chất

lượng thì cũng sản phẩm đó cũng chẳng thể đảm bảo chúng có khả năng bảo

Quy trình Tại sao quy trình/khả năng này là quan trọng

mật mạng; các công ty cần phải chứng minh cam kết lâu dài của họ trong

việc thúc đẩy phương pháp R&D để hỗ trợ cho công tác thiết kế, phát triển

và triển khai an ninh mạng một cách phù hợp cũng như đầu tư vào thế hệ sản

phẩm tiếp theo.

6. Kiểm tra:

Không giả

định, không

tin tưởng ai,

kiểm tra mọi

thứ

Trong khi quy trình R&D vững chắc là nền tảng cho sản phẩm chất lượng,

an toàn và có tính bảo mật cao, R&D cũng có thể chịu áp lực cần triển khai

sản phẩm mới nhanh chóng mà bỏ qua các khâu thí nghiệm và kiểm tra đúng

đắn. Phương pháp kiểm tra “many hands” - nhiều người cùng tham gia kiểm

chứng, “many eyes” - tỉ mỉ cho mỗi kiểm chứng độc lập làm giảm nguy cơ

phân phối các sản phẩm không an toàn. Việc cân bằng của các kiểm tra và

cân bằng end-to-end được bổ sung kiểm chứng an ninh độc lập đảm bảo một

cách tiếp cận “không đi đường tắt” và bảo vệ khoản đầu tư và các dịch vụ

của khách hàng.

7. Quản lý nhà

cung cấp bên

thứ ba

Có rất nhiều công ty công nghệ cao lớn sử dụng các công ty thứ ba để cung

cấp các linh kiện phần cứng, phần mềm, hỗ trợ chuyển giao và lắp đặt. Nếu

công nghệ và quy trình của bên thứ ba có nhiều điểm yếu về an ninh, điều

này làm tăng đáng kể điểm yếu của các sản phẩm và dịch vụ của nhà cung

cấp đó bởi vì chúng được tích hợp trong sản phẩm tới tay người tiêu dùng.

An ninh mạng end-to-end có nghĩa là nhà cung cấp phải làm việc với các

nhà cung cấp của mình để áp dụng các biện pháp bảo mật không gian mạng

theo tiêu chuẩn thực hành tốt nhất.

8. Sản xuất Các nhà sản xuất sản phẩm phải kiểm soát tất cả các linh kiện cho dù chúng

từ quốc gia nào, có nguồn gốc thế nào và các tiêu chuẩn an ninh ra sao; việc

sản xuất ra các sản phẩm cuối cho khách hàng đảm bảo rằng trong tất cả các

bước của quy trình sản xuất và giao nhận sản phẩm, không phát sinh bất cứ

nguy cơ an ninh, bảo mật nào một cách tình cờ hoặc hữu ý.

9. Cung cấp

các dịch vụ

một cách an

toàn

Không có gì quá đặc biệt khi tập trung vào thiết kế các sản phẩm mà luôn

quan ngại về vấn đề bảo mật nếu khi bạn triển khai công nghệ của mình,

hoặc hỗ trợ hoặc duy trì công nghệ, điều này không được thực hiện một cách

an toàn. Khách hàng thường muốn đảm bảo rằng đối với các thiết bị phục vụ

cho công việc của họ, việcvận hành và bảo trì cần an toàn và bảo mật, kể cả

những bảnnâng cấp, vá lỗi và sửa chữa lỗi - họ hi vọng vấn đề bảo mật được

đảm bảo trong suốt vòng đời của sản phẩm.

10. Khi gặp sự

cố: Vấn đề, sự

cố và giải

pháp khắc

phục yếu điểm

bảo mật

Không có công ty chịu trách nhiệm nào có thể đảm bảo 100% về vấn đề an

ninh. Do đó, khả năng của một công ty có thể đối phó một cách hiệu quả lại

những vấn đề, rút ra bài học từ các sự cố đóng vai trò vô cùng quan trọng

đối với cả khách hàng và nhà cung cấp. Biết được việc gì cần làm trong thời

điểm “khủng hoảng” sẽ đảm bảo có thể cung cấp thông tin cho các cán bộ

điều hành cấp cao từ đó đưa ra quyết định nhanh chóng và hợp tác hiệu quả

với khách hàng và các bên liên quan đảm bảo dịch vụ thông thường được

phục hồi một cách nhanh chóng và an toàn.

11. Khả năng

truy xuất

nguồn gốc

Khi gặp sự cố, khả năng nhanh chóng nhận diện nơi phát sinh sự cố, phần

cứng hay phần mềm nào là nguyên nhân gây ra vấn đề, cũng như khả năng

xác định bộ phận đó còn được sử dụng ở chỗ nào khác đóng vai trò cốt yếu

để có thể khắc phục sự cố kịp thời. Tuy nhiên, điều đó là chưa đủ; phân tích

nguyên nhân sâu xa cần có khả năng theo dõi và truy tìm ngược mỗi người,

mỗi linh kiện từ mỗi nhà cung cấp cho mỗi sản phẩm và mỗi khách hàng.

12. Kiểm toán Kiểm toán chặt chẽ có vai trò rất quan trọng trong việc đảm bảo cho Hội

đồng quản trị và các viên chức điều hành cao cấp của công ty, đảm bảo cho

Quy trình Tại sao quy trình/khả năng này là quan trọng

khách hàng, đảm bảo các chính sách, quy trình và tiêu chuẩn phù hợp được

triển khai để cho ra kết quả kinh doanh yêu cầu.

7.1 Chiến lược, quản trị, và kiểm soát

Nếu an ninh mạng không phải là vấn đề đối với Hội đồng quản trị và các viên chức cấp cao,

thì đó cũng không phải là vấn đề đối với các nhân viên. Việc đảm bảo rằng an ninh mạng

được đưa vào khâu thiết kế tổ chức, chiến lược quản trị, quản lý rủi ro và khung kiểm soát nội

bộ là điểm khởi đầu cho công tác thiết kế, phát triển và chuyển giao sản phẩm có khả năng

bảo mật tốt.

Chúng tôi đưa vào cả chính sách quản trị công ty trong cuốn sách trắng xuất bản lần trước, và

chính sách này vẫn có hiệu lực tới tận ngày hôm nay như năm 2011 khi chúng tôi lần đầu tiên

xuất bản cuốn sách đó.

“Là một nhà cung cấp giải pháp viễn thông hàng đầu thế giới, Huawei Technologies Co., Ltd

(“Huawei”) nhận thức đầy đủ tầm quan trọng của an ninh mạng và hiểu rõ sự quan tâm của

chính phủ các nước và khách hàng đối với vấn đề an ninh. Với sự phát triển và tiến bộ liên

tục của ngành viễn thông và công nghệ thông tin,các mối đe dọa và thách thức về an ninh

đang ngày càng gia tăng, điều này làm tăng thêm mối quan tâm về an ninh mạng. Do đó,

Huawei rất chú trọng đến vấn đề này và lâu nay chúng tôi vẫn luôn chuyên tâm đến việc áp

dụng các biện pháp hữu hiệu, khả thi để nâng cao khả năng bảo mật cho các sản phẩm và

dịch vụ của mình, do đó đã giúp các khách hàng giảm thiểu và tránh được các rủi ro về an

ninh và xây dựng niềm tin và sự tin tưởng vào hoạt động kinh doanh của Huawei. Huawei tin

rằng việc thiết lập một khung đảm bảo an ninh mở, minh bạch, và rõ ràng sẽ là con đường

dẫn tới sự phát triển bền vững và lành mạnh của chuỗi các ngành và sự cải tiến công nghệ;

đồng thời tạo điều kiện tạo ra các phương tiện truyền thông thông suốt và bảo mật giữa mọi

người.

Trên cơ sở những nội dung nói trên, thông qua cuốn sách này Huawei cam kết rằng bằng

cách tuân thủ các quy định pháp luật, quy phạm, tiêu chuẩn hiện hành và có xét tới các tiêu

chuẩn thực hành tốt nhất của ngành, công ty đã thành lập và sẽ luôn luôn tối ưu hóa hệ thống

đảm bảo an ninh mạng end-to-end với vai trò là một cam kết chiến lược của doanh nghiệp.

Hệ thống này sẽ bao gồm nhiều lĩnh vực từ chính sách doanh nghiệp, cơ cấu tổ chức, quy

trình kinh doanh, công nghệ và thực hành tiêu chuẩn. Huawei đã và đang chủ động xử lý các

thách thức về an ninh mạng thông qua mối quan hệ hợp tác với các chính phủ, khách hàng và

các đối tác một cách cởi mở và minh bạch. Thêm vào đó, Huawei cũng đảm bảo chúng tôi

cam kết rằng chúng tôi sẽ không đặt nặng những lợi ích thương mại của mình lên trên vấn đề

bảo mật không gian mạng.

Từ góc nhìn về mặt tổ chức, Ủy ban An ninh mạng toàn cầu (GCSC), trên vai trò là cơ quan

quản lý an ninh mạng cao nhất của Huawei, chịu trách nhiệm về điều chỉnh chiến lược đảm

bảo an ninh mạng. Giám đốc An ninh mạng toàn cầu (GCSO) là một thành viên đặc biệt quan

trọng của GCSC, phụ trách việc phát triển chiến lược này và quản lý giám sát việc thực hiện

chiến lược. Hệ thống này được áp dụng toàn cầu bởi tất cả các phòng ban trực thuộc Huawei

để đảm bảo việc thực hiện chiến lược một cách nhất quán. GCSO cũng sẽ nỗ lực để tạo các

điều kiện thuận lợi cho công tác thông tin liên lạc hiệu quả giữa Huawei và các bên liên

quan, kể cả các chính phủ, khách hàng, các đối tác và nhân viên. GCSO báo cáo trực tiếp lên

CEO của Huawei.

Về quy trình kinh doanh, việc đảm bảo an ninh sẽ được tích hợp trong toàn bộ quá trình kinh

doanh liên quan đến R&D, chuỗi cung ứng, bán hàng và marketing, chuyển giao và các dịch

vụ kỹ thuật. Sự tích hợp này, là yêu cầu nền tảng của hệ thống quản lý chất lượng, sẽ được

thực hiện theo sự hướng dẫn của các quy định quản lý và các quy cách kỹ thuật. Ngoài ra,

Huawei sẽ cũng cố việc thực hiện hệ thống đảm bảo an ninh mạng bằng việc triển khai công

tác kiểm tra nội bộ và xác nhận và kiểm toàn bên ngoài từ các cơ quan an ninh hoặc các cơ

quan độc lập bên thứ ba. Hơn nữa, Huawei đã được chứng nhận theo cấp phép BS7799-

2/ISO27001 từ năm 2004.

Trên phương diện quản lý nhân lực, yêu cầu các nhân viên, đối tác và tư vấn của chúng tôi

phải tuân thủ các chính sách và yêu cầu an ninh mạng do Huawei đề ra và được đào tạo phù

hợp để mọi người trong toàn Huawei nắm rõ, hiểu sâu sắc về khái niệm về an ninh . Để thúc

đẩy an ninh mạng, Huawei trao thưởng cho nhân viên tích cực chủ động tham gia vào đảm

bảo an ninh mạng và có những hành động phù hợp đối phó với những người vi phạm chính

sách bảo đảm an ninh mạng. Các nhân viên có thể phải chịu các trách nhiệm về pháp lý cho

hành động vi phạm luật và quy định có liên quan.

Với một thái độ cởi mở, minh bạch và chân thành, Huawei mong muốn được làm việc với các

chính phủ, khách hàng, và các đối tác thông qua nhiều kênh khác nhau để cùng nhau đối đầu

với các đe dọa và thách thức về an ninh mạng. Huawei sẽ thành lập các trung tâm chứng

nhận an ninh vùng nếu cần thiết. Các trung tâm này sẽ được minh bạch hóa hoạt động với

các chính phủ các nước và khách hàng, và Huawei sẽ cho phép người được ủy quyền của các

chính phủ các nước kiểm tra để đảm bảo khả năng bảo mật của các sản phẩm và dịch vụ của

Huawei. Đồng thời, Huawei cũng tham gia tích cực, chủ động vào các hoạt động tiêu chuẩn

hóa an ninh mạng viễn thông tổ chức bởi ITU-T, 3GPP,và IETF, vv và tham gia các tổ chức

an ninh như FIRST và hợp tác với các công ty an ninh lớn để đảm bảo an ninh mạng của

khách hàng và thúc đẩy sự phát triển lành mạnh của các ngành.

Hệ thống đảm bảo an ninh mạng này áp dụng cho Shenzhen Huawei Investment Holding co.,

Ltd và tất cả các công ty con, công ty liên kết dưới sự kiểm soát trực tiếp hoặc gián tiếp của

công ty này. Tuyên bố này được lập thay mặt cho tất cả các đơn vị nói trên.

Tuyên bố này tuân thủ các luật và quy định luật pháp sở tại. Trong trường hợp xảy ra bất kỳ

xung đột nào giữa tuyên bố này với các quy định luật pháp sở tại, sẽ ưu tiên tuân thủ theo quy

định luật pháp sở tại. Hàng năm, Huawei sẽ rà soát lại tuyên bố này và chỉnh sửa cho phù

hợp với luật và quy định của địa phương.”

Huawei Technologies Co., Ltd.

CEO Ren Zhengfei

Tuy nhiên, để đưa những lời này thành một phương pháp và chiến lược nhất quán với những

yêu cầu được xây dựng theo từng vai trò, từng quy trình, từng sản phẩm dịch vụ lại là một vấn

đề khác. Điểm xuất phát của của chúng tôi là tạo ra một cách thức quản trị để biến điều đó

thành hiện thực, nhưng quan trọng là việc vạch rõ những yếu tố tạo nên thành công và thất bại

cho công tác này. Điều này chỉ có thể xảy ra ở các cấp tổ chức trên - Nếu nó không phải là

vấn đề đối với Hội đồng quản trị và các viên chức cấp cao, thì đó không phải là vấn đề đối với

các nhân viên. Sơ đồ quản trị của Huawei như sau:

Hình 1.Cơ cấu quản trị an ninh mạng giản đơn

Đứng đầu cơ cấu này là ông Ren Zhengfei người sáng lập và cũng là CEO của Huawei, người

đã có một tuyên bố công cộng về chính sách an ninh mạng; và đồng thời chứng minh rõ rang

rằng ông rất quan tâm tới vấn đề này. Giám đốc an ninh mạng toàn cầu báo cáo trực tiếp tới

ông Ren. Các cơ quan đóng vai trò cốt lõi về an ninh mạng bao gồm:

Ủy ban An ninh Mạng Toàn cầu:

GCSC: Định hướng chiến lược; chịu trách nhiệm thống nhất chiến lược, xây dựng kế hoạch,

chính sách, lộ trình và đầu tư; đông thời chịu trách nhiệm thực hiện và giải quyết những ưu

tiên chiến lược mâu thuẫn và công tác kiểm toán.

Việc phát triển chiến lược, thủ tục và tiêu chuẩn chính sách về an ninh mạng; cũng như việc

phân bổ các nguồn tài nguyên đều được quản lý bởi Ủy ban thường trực về bảo mật không

gian mạng dưới sự chủ trì của Phó Chủ tịch và một trong những Giám đốc điều hành luân

phiên của công ty. Ban này bao gồm các thành viên chủ chốt Hội đồng quản trị và các chủ sở

hữu quy trình toàn cầu, vai trò của họ là đảm bảo các yêu cầu an ninh mạng được thể hiện

trong tất cả các quy trình, chính sách và tiêu chuẩn và được thực hiện một cách có hiệu quả.

Hội đồng quản trị

Ban điều hành

Chủ tịch GCSC

Ken HU

Phòng Thí nghiệm An ninh mạng bên ngoài/CSEC Giám đốc Văn phòng GCSO

Jupiter Wang

Phòng Thí nghiệm An ninh mạng nội bộ

Chức năng CC

SO

của N

hật B

ản

CC

SO

của A

ustralia

CC

SO

của Đ

ức

CC

SO

của Ấ

n Đ

ộ

CC

SO

của P

háp

CC

SO

của A

nh

CC

SO

của M

ỹ

Văn

phòng A

n n

inh m

ạng th

í nghiệm

2012

Văn

phòng an

nin

h m

ạng ch

uỗi cu

ng ứ

ng

Văn

phòng an

nin

h m

ạng cu

ng ứ

ng

Mạng truyền tải BG Văn phòng An ninh

mạng

Tru

ng tâm

cạnh tran

h an

nin

h

Doanh nghiệp BG

Văn phòng An ninh

mạng

Người tiêu dùng BG

Văn phòng An ninh

mạng

Nếu có bất kỳ mâu thuẫn nào hay vấn đề nào về nguồn lực trong công tác an ninh mạng thì ủy

ban này có quyền đưa ra các quyết định và những thay đổi cần thiết đối với doanh nghiệp.

Giám đốc an ninh mạng toàn cầu:

GCSO: Đứng đầu nhóm phát triển chiến lược bảo mật, thành lập hệ thống bảo hiểm anninh

mạng nội bộ, hỗ trợ các mối quan hệ chính phủ và mối quan hệ cộng đồng (GR/PR) và hỗ trợ

những tài khoản khách hàng toàn cầu.

Văn phòng An ninh Mạng Toàn cầu:

Văn phòng GSCO: Hợp tác với các phòng ban liên quan để đề ra các nguyên tắc hoạt động và

hành động chi tiết hỗ trợ cho chiến lược và việc thực hiện chiến lược, thúc đẩy việc áp dụng,

kiểm nghiệm và theo dõi việc thực hiện. Vai trò của văn phòng là giúp công ty xác định điểm

trọng tâm để nhận dạng và giải quyết các vấn đề an ninh mạng.

Các chuyên viên an ninh mạng cấp khu vực và phòng ban:

Các chuyên viên an ninh mạng cấp khu vực/phòng ban: Chịu trách nhiệm làm việc với GCSO

để nhận dạng những thay đổi và giám sát việc thực hiện các quá trình ở cấp đơn vị sự nghiệp/

phòng ban sao cho chiến lược an ninh mạng cùng các yêu cầu về an ninh mạng đều được gắn

vào các khu vực và được cập nhật khi cần thiết. Họ cũng là những chuyên gia đã đóng góp

cho sự phát triển và cải tiến các chiến lược toàn diện. Mỗi phòng ban đều có những chuyên

gia an ninh mạng riêng.

Các nhân viên kiểm tra của Huawei, cả nội bộ và bên ngoài, sử dụng Các điểm Kiểm soát chủ

chốt (điểm trong một quy trình mà quy trình đó có thể kiểm chứng rằng nó hoạt động hiệu quả

và mang lại kết quả và đầu ra như mong muốn) và Hướng dẫn Kiểm soát Quy trình Toàn cầu

để đảm bảo rằng các quy trình được triển khai hiệu quả. Các đợt kiểm duyệt, kiểm tra bên

ngoài và rà soát bởi bên thứ ba đều giúp cho những gì đang diễn ra trái với những gì nên xảy

ra trở nên phù hợp. Trách nhiệm giải trình và trách nhiệm pháp lý cá nhân (các quy tắc và quy

định) được xây dựng trong Hướng dẫn Đạo đức kinh doanh của Huawei và các quy trình kinh

doanh , nêu rõ cách thức chứng tôi thực hiện các hoạt động hàng ngày. Điều này luôn được

cập nhật thông qua các kiểm tra trực tuyến hàng năm để đảm bảo kiến thức luôn được cập

nhật theo kịp tình hình hiện tại và điều này cũng tạo nên một phần của Chương trình Tuân thủ

Nội bộ của chúng tôi.

7.2 . Xây dựng các vấn đề cơ bản: các quy trình và tiêu chuẩn

Để có được sản phẩm có chất lượng có thể lặp lại ta cần có các quy trình, tiêu chuẩn và

phương pháp tiếp cận tương tự có chất lượng có thể lặp lại được áp dụng bởi các nhân viên

và nhà cung cấp. An ninh mạng cũng vậy: nếu như các quy trình của bạn là ngẫu nhiên hoặc

tiếp cận với các tiêu chuẩn cũng là ngẫu nhiên, thì chất lượng, độ an toàn và bảo mật của sản

phẩm cuối cũng là ngẫu nhiên có được.

Huawei được quản lý bằng bộ các quy trình tích hợp chứa đựng trong tất cả các hoạt động mà

chúng tôi thực hiện. Từ tương tác đầu tiên với một khách hàng tới khi chúng tôi hoàn thành

thành công dự án; từ khi đặt ra một ý niệm mơ hồ thông qua quy trình R&D hoàn chỉnh tới

khi kết thúc vòng đời của một sản phẩm.

Mỗi người trong quy trình đều nhận thức được rằng các hoạt động của họ trực tiếp hoặc gián

tiếp tạo ra giá trị cho khách hàng hoặc giảm giá trị do chất lượng kém, dịch vụ kém và thiếu

sự quan tâm về vấn đề an ninh. Các thành viên trong Hội đồng quản trị được chỉ định làm

những Người sở hữu Quy trình Toàn cầu; họ sở hữu chất lượng, sự hoàn thiện và sự lành

mạnh của quy trình này. Trên quan điểm bảo mật, nhiệm vụ của họ là phải đảm bảo rằng quy

trình của họ thỏa mãn mọi nhu cầu an ninh mạng.

Những Người sở hữu Quy trình toàn cầu nhận biết các điểm kiểm soát quan trọng của hoạt

động kinh doanh cho mỗi quy trình và ma trận phân công nhiệm vụ sẽ được áp dụng cho tất

cả các khu vực, công ty con và các đơn vị kinh doanh. Việc phân chia nhiệm vụ này đảm bảo

cho mỗi người (hoặc mỗi đội) không tạo cho họ quá nhiều khả năng kiểm soát đến mức họ có

cơ hội đặt vấn đề an toàn, an ninh, chất lượng của các kết quả và đầu ra của quá trình vào tình

thế rủi ro. Chủ sở hữu câc Quy trình toàn cầu tổ chức và thực hiện các bài kiểm tra tuân thủ

định kỳ hàng tháng tại các điểm kiểm soát chủ chốt nhằm liên tục theo dõi hiệu quả của công

tác kiểm soát nội bộ, từ đó họ sẽ lập báo cáo kiểm tra. Tập trung vào các “điểm yếu” trong

quá trình hoạt động, Chủ sở hữu quy trìnhtoàn cầu tối ưu hóa quy trình và các biện pháp kiểm

soát nội bộ để nâng cao hiệu quả hoạt động, độ an toàn, độ bảo mật, sự hài lòng của khách

hàng, lợi ích và giúp đạt được các mục tiêu kinh doanh. Chủ sở hữu quy trình toàn cầu triển

khai công tác đánh giá kiểm soát định kỳ nửa năm một lần để đánh giá một cách toàn diện

hiệu quả của việc thiết kế quy trình và quá trình thực hiện trong các đơn vị kinh doanh.

Kết quả được báo cáo tới Ủy ban Kiểm toán và các Ủy ban thường trực khác.

Trong cuốn sách trắng phát hành lần trước, chúng tôi đã nêu chi tiết một kiến trúc quy trình

đơn giản được vận hành trong Huawei. Kiến trúc đó được mô tả chi tiết như sau:

Hình 2. Kiến trúc quy trình tổng thể

Hình trên thể hiện quy trình end-to-end khép kín để quản lý công tác bảo mật không gian

mạng và khung của chính sách tổng thể tại Huawei. Phía bên trái hình là quá trình tập hợp tất

cả các yêu cầu, cho dù là các yêu cầu luật pháp, tiêu chuẩn, yêu cầu của khách hàng hoặc của

Huawei. Kiến thức này được chuyển hóa thành các kế hoạch và chiến lược kinh doanh; thành

các chính sách, quy trình và các đường cơ sở. Những đường cơ sở này xác định bộ các yêu

cầu tối thiểu. Bộ quy trình ở giữa triển khai các chiến lược, chính sách và thủ tục đã được xác

Kiểm nghiệm an ninh Chủ Quy

trình

Quản trị khép kín

Kh

ách

hà

ng

Kh

ách

hàn

g

Lập

đư

ờng c

ơ s

ở y

êu c

âu

Thu

th

ập y

êu c

ầu

Lập đường cơ sở Thực hiện đường cơ sở Kiểm nghiệm đường cơ sở

Quy tình OR

Yêu cầu dài hạn

Yêu cầu trung hạn

Đường cơ sở an

ninh R&D

Yêu cầu quản lý bán

hàng

Đường cơ sở an

ninh dịch vụ

Chuỗi cung ứng và

đường cơ sở an ninh

cung ứng

Kế hoạch lộ

trình

Đặc điểm sản

phẩm

Quy cách công cụ

Hoàn thiện quy

trình

quy cách hoạt

động

Hượp đồng và dự

án

Hoàn thiện quy

trình

Điề

u l

ệ

Kh

ái n

iệm

Kế

ho

ạch

Phát triển Kiểm nghiệm Phát hành Vòng đời

Lãnh đạo quản lý Cơ hội quản lý Hoàn thành hợp đồng quản lý

Quản lý bán hàng

Đánh giá tư vấn Quy hoạch và mạng Tích hợp hệ thống rô-out và thiết kế mạng

Bảo đảm và hỗ trợ khách hàng Giáo dục và học tập Dịch vụ được quản lý

Quy trình LTC

Quy trình SD

Chuỗi cung ứng và quy trình cung ứng

Đặt hàng

Kế

hoạch

Sản

xuất

Chuyển

giao

Logistic

ngược lại

OR: Yêu cầu cung cấp

IPD: Quy trình sản phẩm tích hợp

PDCP: Điểm kiểm tra quyết định kế

hoạch

LTC: Dẫn Tiền mặt

SD: Chuyển giao dịch vụ

BC: Kiểm soát kinh doanh

IA: Kiểm nghiệm nội bộ

CT: kiểm tra tuân thủ

SACA: Đánh giá kiểm soát nửa năm 1 lần

Thiết kế

quy trình

(SOD/KC

Ps)

Đánh giá

hàng tháng

Nghiệm

thu rủi ro

Ủy ban Kiểm nghiệm

định theo các kế hoạch đã được thống nhất. Cuối cùng bên phải là các cơ chế kiểm toán để

đánh giá xem liệu việc triển khai có đáp ứng các yêu cầu đã được xác định từ đầu của quy

trình hay không. Kiến thức mới thu lượm và bất kỳ điểm yếu hay lỗ hổng được xác định nào

đều được phản hồi trở lại điểm bắt đầu của quy trình để xem xét và được xem như là một

nhân tố của giai đoạn lặp lại tiếp theo.

7.3 Luật pháp và quy định

Luật pháp rất phức tạp, biến thiên và hay thay đổi. Thậm chí trong luật pháp của một quốc

gia, các cách thi hành cũng có sự khác biệt lớn hoặc có sự giải thích khác nhau cho cùng một

luật hoặc bộ luật. Các điều luật, quy phạm, các tiêu chuẩn và các biện pháp kiểm soát quốc tế

tạo thêm sự phức tạp, rủi ro đối với nhà cung cấp hoặc doanh nghiệp. Quy trình của bạn phải

chú trọng và giải quyết được sự thay đổi và sự phức tạp đó và hoạt động ở mức cao nhất của

luật pháp chứ không phải mức thấp nhất.

Huawei, cũng như các nhà cung cấp thiết bị ICT khác và khách hàng, đều đối mặt với hàng

loạt môi trường pháp lý và quy chế phức tạp. Tuy nhiên, như những gì chúng tôi đã nêu sơ

lược trong Tuyên bố về Thành lập Hệ thống Bảo đảm An ninh Mạng Toàn cầu, Huawei tuân

thủ tất cả các luật và quy định hiện hành ở mọi thể chế nơi công ty hoạt động. Để đưa an ninh

mạng trở thành một phần không thể tách rời trong hoạt động kinh doanh của Huawei, chúng

tôi điều tra, xác định, theo dõi, sắp xếp và phân loại tất cả các luật và yêu cầu luật pháp hiện

hành của các nước nơi chúng tôi có hoạt động kinh doanh. Chúng tôi đảm bảo rằng sản phẩm,

dịch vụ, nhân lực và biện pháp kiểm soát hoạt động của chúng tôi đáp ứng được các yêu cầu

tuân thủ quy chế về an ninh mạng có liên quan trong suốt quá trình giao dịch/kinh doanh end-

to-end (từ điểm đầu đến điểm cuối). Cách thức chúng tôi thực hiện như sau:

Theo dõi và xác định các yêu cầu pháp lý hiện hành:

Huawei the dõi và xác định các yêu cầu pháp lý hiện hành. Huawei tuyển mộ trên 500 chuyên

gia pháp lý có trình độ chuyên môn trên toàn thế giới với rất nhiều cố vấn pháp lý về an ninh

mạng nội bộ và trên 140 luật sư địa phương đang tiến hành một cuộc khảo sát cơ bản về các

quy định và luật áp dụng5. Chúng tôi liên kết với các hãng luật danh tiếng và có kinh nghiệm

về luật pháp về an ninh mạng. Chúng tôi liên tục nhận được các thông tin từ các chuyên gia

Quan hệ Chính phủ và các cố vấn pháp lý, những người duy trì mối quan hệ đúng đắn với các

cơ quan chính phủ về pháp chế của địa phương và quốc gia. Chúng tôi cũng xác định các quy

định và luật áp dụng thông qua các hợp đồng chúng tôi ký kết với khách hàng. Trong trường

hợp này một trong những thách thức mà tất cả các nhà cung cấp và khách hàng gặp phải đó là

không phải tất cả các quốc gia đều có luật liên quan đến an ninh mạng hoặc bảo vệ quyền

riêng tư cá nhân. Nếu những quốc gia đó có luật áp dụng thì các luật đó cũng không được thi

hành đầy đủ hoặc không rõ ràng. Nhưng không phải cứ không có luật là không có các điều lệ

hoặc tiêu chuẩn. Khách hàng cũng tự áp dụng các yêu cầu và giải thích riêng của họ.

Tuy nhiên, xét tổng thể các yêu cầu pháp lý áp dụng, chúng thường nhất quán về mặt nguyên

tắc, bảo vệ tự do và các bí mật truyền thông của người dùng cuối cùng, bảo vệ sự riêng tư và

các dữ liệu cá nhân để hỗ trợ các mạng an toàn và bền vững cho khách hàng.

Kiểm soát việc tuân thủ quy chế:

Dựa trên các yêu cầu pháp lý nêu trên, Huawei phát triển chiến lược an ninh mạng của mình

và chính sách tuân thủ các yêu cầu đó, phục vụ cho khung và các đường cơ sở chiến lược để

5 Chúng tôi đăng lý dịch vụ thông tin có liên quan; tham dự các diễn đàn hội thảo; theo dõi các website của các

nhà lập pháp.

đảm bảo rằng các yêu cầu tuân thủ về an ninh mạng được tích hợp trong các tiêu chuẩn thực

hành kinh doanh end-to-end, vòng đời của sản phẩm và quản lý từ khâu phát triển sản phẩm

tới chuyển giao dịch vụ và hỗ trợ dịch vụ.

Ví dụ, trong Quy trình Phát triển Sản phẩm Tích hợp (IDP) (quy trình chính hoạt động với

Nghiên cứu và Phát triển), đội pháp lý của chúng tôi tư vấn cho các đơn vị kinh doanh cá

nhân về luật pháp và quy định áp dụng bên cạnh việc hỗ trợ tuân thủ. Hơn nữa, đội pháp lý

cũng có quyền bác bỏ khi xem xét việc phát triển bất kỳ sản phẩm nào nếu phát hiện có vấn

đề vi phạm. Về Nhân lực, chúng tôi giải quyết các yêu cầu về hỗ trợ hoạt động an toàn của

các mạng, hoạt động kinh doanh của khách hàng và bảo vệ quyền riêng tư của người dùng

cuối và sự tự do thông tin trong Hướng dẫn Đạo đức kinh doanh của chúng tôi, hướng dẫn

này được xem như là bộ các nguyên tắc hoạt động yêu cầu tất cả các nhân viên và nhà thầu

tuân theo. Chúng tôi cũng liên tục đào tào nhân lực về các yêu cầu tuân thủ để nâng cao nhận

thức của nhân viên về việc tuân thủ luật pháp và giúp họ thực hiện nhiệm vụ của mình theo

quy định và luật. Ngoài ra chúng tôi còn bố trí đào tạo cho các nhân viên mới, đào tạo đội ngũ

quản lý và thậm chí đào tạo riêng cho các vị trí chủ chốt về an ninh mạng. Chúng tôi cũng thi

hành chính sách khen-thưởng để đảm bảo tất cả nhân viên đều có trách nhiệm nghiêm túc

tuân thủ. Về phía nhà cung cấp, chúng tôi yêu cầu các nhà cung cấp của chúng tôi ký hợp

đồng an ninh mạng để đảm bảo các yêu cầu liên quan đến an ninh mạng được tuân thủ (chi

tiết vui lòng xem mục 7.7, Quản lý nhà cung cấp bên thứ ba).

Huawei cũng thiết lập và duy trì một quy trình để đánh giá định kỳ việc tuân thủ chiến lược an

ninh mạng và chính sách tuân thủ các yêu cầu. Trách nhiệm xem xét vấn đề tuân thủ luật do

Phòng Pháp lý và Văn Phòng GCSO quản lý. Phòng Pháp lý và Văn Phòng GCSO sẽ báo cáo

các hoạt động nghi ngờ có vi phạm và các rủi ro có thể có tới GCSC, sau đó Ban Điều hành

Nhóm Kinh doanh sẽ rà soát tiếp để có hành động tiếp theo.

Mô hình tuân thủ của Huawei được tích hợp trong vai trò của mỗi cá nhân, mỗi chức năng

được độc lập kiểm tra và kiểm toán. Trách nhiệm giải trình về các biện pháp kiểm soát, chính

sách và tiêu chuẩn thuộc về chính cá nhân cũng như người giám sát và quản lý cá nhân đó.

Đưa ra các chính sách khuyến khích hoặc không khuyến khích thuộc về trách nhiệm của ban

quản lý chứ không chỉ cá nhân người vi phạm vấn đề.

Tham gia các hoạt động lập pháp:

Trong năm qua, chúng tôi đã được chứng kiến rất nhiều những thay đổi đang kể trong luật

pháp và quy định về an ninh mạng của rất nhiều quốc gia. Ở Mỹ, Tổng thống Obama ra Lệnh

Thi hành an ninh mạng để phát triển tiêu chuẩn an ninh mạng tự nguyện cho các cở sở hạ tầng

quan trọng và các yêu cầu bảo đảm có liên quan trong việc cung ứng sản phẩm công nghệ

thông tin cho chính phủ. Ủy ban Châu Âu đưa ra đề xuất về Phương hướng mạng và An ninh

thông tin để thiết lập một môi trường số đáng tin cậy và đảm bảo. Australia công khai thảo

luận về các cải cách tiềm năng về lập pháp quốc gia về vấn đề an ninh, và New Zealand phát

hành Yết thị Viễn thông để khuyến khích sự hợp tác giữa các nhà khai thác mạng và Chính

phủ. Huawei đã được mời tham dự đóng góp ý kiến và gợi ý cho Austrialia và New Zealand

về các hoạt động lập pháp liên quan đến an ninh mạng; tại Mỹ chúng tôi đưa ra các ý kiến

chính thức về Khung an ninh mạng NIST và Yêu cầu về thông tin và đang đóng góp các ý

kiến về tiêu chuẩn an ninh Mỹ sẽ được đưa vào trong khung an ninh mạng. Để tránh mâu

thuẫn và các nghĩa vụ pháp lý nhập nhằng, và với hy vọng khuyến khích sự đơn giản hóa các

yêu cầu trong chuỗi cung ứng toàn cầu, Huawei luôn hoan ngênh một khung an ninh mạng

nhất quán trên toàn cầu. Chúng tôi tin rằng các kết quả về an ninh sẽ được cung cấp một cách

hiệu quả nhất bởi một thị trường cạnh tranh đầy đủ thông tin, do vậy chúng tôi rất ủng hộ

phương pháp dựa trên rủi ro, bình đẳng về mặt công nghệ và căn cứ trên kết quả.

Ngoài các vấn đề an ninh mạng như kiểm soát xuất khẩu, bảo vệ IPR, cạnh tranh công bằng

và chống tham nhũng, chúng tôi còn thiết lập các hệ thống quản lý tuân thủ tương ứng để đảm

bảo tuân thủ luật pháp. Ví dụ, trong kiểm soát xuất khẩu, chúng tôi cung cấp các thiết bị trên

toàn thế giới và đảm bảo các thiết bị đó đáp ứng các tiêu chuẩn truyền thông phục vụ mục

đích dân sự và tuân thủ luật pháp, quy định hiện hành, đồng thời chúng tôi cũng thực hiện và

ban hành chính sách tuân thủ nội bộ (ICP) về vấn đề kiểm soát xuất khẩu phù hợp với tiêu

chuẩn ngành.

Đối với bảo vệ IPR, mỗi năm chúng tôi trả hơn 300 triệu đô-la Mỹ để được cấp giấy phép sử

dụng bằng sáng chế và chúng tôi là một trong ba đơn vị hàng đầu toàn cầu xin cấp bằng sáng

chế (với hơn 30.000 bằng sáng chế được cấp trên toàn thế giới). Trong lĩnh vực cạnh tranh

công bằng, Huawei đã thiết lập một loạt các chính sách nhằm đảm bảo yêu cầu nhân viên của

mình tuân thủ các quy tắc cạnh tranh công bằng, bao gồm định giá sản phẩm, quản lý các đối

tác hợp tác, quan hệ nghiệp vụ với các đối thủ cạnh tranh và mối quan hệ ngân hàng thương

mại. Về vấn đề chống tham nhũng, chúng tôi tin tưởng rằng hệ thống chống hối lộ hiệu quả và

minh bạch sẽ giúp xây dựng lòng tin với các đối tác và khách hàng, do đó sẽ thúc đẩy sự phát

triển bền vững của Huawei. Những hướng dẫn về quy tắc đạo đức kinh doanh của chúng tôi

mô tả các chính sách chống tham nhũng và chống hối lộ thương mại của Huawei và phải được

các nhân viên trên toàn cầu của chúng tôi ký kết hàng năm.

7.4 Vấn đề về con người

Rất nhiều công ty cho rằng nhân lực của họ là tài sản quan trọng nhất, điều này rất đúng.

Tuy nhiên, về mặt an ninh, đây lại là một điểm yếu lớn nhất. Cách thức tuyển dụng, đào tạo

và động viên nhân viên cũng như quản lý cách làm việc của nhân viên thường quyết định sự

khác biệt giữa thành công và thất bại - không chỉ vấn đề về an ninh mạng mà còn là cách

thực hiện chiến lược chung của cả công ty.

Khung quản lý nguồn nhân lực phục vụ công tác bảo mật không gian mạng dựa trên nền tảng

của một hệ thống hợp pháp và các quy định pháp luật của một quốc gia. Những yêu cầu về an

ninh mạng trong quản lý Nhân lực nhằm đảm bảo rằng nhân viên của chúng tôi đủ điều kiện

về nền tảng, cách ứng xử của nhân viên phù hợp với các quy định pháp luật, chính sách và

quy trình thủ tục cũng như các yêu cầu về đạo đức kinh doanh của Huawei, đảm bảo nhân

viên của chúng tôi có đủ trình độ, kỹ năng và kinh nghiệm để đảm nhận các nhiệm vụ của

mình. Dưới đây là chi tiết mô hình chung của chúng tôi:

Hình 3: Đưa an ninh mạng vào các quy trình Nhân lực

nâng cao nhận thức và năng lực của nhân viên

nhằm tránh được các rủi ro do khả năng của nhân

viên và công ty

Yêu cầu về pháp luật trong các tình hình khác nhau

Yêu cầu về khách hàng Yêu cầu về an ninh mạng Các chính sách an ninh mạng và BCG

Tích hợp an ninh mạng vào quản lý nhân lực

Cơ chế giám sát Giáo dục nhận

thức

Nhận biết vị trí

quan trọng

Hiệu chỉnh vị trí

quan trọng

Cải thiện năng lực

vị trí quan trọng

Tất cả

nhân

viên

Nhân

viên

trong vị

trí an

ninh

Nhân viên ở các vị trí

chung

Sau khi thôi

việc:”làm sạch”

tài sản và giấy

phép

Trong quá trình

công tác: “làm

sạch”hành vi

Trước khi công

tác: “làm

sạch”nền tảng Phổ biến giáo

dục nhận thức

Tiến hành các

hoạt động công

khai

Đánh giá tác

động giáo dục

Nhận biết vị trí

an ninh

Xác định trách

nhiệm an ninh

Hiệu chỉnh nèn tảng

an ninh trước khi công

tác

Kiểm nghiệm an ninh

thường xuyên khi công

tác

Làm sạch tài sản và

cho phép an ninh sau

khi thôi việc

Ký giấy cam kết

Thiết lập ma trận

cải thiện năng lực

Phát triển các khóa

đào tạo

Tỏ chức học tập và

kiểm tra

Tỏ chức các hoạt

đọng theo chủ đề

Hệ thống giải

trình an ninh

mạng

Kênh báo cáo

Tích hợp an ninh mạng vào quản lý nhân lực

Quản lý quy trình nhân lực Tổ chức giáo dục an ninh mạng Các khóa đào tạo an ninh mạng & quản lý tìn huông

Đối với vấn đề giáo dục nhận thức cho nhân viên, Huawei đang xây dựng môi trường văn hóa

và giáo dục an ninh mạng trong công ty nhằm nhận thức được tầm quan trọng của an ninh

mạng. Để làm được điều đó, Huawei tổ chức các hoạt động nhận thức an ninh mạng để cải

thiện và nâng cao hiểu biết về an ninh mạng cho nhân viên.

Trong năm 2012, Huawei đã tổ chức các hội thảo dành cho các nhà quản lý gồm hơn 6.000

nhà quản lý thảo luận về các vấn đề an ninh mạng. Mục đích là nhằm nuôi dưỡng một môi

trường thông qua tổ chức giáo dục và tìm hiểu về an ninh mạng trong công ty. Huawei cũng

đã tổ chức khóa đào tạo nhận thức về an ninh mạng cho toàn thể nhân viên trong công ty và tổ

chức cho họ tìm hiểu về các yêu cầu an ninh mạng, tham gia và được kiểm tra, ký cam kết đã

hiểu những trách nhiệm của mình về an ninh mạng. Hơn 150.000 nhân viên công ty trên toàn

cầu đã tham gia vào hoạt động này, và đã đạt được các mục tiêu đề ra về giáo dục nhận thức

an ninh mạng cho nhân viên công ty. Ngoài ra, các phòng kinh doanh cũng thực hiện các hoạt

động đào tạo kiến thức về an ninh mạng và kỹ năng cũng như giáo dục nhận thức khác cho

nhân viên công ty dựa trên những yêu cầu kinh doanh của riêng mình, hơn nữa các phòng này

cũng đã nghiên cứu về những trường hợp an ninh mạng riêng đối với lĩnh vực kinh doanh của

mình.

Chúng tôi cũng thường xuyên phân phát các ấn bản định kỳ về an ninh mạng thông qua cơ sở

công khai nội bộ. Ngoài ra, chúng tôi áp dụng các phương pháp khác, như dán áp phích quảng

cáo và thẻ nhằm công khai nội dung giáo dục an ninh mạng. Các phòng kinh doanh tổ chức

thực hiện các hoạt động công khai an ninh mạng theo yêu cầu và các đặc điểm kinh doanh của

mình, như khuyến khích các bài viết về an ninh mạng và ghi nhận những bài báo đó bằng hình

thức tặng thưởng, lựa chọn slogan an ninh mạng, các nghiên cứu tình huống, v.v. Mọi hoạt

động đều nhằm giúp việc giáo dục nhận thức an ninh mạng được ghi nhớ vào lịch trình công

việc hàng ngày của nhân viên.

Huawei xem việc đào tạo vấn đề an ninh mạng là một chiến dịch dài hạn. Mặt khác, chúng tôi

đã đưa các yêu cầu về an ninh mạng vào Hướng dẫn về Đạo đức kinh doanh (BCG) dành cho

nhân viên Huawei nhằm phổ biến các yêu cầu an ninh mạng tới toàn thể nhân viên công ty

thông qua các hoạt động tìm hiểu BCG hàng năm, kiểm tra và ký cam kết để giúp họ nâng cao

nhận thức về an ninh mạng. Mặt khác, chúng tôi cũng tiếp tục tiến hành nghiên cứu đào tạo an

ninh mạng và các nghiên cứu tình huống, phổ biến các yêu cầu hành vi và kiến thức về an

ninh mạng, nhằm tiếp tục tăng nhận thức về an ninh mạng của nhân viên công ty.

Xét về khía cạnh rủi ro, một số vai trò gây ra mối đe dọa về an ninh trong nội bộ lớn hơn

những rủi ro khác. Huawei nhận biết các vị trí quan trọng về an ninh mạng trong mỗi lĩnh vực

kinh doanh và xác định rõ ràng các vị trí có thể tạo ra cơ hội can thiệp hoặc thực hiện hoạt

động cố ý phá hoại thông qua thiết kế, xây dựng , triển khai và hỗ trợ sản phẩm mà chúng tôi

cung cấp tới khách hàng.

Đối với nhân viên đảm nhận các vị trí quan trọng về an ninh mạng, Huawei đã yêu cầu như

sau:

Trước khi tuyển dụng nhân viên vào công ty, chúng tôi sẽ tiến hành xem xét lý lịch

một cách chặt chẽ đảm bảo nhân viên tiềm năng có quá trình công tác, lịch sử công tác phù

hợp với các yêu cầu của khách hàng đối với vị trí đó.

Chúng tôi sử dụng một mẫu chi tiết và thống nhất với các yêu cầu về an ninh mạng được xây

dựng trong quy trình “đánh giá trình độ chuyên môn” khi tìm kiếm và lựa chọn ứng viên.

Kiểm tra lý lịch khi tuyển dụng được áp dụng đối với tuyển dụng bên ngoài và phân bổ nhân

viên hiện có trong nội bộ.

Khi các nhân viên được nhận vào làm việc, chúng tôi áp dụng các tiêu chí đánh giá

trình độ chuyên môn và chứng nhận công việc để hướng dẫn họ nâng cao nhận thức của mình

và cải thiện các kỹ năng liên quan, đồng thời chúng tôi cũng thực hiện kiểm tra an ninh

thường xuyên.

Đối với các hành vi của nhân viên đảm nhận các vị trí quan trọng về an ninh mạng, chúng tôi

tiến hành xem xét đạo đức liên quan đến an ninh mạng nhằm kiểm tra xem họ có vi phạm luật

pháp không, nhờ đó đảm bảo các hành vi của nhân viên đó phù hợp và đúng đắn.

Khi nhân viên thôi việc, hoặc khi nhân viên thôi giữ chức vụ quan trọng, chúng tôi sử

dụng các điểm kiểm soát trong quy trình kiểm tra khi chấm dứt công việc nhằm hướng dẫn

Nguồn nhân lực và nhân sự về an ninh mạng xóa bỏ hoặc thay đổi đặc quyền và bỏ đi tài sản

của nhân viên, khi cần thiết. Kiểm tra khi thôi việc được áp dụng đối với việc tái phân bổ

nhân viên trong nội bộ và khi từ chức.

Phát triển kỹ năng và kiến thức của nhân viên để họ có thể hoàn thành vai trò của mình một

cách hiệu quả là một thành phần cốt lõi trong văn hóa dựa trên hiệu quả của Huawei. Chúng

tôi phát triển kế hoạch nâng cao năng lực an ninh cụ thể và các khóa cơ bản nhằm nâng cao

năng lực an ninh mạng của nhân viên thông qua các cơ chế học hỏi mang tính hệ thống của

chúng tôi. Huawei hướng tới mục tiêu nâng cao hiểu biết và kỹ năng về an ninh mạng cho

nhân viên giữ vị trí quan trọng để giảm thiểu những hành vi không tuân thủ của nhân viên.

Đồng thời, chúng tôi cũng chỉ đạo nhân viên chủ động học hỏi để bổ sung thêm vào vốn kiến

thức được đào tạo thụ động. Ngoài ra, đối với năng lực cần có đối với những vị trí quan trọng

về an ninh mạng ở những phòng ban kinh doanh khác nhau, chúng tôi đã phát triển các khóa

theo yêu cầu và các đợt kiểm tra. Chúng tôi tổ chức các khóa học và các đợt kiểm tra hàng

năm cho nhân viên nhằm thúc đẩy họ học tập một cách chủ động và có trách nhiệm. Nhiều

hoạt động nâng cao năng lực hướng tới thực hành được thực hiện nhằm nâng cao hiểu biết và

kỹ năng của nhân viên giữ những vị trí quan trọng. Ví dụ, chúng tôi tổ chức các bài giảng về

an ninh mạng, các diễn đàn về an ninh mạng và kho dữ liệu về các tình huống an ninh mạng.

Nhằm đánh giá sự cải thiện năng lực của nhân viên, chúng tôi đã áp dụng mô hình

Kirkpatrick6và sử dụng các phương pháp như điều tra về sự thỏa mãn đối với khóa đào tạo và

các bài kiểm tra nhằm đánh giá hiệu quả của việc nâng cao năng lực.

Huawei đã áp dụng hệ thống trách nhiệm an ninh mạng nghiêm ngặt vốn thực hiện các cơ chế

giải trình chính thức. Chúng tôi yêu cầu mỗi nhân viên phải giải trình về những việc mình làm

và hậu quả của những hành động đó, không chỉ xét trên khía cạnh công nghệ mà gồm cả luật

pháp. Nhân viên của chúng tôi biết rằng khi xảy ra vấn đề an ninh mạng, khách hàng, công ty

và từng cá nhân có thể bị ảnh hưởng khá nghiêm trọng. Vì vậy, dù hành vi là vô ý hay cố ý,

chúng tôi cũng thực hiện quy trình chính thức dựa trên bối cảnh và hậu quả thực tế. Chúng tôi

cũng đã xác định bảy loại vi phạm và năm kịch bản kinh doanh theo tình trạng an ninh mạng

ở những quốc gia và khu vực khác nhau, gồm Châu Âu và Mỹ. Dựa vào đó, chúng tôi đã công

khai Hệ thống giải trình về Vi phạm an ninh mạng, chúng tôi đã nêu rõ hậu quả đối với mỗi cá

nhân khi vi phạm an ninh mạng.

Điểm khởi đầu của chúng tôi là nhân viên, nhân viên của hầu hết các công ty đến để thực hiện

công việc quy mô lớn. Tuy nhiên, nhân viên có thể chứng kiến các đồng nghiệp khác làm

những việc mà khiến họ không thoải mái, có thể do đơn giản là họ làm sai, hoặc do về mặt

đạo đức họ nghĩ đó là sai, hoặc họ không chắc, nhưng muốn ai đó biết về đạo đức. Cũng

giống như các tổ chức khác, chúng tôi cũng nhận biết các tình huống đó và cung cấp kênh

cảnh báo vi phạm nhằm báo cáo tình huống vi phạm nghi ngờ thông qua quy trình Hướng dẫn

Đạo đức Kinh doanh (BCG).

6 http:www.kirkpatrickpartners.com/ourphilosophy/thekirkpatrickmodel/tabid/302/default.aspx

7.5 Nghiên cứu và phát triển

Các công ty không hề muốn sử dụng nguồn vốn eo hẹp mình để mua sản phẩm công nghệ cao

từ các công ty không có quy trình R&D chặt chẽ bởi các quy trình đó có thể mang lại sản

phẩm chất lượng cao lâu bền và an toàn. Họ cũng không muốn thấy các nhà cung cấp luôn

phải băn khoăn khi đưa ra quyết định đầu tư giữa “đầu tư vào một sản phẩm mới” hay “đầu

tư vào việc làm cho mọi sản phẩm an toàn và bảo mật”. Nếu một sản phẩm không chất lượng

thì cũng sản phẩm đó cũng chẳng thể đảm bảo chúng có khả năng bảo mật mạng; các công ty

cần phải chứng minh cam kết lâu dài của họ trong việc thúc đẩy phương pháp R&D để hỗ trợ

cho công tác thiết kế, phát triển và triển khai an ninh mạng một cách phù hợp cũng như đầu

tư vào thế hệ sản phẩm tiếp theo.

Tổ chức Nghiên cứu và Phát triển gồm hơn 75.000 kỹ sư và tuân thủ theo một bộ các quy

trình và phương pháp chính thức như trình bày trong hình sau. Tổ chức xây dựng trên quy

trình MM (Quản lý Thị trường) và quy trình IPD (Phát triển sản phẩm tích hợp) được nêu chi

tiết trong Hình 2, Kiến trúc tổng thể về quy trình.

Hình 4. Quản lý thị trường đối với Phát triển Sản phẩm tích hợp

Quy trình chính trong Nghiên cứu và Phát triển (R&D) là Quy trình Phát triển sản phẩm tích

hợp, hay IPD. Chúng tôi đã phát triển quy trình IPD vào năm 1999. Quy trình này là sự tích

hợp phương pháp PACE của PRTM, tư vấn từ thực tế, kinh nghiệm sâu rộng trong thời gian

dài của Huawei và IBM.

Dựa vào độ sâu rộng các hoạt động nghiên cứu và phát triển của Huawei có xét tới thực tiễn

an ninh ngành như OpenSAMM7 và SSE_CMM

8, phản hồi của khách hàng và Chính phủ,

chúng tôi đã tích hợp vào các hoạt động an ninh của quy trình IPD như thiết kế an ninh, phát

triển an ninh và kiểm tra an ninh. Điều này đảm bảo việc thực hiện hiệu quả các hoạt động an

7 http://www.opensamm.org

8 http://en.wikipedia.org/wiki/ISO/IEC_21827

MM (Quản lý thị trường)

Làm đúng việc

Làm đúng cách

Chiến lược

kinh doanh

Dữ liệu lịch sử

Công nghệ

Các yêu cầu Đán

h g

iá t

hị

trư

ờng

Ph

ân k

hú

c th

ị

trư

ờn

g

Ph

ân t

ích

cơ

hội

Ho

ạch

đ

ịnh

kin

h d

oan

h

Tích hợp kế

hoạch kinh

doanh

Quản lý kế hoạch

kinh doanh và thảm định hiệu quả

Các yêu cầu dài

hạn

Các yêu cầu trung hạn

Các yêu cầu chào hàng

Lộ trình

Thuê

Qu

ản

lý O

R

Các yêu cầu khẩn cấp

Khái

niệm

Kế

hoạch

Phát

triển Sửa đổi Giới

thiệu

Vòng

đời

E2E:từ điểm đầu tới điểm cuối

MM: Quản lý thị trường

OR: Yêu cầu chào hàng

SP: Hoạch định chiến lược

BP: Hoạch định kinh doanh

PCR: Yêu cầu thay đổi kế

hoạch

ninh này, nhờ đó nâng cao tính bảo mật của sản phẩm, tăng cường bảo vệ tính riêng tư và

cung cấp các sản phẩm và giải pháp cho khách hàng một cách an toàn hơn. Mức độ chi tiết

của quy trình IPD cho thấy phương thức an ninh mạng được đưa vào hoạt động hàng ngày của

mỗi người, theo đó, an ninh trở thành một nhiệm vụ của mỗi người và là một vấn đề được

thực hiện một cách tự nhiên.

Chúng tôi áp dụng phương thức cài đặt sẵn để đưa vào các yêu cầu an ninh mạng trong quy

trình kinh doanh từ điểm đầu tới điểm cuối như phân tích mối đe dọa an ninh và quét an ninh

mã nguồn, v.v. Nhằm hỗ trợ phương pháp này, chúng tôi đã thành lập Trung tâm kỹ thuật an

ninh hoạt động trong lĩnh vực Nghiên cứu và Phát triển, và tất cả các hoạt động kinh doanh

của Huawei nhằm xây dựng an ninh vào thiết kế, chống lại tấn công an ninh, và cải tiến công

tác quốc phòng an ninh.

Trong bước hình thành khái niệm, phân tích yêu cầu an ninh chủ yếu tập trung vào

hai mảng chính. Trước hết, cơ sở an ninh sản phẩm nên được đưa vào danh mục các yêu cầu

và nên được thực hiện chính xác- đây là những yêu cầu bắt buộc. Thứ hai, phân tích mối đe

dọa khi sản phẩm được lắp đặt ở địa điểm của khách hàng để nhận biết những yêu cầu về an

ninh bổ sung, hoặc theo yêu cầu bảo mật cụ thể của khách hàng.

Cơ sở an ninh sản phẩm bao gồm các yêu cầu về an ninh nhằm đảm bảo an ninh hoặc rủi ro ở

mức có thể chấp nhận được. Cơ sở này bắt nguồn từ quy định pháp luật của địa phương và

quốc tế, những yêu cầu của chính phủ, ngưỡng của khách hàng và các vấn đề mạng trực

tiếp.v.v. Mục tiêu là nhằm đảm bảo tính tuân thủ luật pháp về an ninh, bảo vệ truyền thông và

sự riêng tư của người dùng, tăng cường kiểm soát truy cập hệ thống/ bảo vệ dữ liệu nhạy cảm

và tăng khả năng phòng vệ của hệ thống.

Phân tích mối đe dọa được sử dụng nhằm tìm ra các nguồn tiềm năng và các loại đe dọa cũng

như các điểm tấn công theo các trường hợp cụ thể mà sản phẩm được sử dụng để chúng tôi có

thể đánh giá những rủi ro này và đảm bảo rằng các biện pháp đối phó được đưa vào trong

danh mục các yêu cầu đối với sản phẩm.

Trong bước lên kế hoạch, chúng tôi sẽ nêu chi tiết các mối đe dọa an ninh trong bước

hình thành khái niệm của thiết kế sản phẩm. Tại đây, chúng tôi thiết kế kiến trúc an ninh sản

phẩm và các đặc điểm thiết kế an ninh. Chúng tôi cũng tham khảo các quy định như các thông

số về an ninh X.805 và OWASP, đồng thời phát triển các tiêu chuẩn thiết kế an ninh mạng

dựa trên các tiêu chuẩn và quy trình kỹ thuật tốt nhất.

Trong bước phát triển, nhà phát triển sản phẩm tuân thủ các thông số mã hóa an toàn

khi ghi phần mềm và sau đó thực hiện xem xét tổng thể. Công cụ quét mã tự động được sử

dụng để thực hiện quét an ninh và phân tích mã nhằm giảm các lỗi về an ninh trong mã hóa và

nhận biết thêm các khu vực điều tra.

Trong bước đánh giá, các nhân viên kiểm tra tiến hành kiểm tra dựa trên các thông

số kỹ thuật về yêu cầu an ninh. Mật độ lỗi sản phẩm là một chỉ số quan trọng để đưa ra quyết

định tại ADCP (Các điểm kiểm tra quyết định độ khả dụng). Phòng thí nghiệm an ninh mạng

nội bộ kiểm tra các sản phẩm của các Nhóm kinh doanh (Mạng viễn thông, Doanh nghiệp,

Khách hàng) kể cả các sản phẩm của OEM độc lập với phòng kinh doanh nhằm xác minh các

sản phẩm đó có phù hợp với các yêu cầu cơ sở về an ninh sản phẩm hay không.

Ngoài ra, chúng tôi đảm bảo sự phân tách hoàn toàn các nhiệm vụ xuyên suốt toàn bộ quy

trình Nghiên cứu và Phát triển. Các nhà phát triển phần mềm không thể duyệt kết quả thử

nghiệm cuối cùng hoặc khâu tung ra thị trường cuối cùng. Các nhà phát triển phần mềm cũng

không được quyền tung phần mềm của mình ra thị trường. Quy trình đánh giá, tungsản phẩm

ra thị trường phải độc lập và nghiêm ngặt --- khi phần mềm được tung ra thị trường, thì nó sẽ

được ký bằng số và tự động được tải lên website hỗ trợ cho download trong quá trình sản xuất

hoặc tại site của khách hàng.

Hình dưới đây là tóm tắt quy trình IPD nhúng.

Hình 5. An ninh tích hợp trong quá trình IPD

7.5.1 Quản lý khâu thiết lập cấu hình và Trung tâm xây dựng

Quản lý khâu thiết lập cấu hình bao gồm các quy trình mà Huawei đảm bảo tính nhất quán,

thống nhất, và khả năng truy xuất nguồn gốc sản phẩm của mình. Quản lý khâu thiết lập cấu

hình không chỉ đảm bảo tính toàn vẹn của phần mềm được thiết kế và phát triển bởi Huawei,

mà còn đảm bảo tính toàn vẹn, của bên thứ ba và các thành phần nguồn mở.

Quy trình quản lý khâu thiết lập cấu hình của Huawei là một phần không thể tách rời trong

quy trình IPD (Phát triển Sản phẩm tích hợp). Các hoạt động quản lý thiết lập cấu hình được

tiến hành ở những bước khác nhau trong quy trình IPD. Những bước này gồm chiến lược và

kế hoạch quản lý thiết lập cấu hình, nhận dạng hạng mục cấu hình, kiểm soát thay đổi cấu

hình, quản lý công bố sản phẩm, quản lý thư viện cấu hình, giải thích tình trạng cấu hình,

kiểm nghiệm cấu hình. Môi trường này tạo ra khả năng truy xuất nguồn gốc sản phẩm vốn là

kết quả an ninh mạng cốt lõi. Để truy cập được vào thư viện quản lý cấu hình của Huawei, các

nhà phát triển cần phải xin phép các cơ quan có thẩm quyền, vì vậy đảm bảo mã trong thư

viện cấu hình được an toàn và chỉ các nhà phát triển được ủy quyền thực hiện dự án mới

được truy cập vào.

Một vai trò quan trọng trong công tác quản lý cấu hình là sự chia tách công việc, phân tách

các hoạt động, vai trò và trách nhiệm trong quy trình xây dựng, và đảm bảo rằng các vai trò

đó được xác định rõ ràng, từ khâu chuẩn bị lặp lại, lên kế hoạch, phát triển đến nghiệm thu hệ

thống.

Ở bước chuản bị tích hợp, Kỹ sư Tích hợp liên tục (CIE) phát triển một danh mục các công cụ

biên soạn và xây dựng cần thiết để phát triển sản phẩm, tạo ra môi trường tích hợp liên tục

theo danh mục công cụ tương đương. Khi sản phẩm bước vào giai đoạn phát triển lặp lại, và

các kỹ sư Nghiên cứu & Phát triển đã hoàn thành việc mã hóa, CIE phát triển script xây dựng

và hướng dẫn biên tập và thực hiện quy trình xây dựng tự động bằng một cú click chuột. Tự

động hóa quy trình xây dựng đảm bảo rằng không tiềm ẩn mã hoặc hạng mục không được ủy

Tuân thủ luật

pháp

Yêu cầu của

chính phủ

Tấn công

mạng

cố tình nhúng

và giả mạo

theo dõi và

kiểm tra hành

vi

Thực hiện các chính sách và yêu cầu về an ninh mạng

và liên tục cải thiện

Cải thiện liên tục Yêu cầu về an ninh

Gồm các thành phần an ninh mạng trong quá trình IPD, bổ sung các yêu cầu quản lý an ninh và các

hoạt động quản lý hiện có và các hệ thống hoạch định chính sách

Conceept Ké hoạch Phát triển

Kiểm tra Tung ra thị

trường

Vòng đời

yêu cầu về an

ninh

Thiết kế an

ninh

Phát triển an

ninh

Thử nghiệm

an ninh

Cung cấp và

bảo trì an ninh

Khả năng phân tích

đe doạn an ninh

Khả năng thiết kê

an ninh

Khả năng mã hóa

an ninh

Khả năng thử

nghiệm an ninh

Khả năng cung

cấp an ninh

Trung tâm khả năng an

ninh

Phòng kỹ thuật an ninh

mạng SE an ninh

Nhân viên nghiên

cứu và phát triển

Tối ưu cấu trúc tổ chức để đảm bảo tích lũy và kế thừa những khả năng này

Đảm bảo tực hiện quá trình này thông qua cải thiện các khả năng an ninh dài hạn

Các cơ quan

chính phủ

Hãng vận tải

Doanh nghiệp

người dùng

đầu cuối

các bên liên

quan

quyền bổ sung đầu vào. Quy trình xây dựng cũng sử dụng các công cụ phù hợp như Fortify9

cũng như các công cụ phân tích tự xây dựng và thương mại khác nhằm để kiểm tra lỗi mã

hóa. Sau đó những lỗi này được ghi vào Hệ thống Theo dõi Lỗi (DTS) và được chỉ định lại

cho kỹ sư chịu trách nhiệm về phát triển mã hóa. Khi xử lý xong tất cả các lỗi, CIE bắt đầu lại

quá trình xây dựng đơn.

Ở bước nghiệm thu hệ thống, nhóm tích hợp và xác minh sẽ xác nhận rằng quy trình xây dựng

đã hoàn thành dựa trên hướng dẫn biên dịch, và cùng thời điểm đó đảm bảo rằng hướng dẫn

biên dịch là chính xác và khả thi. Đội đảm bảo chất lượng sẽ thực hiện kiểm tra các công cụ

được sử dụng thực tế trong quy trình xây dựng để tránh việc sử dụng các công cụ mà không

được phê duyệt. Sau khi hoàn thành tất cả những nhiệm vụ này, phần mềm sẽ được đưa vào

cổng phân phối của Huawei cho khách hàng download.

Để đảm bảo quá trình xây dựng lặp lại, Huawei đã thiết lập trung tâm xây dựng mà tại đó tất

cả các phần cứng, công cụ biên dịch, phần mềm bên thứ ba, nguồn cơ sở dữ liệu và các hệ

thống vận hành đáp ứng các tiêu chuẩn và các yêu cầu hỗ trợ nghiêm ngặt. Trung tâm xây

dựng là một giải pháp đối với việc xây dựng và biên tập sản phẩm và nó cung cấp dịch vụ

đám mây nhằm hỗ trợ các hoạt động xây dựng phần mềm trong quá trình IPD. Trung tâm

mang ba đặc điểm chính: quản lý các nguồn đã được tiêu chuẩn hóa, tiêu chuẩn hóa quy trình

xây dựng và tăng tốc dịch vụ.

Quản lý nguồn đã được tiêu chuẩn hóa: thực hiện quản lý tập trung phần cứng tiêu chuẩn,

các hệ điều hành tiêu chuẩn, công nghệ ảo, công nghệ đám mây và phần cứng, hệ điều hành

trong môi trường xây dựng sản phẩm. Nó làm tăng đáng kể độ ổn định của việc xây dựng

phần mềm và nâng tỷ lệ thành công, đảm bảo mọi sản phẩm đều chứa các thành phần hợp

pháp, từ các nguồn hợp pháp tại dịch vụ hiệu chỉnh, chắp vá, và số phiên bản. Nó đảm bảo

rẳng chỉ những thành phần được phê duyệt cần thiết đối với sản phẩm được đưa vào quá trình

xây dựng phần mềm.

Tiêu chuẩn hóa quy trình xây dựng: tự động hóa toàn bộ quy trình xây dựng từ việc xây

dựng môi trường, đến download mã, biên tập một click chuột, đóng gói, rà soát mã tĩnh, thử

nghiệm mức độ thấp tự động tới mức cao thông qua quản lý các công cụ một cách tập trung,

tieu chuẩn hóa các kịch bản xây dựng, xây dựng bằng một click chuột và thiết lập tự động môi

trường xây dựng,… Khi thực hiện như vậy, chúng tôi đảm bảo quy trình xây dựng sản phẩm

có thể được lặp lại/ phục hồi và được theo dõi.

Tăng tốc dịch vụ: tăng hiệu quả xây dựng. Về bản chất, đây là dịch vụ điện toán đám mây

luôn hoạt động 24 giờ/ ngày.

Ngoài ra trung tâm xây dựng kể trên, chúng tôi đã thực hiện hai thêm hai chức năng khác:

trung tâm quét (scan) virus có thể chạy trên bốn sản phẩm phần mềm anti-virus vốn được tích

hợp vào quá trình thử nghiệm, và thứ hai, là trung tâm chữ ký số để thực hiện ký số các mã đã

được biên dịch bằng từ khóa được lưu trữ trong dữ liệu từ khóa nhằm đảm bảo an toàn.

Huawei vừa ra mắt Quản lý Vòng đời Ứng dụng (ALM), một giải pháp đúng đắn cho ngành,

nhằm thiết lập một nền tảng phát triển cộng tác phần mềm tích hợp để hỗ trợ khả năng truy

xuất nguồn gốc từ điểm đầu tới điểm cuối. Huawei đã nhóm các mục tiêu kinh doanh của

mình để sử dụng ALM thành ba lĩnh vực sau:

Trong quá trình phân tích yêu cầu, những yêu cầu thô (RRs) được chia nhỏ thành

những yêu cầu ban đầu (IRs) và những yêu cầu hệ thống (SRs).

9 http://www9.hp.com/uk/en/software-solutions/software.html?compURL=1338812

Trong quá trình thiết kế hệ thống, các tình huống thử nghiệm và chức năng được

thiết kế dựa trên những yêu cầu hệ thống. Các kỹ sư phát triển viết và xây dựng mã hóa nhằm

thực hiện các chức năng trong quá trình mã hóa và xây dựng.

Sau khi mã hóa và xây dựng, một phiên bản thử nghiệm được tạo ra. Sau khi phiên

bản đó đạt yêu cầu thử nghiệm và kiểm tra sẽ được ra mắt tới tay khách hàng.

Các mối quan hệ về khả năng truy xuất nguồn gốc giữa những mục tiêu kinh doanh này đã

được thực hiện nhằm đảm bảo rằng tất cả những yêu cầu của khách hàng được phát triển một

cách đúng đắn và được xác minh rõ ràng. Đặc biệt, mối liên kết giữa các quá trình phát triển

khác nhau có thể chuyển tiếp hoặc gửi ngược lại khả năng truy xuất nguồn gốc các yêu cầu và

nhận dạng cá nhân đi kèm với việc phát triển sản phẩm trong từng giai đoạn.

7.5.2 Quản lý công cụ và các thành phần của bên thứ ba

Huawei thuê gia công phần mềm bên thứ ba và phần mềm mã nguồn mở từ khắp nơi trên thế

giới. Việc thuê gia công phần mềm từ các bên thứ ba khiến cho tất cả các công ty phải đối mặt

với nhiều khó khăn thách thức và cần phải cân nhắc những vấn đề sau:

Mã nguồn hoặc thành phần nguồn mà bạn đang sử dụng có nguồn gốc đáng tin cậy

không?

Bằng cách nào bạn có thể theo dõi việc sử dụng của phần mềm để hiệu chỉnh lỗi và

quản lý giấy phép?

Bạn sẽ xử lý vấn đề lỗ hổng bảo mật thông tin?

Bạn dự định tái sử dụng bộ phận đó như thế nào?

Làm sao để phương thức quản lý vòng đời tổng thể sản phẩm từ bên thứ ba có thể phù

hợp với vòng đời sản phẩm của bạn?

Chúng tôi không chỉ cân nhắc đến thành phần của bên thứ ba, mà còn phải đảm bảo rằng

thành phần đó và việc lựa chọn tất cả các thành phần liên quan cần thiết để biên dịch mã

nguồn hoặc thành phần của bên thứ ba cũng phải nằm trong tầm kiểm soát. Huawei đã tiến

hành quản lý toàn bộvòng đời của các sản phẩm thuê gia công từ bên thứ ba, từ việc lựa chọn

các thành phần này cho tới làm thế nào để chúng được đưa vào sản phẩm của chúng tôi.

Huawei kiểm soát chặt chẽ việc sử dụng các thành phần nguồn mở và bên thứ ba và đảm bảo

rằng chỉ được lấy các thành phần đó từ các nguồn đáng tin cậy. Chúng tôi đã tạo ra một thư

viện lưu trữ mọi thành phần nguồn mở và của bên thứ ba, các nhà phát triển của chúng tôi có

thể chỉ có quyền truy cập vào các thành phần này sau khi được cho phép. Điều này đảm bảo

rằng Huawei có thể tập trung liên tục cập nhật các thành phần nguồn mở và của bên thứ ba và

duy trì các công cụ cần thiết để xây dựng mã hóa.

Sử dụng một kho tập trung chứa mã nguồn mở và của bên thứ ba được nhúng vào quy trình

IPD tổng thể của Huawei cũng cho phép chúng tôi đảm bảo rằng mỗi thành phần đều được

thu thập từ nguồn đáng tin cậy, được cấp phép theo quy định pháp luật, và theo dõi vị trí

thành phần đó được sử dụng và đảm bảo rằng việc lựa chọn công cụ đó là hoàn toàn chính

xác. Quan trọng là chúng tôi có thể quản lý lỗ hổng bảo mật và đảm bảo rằng các nhà phát

triển có thể hoàn toàn giải quyết được bất kỳ vấn đề nào liên quan tới việc sử dụng thành phần

đó.

Một thành phần vô cùng quan trọng trong dữ liệu tập trung là đảm bảo Huawei có thể theo dõi

lỗ hổng bảo mật có thể xuất hiện trong mã nguồn mở và của mã của bên thứ ba tại bất cứ thời

điểm nào. Khi khách hàng, nhà cung cấp thành phần hoặc Huawei phát hiện ra lỗ hổng, thì

thành phần đó phải được đánh giá, và nhà phát triển gốc phải đưa ra giải pháp phù hợp, hoặc

cách giải quyết khác. Sau đó thành phần đó phải được chuyển tới nhóm PSIRT để cùng với

khách hàng giải quyết vấn đề.

Việc sử dụng kho chứa tập trung cho phép chúng tôi quản lý vòng đời của mã nguồn mở và

mã của bên thứ ba. Điều này vô cùng quan trọng khi phần mềm của Huawei được sản xuất với

vòng đời vốn có; thành phần mã nguồn mở hoặc của bên thứ ba có thể được cập nhật trong

chu trình này và sẽ phải thay đổi để đảm bảo tính thống nhất, đặc biệt trong trường hợp nhà

phát triển ban đầu công bố thành phần nguồn mở hoặc của mã nguồn của bên thứ ba hết hạn.

7.6 Kiểm tra: Không giả định, không tin tưởng ai, kiểm tra mọi thứ

Trong khi quy trình R&D vững chắc là nền tảng cho sản phẩm chất lượng, an toàn và có tính

bảo mật cao, R&D cũng có thể chịu áp lực cần triển khai sản phẩm mới nhanh chóng mà bỏ

qua các khâu thí nghiệm và kiểm tra đúng đắn. Phương pháp kiểm tra “many hands” - nhiều

người cùng tham gia kiểm chứng, “many eyes” - tỉ mỉ cho mỗi kiểm chứng độc lập làm giảm

nguy cơ phân phối các sản phẩm không an toàn. Việc cân bằng của các kiểm tra và cân bằng

end-to-end được bổ sung kiểm chứng an ninh độc lập đảm bảo một cách tiếp cận “không đi

đường tắt” và bảo vệ khoản đầu tư và các dịch vụ của khách hàng.

Tại Huawei, chúng tôi tán thành áp dụng phương pháp đa tầng theo kiểu “nhiều tay và nhiều

mắt” để công khai và minh bạch hóa về những gì chúng tôi làm. Chúng tôi khuyến khích việc

kiểm toán, rà soát và kiểm tra các nhà cung cấp công nghệ, gồm cả Huawei, theo hình thức

công bằng và không phân biệt, bởi vì mỗi đợt kiểm duyệthoặc kiểm tra lại đưa ra thách thức

khiến các công ty phải đưa ra những ý tưởng, chính sách và quy trình, nhưng đổi lại sẽ nâng

cao năng lực của họ, cải thiện chất lượng sản phẩm và độ bảo mật sản phẩm. Chúng tôi tin

tưởng rằng từ khía cạnh hiệu quả, năng suất và bảo mật, sẽ càng có nhiều người tìm kiếm, trải

nghiệm, thử nghiệm và đặt câu hỏi về những điều mà chúng tôi làm, điều đó sẽ tốt hơn cho

Huawei và các khách hàng của chúng tôi. Đó là những điều chúng tôi luôn khuyến khích các

nhà cung cấp của mình.

Những năm gần đây, Huawei đã có nhiều sáng kiến trong việc chủ động giải quyết các thách

thức về an ninh mạng phức tạp và nghiêm trọng mà các chính phủ và nhà cung cấp mạng

truyền thông trên toàn cầu đang phải đối mặt. Những thách thức này khiến cho tất cả các bên

liên quan hiểu rõ hơn về những gì các nhà cung cấp công nghệ nên làm để giảm bớt những

vấn đề, mối quan ngại về an ninh. Chúng tôi tin rằng phần lớn những bên liên quan của chúng

tôi nhất trí rằng nên có một tiêu chuẩn hoặc bộ tiêu chuẩn về an ninh mạng trong bối cảnh

truyền thông hiện nay. Tuy nhiên, các bên liên quan rất khó đi đến thống nhất những tiêu

chuẩn này là gì, hoặc những tiêu chuẩn mới cần phát triển là gì. Huawei tin rằng chúng tôi

phải giải quyết (nhà cung cấp, hãng vận tải và chính phủ) tất cả những thách thức chung này

theo cách thức sâu rộng và hợp lý thường được áp dụng để giải quyết phần lớn các vấn đề phổ

biến nhất.

Khi không có sự thống nhất trên toàn cầu về các tiêu chuẩn đánh giá an ninh mạng, Huawei

tin rằng bằng việc xây dựng một môi trường đảm bảo an ninh mạng công bằng và có mục

tiêu, những thách thức an ninh mạng phổ biến có thể sẽ được khắc phục. Tại Huawei, chúng

tôi luôn rà soát các sản phẩm của mình từ bước hình thành concept ban đầu cho tới bước triển

khai và quản lý liên tục, vá lỗi/ nâng cấp để đảm bảo rằng ở mỗi bước sản phẩm đều được

kiểm tra tính bảo mật. Việc tạo ra chương trình đánh giá tính tuân thủ toàn cầu cho các sản

phẩm ICT sẽ đóng góp đáng kể vào khả năng của các nhà thu mua sản phẩm ICT nhằm đưa ra

quyết định đúng đắn hơn về các sản phẩm ICT và có biện pháp khuyến khích các nhà sản

xuất, và nhà cung cấp đưa ra sản phẩm có ít lỗ hổng bảo mật hơn và có tính đảm bảo hơn.

Đánh giá theo tầng

Huawei đã xây dựng một quy trình đánh giá an ninh mạng đa tầng nhằm đảm bảo rằng các

sản phẩm của chúng tôi được khảo sát về các vấn đề an ninh mạng tiềm ẩn từ khâu thiết kế

sản phẩm, phát triển, cho tới triển khai, bảo trì trong mạng lưới khách hàng của chúng tôi trên

toàn thế giới.

Hình 6. Phương pháp kiểm tra độc lập đa tầng

Chúng tôi tiến hành và liên tục phát triển sản phẩm của mình bằng cách áp dụng “quản lý

khép kín”. Quản lý khép kín nhằm đảm bảo các mối quan tâm về an ninh và các yêu cầu của

khách hàng được đưa vào bước thiết kế sản phẩm để cải thiện chất lượng và độ bảo mật của

sản phẩm theo tiêu chuẩn quốc tế. Bất kỳ báo cáo nào sau khi đánh giá các sản phẩm được

cung cấp cho tổ chức Nghiên cứu và Phát triển (R&D) của chúng tôi đều nhằm đảm bảo các

kết quả đều phù hợp với sản phẩm được công bố trong tương lai.

Chúng tôi bảo đảm bảo mật cho khách hàng thông qua công tác thử nghiệm và đánh giá sản

phẩm độc lập của chúng tôi thông qua các nền hệ thống khác nhau như Phòng thí nghiệm an

ninh mạng nội bộ của Huawei, Trung tâm Đánh giá An ninh mạng của Anh (CSEC), đánh giá

của khách hàng, và người kiểm nghiệm và đánh giá của bên thứ ba.

Do có nhiều phương pháp và cách hiểu khác nhau về an ninh, nên các yêu cầu an ninh của

khách hàng có thể khác nhiều so với các bên khác. Yêu cầu về an ninh cũng thay đổi tùy theo

các mạng và thiết bị ở những mức độ khác nhau. Theo đó, chúng tôi đưa ra những đánh giá an

ninh nhằm đáp ứng các yêu cầu về an ninh của khách hàng cá nhân. Huawei gần đây mới áp

dụng ba mô hình đánh giá khác nhau nhằm liên tục nâng cao tính bảo mật cho sản phẩm:

1. Phòng thí nghiệm an ninh mạng nội bộ của Huawei chịu trách nhiệm tự kiểm tra về an

ninh mạng. Tự kiểm tra về an ninh mạng bao gồm việc xem xét đánh giá lỗ hổng bảo mật đã

được phát hiện và cơ sở bảo mật của sản phẩm. Công tác này bao gồm cả việc kiểm tra và

kiểm soát nội bộ các sản phẩm của Huawei từ khâu hình thành concept ban đầu tới khâu triển

khai thực hiện.

2. Phòng thí nghiệm an ninh mạng nội bộ của Huawei chịu trách nhiệm đánh giá an ninh ở

cấp khu vực và quốc gia. Hình thức đánh giá này nhằm đáp ứng các yêu cầu chứng nhận an

ninh của các chính phủ địa phương và khách hàng. Gần đây, Trung tâm đánh giá an ninh

Mạng Anh (CSEC) tiến hành các đánh giá đó. Ở những trung tâm này, chất lượng mã hóa và

an ninh được phân tích sử dụng các công cụ thương mại và tự thiết kế để tìm kiếm nhược

điểm của mã tiềm năng. Phần mềm này cũng được thử nghiệm bằng cách sử dụng một loạt

IPD: Quy trình phát triển sản phẩm tích hợp

Những gì chúng tôi học, cập nhật tất cả quy trình của Huawei, tiêu

chuẩn và chính sách, và được áp dụng cho mọi sản phẩm và dịch

vụ- “chu trình” chuẩn

Định nghĩa Kế hoạch Phát triển Định tính Ra mắt Tuổi thọ

Thử nghiệm

thâm nhập độc

lập Phòng thí

nghiệm an ninh

mạng độc lập

của Huawei

UK CSEC

(người vận

hành) thử

nghiệm độc lập

Khách hàng/

bên thứ ba thử

nghiệm độc

lập/ tiêu chí

chung

Bên thứ ba

Bên thứ ba

các công cụ và công nghệ để đánh giá khả năng chống bị xâm nhập và phải xem xét lần cuối

các đặc tính thiết kế an ninh.

3. Huawei cũng làm việc với các cơ quan đánh giá bên thứ ba độc lập và những người

đánh giá, là những người đánh giá an ninh sản phẩm một cách không thiên vị, và trong một số

trường hợp, kiêm cả công tác chứng nhận. Hình thức đánh giá này thường được tiến hành bởi

khách hàng, người kiểm nghiệm bên thứ ba, bao gồm mô hình chứng nhận an ninh theo tiêu

chí chung (CC). Huawei đã được cấp các giấy chứng nhận CC cho nhiều sản phẩm. Một số

hãng vận tải tự tiến hành thử nghiệm an ninh nội bộ của sản phẩm vì họ tiếp tục phát triển các

môi trường an toàn hơn, trong khi các khách hàng khác mời bên thứ ba như các khách hàng ở

Bắc Mỹ và Châu Âu để thử nghiệm sản phẩm một cách độc lập.

Nhiều mắt, nhiều tay, kiểm tra nhiều

Lợi ích khác của phương pháp đa tầng là phương pháp “nhiều mắt, nhiều tay, kiểm tra nhiều”

để đảm bảo xem xét của phòng thí nghiệm được xác minh bằng nhiều phương pháp bình

duyệt khác nhau, vì vậy có quan điểm khác thông qua việc đánh giá sản phẩm.

Phòng thí nghiệm an ninh mạng nội bộ của chúng tôi cũng được xây dựng nhằm cho phép

khách hàng hoặc các bên thứ ba thực hiện thử nghiệm tại cơ sở của mình. Trong phòng thí

nghiệm nội bộ gần đây, chúng tôi đã thực hiện môi trường riêng, đảm bảo có thể hỗ trợ việc

đánh giá đồng thời từ khách hàng hoặc các chuyên gia của bên thứ ba. Khách hàng và các bên

thứ ba có thể tận dụng nền tảng này để tiến hành đánh giá an ninh mạng độc lập một cách

nhanh chóng và hiệu quả. Điều này giúp họ có một môi trường thử nghiệm riêng với quyền

truy cập vào các nguồn, công cụ thử nghiệm, và thiết bị nhằm đáp ứng nhu cầu đánh giá của

mình. Các khách hàng đang tận dụng cơ sở này để trực tiếp đánh giá và đảm bảo an ninh cho

các sản phẩm của mình.

Khách hàng có thể sử dụng bên thứ ba độc lập với Huawei và các công cụ, công nghệ và các

cách tiếp cận khác của bên này Huawei mà Huawei không có để kiểm tra. Trong các trường

hợp đó, một khi đánh giá hoàn tất, khách hàng, bên có liên quan quan trọng như các cơ quan

chính phủ có liên quan và bộ phận R&D của Huawei sẽ nhận được một báo cáo kiểm toán

đáng tin cậy. Nội dung của báo cáo này bao gồm hiện trạng, cung cấp thông tin về các vấn đề

được phát hiện và mức độ nghiêm trọng của các vấn đề đó cũn nhưthông tin về các biện pháp

để giảm thiểu tình trạng theo mong muốn của khách hàng cho tới khi đưa ra được một giải

pháp lâu dài. Các kết quả này được cung cấp cho bộ phận phát triển sản phẩm nhằm đảm bảo

cải tiến thống nhất chất lượng và độ bảo mật của sản phẩm nói chung.

Sau khi báo cáo, các khách hàng và chính phủ có thể kiểm tra bất kỳ thay đổi nào của phần

mềm do quá trình nâng cấp hoặc khắc phục sự cố nhằm đưa ra các giải pháp bảo đảm liên tục

trong quá trình sử dụng.

Trong một số trường hợp, có thể cần các giấy chứng nhận sản phẩm như chứng nhận Tiêu chí

đánh giá chung (CC) và Huawei phải làm việc với các bên liên quan để được chứng nhận này.

Huawei tin rằng công tác đánh giá an ninh mạng phát huy tối đa hiệu quả khi có sự hợp tác

với các bên liên quan. Chúng tôi làm việc với bộ phận an ninh của khách hàng, các nhà cung

cấp giải pháp an ninh bên thứ ba và các tập đoàn về an ninh nhằm học hỏi kinh nghiệm và cải

thiện năng lực đánh giá, tính thực tiễn và các yêu cầu. Bên cạnh đó, chúng tôi tận dụng các

kết quả độc lập và khách quan của các công ty an ninh thứ ba, các cơ quan an ninh và khách

hàng để kiểm tra tính khách quan và chính xác của các báo cáo.

Quan trọng hơn, một điều không ngạc nhiên là phương pháp tiếp cận kiểm tra và kiểm

nghiệm độc lập lại đòi hỏi một cách tiếp cận độc lập. Mỗi phòng thí nghiệm hoặc mô hình của

bên thứ ba sử dụng các công cụ, kĩ thuật, cách tiếp cận và phương pháp khác nhau. Mục đích

là kiểm tra và rà soát sản phẩm từ nhiều chiều hướng và cách tiếp cận khác nhau nhất có thể

nhằm tăng cường khả năng bảo mật của sản phẩm.

Nói tóm lại, chúng tôi nhận thấy các rủi ro các công ty phải đối mặt trong thế giới hôm nay

vàchúng tôi sẽ tiếp tục chủ động tham gia vào các quá trình đánh giá sản phẩm và làm việc

nhằm đưa ra những đánh giá khách quan và công bằng về sản phẩm. Trong khi ngành này cần

cân nhắc nhiều để đi đến sự thống nhất trên toàn cầu về các tiêu chuẩn kiểm tra an ninh mạng,

Huawei sẽ tiếp tục làm việc với khách hàng và các bên liên quan nhằm đáp ứng nhu cầu về an

ninh của họ.

7.7 Quản lý nhà cung cấp bên thứ ba.

Có rất nhiều công ty công nghệ cao lớn sử dụng các công ty thứ ba để cung cấp các linh kiện

phần cứng, phần mềm, hỗ trợ chuyển giao và lắp đặt. Nếu công nghệ và quy trình của bên thứ

ba có nhiều điểm yếu về an ninh, điều này làm tăng đáng kể điểm yếu của các sản phẩm và

dịch vụ của nhà cung cấp đó bởi vì chúng được tích hợp trong sản phẩm tới tay người tiêu

dùng. An ninh mạng end-to-end có nghĩa là nhà cung cấp phải làm việc với các nhà cung cấp

của mình để áp dụng các biện pháp bảo mật không gian mạng theo tiêu chuẩn thực hành tốt

nhất.

7.7.1 Chuỗi cung ứng

Huawei đã thành lập một hệ thống toàn diện quản lý bên cung cấp nhằm lựa chọn và đánh giá

chất lượng của nhà cung cấp dựa trên cáchệ thống, quy trình và sản phẩm của họ đồng thời

liên lục giám sát và đánh giá thường xuyên các hoạt động chuyển giao của nhà cung cấp và

lựa chọn các nhà cung cấp có khả năng đóng góp vào chất lượng và độ bảo mật của sản phẩm

và dịch vụ Huawei cung cấp.

Chương trình quản lý chuỗi cung ứng (SCM) của Huawei quan tâm đến chất lượng sản phẩm

trên vai trò là chiến lược cốt lõi và liên tục cải tiến chất lượng sản phẩm và hiệu quả của quy

trình thông qua hàng loạt hoạt động cải tiến liên tục như Six Sigma, các dự án tối ưu hóa, các

chu trình quản lý chất lượng (QCCs), hộp thư đóng góp ý kiến truyền thống và Hệ thống Sản

phẩm Huawei (HPS). Ví dụ, kể từ khi triển khai mô hình Six Sigma năm 2002, Huawei đã mở

rộng những nỗ lực về chất lượng từ chất lượng nội bộ của sản phẩm đến thỏa mãn khách hàng

bên ngoài và từ khâu sản xuất đến quy trình chuỗi cung ứng end-to-end (từ điểm đầu tới điểm

cuối), như quản lý đơn hàng và kế hoạch.

Thông qua quy trình quản lý kho vận toàn cầu của Huawei và các quy trình kho vận quốc gia,

Huawei quản lý phân tầng (toàn cầu – khu vực – quốc gia) các hoạt động kinh doanh kho vận

toàn cầu nhằm hỗ trợ hệ thống quản lý an ninh chuỗi cung ứng. Huawei đã thành lập hệ thống

IT, HTM (quản lý vận tải Huawei) cho phép trực quan hóa và kiểm soát quy trình vận tải.

Huawei đã xây dựng các quy trình đánh giá hoạt động trả lại của chuỗi cung ứng. Huawei

cũng xây dựng các yêu cầu áp dụng cho các phương pháp xử lý hàng hóa bị trả lại dựa trên

các luật và quy định tại địa phương nhằm đáp ứng tất cả các yêu cầu về hàng hóa lỗi thời hoặc

hàng bị trả lại. Để đảm bảo bảo mật thông tin của khách hàng, như nguy cơ các thông tin nhạy

cảm vẫn còn lưu trong thiết bị bị trả lại, Huawei yêu cầu khách hàng xóa hết dữ liệu trong

thiết bị trước khi gửi trả. Chiến lược chuỗi cung ứng toàn cầu của Huawei nhấn mạnh vào các

đặc tính mang tính nền tảng, liên quan đến vấn đề an ninh như sau:

Tính hiệu quả - Tăng cường dòng sản phẩm và dịch vụ kịp thời và hiệu quả của

Huawei trong chuỗi cung ứng nhằm bảo vệ chuỗi cung ứng không bị xâm phạm hoặc lợi dụng

và giảm khả năng bị lợi dụng hoặc phá hoại.

An ninh – đảm bảo tính toàn vẹn của sản phẩm và dịch vụ trong suốt chuỗi cung ứng

toàn cầu; xác định và đối mặt với các mối đe dọa từ khâu đầu tiên của quy trình, thành lập và

duy trì hệ thống quản lý an ninh chuỗi cung ứng hoạt động liên tục và được cải tiến không

ngừng.

Đối phó – xác định và quản lý các rủi ro của chuỗi cung ứng và phát triển các kế

hoạch phản ứng, phục hồi và cải thiện hiệu quả việc phản hồi, phục hồi nhanh chóng và cải

thiện liên tục chuỗi cung ứng của Huawei. Huawei đã thành lập hệ thống truy xuất nguồn gốc

chính xác và hiệu quả nhằm xác định và chỉ ra các rủi ro, liên hệ chúng với các rủi ro và lỗ

hổng của các thành phần và quy trình đang cần cải thiện để phục hồi chuỗi cung ứng.

Huawei tin tưởng rằng những phá hoại có chủ ý có thể diễn ra trong mọi hoạt động trong

chuỗi cung ứng. Do vậy, điều quan trọng không phải là chỉ tập trung vào một hành động nhất

định nào đó mà phải bao quát toàn bộ chuỗi cung ứng.

Các mối đe dọa đến chuỗi cung ứng rơi vào hai loại chính: làm giả sản phẩm và bôi nhọ sản

phẩm. Các mối đe dọa này bao gồm các phần mềm độc hại, các bộ phận thiết bị và điều chỉnh

cấu hình không được ủy quyền, sản xuất không được ủy quyền và phá hoại có chủ ý.

Huawei đã thành lập hệ thống quản lý an ninh chuỗi cung ứng dựa trên các yêu cầu và quy

trình của Huawei về bảo đảm chất lượng, an ninh thông tin, bảo vệ môi trường, bảo đảm IT

cũng như các yêu cầu của ISO28000 (quản lý an ninh chuỗi cung ứng), C-TPAT10

(Hiệp hội–

Thương mại Chống khủng bố) và TAPA11

(Hiệp hội Bảo vệ tài sản Vận tải). Hệ thống quản lý

an ninh chuỗi cung ứng đã đạt yêu cầu chứng nhận của bên thứ 3 về ISO 28000 và được cấp

chứng nhận.

Huawei phát triển cơ sở an ninh mạng chuỗi cung ứng nhằm đảm bảo tính toàn vẹn, khả năng

truy xuất nguồn gốc và tính xác thựccủa sản phẩm trong chuỗi cung ứng. Các đường cơ sở

này bao gồm an ninh về mặt vật lý (bảo mật khi chuyển giao toàn bộ), an ninh trong công tác

cung cấp phần mềm cũng như các nhận thức an ninh cán bộ, quy trình và tổ chức. Các đường

cơ sở bảo mật vật lý được thiết kế để ngăn truy cập vật lý có thể làm xáo trộn hoặc động hoặc

đưa vào các mã độc.

An ninh trong công tác cung cấp phần mềm đảm bảo tính toàn vẹn end-to-end của phần mềm

bằng cách ngăn chặn các truy cập vật lý trái phép vào phần mềm và cho phép kiểm tra kỹ

thuật. Nhằm quản lý các rủi ro liên quan đến nguyên liệu đầu vào, Huawei kiểm tra nguyên

liệu đầu vào dựa trên các tiêu chí kĩ thuật của vật liệu, tiêu chuẩn chất lượng liên qua và

hướng dẫn về vật liệu, và tuân thủ các quy trình trong từng giai đoạn của vòng đời sản phẩm:

thu mua, phát triển và chuỗi cung ứng.

Với giai đoạn chuỗi cung ứng, Huawei đã thành lập hệ thống quản lý an ninh chuỗi cung ứng

tuân thủ ISO28000 nhằm xác định và kiểm soát các rủi ro an ninh trong suốt quy trình end-to-

end từ nguyên liệu đầu vào đến giao hàng cho khách. Huawei kiểm tra tính toàn vẹn các sản

phẩm của bên thứ ba trong suốt các quy trình nhập nguyên liệu, sản xuất vào chuyển giao, lưu

giữ kết quả và thành lập hệ thống truy xuất trực quan.

Quản lý phần mềm là hoạt động quan trọng trong quản lý an ninh. Huawei sử dụng phương

pháp quản lý an ninh phần mềm quan trọng cho chuỗi cung ứng, bao gồm kiểm soát truy cập

nghiêm khắc và an ninh vật lý. Chúng tôi áp dụng duy nhất một số hiệu sản phẩm cho mỗi

phiên bản phần mềm (VRC) được chuyển giao tới khách hàng; số hiệu này theo suốt quy trình

chuyển giao phần mềm. Trong quá trình chuyển giao phần mềm, hệ thống tự động đưa ra việc

trao quyền và cấp phép theo thông tin hợp đồng; cùng lúc đó, hệ thống tự động gửi truy vấn

trước khi load phần mềm đến server của nhà sản xuất (ATE). Tất cả các dữ liệu trong các hệ

thống này được thực hiện tự động nhằm tránh rủi ro bị giả mạo hoặc can thiệp thủ công.

Chúng thôi lưu trữ các hồ sơ chi tiết việc load và thử nghiệm phần mềm để khi cần có thể

thực hiện dễ dàng việc tìm thông tin như phiên bản phần mềm của thiết bị ở một site nào đó,

và dễ dàng xác định được vị trí của chúng.

Huawei không ngừng cải tiến hệ thống hỗ trợ và nền tảng phân phối phần mềm nhằm hỗ trợ

các kĩ sư dịch vụ và để cung cấp các dịch vụ nâng cấp cho khách hàng và nhằm hỗ hợ khách

hàng tự nâng cấp chương trình. Chúng tôi áp dụng cách tiếp cận quản lý trao quyền phân cấp,

chỉ những nhân viên có thẩm quyền mới có thể sử dụng và download phần mềm và giấy phép

từ hệ thống hỗ trợ và nền tảng phân phối phần mềm theo hợp đồng hoặc yêu cầu thiết bị.

10

http://www.c-tpat.com/ 11

http://www.tapaonline.com/

Những trường hợp còn lại sẽ bị hệ thống từ chối đăng nhập hoặc download. Tất cả các truy

vấn hoặc cá nhân cấp nhận truy vấn sẽ được ghi lại đầy đủ vì mục đích kiểm thẩm tra.

Huawei đã tích hợp chức năng truy xuất nguồn gốc trong các linh kiện và sản phẩm từ khi liên

lạc lần đầu đến lúc giao hàng như một phần quan trọng trong hệ thống quản lý an ninh chuỗi

cung ứng, dựa trên Hệ thống lên lịch và kế hoạch tiên tiến (APS) và Hệ thống Thực hiện Sản

xuất – Hợp tác (C-MES).

7.2.2 An ninh trong công tác cung ứng

Hệ thống quản lý nhà cung cấp của Huawei bao gồm các yếu tố sau: công nghệ, chất lượng,

phản hồi, chuyển giao, chi phí, môi trường, trách nhiệm xã hội và an ninh.

Huawei đã phát triển và thực hiện các đường cơ sở an ninh mạng trong công tác cung ứng đối

với nhà cung cấp, đồng thời xác định rõ ràng tiêu chí an ninh sản phẩm và dịch vụ mà các nhà

cung cấp phải đáp ứng.

Hình 7. Mô hình quản lý nhà cung cấp

Mô hình quản lý Nhà cung cấp

Công nghệ

An ninh

mạng

Chất

lượng

Mô tả

1. Công nghệ: giới hạn công nghệ, nguồn mở và khả năng

tham gia R&D sớm, cải tiến, và khả năng dịch vụ kỹ

thuật.

2. Chất lượng: hệ thống chất lượng, hoạt động chất lượng,

tốc độc phản hồi khi xử lý sự cố và khả năng cải tiến chất

lượng liên tục.

3. Phản hồi: Thời gian phản hồi, tính linh hoạt khi cung

cấp, chia sẻ thông tin thị trường, nhanh chóng khi chuẩn

bị năng lực và phản hồi theo yêu cầu.

4. Giao hàng: đúng hạn, chính xác và đầy đủ.

5. Chi phí: giá cả cạnh tranh, khả năng giảm giá liên tục,

đóng góp vào TCO, tổng lỗ và các điều kiện và điều

khoản thanh toán thương mại thuận lợi.

6. Môi trường: thiết lập hệ thống môi trường bao gồm việc

loại bỏ các chất độc hại, kiểm soát và giảm khí nhà kính

và ô nhiễm môi trường.

7. Trách nhiệm xã hội: thiết lập trách nhiệm xã hội toàn

vẹn và hệ thống quản lý sức khỏe và an toàn nghề nghiệp

(OHSMS), bao gồm các tiêu chuẩn người lao động, sức

khỏe an toàn và đạo đức kinh doanh.

8. An ninh mạng: Chính sách, Quy trình, Thỏa thuận, Đào

tạo, Kiểm tra, Phản ứng nhanh.

Phản

hồi

Trách

nhiệm

xã hội

Giao

hàng Môi

trường

Chi phí

Khi chưa có các tiêu chuẩn an ninh mạng trong công tác cung ứng, Huawei đã phát triển 46

cơ sở an ninh mạng cung ứng dựa trên đặc tính an ninh của sản phẩm và dịch vụ từ các nhà

cung cấp toàn cầu, và cần phân tích về rủi ro an ninh tiềm tàng của nhà cung cấp và đánh giá

nhu cầu an ninh mạng của khách hàng.

Các quy trình bảo đảm bảo mật không gian mạng trong công tác cung ứng được thành lập để

phối hợp – không phải độc lập – với hoạt động cung ứng nhằm đảm bảo cả hai bên hiểu được

các yêu cầu và nhận thức được an ninh mạng là một nỗ lực chung. Huawei triển khai công tác

bảo mật quản lý cung ứng thông qua các quy trình này, bao gồm đánh giá năng lực bảo mật

của nhà cung cấp, kiểm tra bộ bảo mật của nguyên liệu, khả năng bảo mật của nhà cung

cấpkiểm tra/thẩm tra an ninh nhà cung cấp, quản lý hoạt động, đánh giá rủi ro, quản lý các lỗ

hổng và truy xuất nguồn gốc và phản hồi trong tình trạng khẩn cấp. Huawei cũng yêu cầu các

nhà cung cấp ký kết các thỏa thuận an ninh xác định trách nhiệm chung.

Ở mức độ cao, việc đảm bảo an ninh mạng trong công tác cung ứng yêu cầu quản lý các nhà

cung cấp và quản lý khả năng bảo mật của nhà cung cấp. Quản lý nhà cung cấp bao gồm quản

lý các yêu cầu, chiến lược, mức độ đáp ứng về năng lực và chấp thuận cung ứng. Quản lý khả

năng bảo mật nhà cung cấp bao gồm:

Chứng nhận khả năng bảo mật của nguyên liệu và nhà cung cấp

Thỏa thuận và thực thi bảo mật

Khả năng đối phó trong tình huống khẩn cấp và thẩm tra khả năng bảo mật của nhà

cung cấp

Kiểm tra và chấp thuận an ninh

Khả năng bảo mật nhà cung cấp và phase-out - hủy bỏ dần

Bảo mật trong khâu cung ứng không chỉ áp dụng cho quy trình cung cấp nguyên liệu sản

phẩm và cung cấp dịch vụ kỹ thuật mà còn được đưa vào trong haiquy trình hỗ trợ: quản lý

nhà cung cấp và quản lý nguyên liệu. Bảo mật trong quá trình cung ứng cũng đã được tích

hợp trong các quy trình của Huawei trong các khâu như Phát triển sản phẩm tích hợp R&D

(IPD), Hướng đầu tư tiền mặt (LTC), chuỗi cung ứng và Chuyển giao dịch vụ (SD), và các

quy trình có liên quan tớiR&D, sản phẩm, dịch vụ và marketing. Nhờ được đưa vào các quy

trình, nên các sáng kiến quản lý bảo mật được liên kết từ đầu tới cuối, trở thành bộ phận hiệu

quả và không thể thiếu trong hệ thống đảm bảo an ninh mạng Huawei.

Trong giai đoạn đánh giá năng lực nhà cung cấp, Huawei tích hợp các yêu cầu an ninh mạng

vào bốn quy trình chính: Yêu cầu thông tin nhà cung cấp (RFI), tự kiểm tra hệ thống nhà cung

cấp, đánh giá năng lực hệ thống nhà cung cấp và các điều kiện của thỏa thuận an ninh bắt

buộc thực thi. Mỗi giai đoạn là điều kiện của giai đoạn sau. Chỉ những nhà cung cấp đáp ứng

được các yêu cầu an ninh của Huawei có thể trở thành nhà cung cấp của Huawei.

Huawei đã phát triển cơ chế thẩm định năng lực hệ thống an ninh nhà cung cấp nguyên liệu,

nhà cung cấp dịch vụ kỹ thuật, nhà cung cấp kho vận, nhà cung cấp EMS, nhà cung cấp dịch

vụ thiết bị và gia công phần mềm ở nước ngoài. Sau khi vượt qua các thẩm định năng lực hệ

thống, các nhà cung cấp phải ký kết thỏa thuận an ninh mạng trước khi trở thành nhà cung cấp

chính thức của Huawei.

Thỏa thuận an ninh mà Huawei thực hiện với các nhà cung cấp bao trùm nhiều lĩnh vực liên

quan, bao gồm: yêu cầu về bảo mật sản phẩm, yêu cầu về bảo mật dịch vụ, yêu cầu bảo mật

hệ thống, và các nghĩa vụ trong trường hợp xảy ra vi phạm.

Huawei cũng phát triển thỏa thuận an ninh dịch vụ kỹ thuật nhắm tới các nhà thầu kĩ thuật

phụ và các thỏa thuận được ký kết bởi tất cả các nhà thầu kĩ thuật liên đến an ninh mạng của

Huawei. Thỏa thuận này bao gồm yêu cầu an ninh dịch vụ, yêu cầu an ninh hệ thống và nghĩa

vụ trong trường hợp xảy ra vi phạm. Thêm vào đó, Huawei cũng đã phát triển thỏa thuận an

ninh với các nhà cung cấp kho vận, EMS, các nhà sản xuất phần mềm ở nước ngoài và các

nhà cung cấp dịch vụ thiết bị. Tất cả các nhà cung cấp này đã ký kết thỏa thuận với Huawei và

cam kết hợp tác trong việc giảm thiểu rủi ro an ninh mạng.

Huawei cũng rất chú tâm tới tầm quan trọng của việc thẩm định năng lực bảo mật nhà cung

cấp vật liệu và thẩm định năng lực bảo mật của nhà cung cấp. Huawei đã tích hợp các yêu cầu

an ninh với ba quy trình quan trọng: tiêu chuẩn kĩ thuật nguyên liệu, đánh giá rủi ro an ninh

mạng trong đánh giá rủi ro chất lượng kĩ thuật và tích hợp kiểm tra an ninh mạng với quá

trình kiểm tra nguyên liệu. Các công tác này đảm bảo Huawei chỉ thu mua các nguyên liệu có

mức độ rủi ro an ninh thấp nhất và đã vượt qua kiểm tra an ninh.

Để quản lý khả năng bảo mật của các nhà cung cấp hiện tại, Huawei sử dụng cơ chế quản lý

phân cấp dựa trên đánh giá rủi ro an ninh, bao gồm việc thẩm định các mức độ rủi ro an ninh,

các kiểm tra và cải thiện an ninh của các nhà cung cấp. Huawei sử dụng phiếu ghi điểm để

đánh giá khả năng bảo mật của nhà cung cấp, thông báo về lỗ hổng bảo mật của nhà cung cấp

và khả năng đối phó trong trường hợp khẩn cấp. Phiếu ghi điểm này có sáu yếu tố và 11 tiêu

chí đánh giá. Hàng năm, Huawei đánh giá và chấm điểm khả năng bảo mật của các nhà cung

cấp. Huawei giảm việc hợp tác hoặc thậm chí dừng hợp tác với nhà cung cấp có khả năng bảo

mật thấp.

Huawei sử dụng công cụ đánh giá rủi ro an ninh nhà cung cấp nhằm đánh giá mức độ rủi ro

bảo mật của nhà cung cấp và vị trí của nhà cung cấp trong danh sách dựa trên khả năng bảo

mật của họ: thấp, trung bình và cao. Dựa trên danh sách này, Huawei quản lý phân cấp các

nhà cung cấp, yêu cầu các nhà cung cấp có mức độ rủi ro cao tự kiểm tra và tiến hành kiểm

tra tại hiện trường trong hai ngày tại cơ sở của nhà cung cấp; nhà cung cấp có mức độ rủi ro

trung bình sẽ tự kiểm tra và tiến hành kiểm tra nửa ngày; và yêu cầu các nhà cung cấp có mức

độ rủi ro thấp tự kiểm ra.

Tại Huawei, việc thông báo về yếu điểm trong bảo mật của nhà cung cấp và khả năng đối phó

trong tình huống khẩn cấp là sự mở rộng của sáng kiến quản lý nhà cung cấp của Bộ phận Đối

phó Sự cố An ninh Sản phẩm của Huawei (PSIRT). Bằng cách yêu cầu nhà cung cấp đưa ra

các cảnh báo về những lỗ hổng bảo mật và nhanh chóng đối phó với những lỗ hổng đó,

Huawei giúp đảm bảo các lỗ hổng về phần mềm của bên thứ ba được quản lý hiệu quả.

Khi phát hiện sản phẩm có lỗi an ninh, nhà cung cấp phải gửi thông tin về PSIRT bằng văn

bản dựa vào các yêu cầu quy định trong thỏa thuận cung cấp dịch vụ thông báo về lỗ hổng

bảo mật của Huawei. Nhà cung cấp phải khấc phục, xử lý sự cố nhanh chóng bằng cách phát

triển các phiên bản mới của sản phẩm và phải thông báo cho Huawei thông qua các kênh phát

hành chính thức.

7.8 Sản xuất

Các nhà sản xuất sản phẩm phải kiểm soát tất cả các linh kiện cho dù chúng từ quốc gia nào,

có nguồn gốc thế nào và các tiêu chuẩn an ninh ra sao; việc sản xuất ra các sản phẩm cuối

cho khách hàng đảm bảo rằng trong tất cả các bước của quy trình sản xuất và giao nhận sản

phẩm, không phát sinh bất cứ nguy cơ an ninh, bảo mật nào một cách tình cờ hoặc hữu ý.

Bảo mật trong khâu sản xuất là một bộ phận quan trọng trong chương trình bảo đảm toàn cầu

của Huawei. Huawei đã thành lập hệ thống sản xuất end-to-end tiêu chuẩn, hiệu quả, chất

lượng cao và an toàn từ khâu nhập nguyên liệu đầu vào đến quá trình xử lý, đóng gói và vận

chuyển sản phẩm cuối cùng. Hệ thống này được tích hợp vào tất cả các hoạt động trong quá

trình sản xuất dựa trên các hoạt động tiêu chuẩn, văn bản quy trình cần thiết và các chỉ dẫn

khác.

Quy trình sản xuất của Huawei được chia làm các bước cốt lõi sau: quản lý chất lượng đầu

vào, in vỏ hộp, lắp ráp trên bề mặt, hàn chảy, ghép, hàn sóng, chạy thử, lắp ráp, kiểm tra chức

năng (hệ thống), đóng gói và giao hàng.

Ngoài ra, dựa trên đặc tính gia công của mỗi sản phẩm riêng biệt tại từng bước, Huawei kiểm

tra quá trình sản xuất với năm mức độ với 1.188 nhân viên kiểm tra từ nguyên liệu thô đến

khâu ra thành phẩm. Huawei sử dụng thiết bị và công cụ tiên tiến để kiểm tra và thử nghiệm

tự động như thiết bị kiểm tra quang học tự động (AOI), thiết bị kiểm tra X-quang tự động

(AXI), thiết bị kiểm tra chức năng (FT) và thiết bị kiểm tra trong mạch (ICT).

Huawei liên tục cải tiến chất lượng sản phẩm và hiệu suất quá trình thông qua nhiều hoạt

động như Six Sigma, các dự án tối ưu hóa, các chu trình quản lý chất lượng (QCCs), hộp thư

đóng góp ý kiến và Hệ thống Sản xuất Huawei (HPS). Ví dụ, kể từ khi đưa vào áp dụng mô

hình Six Sigma năm 2002, Huawei đã củng cố những nỗ lực về đảm bảo chất lượng từ chất

lượng nội tại của sản phẩm đến thỏa mãn khách hàng và từ sản phẩm đến quy trình chuỗi

cung ứng end-to-end (từ điểm đầu tới điểm cuối), như quản lý đơn hàng và kế hoạch.

Huawei đã áp dụng hàng loạt các biện pháp đảm bảo quý trình sản xuất tuân thủ các quy định

của pháp luật và các tiêu chuẩn công nghiệp bao gồm việc thực hiện các kiểm tra mức độ bảo

vệ môi trường của nguyên liệu đầu vào và chuyển giao hiệu quả các yêu cầu liên quan cho

nhà cung cấp khi phù hợp.

Để đối phó với rủi ro về an ninh trong quá trình sản xuất và đảm bảo tình toàn vẹn của phần

cứng và phần mềm, Huawei triển khai các quá trình end-to-end nhằm ngăn chặn nguy cơ bị

can thiệp, kể cả các nguy cơ như thay thế các thiết bị phần cứng trái phép, cài đặt phần mềm

trái phép và lây nhiễm virus. Huawei lưu lại các hồ sơ và các nhân viên kiểm tra sẽ kiểm tra

mọi bước vận hành trong quá trình sản xuất.

Quẩn lý phần mềm là một hoạt động quan trọng trong công tác quản lý an ninh. Huawei sử

dụng các phương pháp quản lý an ninh phần mềm quan trọng. Phần mềm được coi là thông

tin bí mật của Huawei:

1. Các nhân viên R&D chỉ phát hành phần mềm qua hệ thống an ninh nội bộ an toàn và

tất cả các thông tin về phần mềm được quản lý như thông tin bí mật của công ty, chỉ các nhân

viên được chỉ định có quyền nhận thông tin update phần mềm.

2. Các cá nhân có thẩm quyền được chỉ định download phần mềm từ thư viện phần mềm

R&D tại Hệ thống Quản lý Dữ liệu Sản phẩm (PDM) về Hệ thống Thực thi Sản xuất – Hợp

tác (C-MES), một hệ thống phân phối sản xuất được bảo mật và phần mềm được kiểm tra lại

bởi người có thẩm quyền khác. Mỗi ngày, server C-MES tự động kiểm tra và ghi lại các thay

đổi về server và theo đó sẽ đưa ra các báo cáo.

3. Các quy trình có độ bảo mật vật lý cao được áp dụng khi quản lý khâu chuẩn bị sản

xuất và phòng thiết bị.

Huawei sử dụng cơ chế tự động tải và kiểm tra 95% sản phẩm của mình. Sản phẩm không

được kiểm tra tự động sẽ phải trải qua các quy trình quản lý download phần mềm nghiêm ngặt

thông qua việc kiểm tra quy trình phê duyệt ứng dụng phần mềm và việc test và load sản

phẩm đó được thực hiện bởi các nhân viên kiểm tra.

Thông qua việc kiểm tra tự động, Huawei đã giảm thiểu các rủi ro và các mối đe dọa gây ra

bởi nhân tố con người. Thêm vào đó, Huawei có thể xác định các links và điểm xảy ra lỗi

hoặc mối đe dọa thông qua các báo cáo được ghi chép và khả năng truy xuất nguồn gốc trong

các quy trình end-to-end và công nghệ hỗ trợ.

Huawei đã triển khai quy trình bảo hành nghiêm ngặt và bảo mật nhằm đảm bảo tính toàn vẹn

của sản phẩm trong quá trình. Huawei ghi lại hồ sơ toàn bộ quá trình sản xuất và hệ thống mã

vạch. Hồ sơ này bao gồm các điểm xảy ra sự cố, nguyên liệu bảo hành, nhân sự bảo hành, tải

lại phần mềm, thông tin kiểm tra, lưu kho sản phẩm-hàng hóa và các bộ phận hỏng được thay

thế. Việc ghi chép này và kiểm toán truy xuất ngược cho phép Huawei truy vấn mã vạch của

bảng lỗi, hiện tượng lỗi, nhân viên bảo hành đảm trách, phiên bản phần mềm được tải và các

kết quả kiểm tra.

Về mặt quản lý an ninh Dịch vụ Sản xuất Điện tử (EMS), Huawei có một đội quản lý chuyên

trách để quản lý các đối tác EMS. Huawei có các chế độ quản lý khác nhau cho các trung tâm

cung cấp trong và ngoài Trung Quốc. Tại Trung Quốc, Huawei có các giám đốc và thanh tra

làm việc tại các nhà máy, các trung tâm cung cấp ngoài Trung Quốc được quản lý theo các

yêu cầu mô hình nhà máy của Huawei kể cả bố trí một đội ngũ quản lý sản xuất tại nhà máy

chịu trách nhiệm hỗ trợ kĩ thuật, kiểm soát chất lượng và quản lý an ninh cho các đối tác EMS

của Huawei. Đối với công tác quản lý phần mềm, Huawei đảm bảo phần mềm được đồng bộ

hóa trục tiếp từ server phân phối phần mềm Huawei HQ nhằm đảm bảo tính chính xác và

ngăn chặn bất kì thay đổi phần mềm nào trước khi chúng được tải vào thiết bị.

Công tác logistics nội bộ của quá trình sản xuất – lựa chọn nguyên liệu, kiểm tra, đóng gói sản

phẩm, cân, dán nhãn.. - đóng vai trò quan trọng với triển vọng an ninh. Huawei quản lý các

khâu này tuân thủ nghiêm ngặt các yêu cầu của Hiệp hội thương mại Chống Khủng Bố (C-

TPAT12

). Về mặt quản lý nhân sự, Huawei tiến hành kiểm tra lý lịch nghiêm ngặt đối với các

nhân viên làm việc trong khu vực đóng gói và tổ chức tập huấn về công tác bảo mật sau khi

tuyển dụng. Việc tiếp cận khu vực đóng gói được kiểm soát chặt chẽ, đảm bảo những các

nhân không có nhiệm vụ không được ra vào khu vực và việc trao quyền bị hủy bỏ khi cá nhân

đó nghỉ việc.

Hình 8. Phương pháp tiếp cận truy xuất mã vạch

Huawei ưu tiên khả năng truy xuất end-to-end và như đã đề cập ở trên, Huawei sử dụng hệ

thống truy xuất sản phẩm dựa trên mã vạch. Hệ thống ứng dụng IT khi đánh mã vạch đóng vai

trò cốt lõi tronghệ thống truy xuất sản phẩm của Huawei. Tất cả các hệ thống mã vạch đều

dùng chung một cơ sở dữ liệu mã vạch. Hệ thống mã vạch đảm trách một phần chức năng của

hệ thống ERP và xử lý một phần dịch vụ quản trị và một vài nghiệm vụ thu thập thông tin.

Thông qua việc chuyển dữ liệu và tương kết giữa các hệ thống, Huawei đảm bảo hoàn tất khả

năng truy xuất từ nguyên liệu đầu vào đến khi bàn giao sản phẩm cuối cùng.

12

http://c-tpat.com/what-is-ctpat/

Cơ sở dữ liệu mã vạch

Hệ thống Quản lý Mã vạch nguyên liệu

Nhận

nguyên liệu

Phân phối

nguyên liệu

Kiểm tra

PCBA

Kiểm tra và

lắp đặt thiết

bị

Đóng

gói

Vận

chuyển

Phân phối

Thiết bị

Nguyên liệu Chuyển tới khách

hàng

Tương quan dữ liệu

mã vạch

Đơn đặt hàng ↔ Đơn đặt hàng số

Lô số + Đơn đặt hàng số ↔ Nhiệm vụ số

Nhiệm vụ số ↔ PCB SN

PCB SN ↔ PCBA SN

PCBA SN ↔ Modul SN

Modul SN ↔ Thiết bị SN

Thiết bị SN ↔ Yêu cầu khác

hàng

Thùng hàng số ↔ Yêu cầu

khác hàng

Yêu cầu khách hàng ↔ Yêu cầu

nguyên liệu

Thùng hàng số ↔ Yêu cầu

nguyên liệu

Yêu cầu nguyên liệu ↔ Chỉ dẫn

vận chuyển

Chỉ dẫn vận chuyển ↔ POD

Các quy trình sản xuất của Huawei đóng góp vào chương trình đảm bảo toàn cầu bằng cách

tăng cường hiểu biết về các rủi ro, đặt ra các yêu cầu thực thi và nhấn mạnh vào việc cải tiến

liên tục.

7.9 Cung cấp dịch vụ một cách an toàn

Không có gì quá đặc biệt khi tập trung vào thiết kế các sản phẩm mà luôn quan ngại về vấn

đề bảo mật nếu khi bạn triển khai công nghệ của mình, hoặc hỗ trợ hoặc duy trì công nghệ,

điều này không được thực hiện một cách an toàn. Khách hàng thường muốn đảm bảo rằng

đối với các thiết bị phục vụ cho công việc của họ, việc vận hành và bảo trì cần an toàn và bảo

mật, kể cả những bản nâng cấp, vá lỗi và sửa chữa lỗi - họ hi vọng vấn đề bảo mật được đảm

bảo trong suốt vòng đời của sản phẩm.

Huawei nhận thấy rằng việc cung cấp dịch vụ có liên quan đến tất cả các khâu trong các quy

trình cốt lõi của công ty, từ quy trình kinh doanh hoạt động cốt lõi đến quy trình hợp thức hóa

và hỗ trợ.

Điểm bắt đầu của bất kì dịch vụ nào phải rõ ràng đối với nhu cầu của khách hàng. Các yếu tố

cốt lõi bao gồm: kiểm soát và truy cập mạng; kiểm soát và truy cập dữ liệu về kinh doanh và

nhân sự; các yêu cầu về sử dụng lao động tại địa phương; và các cách tiếp cận xử lý sự cố

phải được xác định rõ.

Mạng và thông tin là tài sản của khách hàng. Do đó, bất cứ truy cập hoặc hoạt động nào liên

quan đến khác hàng phải được khách hàng phê duyệt rõ ràng và tuân thủ theo các luật và quy

định liên quan. Huawei đã triển khai một bộ các thủ tục và quy trình riêng biệt ngay từ đầu

khâu thiết kế mạng kể cả phê duyệt hoạt động thu thập, lưu trữ, sử dụng và xử lý thông tin

mạng của khách hàng.

Có bốn quy trình kinh doanh chính trong Dịch vụ Tích hợp Mạng của Huawei, bao gồm: thiết

kế và quy hoạch mạng, giới thiệu mạng, chấp thuận và ủy thác, bàn giao và chuyển giao kỹ

năng.

Mỗi quy trình kinh doanh yêu cầu một mức độ rủi ro và đánh giá an ninh. Huawei đã kết hợp

chặt chẽ các yêu cầu quản lý an ninh mạng quan trọng với các hoạt động cung cấp dịch vụ.

Các yêu cầu quản lý an ninh mạng then chốt sau đây đã được kết hợp trong Dịch vụ Tích hợp

Mạng:

Bàn giao và chuyển giao kỹ năng

Rà soát giải pháp dự án

Quản lý nhân sự

Tăng cường an ninh

Chuyển giao để bảo hành dự án

Quản lý dữ liệu của khách hàng

Quản lý phần mềm

Quản lý ủy thác mạng

Chuyển giao kỹ thuật cho khách hàng

Hình 9. Tổng quan cung cấp dịch vụ

Bằng việc triển khai các quy trình bảo đảm an ninh mạng end-to-end, chúng tôi tăng cường

khả năng xác định và giải quyết các vấn đề an ninh mạng, kể cả cải tiến kỹ thuật sản phẩm,

quy trình và quy định, và quản lý nhân sự. Bằng cách này, chúng tôi có thể đảm bảo rằng các

sản phẩm và dịch vụ chúng tôi cung cấp được bảo mật trong khả năng tối đa.

Do các nhà khai thác dịch vụ viễn thông đang hướng tới mục tiêu giảm thiểu chi phí bằng

cách outsource công tác quản lý và vận hành mạng, do vậy cần phải cân nhắc tới nhiều loại

rủi ro an ninh mới, đồng thời thẩm tra lại các quá trình và thủ tục. Các lĩnh vực cần chú ý là:

An ninh thông tin

Quản lý nhân sự

Tuân thủ luật pháp và quy định sở tại

Chiến lược kinh doanh cốt lõi

An ninh vật lý

Quản lý hoạt động chuyển tiếp

Tuy nhiên, khác với dịch vụ tích hợp mạng, những rủi ro này cùng được quản lý bởi nhà cung

cấp và chủ sở hữu mạng.

Trước khi làm việc với mạng, cần được chủ sở hữu mạng cấp phép. Trong khi tải phần mềm

vào mạng của khách hàng, phần mềm phải được quét trước khi sử dụng để diệt virus và đảm

bảo rằng các công cụ và phần mềm sử dụng được mua qua các kênh hợp pháp (ví dụ như

website hỗ trợ chính thức), và có chữ ký số chính xác khi rời quy trình R&D.

Tất cả các hoạt động trên mạng được ghi lại trong nhật ký kiểm tra để đảm bảo khách hàng có

thể xác nhận tính hợp lệ của công việc được giao và công việc được thực hiện đúng với công

việc được giao.

Tuy nhiên, sự cố có thể xảy ra trong mạng của khách hàng, đó có thể là lỗi phần cứng hoặc

phần mềm, hoặc các vấn đề về công nghệ. Các sự cố của khách hàng có thể được xác định và

giải quyết nhanh chóng. Huawei xác định lỗi an ninh mạng dựa trên các định nghĩa của họ

được ghi lại tại trung tâm hỗ trợ và các vấn đề an ninh mạng ghi nhãn “An ninh mạng” trong

hệ thống iCare và gửi các vấn đề này lên bộ phận TAC/GTAC và sau đó gửi lên PSIRT, đảm

bảo rằng tiến dộ xử lý vấn đề được báo cáo kịp thời.

Cung

cấp

dịch

vụ

Yêu cầu

kinh

doanh

Yêu cầu

hoạt động

Đánh giá &

Tư vấn

Quy hoạch

mạng

Thiết kế,

giới thiệu

& tích hợp

mạng

Hỗ trợ và

bảo đảm

cho khách

hàng

Phát triển

kỹ thuật và

học hỏi

Quản lý

dịch vụ

Quản lý

tài sản

thông tin

Quản lý

truy cập

Sự toàn

vẹn phần

mềm

Quản lý

việc ủy

quyền

Bảo vệ

sự riêng

tư

Thiết kế và

củng cố an

ninh

An ninh vật

lý và môi

trường

An ninh viễn

thông & hoạt

động

Kiểm

soát truy

cập

Phát triển và bảo

trì hệ thống

thông tin

Phân loại và

kiểm soát tài

sản thông tin

Ngoài ra, có bốn điểm kiểm soát chính được đưa vào quy trình sửa chữa linh kiện và dịch vụ

gửi trả để đảm bảo khả năng bảo mật dữ liệu, đó là:

1. Sau khi yêu cầu dịch vụ sửa chữa và gửi trả được gửi lên, hệ thống tự động nhắc

khách hàng xóa dữ liệu lưu trữ trong các bộ phận được sửa chữa.

2. Trước khi các bộ phận hỏng được gửi về Huawei, khách hàng nhận được mẫu phiếu

sửa chữa nhằm nhắc nhở họ xóa dữ liệu hoặc tháo các thiết bị lưu trữ.

3. Trong trường hợp các bộ phận không thể sửa tại chỗ và phải gửi về trụ sở chính của

Huawei, tag lỗi sẽ được kiểm tra theo từng hạng mục. Các sản phẩm có dữ liệu lưu trữ chưa

được xóa hoặc các thiết bị lưu trữ chưa được tháo bị cấm gửi trả về trụ sở chính. Khách hàng

có thể ủy quyền cho Huawei xóa dữ liệu nếu luật pháp tại địa phương cho phép.

4. Trong trường hợp các bộ phận bị hỏng có thể sửa tại chỗ, thiết bị kiểm tra tự động xóa

dữ liệu trong các bộ phận này.

Các nhân viên cung cấp dịch vụ là những người lực lượng xung kích của công ty do họ truy

cập vào các thông tin nhạy cảm tiềm tàng, và được đào tạo để hỗ trợ việc bảo vệ mạng khỏi

các vấn đề kiểm soát truy cập, an ninh liên lạc và bảo vệ dữ liệu đã được xác định. Về phần

quản lý nhân viên, Huawei đã phát triển một bộ Quy tắc ứng xử, dựa trên ISO27001 và các

tiêu chuẩn khác, cho các nhân viên, bao gồm năm yếu tố chính, ví dụ như các yêu cầu vật lý

và môi trường. Hoạt động quản lý mạng cũng phải xem xét các miền của nhiều nhà cung cấp

và đề phòng việc xóa bỏ trái phép các thông tin cá nhân hoặc bí mật.

Huawei quản lý chặt chẽ các nhân viên có quyền truy cập vào mạng của khách hàng. Những

nhân viên này phải ký giấy cam kết về các trách nhiệm pháp lý, trách nhiệm giải trình và vai

trò của họ và phải nghiên cứu và làm các bài kiểm tra liên quan đến an ninh mạng.

Các văn phòng đại diện và các đội dự án phải quản lý an ninh mạng thường xuyên và theo dõi

hoạt động của các thành viên trong đội và nhân viên trong việc tuân thủ các yêu cầu an ninh

mạng. Hoạt động quản lý các nhân viên thuê ngoài là một phần quan trọng trong quản lý dự

án tại chỗ. Các nhân viên thuê ngoài này có hiểu biết khác nhau về an ninh mạng; do đó, họ

phải tham gia vào các khóa đào tạo do đội dự án tổ chức và chỉ có thể đảm trách các nhiệm vụ

sau khi vượt qua đánh giá của đội dự án. Huawei đã phát triển các tiêu chuẩn chấp thuận dự

án của các nhân viên thuê ngoài và đánh giá chất lượng dự án của họ dựa trên các tiêu chuẩn

này.

7.10 Khi gặp sự cố: Vấn đề, sai sót, phát hiện và giải pháp khắc phục yếu

điểm bảo mật

Không có công ty chịu trách nhiệm nào có thể đảm bảo 100% về vấn đề an ninh. Do đó, khả

năng của một công ty có thể đối phó một cách hiệu quả lại những vấn đề, rút ra bài học từ

các sự cố đóng vai trò vô cùng quan trọng đối với cả khách hàng và nhà cung cấp. Biết được

việc gì cần làm trong thời điểm “khủng hoảng” sẽ đảm bảo có thể cung cấp thông tin cho các

cán bộ điều hành cấp cao từ đó đưa ra quyết định nhanh chóng và hợp tác hiệu quả với khách

hàng và các bên liên quan đảm bảo dịch vụ thông thường được phục hồi một cách nhanh

chóng và an toàn.

Chúng ta đang sống trong một thế giới được kết nối toàn cầu, và luôn phải đối mặt với các

mối đe dọa máy tính toàn cầu. Những mối đe dọa đó không chỉ giới hạn trong phạm vi địa lý

của những quốc gia, mà còn ảnh hướng đến toàn bộ công nghệ và các nhà cung cấp dịch

vụ/phần mềm/phần cứng. Các nguy cơ luôn luôn cao, và mức độ phức tạp cũng như khối

lượng thì ngày càng tăng.

Quy trình Phương hướng đề ra Giải pháp (ITR) cung cấp một khuôn khổ khép kín từ khâu

tiếp nhận, phân tích và xử lý các vấn đề mà khách hàng của chúng ta gặp phải, có liên quan

đến an ninh hay không.

Thông thường các vấn đề khách hàng có thể ảnh hưởng ít nhiều đến công ty chúng tôi khi đó

là một yêu cầu dịch vụ kỹ thuật, yêu cầu dịch vụ vận hành và vấn đề về linh kiện, một vấn đề

an ninh được trình báo hoặc khiếu nại của khách hàng. Do vậy, quy trình ITR được kết hợp

chặt chẽ với quá trình Nghiên cứu và Phát triển (IPD), PSIRT, Hệ thống Dò tìm Lỗi (DTS) và

quy trình khác. Điều này giúp đảm bảo đối phó kịp thời để giải quyết các vấn đề cho khách

hàng.

GCSO: Giám đốc an ninh mạng toàn cầu SPOC: Điểm liên lạc đơn

Hình 10. Tích hợp PSIRT với các quy trình khác

Bất cứ vấn đề nào mà khách hàng của chúng tôi gặp phải với các sản phẩm, giải pháp hoặc

dịch vụ sẽ ảnh hưởng đến khách hàng trên các khía cạnh tính khả dụng, nguyên vẹn, bảo mật,

khả năng truy xuất, độ vững chắc và độ bền trong các thao tác. Do đó điều quan trọng là

chúng ta phải xác định các tác động an ninh càng sớm càng tốt trong quy trình.

Khi đối phó với một vấn đề, cho dù vấn đề đó rất đơn giản, quan trọng là bất kỳ giải pháp nào

đưa ra và được thực hiện không vô tình đưa vào các nguy cơ an ninh và các hành vi rủi ro.

Chúng ta cần liên tục cải thiện và rút kinh nghiệm từ những vấn đề phát sinh. Sự đa dạng của

các vấn đề nảy sinh cũng đóng vai trò quan trọng do Huawei phục vụ trên 1/3 dân số toàn cầu,

nhưng chúng tôi cần đảm bảo rằng chúng ta là một tổ chức phát triển và học hỏi kinh nghiệm

- để vấn đề tương tự không lặp lại; nếu lặp lại, điều đó có nghĩa rằng nguyên nhân cốt lõi của

vấn đề chưa được giải quyết triệt để.

Huawei đã lập một hệ thống khép kín để tạo ra một quy trình ITR tích hợp và toàn diện giúp

liên kết các quy trình quan trọng khác. Điều này đảm bảo toàn bộ các vấn đề được giải quyết

triệt để và hiệu quả.

Để hỗ trợ quy trình ITR, và ngược lại, Đội phản ứng nhanh an ninh mạng máy tính (CERT) là

một thành phần cơ bản của toàn bộ hệ thống an ninh mạng giúp người sử dụng công nghệ

giảm thiểu hoặc loại bỏ các nguy cơ tiềm ẩn từ các điểm yếu bảo mật đối với các mạng và

công nghệ hiện có bằng cách chia sẻ bí mật thông tin có yếu điểm bảo mật, các hoạt động

giảm thiểu thực tế và quản lý giải pháp khắc phục yếu điểm bảo mật. Tại Huawei, chức năng

này được đảm nhận và thực hiện bởi Đội Phản ứng Sự cố An ninh Sản phẩm (PSIRT).

Nếu không chia sẻ kịp thời thông tin có yếu điểm bảo mật, công nghệ có nguy cơ bị khai thác

và lạm dụng. Nếu sản phẩm có chứa thông tin có yếu điểm bảo mật lọt vào tay của nhữn kẻ

bất chính thì toàn bộ công nghệ tích hợp sử dụng các phần cứng và/hoặc phần mềm chứa yếu

điểm bảo mật đó có thể bị đe dọa.

Xác định mức

độ tổn thương

Cộng đồng/khách

hàng

CERT Khách

hàng

CSI, CTO khách

hàng

Đội phục vụ

khách hàng

Cung ứng VP GCSO

Báo cáo cho

Báo cáo mức độ tổn thương

Đưa ra các yêu cầu

của PSIRT cho nhà

cung cấp

Đội ngũ chủ chốt

Chuyên gia kỹ thuật hàng đầu Báo cáo mức độ tổn thương

N/cứu và phát triển

dây chuyền sản

phẩm

Nhóm từ

Trung tâm an ninh (Bộ phận

hỗ trợ kỹ thuật)

Y/cầu pháp lý

Giải thích

pháp lý

P. Pháp chế

P. Quan hệ

công chúng

Công bố

chung

Côg nkhai vào công bố tổn thương

Giải thích

pháp lý

Thông báo tổn thương

Quầy thông tin khách hàng

SPOC an ninh

Dây chuyền

cung ứng

Quầy sản phẩm bị ảnh hưởng

Công bố

Hỗ trợ kỹ thuật

Quản lý cấu hình

Huawei rất quan tâm đến nguy cơ này và áp dụng các biện pháp cương quyết nhất đối với

thông tin có yếu điểm bảo mật. Ngoài ra, Huawei cũng tích cực tham gia các tổ chức và diễn

đàn tiêu chuẩn quốc tế để phổ biến kiến thức về những vấn đề này cũng như chia sẻ những

biện pháp hiệu quả nhất với cộng đồng máy tính. Tuy nhiên, nếu không có các tiêu chuẩn

quốc tế13

và các hệ thống đánh giá hiệu quả, thì các nhà cung cấp không thể đưa ra quyết định

làm cách nào và có thể chia sẻ thông tin có yếu điểm bảo mật với ai.

An ninh mạng là một cuộc đua vũ trang giữa những kẻ muốn xâm nhập công nghệ vì mục

đích phi pháp và sai trái trong với nhà cung cấp cũng như khách hàng, là những người đang

nỗ lực để ngăn chặn chúng. Đáp lại, vai trò của PSIRT là để đảm bảo rằng các nhà khai thác

mạng thông báo về mọi yếu điểm mạng có thể xảy ra, cùng với những biện pháp giảm thiểu

và các giải pháp lâu dài đối với các rủi ro đi kèm với các sản phẩm của Huawei. Việc công bố

chính xác và kịp thời thông tin này giúp các nhà khai thác mạng có thể duy trì an ninh của

mạng lưới bằng cách đảm bảo các biện pháp bảo vệ mạng theo các hướng dẫn sản phẩm mới

nhất.

Quy trình xử lý điểm yếu bảo mật của PSIRT được chia thành 4 giai đoạn:

1. Thu thập và nghiên cứu yếu điểm bảo mật - Được thực hiện cùng với việc xác định và/hoặc

tiếp nhận những thông báo về yếu điểm bảo mật gửi đến. Các thông báo gửi đến được tiếp

nhận từ mọi người gửi, gồm khách hàng, các CERT bên ngoài, chuyên viên nghiên cứu hoặc

nhân viên tìm kiếm website và phân tích các yếu tố rủi ro. Tại Huawei chúng tôi khuyến khích

thông báo có trách nhiệm, nghĩa là người ngoài phát hiện thấy yếu điểm bảo mật, họ nên cho

nhà sản xuất có đủ thời gian để giải quyết và khắc phục các vấn đề trước khi công bố rộng rãi.

Giai đoạn thu thập yếu điểm bảo mật cũng bao gồm việc công bố các yêu cầu an ninh cho các

nhà cung cấp thuộc chuỗi cung ứng thông qua nhân viên mua hàng, và đảm bảo đáp ứng đầy

đủ các yêu cầu này thông qua hợp đồng. Những cam kết trong hợp đồng sẽ đảm bảo nhà cung

cấp báo cáo kịp thời về các yếu điểm bảo mật liên quan đến các sản phẩm Huawei.

2. Đánh giá, phân tích và xác minh yếu điểm bảo mật - Khi nghi ngờ hoặc xác nhận có một

yếu điểm bảo mật nào đó, đội PSIRT sẽ làm việc với chủ sở hữu sản phẩm để nhanh chóng

hoàn thiện bảnđánh giá tính xác thực của yếu điểm và các rủi ro đi kèm. Trong quá trình phân

tích và xác nhận, đội ngũ PSIRT sẽ sử dụng các công cụ mã nguồn mở và công cụ thương mại

đầu ngành cũng như các tiêu chuẩn mới nhất để nâng cao độ chính xác và độ kịp thời khi

phân tích yếu điểm.

3. Dò tìm và khắc phục - Khi đã xác nhận có yếu điểm, PSIRT sẽ khẩn trương gửi thông tin

cho đội ngũ chịu trách nhiệm về các sản phẩm bị ảnh hưởng, và sau đó chủ động dò tìm biện

pháp khắc phục. Các yếu điểm được kiểm tra để xác minh xem chúng có tồn tại trong các

thành phần của cấu trúc thông thường, hoặc trong các linh kiện hoặc sản phẩm đặc biệt nào

không (các linh kiện tùy chỉnh dựa trên các cấu trúc thông thường), do đó đảm bảo rằng vấn

đề được giải quyết trong mọi dòng sản phẩm, các phiên bản sản phẩm và các model sản phẩm.

Quy trình PSIRT được tích hợp chặt chẽ với quy trình Nghiên cứu và phát triển để đảm bảo

khắc phục kịp thời các yếu điểm. Quy trình IPD và Nghiên cứu phát triển bao gồm phát triển

sản phẩm, lập hồ sơ, quản lý cấu hình, kiểm tra và quản lý phát hành. Tích hợp PSIRT và IPD

có ưu điểm là nâng cao nhận thức an ninh của nhân viên và độ bảo mật cho sản phẩm bằng

cách báo cáo kịp thời, chia sẻ và tập huấn theo tình huống. Những thao tác đó giúp tạo một

chu trình khép kín để cải tiến liên tục.

4. Công bố - Công bố thông tin chính xác cho các nhà khai thác mạng là một yêu cầu quan

trọng để duy trì môi trường an toàn. Thông qua quy trình này, đội ngũ PSIRT quản lý công bố

cho cả tổ chức báo cáo yếu điểm nghi ngờ và cho khách hàng. Thông tin công bố cho khách

hàng gồm các chiến lược giảm thiểu cùng với thông tin về giải pháp lâu dài. Danh sách khách

hàng có sản phẩm bị ảnh hưởng được lập từ cơ sở dữ liệu chuỗi cung cấp để đảm bảo đội

chính xác của những thông tin công bố end-to-end (PSIRT đến CERT). Trước khi ban hành

13 Công bố yếu điểm bảo mật ISO 29147 và các quy trình xử lý yếu điểm ISO 3011 đang được xây dựng

Hướng dẫn An ninh ra bên ngoài, công ty sẽ tổ chức và sắp xếp thông tin theo ý kiến kỹ sư hỗ

trợ (GTS), các phòng liên quan, phòng quan hệ công chúng và phòng pháp chế để đảm bảo độ

chính xác và nhất quán của thông tin có yếu điểm bảo mật khi công bố cho những bên liên

quan khác nhau. Thông tin được chia sẻ nghiêm ngặt theo nguyên tắc “cần phải biết” để đảm

bảo bí mật. Trong một số hoàn cảnh Huawei có thể phát hiện thấy những yếu điểm đã tích

hợp trong phần mềm của bên thứ ba và PSIRT Huawei báo cáo ngay yếu điểm cho nhà cung

cấp tương ứng và khuyên họ có những biện pháp khắc phục cần thiết và công bố về yếu điểm

đó.

Tóm tắt quy trình được trình bày trong sơ đồ sau

Hình 11. Quy trình PSIRT/CERT

Trong toàn bộ giai đoạn của quy trình này, bảo vệ thông tin mật cho khách hàng và thông tin

có yếu điểm bảo mật là điều tối quan trọng đối với Huawei.

Khi làm việc với khách hàng để giải quyết các yếu điểm, chúng tôi phải nhận ra rằng không

phải mọi yếu điểm đều có thể khai thác bởi tin tặc, vì điều này được quyết định bởi cấu hình

và kiến trúc chính xác của mạng lưới. Ví dụ, nếu yếu điểm tồn tại trong một đặc tính mà nhà

khai thác mạng đã vô hiệu hóa, hoặc áp dụng cho một giao diện được bảo vệ bởi các đặc tính

an ninh khác, thì việc lợi dụng yếu điểm đó không đáng quan ngại.

Như đã tình bày, thông tin có yếu điểm bảo mật được chia sẻ sẽ để lại hậu quả khôn lường

nếu rơi vào tay kẻ xấu. Toàn bộ các bên liên quan phải giữ bí mật. Do đó, mối qua hệ hai

chiều và tin tưởng lẫn nhau giữa nhà cung cấp và nhà khai thác mạng là mấu chốt của an ninh

mạng.

Đội ngũ PSIRT Huawei sẽ chủ động tham gia ở cấp ngành và công chúng để đề xuất thay đổi

toàn diện nhằm thực hiện tốt và nâng cao nhận thức an ninh mạng nói chung của những nhà

làm luật, lập pháp và giám đốc doanh nghiệp. Điều này bao gồm, nhưng không giới hạn, ở

việc trở thành thành viên của Diễn đàn Đội ngũ An ninh và Phản ứng Sự cố (FIRST), một

diễn đàn được lập ra nhằm kết nối với CERTs chính phủ, CERTs khách hàng, nhà cung cấp

khác, nhà nghiên cứu và các bên thứ ba.

Để góp phần nâng cao nhận thức về vấn đề quan trọng này giữa cộng đồng an ninh mạng và

để góp phần tuân thủ các tiêu chuẩn quốc tế, Huawei chủ động tham gia các tổ chức như Diễn

đàn An ninh Thông tin Mạng của Hội đồng Châu Âu.

Huawei tin rằng để giải quyết các vấn đề tội phạm máy tính, ngành công nghệ máy tính cần

lựa chọn các biện pháp minh bạch để thúc đẩy hợp tác quốc tế và các tiêu chuẩn. PSIRT là

một minh chứng cho sự hợp tác này.

Thu thập yếu điểm Đánh giá mức độ

nghiêm trọng Phân tích, xác nhận và

khắc phục

Công bố

Khách hàng

Nội bộ

Nhà cung cấp

Cộng đồng an

ninh

Nguồn

tổn

thương

Phân loại,

phân tích,

Quyết định

và khớp tổn

thương với

sản phẩm

Yếu điểm,

phân phối

thông tin

Xây dựng

biện pháp

hoặc giải

pháp khắc

phục yếu

điểm

Hướng dẫn

an ninh,

thông báo

an ninh

Đánh dấu cấp an ninh Ủy quyền Lưu giữ Làm rõ

Thư viện

tổn

thương

sản

phẩm

CERT khách

hàng và/hoặc Bên liên

quan khác

LMT: Đội quản lý vòng đời

PDT: Đội phát triển sản phẩm

PSIRT: Đội Phản ứng Sự cố An ninh

Sản phẩm

7.11 Khả năng truy xuất nguồn gốc: Mò kim đáy biển

Khi gặp sự cố, khả năng nhanh chóng nhận diện nơi phát sinh sự cố, phần cứng hay phần

mềm nào là nguyên nhân gây ra vấn đề, cũng như khả năng xác định bộ phận đó còn được sử

dụng ở chỗ nào khác đóng vai trò cốt yếu để có thể khắc phục sự cố kịp thời. Tuy nhiên, điều

đó là chưa đủ; phân tích nguyên nhân sâu xa cần có khả năng theo dõi và truy tìm ngược mỗi

người, mỗi linh kiện từ mỗi nhà cung cấp cho mỗi sản phẩm và mỗi khách hàng.

Hãy tưởng tượng các tiêu đề tin tức trong đất nước bạn: “bộ phận mã nguồn mở sử dụng rộng

rãi chứa những lỗi nghiêm trọng giúp tin tặc có thể truy cập thoải mái vào các hệ thống máy

tính”, hoặc “cung cấp linh kiện máy tính được sử dụng rộng rãi bởi các nhà cung cấp công

nghệ có thể bị thỏa hiệp và lắp đặt vào các mạng nội bộ”.

Câu hỏi đầu tiên mà một CEO có thể hỏi nhân viên an ninh CNTT là “chúng ta có bị ảnh

hưởng bởi mối đe dọa này không” khiến nhân viên an ninh phải liên hệ gấp với các nhà cung

cấp ICT để đặt ra hàng loạt câu hỏi:

“Bạn có sử dụng bộ phận này không?”

“Nếu có, nó có được lắp trong thiết bị của chúng tôi không?”

“Nếu có, cụ thể là thiết bị nào lắp bộ phận và thiết bị đó được gửi tới đâu?”

Và, “khi nào có giải pháp khắc phục”

Quy trình xử lý sự cố của Huawei sẽ được trình bày chi tiết trong thảo luận về quy trình

PSIRT trong mục 7.10, “Khi gặp sự cố: Vấn đề, sai sót và phát hiện và giải pháp khắc phục lỗ

hổng”. Khi có vấn đề, cả PSIRT và khách hàng cần được thông báo trước toàn bộ thông tin để

biết được phạm vi và quy mô rủi ro tiềm ẩn. Khả năng truy xuất ngược mọi yêu cầu phần

mềm từ khách hàng trong suốt quy trình, từ thiết kế, mã hóa phần mềm, kiểm tra, Hỏi đáp, ủy

quyền, triển khai live trở lại nguồn khởi phát đầu tiên sẽ giúp đẩy nhanh tiến trình tìm ra giải

pháp cho vấn đề.. Nhà cung cấp cũng cần có khả năng truy xuất ngược mọi bộ phận phần

cứng từ mọi nhà cung cấp, tuyến, nhà máy, phương pháp vận chuyển, trung tâm nghiên cứu

và phát triển, và sản phẩm khách hàng cuối về lại nhà cung cấp ban đầu.

Quy trình truy xuất phần mềm được trình bày chi tiết trong sơ đồ dưới đây. Huawei sẽ truy

xuất theo yêu cầu đầu tiên của khách hàng đến sản phẩm cuối cùng, và ngược lại từ sản phẩm

cuối cùng đến yêu cầu đầu tiên để bao quát toàn bộ các bước, toàn bộ quy trình, toàn bộ

“những ai từng tiếp xúc với phần mềm”, mọi bộ phận, phiên bản của phần mềm và v.v

Quy trình Phát triển Sản phẩm Tích hợp (IPD)

Hình 12. Sơ đồ truy xuất ngược và chuyển tiếp phần mềm

Ý tưởng Kế hoạch Phát triển Kiểm tra Tung ra thị trường Vòng đời

Truy xuất E2E

Kh

ách

hàn

g

Kh

ách

hàn

g

Thay đổi

Yêu cầu

mới

Phân tích

Yêu cầu Lập các yêu

cầu

Tích hợp Ban hành

Kiểm tra

vấn đề

Vấn đề

mạng

Khắc phục Lỗi

Tkế/Kiểm

tra yêu cầu

Thay đổi

yêu cầu

Yêu cầu

khách hàng

Mã tài liệu Kiểm tra

phiên bản

Phát hành

phiên bản

Chúng tôi áp dụng tương tự với phần cứng. Hệ thống mã vạch của Huawei và Hệ thống Sản

xuất Điện tử (EMS) giúp chúng tôi chuyển tiếp và dò ngược 98% bộ phận sử dụng. Những

hạng mục không truy xuất là các hạng mục “phi công nghệ” như giá đỡ, nhãn, vật liệu đóng

gói, vỏ, hướng dẫn và tài liệu.

Hình 13. Sơ đồ khả năng truy xuất ngược và chuyển tiếp

Tóm lại truy xuất ngược và chuyển tiếp giúp xác định những nhân viên nào phải phụ trách sản

phẩm nào; ai đã phê duyệt thực hiện sản phẩm nào; ai đã cung cấp các linh kiện mà lắp vào

sản phẩm nào; và tựu chung lại là giúp giải quyết các vấn đề một cách nhanh chóng và đánh

giá một cách hiệu quả hậu quả các vấn đề này gây ra.

7.12 Kiểm toán

Kiểm toán chặt chẽ có vai trò rất quan trọng trong việc đảm bảo cho Hội đồng quản trị và

các viên chức điều hành cao cấp của công ty, đảm bảo cho khách hàng, đảm bảo các chính

sách, quy trình và tiêu chuẩn phù hợp được triển khai để cho ra kết quả kinh doanh yêu cầu.

Chu trình kiểm toán Huawei dựa trên việc đánh giá các rủi ro và bắt đầu bằng việc nắm rõ

(các) mục tiêu kinh doanh gắn với môi trường đang được xem xét. Quy trình kiểm toán tập

trung vào công tác quản lý liên quan đến: tuân thủ luật pháp và các thủ tục, hoàn thành các

mục tiêu kinh doanh, thông tin đáng tin cậy phục vụ việc đưa ra quyết định, vận hành hiệu

quả, và bảo vệ tài sản.

Cách tiếp cận dựa trên việc đánh giá các rủi ro được hình thành thông qua các cuộc họp và

phỏng vấn chi tiết với các chủ sở hữu doanh nghiệp cũng như những người có liên quan đến

hoạt động kinh doanh. Khi các mục tiêu được nắm bắt rõ ràng, ban kiểm toán sẽ đánh giá và

phát hiện những rủi ro tiềm tàng liên quan đến lĩnh vực kinh doanh và những yếu tố có thể

ảnh hưởng đến việc đạt được mục tiêu kinh doanh. Như được trình bày chi tiết trong mục 7.1,

“Chiến lược, quản trị và kiểm soát”, việc kiểm soát quá trình và các điểm kiểm soát chủ chốt

đều được gắn liền trong mỗi quá trình quản lý và giảm bớt các rủi ro tiềm tàng đó. Một chiến

lược kiểm tra mạnh mẽ được thiết kế và tiến hành nhằm tìm kiếm bất cứ kẽ hở, sai sót, điểm

mạnh cũng như điểm yếu, và quan trọng hơn cả, là cách tốt nhất để đánh giá rằng liệu công

tác kiểm soát đã được triển khai và tiến hành như thiết kế hay chưa. Các kết quả của đợt kiểm

tra sau đó sẽ được sử dụng để tập trung vào một cơ chế cụ thể và phù hợp (giám sát, đánh giá

và báo cáo), để hiểu làm thế nào có thể đạt được sự đảm bảo chắc chắn mỗi ngày.

Phương pháp tiếp cận kiểm toán hiệu quả này cũng được sử dụng đối với chương trình Đảm

bảo An ninh Mạng. Chương trình này, từ góc nhìn kiểm toán trong quy trình Huawei, không

chỉ chú trọng vào các quá trình mà còn vào mối liên kết giữa các đơn vị kinh doanh chính cần

PO khách hàng

Khách hàng

Nhà cung cấp phần

cứng và EMS

Nhà cung cấp

phần mềm

Phần mềm bên thứ 3

Thiết kế phần cứng và phần mềm Giấy phép phần mềm bên thứ 3

Vật liệu Sản

phẩm bán dẫn

Yêu cầu

Tiếp vận gửi trả

Khách hàng

Tiếp vận

Gửi trả

Quản lý hợp

đồng

Nghiên cứu

phát triển

Kho khu vực

Quản lý

gửi trả

Địa

điể

m l

ắp đ

ặt

Chuỗi cung ứng

Sản xuất sản phẩm

Vật liệu

gửi đến

Sản xuất và

kiểm tra

PCBA

Lắp ráp và

kiểm tra sản

phẩm

Đóng gói

thiết để đảm bảo an ninh mạng từ đầu đến cuối. Phương pháp này bắt đầu bằng việc xem xét

các cơ chế hiện hành để hiểu rõ cách thức các yêu cầu từ khách hàng (Chính phủ, khách hàng,

người sử dụng cuối,…) được quản lý thông qua các quy trình kinh doanh chủ yếu, chẳng hạn

như Phát triển Sản phẩm Tích hợp (IPD) để phân tích các yêu cầu, giải pháp cũng như thiết

kế, phát triển và thử nghiệm các giải pháp. Việc tiến hành phê chuẩn phụ nhằm đảm bảo rằng

các lĩnh vực kinh doanh liên quan, chẳng hạn như Tiếp thị và Bán hàng, đã nhận được thông

tin cần thiết để hiểu và đưa ra tư vấn về các đặc tính sản phẩm phù hợp cho các thị trường

khác nhau dựa trên pháp luật và quy định sở tại.

Giữa các bước để hỗ trợ cho các quy trình như Mua sắm và Chuỗi Cung ứng cũng đều được

kiểm tra để đảm bảo rằng các nhà cung ứng đạt tiêu chuẩn đã cung cấp các sản phẩm (phần

cứng và phần mềm) đạt tiêu chuẩn an ninh mạng của Huawei, cũng như đảm bảo rằng các sản

phẩm được giao đến cho khách hàng hoàn toàn giống như sản phẩm đã được phát triển và thử

nghiệm trước khi tiến hành giao hàng (ví dụ như còn nguyên vẹn và có khả năng truy xuất

nguồn gốc).

Các cơ chế vận chuyển cũng sẽ được kiểm toán để chắc chắn rằng các kỹ sư và quản lý dự án

đều nhận thức được các yếu tố an ninh mạng cần có trong các quy trình như Bàn giao Dịch vụ

để bảo trì sản phẩm và các dịch vụ từ xa, và Phương hướng Đề ra Giải pháp (ITR) khi gửi trả

hàng hóa cho khách hàng và tính riêng tư trở thành yếu tố cần được ưu tiên. Phương hướng

Đề ra Giải pháp IRT ngày càng trở nên quan trọng trong cơ chế khép kín đảm bảo rằng chúng

tôi đối phó với những sự cố về an ninh mạng một cách kịp thời và hiệu quả.

Phương pháp kiểm toán ngày một phát triển; do đó chúng tôi sẽ tiếp tục tạo ra những thay đổi

trên thị trường cũng như trong công việc kinh doanh và hoạt động của Huawei để đáp ứng

được yêu cầu rà soát kịp thời chiến lược và phương pháp này.

8 Cùng tiến về phía trước – nhấn nút reset bảo mật

Francis Bacon – một nhà triết học đồng thời là một nhà khoa học người Anh, đã nói rằng: “Kẻ

không chịu áp dụng các phương pháp khắc phục mới chính là kẻ sẽ hứng chịu những tai ương

mới, bởi vì thời gian chính là phát kiến vĩ đại nhất”.14

Năm 2013 sẽ đi vào lịch sử như là một năm thực tế chứng minh rõ nét mức độ số hóa và cách

mà công nghệ xâm nhập mọi ngõ ngách của cuộc sống, thực tiễn đó ngày một trở nên rõ nét

bởi chúng ta đã hiểu rõ hơn về nhu cầu thực tế về việc bảo vệ tính riêng tư, nguyên vẹn, và

khả năng hiệu dụng của dữ liệu cá nhân cũng như dữ liệu của tổ chức.

Đưa an ninh vào một sản phẩm của nhà cung cấp phải đi đôi với việc bảo vệ các dữ liệu của

người dân. Tuy nhiên, an ninh quốc gia cũng như bảo mật cá nhân lại thường có vẻ như

không được quan tâm như nhau và đó là lý do chúng tôi phải làm việc cùng nhau cân bằng

giữa hai yếu tố này.

Đã đến lúc để nâng cao chất lượng và giải quyết cụ thể những thách thức an ninh của cơ sở hạ

tầng thông tin toàn cầu. Nếu như trong quá khứ, chúng ta coi an ninh mạng là một vấn đề có

thể được giải quyết cục bộ, và điều này vẫn không mang lại những kết quả ý nghĩa nào.

Ngược lại, thách thức mạng đang ngày càng trở nên bức thiết hơn bất cứ lúc nào. Các Chính

phủ, ngành cũng như người dùng trên toàn thế giới cần phải cùng nhau hiểu rõ cách kết hợp

với nhau để tìm ra và thống nhất những quy phạm mới và cụ thể về chế độ, chuẩn mực và luật

pháp, cũng như cách để chúng ta đẩy mạng an ninh và bảo mật trên hệ thống mạng thế giới.

Trong mục 5, “Bảo vệ tương lai – an ninh cho thế giới ngày mai”, chúng tôi đã giới thiệu đến

các bạn về việc thế giới sẽ thay đổi như thế nào khi những làn sóng tiếp theo của công nghệ số

tấn công xã hội loài người, cách mà công nghệ 5G sẽ đạt đến tốc độ gấp 100 lần so với hiện

14

http://en.wikiquote.org/wiki/Francis_Bacon

tại hay cả thế giới, các nền kinh tế và các doanh nghiệp sẽ được thiết kế lại, cấu hình lại và

xây dựng lại như thế nào.

Bởi vì tốc độ phát triển công nghệ sẽ tiếp tục dẫn dầu, chúng ta cũng phải đẩy nhanh hơn nữa

việc xem xét nhu cầu an ninh của tương lai – bởi chúng ta không thể lái xe mà chỉ nhìn vào

gương chiếu hậu. Chúng ta đã bàn luận trong một thời gian dài về các vấn đề và thách thức

tương tự, vẫn là các vấn đề về việc hợp tác, những quy phạm mới, chuẩn mực mới và chế độ

mới, nhưng vẫn không đưa ra được kết quả cụ thể nào. Trong mười năm tới, tốc độ thay đổi

công nghệ mà chúng ta sắp được chứng kiến sẽ phá hủy những thành tựu mà chúng ta đạt

được nếu như chúng ta không giải quyết những thách thức về an ninh.

Trên quan điểm của chúng tôi, việc tối quan trọng chính là toàn bộ hệ sinh thái của các chính

phủ, ngành công nghiệp và người dùng tăng cường việc phối hợp với nhau để giải quyết các

vấn đề và khó khăn mà chúng ta sẽ đối mặt trong tương lai. Và trong quá trình đó, chúng ta

cần xem xét những điều sau:

Thách thức về bảo mật trong thế giới số: Giả sử khi cuộc sống và việc kinh doanh của

chúng ta phần lớn được thực hiện trên mạng, với các dữ liệu được truyền đi toàn cầu và được

xử lý tại nhiều quốc gia bằng nhiều nhà cung cấp công nghệ cũng như được quản lý bởi nhiều

luật pháp khác nhau, chúng ta cần các khung pháp lý chặt chẽ và tương thích cũng như các

quy tắc tuyển dụng và công nghệ được nhất trí trên toàn cầu giúp bảo vệ dữ liệu cá nhân và

kinh doanh.

Các thông lệ đánh giá rủi ro toàn diện: khi tốc độ và rate kết nối mạng internet của

người dùng và thiết bị ngày càng cao, cùng với sự phát triển không ngừng của công nghệ, xã

hội cũng đã tự đặt mình trước mối họa lớn nhất từ trước đến nay. Công nghệ không thể bị bó

hẹp để thỏa mãn nhu cầu của bất kỳ một ai trong mọi kịch bản. Phương pháp chiến lược tập

trung vào việc quản lý rủi ro liên quan đến những yếu tố cấp bách đã được miêu tả trong tài

liệu này, và việc thừa nhận một thực tế rằng các mạng toàn cầu phụ thuộc vào chuỗi cung ứng

toàn cầu, là việc hết sức cần thiết để nâng cao an ninh mạng.

Khách hàng là thượng đế: Những người mua công nghệ - có thể là các chính phủ, các

doanh nghiệp hoặc khách hàng – nên sử dụng sức mạnh mua bán và kinh tế của mình để đòi

hỏi nhiều hơn từ các nhà cung cấp công nghệ và dịch vụ. Top 100 câu hỏi mà chúng tôi đã thu

thập được từ các khách hàng của mình có thể giúp người mua đưa ra những yêu cầu của mình

cũng như thúc đẩy các nhà cung cấp công nghệ tăng cường bảo vệ các đặc tính an ninh đối

với sản phẩm của họ. Bởi nhiều doanh nghiệp lớn có hoạt động kinh doanh xuyên biên giới,

nên các công ty này và các nhà cung cấp cần đảm bảo thực hiện theo các khung quy định mà

vẫn duy trì lợi ích về kinh tế. Thực tế là các phương pháp tiếp cận nhắm đến dữ liệu cá nhân

và tổ chức sẽ cản trở lợi ích (và lợi nhuận) kinh tế cũng như kiềm chế sự phát triển.

Trên quan điểm của Huawei, chúng tôi sẽ tiếp tục cố gắng làm việc với các chính phủ, khách

hàng, các tổ chức tiêu chuẩn và các bên liên quan được hưởng lợi khác để tăng cường chất

lượng và sự hoàn thiện cho phương pháp tiếp cận an ninh mạng từ đầu đến cuối của Huawei

và đảm bảo rằng công nghệ của chúng tôi sẽ tuân thủ theo pháp luật và các quy định cũng như

điều lệ hiện hành. Chúng tôi sẽ tiếp tục đấu tranh cho nhu cầu kiểm tra độc lập của các sản

phẩm nhằm giúp thỏa mãn các bên liên quan khác nhau để đảm bảo răng sản phẩm của một

nhà cung cấp là hoàn toàn an toàn. Chúng tôi cũng sẽ hợp tác với ngành ICT để chắc chắn

rằng tất cả các nhà cung cấp đều được đối xử công bằng, không phân biệt, và cùng nhau

chúng tôi sẽ sử dụng khả năng của mình để đẩy mạnh cải tiến nhằm mang đến cuộc sống tốt

hơn cho công dân trên toàn thế giới – chúng tôi sẽ tiếp tục làm những điều trên một cách cởi

mở, minh bạch và với thái độ cộng tác.

Trong cuốn sách trắng trước, chúng tôi đã từng đưa ra kiến nghị về một số quy tắc sau:

Các quy tắc hướng dẫn

1. PHẠM VI TOÀN CẦU: Các nỗ lực nhằm hoàn thiện hệ thống an ninh mạng phải

phản ánh tính chất xuyên biên giới, liên kết và toàn cầu của môi trường mạng hiện nay.

2. PHÁP LUẬT: Chúng tôi phải dung hòa và tuân thủ theo luật pháp, các chuẩn mực,

định nghĩa và quy phạm quốc tế.

3. SỰ CỘNG TÁC: Những nỗ lực nhằm hoàn thiện an ninh mạng phải tận dụng được

các mối quan hệ hợp tác công-tư. Đó không phải là tập hợp của “một vài”, mà là của “tất cả”.

4. DỰA TRÊN CÁC CHUẨN MỰC: Chúng tôi phải thống nhất và tiến hành các chuẩn

mực và tiêu chuẩn quốc tế về an ninh ICT

5. DỰA TRÊN XÁC MINH: Chúng tôi phải phát triển và tiến hành các phương pháp xác

minh độc lập sao cho đảm bảo rằng các sản phẩm tuân thủ theo những tiêu chuẩn đã thống

nhất.

6. DỰA TRÊN CHỨNG CỨ: Những nỗ lực nhằm tăng cường khả năng bảo mật không

gian mạng phải dựa trên các bằng chứng về rủi ro, đối tượng tấn công, mất mát hoặc ảnh

hưởng hoặc bằng chứng có hiệu lực.

7. TIẾN HÀNH CƠ BẢN: Tất cả chúng tôi phải tiến hành “vệ sinh” an ninh mạng cơ

bản để từ đó chúng tôi có thể tăng chi phí tấn công đầu vào

Chúng tôi tin rằng các quy tắc kể trên đến nay vẫn còn hiệu lực.

Huawei sẽ tiếp tục giữ vai trò là một nhà cung cấp hàng đầu về các giải pháp công nghệ thông

tin và truyền thông (ICT) toàn cầu, phối hợp với các chính phủ, khách hàng và các bên liên

quan khác để tiến hành những quy tắc trên và đáp ứng được những yêu cầu về đảm bảo an

ninh mạng của các bên một cách cởi mở, minh bạch và với thái độ hợp tác.

9 Đôi nét về Huawei

Huawei hoạt động trên hơn 140 quốc gia, các sản phẩm và giải pháp của chúng tôi phục vụ

hơn một phần ba dân số thế giới. Có 150.000 nhân viên đang làm việc cho Huawei với độ tuổi

trung bình là 31. Bình quân, 73% nhân viên trong công ty chúng tôi là được tuyển dụng ngay

tại các quốc gia mà công ty hoạt động. Tính đến năm 2012, chúng tôi đã triển khai hơn 130

mạng lưới thương mại LTE và hơn 70 mạng lưới thương mại EPC, đứng đầu trên toàn thế

giới.

Huawei có vai trò dẫn đầu trong ngành thông qua việc không ngừng cải tiến, đồng thời có một

trong những danh mục Quyền sở hữu trí tuệ IPR quan trọng nhất trong ngành viễn thông.

Huawei luôn tôn trọng và bảo vệ Quyền sở hữu trí tuệ của các công ty và các cá nhân khác.

Công ty chúng tôi đầu tư 10% doanh thu hàng năm vào Nghiên cứu và Phát triển R&D và

45% nhân viên đều được tham gia vào chương trình này. Năm 2012, Huawei đã đầu tư 4,8 tỉ

USD vào chương trình Nghiên cứu và Phát triển, chiếm 13,7% tổng doanh thu năm đó. Tổng

mức đầu tư và R&D trong thập kỷ qua đã vượt mức 19 tỉ USD.

Tính đến cuối năm 2012, Huawei đã đưa ra 41.918 ứng dụng sáng chế tại Trung Quốc, 12.453

ứng dụng theo Hiệp ước Hợp tác Sáng chế (PCT) và 14.494 ứng dụng ra nước ngoài. Chúng

tôi đã được cấp 30.230 bằng sáng chế, 90% trong số đó là các sáng chế phát minh. So sánh về

số lượng, Huawei chú trọng nhiều hơn tới giá trị thương mại cũng như chất lượng của các

Quyền sở hữu trí tuệ. Huawei nắm giữ hơn 15% sáng chế cơ bản về công nghệ truyền thông

không dây thế hệ mới LTE và đang ở vị trí dẫn đầu về sáng chế trong FTTP (Kết nối mạng

bằng cáp quang đến tận nhà), OTN (Mạng Truyền tải Quang), G.711.1 (Phát thanh Băng rộng

Cố đinh),… Việc bảo vệ Quyền sở hữu trí tuệ do đó cũng trở nên hết sức quan trọng đối với

thành công hiện tại của Huawei, và bởi điều này, Huawei trở thành công ty dẫn đầu trong việc

bảo vệ Quyền sở hữu trí tuệ.

Chúng tôi có 16 trung tâm Nghiên cứu và Phát triển trên toàn thế giới, 28 trung tâm sáng tạo

chung, và 45 trung tâm đào tạo. Nhìn chung, 68% doanh thu mà công ty chúng tôi thu được là

từ bên ngoài Trung Hoa Đại lục, và 70% nguồn nguyên liệu của chúng tôi là từ các công ty

liên kết nước ngoài. Hoa Kỳ là nhà cung cấp các phụ kiện lớn nhất của chúng tôi với 32% --

tương đương với 5,72 tỉ USD Huawei bỏ ra để mua các nguyên vật liệu từ các công ty của Mỹ

trong năm 2012.

Chúng tôi cung cấp các dịch vụ quản lý cho hơn 120 nhà điều hành trên hơn 70 quốc gia để

giúp các khách hàng đạt được sự quản lý tuyệt hảo và chúng tôi cũng đã thu về tổng cộng hơn

330 hợp đồng dịch vụ quản lý. Huawei đã xây dựng các giải pháp IT nền tảng điện toán đám

mây và cộng tác với hơn 400 đối tác để thúc đẩy ứng dụng thương mại công nghệ điện toán

đám mây trong rất nhiều ngành. Vào tháng 8 năm 2013, chúng tôi đã giúp khách hàng trên

toàn thế giới thành lập 330 trung tâm dữ liệu, bao gồm 70 trung tâm dữ liệu điện toán đám

mây.

Vào năm 2012, Huawei đã bán được 32 triệu điện thoại di động thông minh trên toàn thế

giới, tăng 60% so với năm 2011. Việc vận chuyển và giao thiết bị được tính toán tổng cộng là

127 triệu đơn vị, bao gồm 52 triệu điện thoại di động, 50 triệu thiết bị kết nối băng thông rộng

di động và 25 triệu thiết bị đầu cuối kết nối tại nhà.

Huawei đang rất tâm huyết trong việc hỗ trợ cho các chuẩn mực quốc tế chủ đạo và chủ động

gió phần vào việc tạo lập các tiêu chuẩn tương tự. Đến cuối năm 2012, Huawei đã tham gia

vào hơn 150 tổ chức tiêu chuẩn công nghiệp, có thể kể đến như 3GPP, IETF, ITU (Liên hiệp

Viễn thông Quốc tế), TMF (Diễn đàn Quản lý Viễn thông), ATIS,và tổ chức Open Group,

ngoài ra còn có các tổ chức khác. Tổng cộng, Huawei đã đệ trình hơn 5.000 kiến nghị lên các

cơ quan tiêu chuẩn và chúng tôi đã nắm giữ hơn 180 vị trí trong các tổ chức hỗ trợ việc tiến

đến đồng lòng và nhất trí đối với các tiêu chuẩn quốc tế.

Tính tới ngày 31 tháng 12 năm 2012, 74.253 nhân viên của chúng tôi đã mua vốn chủ sở hữu

của công ty. Kế hoạch Sở hữu Cổ phần của Nhân viên có mối quan hệ chặt chẽ với sự phát

triển liên kết lâu dài của Huawei với đóng góp cá nhân của các nhân viên và tạo một cơ chế

bền vững, lâu dài cho sự cống hiến và chia sẻ công lao. Điều này mang đến cho chúng tôi khả

năng có được tầm nhìn lâu dài; nó cũng đảm bảo rằng chúng tôi có thể cân bằng rủi ro với

việc khen thưởng và chiến lược. Các nhân viên biết rằng, nếu công ty chúng tôi không vượt

trội hơn trong việc phục vụ khách hàng so với các công ty khác, hoặc nếu chúng tôi tiến hành

những hoạt động không phù hợp, thì vốn sở hữu cũng như tiền trợ cấp của họ cũng sẽ bị ảnh

hưởng.

Bản quyền © Công ty TNHH Công nghệ Huawei. Bảo lưu mọi quyền.

Bạn chỉ có thể sao chép và sử dụng tài liệu này với mục đích tham khảo cá nhân. Ngoài ra không được

sử dụng với bất cứ mục đích nào khác.

Tài liệu này được cung cấp “nguyên trạng” mà không có bất cứ bảo hành nào khác, được nói rõ hoặc

ám chỉ. Tất cả các quyền bảo hành đều sẽ tuyệt đối bị hủy bỏ. Sẽ không có bất cứ bảo hành nào cho

việc không vi phạm, khả năng tiêu thụ, và phù hợp với mục đích cụ thể nào đó. Huawei sẽ không chịu

trách nhiệm đối với tính chính xác của thông tin được trình bày trong tài liệu. Bất cứ thông tin nào

được cung cấp trong tài liệu này đều dựa trên hiệu đính, xem xét và thay đổi mà không cần thông báo.

Rủi ro từ việc sử dụng, hoặc dựa trên, các thông tin được cung cấp trong tài liệu sẽ chỉ do bạn gánh

chịu. Tất cả thông tin về bên thứ ba được cung cấp trong tài liệu này đều được lấy từ các nguồn thông

tin chung hoặc thông qua các báo cáo và tài khoản đã được công bố.

HUAWEI, và là nhãn hiệu hoặc thương hiệu đã được đăng ký của Công ty TNHH Công nghệ

Huawei.

Tất cả tên và nhãn hiệu của các công ty khác được nhắc đến trong tài liệu này đều thuộc sở hữu của

riêng công ty đó.