Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
Viễn cảnh An ninh mạng Đưa an ninh mạng trở thành một thành tố trong DNA của
công ty – Một bộ các tiêu chuẩn, chính sách và quy trình tích
hợp
John Suffolk
Phó Chủ tịch Cấp cao | Giám đốc An ninh Mạng Toàn
cầu
Huawei Technologies
Tháng 10/2013
Lời tác giả
Cuốn sách này được đồng biên soạn bởi nhiều đồng sự ưu tú trên
toàn thế giới. Vai trò của tôi chỉ đơn giản là biên tập lại các công
trình của họ thành một cuốn sách trắng sao cho có thể truyền tải
được vị thế và quan điểm thực tiễn của Huawei về bảo mật không
gian mạng - Cyber Security (an ninh mạng) một cách rõ ràng và
nhất quán. Tôi hy vọng mình đã đánh giá các công trình đó một
cách xứng đáng.
Tôi xin gửi lời cảm ơn chân thành và sâu sắc tới những người đã
đưa ra cho tôi những ý kiến góp ý quý báu, họ đã có đóng góp
đáng ghi nhận cho tài liệu này, đó là: Jeff Nan (Jianfeng), Jupiter
Wang (Weijian), Penny Peng (Liwei), David Francis, Huang
Shasha, Andy Purdy, Eric Zhang (Bo), Debu Nayak, March Ma
(Hongwei), Peter Rossi, Jerry Liu (Chenxi), Micheal Moore,
Harry Liu (Haijun), Andy Hopkins, Liang Yonggang, Xue
Yongbo, Mu Dejun, Wout van Wijk, William Plummer, Brent
Hooley, Olaf Reus, Scott Sykes, Scott Bradley, Ruri Tomioka,
Daisy Li (Lidong) Sam Liu (Liusong), Brian Liu (Liubin),
Ludovic Petit, Ulf Feger và những người khác đã trực tiếp hoặc
gián tiếp đóng góp công sức vào tài liệu này. Xin thứ lỗi nếu tôi
quên không nhắc tới tên bạn, và xin cảm ơn vì những đóng góp
của bạn.
John Suffolk
Mục Lục
Tháng 10 năm 2013
1 Lời mở đầu ...................................................................................................................................................... 5
2 Tóm tắt ............................................................................................................................................................ 7
3 Giới thiệu ....................................................................................................................................................... 10
4 Điều chúng tôi công bố 12 tháng trước ......................................................................................................... 11
5 Bảo vệ tương lai – an ninh cho thế giới ngày mai ......................................................................................... 13
6 Vấn đề với những tiêu chuẩn là chúng không hề đạt tiêu chuẩn ........................................................................ 14
6.1. Top 100 điều khách hàng hỏi chúng tôi về vấn đề bảo mật ........................................................................ 15
7 Phương pháp an ninh mạng end-to-end của Huawei .......................................................................................... 15
7.1 Chiến lược, quản trị, và kiểm soát ............................................................................................................... 18
7.2 . Xây dựng các vấn đề cơ bản: các quy trình và tiêu chuẩn ......................................................................... 21
7.3 Luật pháp và quy định ................................................................................................................................. 23
7.4 Vấn đề về con người ............................................................................................................................ 25
7.5 Nghiên cứu và phát triển ...................................................................................................................... 28
7.5.1 Quản lý khâu thiết lập cấu hình và Trung tâm xây dựng ................................................................. 30
7.5.2 Quản lý công cụ và các thành phần của bên thứ ba ......................................................................... 32
7.6 Kiểm tra: Không giả định, không tin tưởng ai, kiểm tra mọi thứ ......................................................... 33
7.7 Quản lý nhà cung cấp bên thứ ba. ....................................................................................................... 36
7.7.1 Chuỗi cung ứng ............................................................................................................................... 36
7.2.2 An ninh trong công tác cung ứng ..................................................................................................... 38
7.8 Sản xuất................................................................................................................................................ 40
7.10 Khi gặp sự cố: Vấn đề, sai sót, phát hiện và giải pháp khắc phục yếu điểm bảo mật ................................ 45
7.11 Khả năng truy xuất nguồn gốc: Mò kim đáy biển ..................................................................................... 49
7.12 Kiểm toán ............................................................................................................................................. 50
8 Cùng tiến về phía trước – nhấn nút reset bảo mật ......................................................................................... 51
9 Đôi nét về Huawei ........................................................................................................................................ 53
DANH MỤC HÌNH
Hình 1.Cơ cấu quản trị an ninh mạng giản đơn ..................................................................................................... 20
Hình 2. Kiến trúc quy trình tổng thể ...................................................................................................................... 22
Hình 3: Đưa an ninh mạng vào các quy trình Nhân lực ....................................................................................... 25
Hình 4. Quản lý thị trường đối với Phát triển Sản phẩm tích hợp ......................................................................... 28
Hình 5. An ninh tích hợp trong quá trình IPD ....................................................................................................... 30
Hình 6. Phương pháp kiểm tra độc lập đa tầng...................................................................................................... 34
Hình 7. Mô hình quản lý nhà cung cấp ................................................................................................................. 38
Hình 8. Phương pháp tiếp cận truy xuất mã vạch .................................................................................................. 42
Hình 9. Tổng quan cung cấp dịch vụ ..................................................................................................................... 44
Hình 10. Tích hợp PSIRT với các quy trình khác ................................................................................................. 46
Hình 11. Quy trình PSIRT/CERT.......................................................................................................................... 48
Hình 12. Sơ đồ truy xuất ngược và chuyển tiếp phần mềm ................................................................................... 49
Hình 13. Sơ đồ khả năng truy xuất ngược và chuyển tiếp ..................................................................................... 50
1 Lời mở đầu
Bảo mật không gian mạng (an ninh mạng) tiếp tục trở thành vấn đề thu hút sự quan tâm sâu
sắc từ các khách hàng của công ty chúng tôi và chính phủ các nước, cũng như các nhà cung
cấp; an ninh mạng trở thành vấn đề trọng tâm của Huawei và công tác đảm bảo an ninh mạng
là một trong những chiến lược cốt lõi của công ty.
Chúng tôi tin rằng chỉ khi tất cả chúng ta cùng hợp tác trên phạm vi quốc tế, với cương vị là
các nhà cung cấp, khách hàng và các nhà hoạch định chính sách, nhà lập pháp, thì chúng ta
mới có thể tạo nên sự khác biệt lớn khi đối mặt với thách thức an ninh mạng toàn cầu. Chúng
tôi cũng tin tưởng rằng chúng ta cần chia sẻ kiến thức và sự hiểu biết về những gì nên và
không nên làm để giảm thiểu rủi ro người dùng sử dụng công nghệ vì những mục đích không
mong muốn.
Nếu tồn tại một câu trả lời hoặc một giải pháp đơn giản cho thách thức an ninh mạng, thì có lẽ
giờ người ta đã tìm ra và áp dụng nó. Tuy nhiên, một sự thực rõ ràng là cả thế giới vẫn tiếp
tục tranh luận về các tiêu chuẩn, bộ luật, quy tắc và quy phạm, cho thấy chúng ta vẫn chỉ đang
bước đi những bước đầu tiên – chúng ta cần chia sẻ những điều gì nên làm, để những người
khác có thể áp dụng và nâng cấp lên.
Cuốn sách trắng này là sự đóng góp nho nhỏ cho lượng kiến thức góp nhặt của chúng tôi và
chúng tôi đã viết cuốn sách này để giúp mọi người hiểu rõ hơn về một số chính sách, quy
trình và sự thay đổi liên quan tới an ninh mạng mà các nhà cung cấp như Huawei đang cân
nhắc. Chúng tôi mong rằng cuốn sách này sẽ hữu dụng khi quý độc giả đọc nó và hoan
nghênh những ý kiến phản hồi và những góp ý mang tính xây dựng của quý độc giả về những
nội dung mà quý vị tin là chúng tôi nói riêng, cũng như toàn ngành nói chung, cần phải thực
hiện để hoàn thiện hơn nữa hướng tiếp cận mà chúng tôi sử dụng để thiết kế, xây dựng và
triển khai một nền công nghệ an toàn hơn.
Cụ thể, với tư cách là Phó chủ tịch Hội đồng Quản trị của Huawei kiêm Chủ tịch của
Ủy ban An ninh mạng toàn cầu của Huawei, tôi mong muốn vị thế của công ty mình
được rõ ràng. Chúng tôi có thể xác nhận rằng chúng tôi chưa từng nhận được bất kỳ
chỉ thị hoặc yêu cầu nào từ các Chính phủ hoặc cơ quan chính phủ về việc thay đổi địa
vị, chính sách, quy trình, phần cứng, phần mềm hoặc công tác tuyển dụng hay các vấn
đề khác, ngoài gợi ý tăng cường khả năng an ninh mạng đầu cuối của chúng tôi.
Chúng tôi có thể xác nhận rằng chúng tôi chưa từng nhận được yêu cầu cung cấp
quyền tiếp cận công nghệ của chúng tôi hay cung cấp bất kỳ dữ liệu hoặc thông tin
nào về bất kỳ công dân hay tổ chức nào khác cho Chính phủ hoặc các cơ quan chính
phủ.
Chúng tôi khẳng định rằng chúng tôi sẽ kiên định theo đuổi cam kết tiếp tục hợp tác
với các bên liên quan để tăng cường hơn nữa khả năng cũng như tính hiệu quả trong
công tác thiết kế, phát triển và triển khai công nghệ bảo mật.
Chúng tôi tin chắc rằng thế giới sẽ trở nên tốt đẹp hơn khi tối đa hóa những lợi ích mà việc sử
dụng công nghệ mang lại, giúp nâng cao đời sống con người, và giúp nền kinh tế phát triển.
Huawei sẽ tiếp tục áp dụng phương pháp tiếp cận mở và minh bạch cùng vị thế chịu trách
nhiệm đối với hoạt động của công ty và trong mọi việc chúng tôi làm.
(Đã ký)
Ken Hu
Phó Chủ tịch Hội đồng Quản trị của Huawei kiêm
Chủ tịch Ủy ban An ninh mạng Toàn cầu Huawei
2 Tóm tắt
Chúng ta đang sống trong một thế giới kết nối toàn cầu phải đối mặt với nhiều mối đe dọa
mạng ở khắp nơi trên toàn cầu. Những mối đe dọa này không bị giới hạn bởi ranh giới địa lý
và nhắm tới toàn bộ công nghệ, nhà cung cấp phần mềm/phần cứng/dịch vụ cũng như những
người sử dụng - khách hàng, cũng như khu vực công và khu vực tư nhân. Các mối đe dọa
luôn ở mức độ cao, xét về mức độ tinh vi và số lượng, và vẫn có xu hướng tiếp tục còn tăng
cao.
Câu thần chú cho an ninh mạng của chúng tôi từ trước tới nay luôn là: “Không giả định điều
gì, Không tin bất kỳ ai và Kiểm tra mọi thứ”
Một năm về trước, Huawei phát hành cuốn Sách trắng về Bảo mật không gian mạng đầu tiên,
thể hiện ý định và cam kết hợp tác với các bên liên quan thuộc khu vực công và tư để cùng tận
dụng những lợi ích mà công nghệ và quá trình toàn cầu hóa mang lại khi đối mặt với những
thách thức có liên quan một cách hợp lý và thiết thực.
Chúng tôi đã mô tả một môi trường mà ở đó đời sống cá nhân cũng như hoạt động của các
doanh nghiệp được kết nối thông qua các cơ sở hạ tầng viễn thông có mối liên hệ toàn cầu
được xây dựng trên nền tảng các công nghệ do nhiều nhà cung cấp công nghệ thông tin và
truyền thông (ICT) cung cấp, nhận được các nguồn cấp đầu vào từ một bộ phận toàn cầu rộng
lớn và từ hệ sinh thái của các nhà cung cấp dịch vụ.
Chúng tôi miêu tả chi tiết cách thức mà tất cả chúng tôi được tín nhiệm trong lĩnh vực công
nghệ, và làm thế nào để cuộc cải cách kỹ thuật số khiến cho thế giới trở nên nhỏ bé hơn, dễ
bao quát hơn, thúc đẩy sự phát triển xã hội, giúp cải tiến nền giáo dục, các dịch vụ y tế phổ
biến và có chất lượng tốt hơn, và nâng cao trải nghiệm cho nhân loại nói chung.
Đồng thời, chúng tôi hiểu rằng quá trình toàn cầu hóa, mối quan hệ tương liên phụ thuộc lẫn
nhau và quá trình số hóa cuộc sống cũng mang lại những thách thức cho những người mong
muốn sử dụng công nghệ cho các mục đích sai trái– để ăn cắp, hối lộ hoặc phá hoại.
Bảo vệ tương lai – an ninh cho thế giới ngày mai
Quay trở lại với các đề tài chính này trong cuốn Sách trắng về Bảo mật không gian mạng thứ
hai này, chúng tôi sẽ tiếp tục đào sâu chi tiết để đưa ra cái nhìn tổng quan về phương thức tiếp
cận chúng tôi dùng để thiết kế, xây dựng và phát triển công nghệ mà trong đó chúng tôi đưa
vào những cân nhắc về bảo mật không gian mạng. Chúng tôi sẽ trình bày và phân tích chiến
lược tổng thể và mô hình cơ cấu quản trị, các quy trình và tiêu chuẩn hoạt động hàng ngày của
chúng tôi, hiểu biết về những quy định pháp luật quốc tế và sở tại, cách thức tiếp cận các
nguồn nhân lực cũng như công tác nghiên cứu phát triển, và chúng tôi cam kết tiếp tục thực
hiện các quy trình, nguyên tắc thẩm định trên phương châm “Không giả định điều gì, Không
tin bất kỳ ai và Kiểm tra mọi thứ”.
Ngoài ra, chúng tôi cũng vạch ra những chi tiết đóng vai trò quan trọng trong phương pháp
tiếp cận của chúng tôi để quản lý các nhà cung cấp bên thứ ba, quản lý chuỗi cung ứng và các
công tác đầu thầu, cũng như cách thức chúng tôi sử dụng để quản trị và bảo mật quy trình sản
xuất và cung cấp dịch vụ, đồng thời mô tả sâu hơn các quy trình liên quan tới công tác kiểm
toán, truy xuất nguồn gốc và nhận diện sai lỗi và điểm yếu bảo mật cũng như các giải pháp sử
dụng.
Cuốn sách trắng này vạch ra những xu hướng số chủ chốt từ bản chất thiết yếu của Internet
trong mọi hoạt động của chúng ta, cho tới sự tự do mà Internet mang lại cho những phong
cách, lối sống kết nối mọi lúc-mọi nơi, cho tới những viễn cảnh kinh doanh không biên giới,
tới triển vọng về công nghệ Cloud - công nghệ điện toán đám mây, một nguồn tri thức tập thể
mới mẻ, mạnh mẽ, và năng động. Chúng tôi cũng trình bày làm cách nào để các luồng thông
tin rộng lớn và thông minh hơn có thể đạt tới mức “không khoảng cách” giữa những người sử
dụng và các mạng lưới, kết nối mọi khả năng mới mẻ trong làn sóng mới của xã hội số, và
làm sao để thế giới thực và thế giới số có thể giao thoa, hội tụ với nhau, và xu hướng the
Internet of Things - Kết nối mọi thứ sẽ mang lại những thay đổi đột phá cho toàn nhân loại.
Khi trình bày các lợi ích hiện tại và trong tương lại của công nghệ, chúng tôi vẫn quan tâm tới
các thách thức song hành với những lợi ích đó, xét về khía cạnh bảo mật mạng, bảo mật dữ
liệu và tính toàn vẹn của dữ liệu, chúng tôi muốn nhấn mạnh rằng tại Huawei, khi xét tới vấn
đề an ninh, bảo mật thì chúng tôi không chỉ xử lý những vấn đề của ngày hôm qua, hay thậm
chí là những vấn đề chúng tôi gặp phải ngày hôm nay, mà còn tập trung cả vào việc đặt nền
tảng để bảo vệ thế giới của ngày mai, một thế giới khác xa so với thế giới hiện tại.
Vấn đề đối với các tiêu chuẩn là chúng không hề chuẩn
Dõi mắt nhìn vào tương lai, chúng tôi nhận ra cần phải có các tiêu chuẩn ngành ở cấp quốc tế
đối với an ninh mạng. Chính phủ các nước, các doanh nghiệp và các nhà cung cấp công nghệ
càng trình bày chi tiết về các tiêu chuẩn thông thường, càng hiểu rõ mục đích và đóng góp
tích cực của chúng và cam kết áp dụng các tiêu chuẩn này một cách hiệu quả, thì thế giới sẽ
càng đồng tình trong cách nhìn nhận“thế nào là tốt”. Điều này không phải về việc giải quyết
mọi vấn đề, mà nhằm có được một sự thống nhất chung khi xác định chúng ta đang nỗ lực
giải quyết những vấn đề gì và bằng cách nào.
Thực tế, vấn đề đối với các tiêu chuẩn là bản thân chúng lại không hề chuẩn. Chúng tôi xin
nhấn mạnh rằng đây là một thách thức trên phạm vi toàn cầu và toàn ngành. Ngay khi ngành
ICT phá vỡ những tiêu chuẩn kỹ thuật và quy luật toàn cầu, ngàn phải làm việc cùng nhau để
đảm bảo lợi ích cho xã hội số thông qua các phương thức tiếp cận an ninh thông thường và
tiêu chuẩn. Chúng tôi tin rằng một trong những thách thức lớn nhất mà các nhà cung cấp và
người mua công nghệ phải đối mặt chính là tình trạng có quá nhiều tiêu chuẩn và cách làm tốt
nhất.
Công trình thực hiện tại Châu Âu và Mỹ về chủ đề này đã khích lệ chúng tôi và bản thân
chúng tôi cũng đã nắm bắt cơ hội để lập tài liệu về 100 câu hỏi thường gặp nhất về an ninh từ
khách hàng. Nội dung các câu hỏi đó tuy không phải là chuẩn nhưng thực sự chúng tập trung
vào những yếu tố then chốt tạo nên thành công trong công tác bảo mật không gian mạng qua
con mắt đánh giá của khách hàng.
Hướng tiếp cận an ninh mạng đầu cuối của Huawei
Huawei không tự nhận rằng chúng tôi có cách tiếp cận tốt nhất hay toàn diện nhất khi đối mặt
với nhữn thách thức về không gian mạng hay những thách thức có liên quan khác. Chúng tôi
hiểu rằng còn nhiều việc phải làm đối với vấn đề còn nhiều diễn biến phức tạp này. Cuốn sách
trắng này tập trung chi tiết vào cách tiếp cận đầu cuối end-to-end của chúng tôi, đáp lại ý kiến
phản hồi lớn nhất mà chúng tôi đã nhận được liên quan tới cuốn sách trắng năm ngoái, như đã
được phản hồi từ nhiều cuộc hội thoại giữa công ty chúng tôi và khách hàng, chính phủ và các
bên liên quan khác: “Xin cung cấp thêm thông tin chi tiết về cách tiếp cận an ninh mạng đầu
cuối của quý công ty”.
Chúng tôi tích cực khuyến khích input cho các quy trình của chúng tôi, và rộng hơn là trong
các phương pháp để đối mặt với những thách thức chung của toàn ngành mà chúng ta đang
phải đối mặt. Hy vọng nhỏ bé nhất của chúng tôi chỉ là cuốn sách trắng này có tác dụng như
một chất xúc tác cho cuộc đối thoại công -tư, được thông báo phù hợp trên tinh thần hợp tác
nhằm đạt được các mục đích và mục tiêu an ninh mạng thông thường.
3 Giới thiệu
Nếu vấn đề an ninh mạng có thể dễ dàng được giải quyết, chúng tôi sẽ không phải ngồi viết
cuốn sách trắng này. Sự thực là không thể có câu trả lời dễ dàng hoặc thấu đáo cho thách thức
này. An ninh mạng vốn là một vấn đề quá rộng, có quá nhiều thiết bị được kết nối với mạng
internet có mức độ bảo mật khác nhau, phần cứng và phần mềm có yếu điểm bảo mật, tỷ lệ
thay đổi công nghệ quá lớn, và những người có ý định xấu chỉ cần làm thành công một lần
trong khi những người bảo vệ an ninh mạng cần phải luôn luôn thành công.
Trong cuốn Sách trắng đầu tiên về Bảo mật không gian mạng với tiêu đề “Công nghệ và bảo
mật thế kỉ 21 – cuộc hôn nhân nhiều khó khăn” được xuất bản vào tháng 9 năm 2012, chúng
tôi đã đóng góp vào một cuộc tranh luận trên diện rộng toàn cầu sự cần thiết phải hợp tác để
giảm thiểu rủi ro từ các vụ tấn công an ninh mạng.
Sau lần xuất bản trước, cuộc tranh luận vẫn tiếp tục diễn ra ác liệt, các thách thức vẫn tiếp tục
nối tiếp nhau, và chính phủ cũng như khách hàng, tiếp tục định rõ, cải tiến và thực hiện các
chiến lược tương ứng.
Trong cuốn sách trắng này, chúng tôi tập trung chú ý vào công tác quản trị, chiến lược, chính
sách và quy trình của Huawei liên quan tới an ninh mạng. Chúng tôi đặt ra mục tiêu trình bày
ở mức độ chi tiết hơn, thực tiễn hơn so với cuốn trước về cách đưa an ninh mạng trở thành
một thành tố trong DNA của công ty. Nhờ đó, chúng tôi đang cố gắng để một mặt nhắm tới sự
cân bằng hợp lý giữa việc trình bày ngắn gọn và, mặt khác, vẫn đáp ứng cung cấp đủ thông tin
nhằm đóng góp vào cuộc đối thoại an ninh mạng. Chúng tôi mong rằng tài liệu này giúp nâng
cao hiểu biết của quý vị về phương thức tiếp cận của chúng tôi, để tiếp tục tăng cường độ an
toàn, bảo mật và chất lượng sản phẩm và dịch vụ của chúng tôi.
Tuy nhiên, không có tài liệu nào có thể trình bày đầy đủ, chi tiết về mọi chính sách, quy trình,
quy trình mẫu và hướng dẫn thực hiện cho một tổ chức lớn và phức tạp như Huawei. Trong
hoàn cảnh như vậy, tài liệu này chỉ nhằm mục đích đưa ra được chỉ dẫn phù hợp cho chiến
lược an ninh mạng đầu cuối của chúng tôi nhằm đóng góp vào một cuộc đối thoại công khai
về các vấn đề quan trọng này.
4 Điều chúng tôi công bố 12 tháng trước
Cuốn sách trắng đầu tiên của chúng tôi, “Công nghệ và bảo mật thế kỉ 21 – cuộc hôn nhân
nhiều khó khăn” đã được xuất bản rộng rãi và được giới truyền thông nhận xét về:
Thực tế rằng an ninh mạng có thể không tốt cho công việc kinh doanh
Chuỗi cung ứng ICT thế giới đã hòa lẫn với nhau và không thể gọi bất kỳ thiết bị ICT
nào là “của nước ngoài”
Tất cả chúng ta phải thận trọng không để mạng internet trở thành một “miền Tây
hoang dã” không có luật pháp.
Giải quyết hoặc giảm thiểu rủi ro từ các thách thức an ninh mạng đòi hỏi tất cả người
chơi toàn cầu phải hợp tác.
Cuốn sách trắng đầu tiên cho thấy làm cách nào để chúng tôi trở thành một đối tác công nghệ
đáng tin cậy và các lợi ích cơ bản mà công nghệ mang lại cho loài người. Công nghệ giúp cho
thế giới trở nên nhỏ bé hơn, dễ bao quát hơn và tương liên chặt chẽ hơn. Công nghệ giúp xã
hội phát triển, cải thiện nền giáo dục và y tế, đồng thời tạo nên sự thay đổi trong năng lực
quốc gia cũng như tăng cường khả năng cạnh tranh cho các doanh nghiệp trên trường quốc tế.
Chúng tôi trình bày chi tiết sự phát triển nhanh chóng của các thiết bị được nối mạng, việc sử
dụng các ứng dụng trên các thiết bị này và sự nổi lên của của công nghệ điện toán đám mây.
Một môi trường mà ở đó bạn có thể kế thừa và sử dụng chuỗi cung ứng toàn cầu, đồng thời
được kết nối toàn cầu nhờ các cơ sở hạ tầng viễn thông có nối mạng với công nghệ do nhiều
nhà cung cấp ICT khác nhau cung cấp trong cuộc sống cá nhân hàng ngày của bạn cũng như
trong công việc. Trong tình hình phức tạp như này, hệ sinh thái pha trộn đặt ra tiềm năng cho
những ai muốn sử dụng công nghệ vào các mục đích sai trái, để trộm cắp, hối lộ và phá hoại
công nghệ hoặc cơ sở hạ tầng.
Chúng tôi trình bày chi tiết hệ thống các nhà cung cấp của Huawei và giải thích rằng có tên
Huawei trên vỏ hộp không có nghĩa là toàn bộ linh kiện đều là của Huawei. Thực chất có tới
70% linh kiện có trong danh mục đầu tư của Huawei đều không phải xuất phát từ Huawei, mà
từ chuỗi cung ứng toàn cầu mà Hoa Kỳ làm nhà cung cấp linh kiện lớn nhất chiếm khoảng
32%. Chúng tôi cung cấp các số liệu thống kê và thông tin cho thấy nhiều nhà cung cấp ICT
Phương Tây có các trung tâm R&D lớn tại Trung Quốc và chỉ trong phạm vi một thành phố
Thành Đô, đã có tới 189 công ty trong số 500 công ty được xếp hạng bởi tạp chí Fortune có
trụ sở đóng tại thành phố này- hiện nay con số này đã lên tới 250. Việc này diễn ra rất thường
xuyên trên toàn thế giới do các công ty đặc cá cơ sở nghiên cứu và phát triển cũng như các
dịch vụ hỗ trợ của họ tại các quốc gia nơi thuận tiện nhất cho các hoạt động đó.
Chúng tôi thành thực về vai trò của chính phủ trong việc sử dụng công nghệ để thúc đẩy các
mục tiêu của họ và chúng tôi nghi ngờ về thông điệp sự thiếu nhất quán cho thấy một chính
phủ một số nước chỉ trích các công ty nếu họ không đồng tình hoặc với các công ty cạnh tranh
với các công ty của họ, nhưng đồng thời lại đi mua các những sản phẩm lợi dụng lỗ hổng
zero-day1 và sử dụng công nghệ để đẩy mạnh nền kinh tế và thế mạnh chính trị của chính họ
nhờ vào chi phí của các bên khác. Thực sự, chúng tôi cũng phê phán chính phủ và các nhà
chính trị một số quốc gia đang sử dụng an ninh mạng làm rào chắn thương mại mà không đưa
1 Tấn công hoặc đe dọa zero-day (hoặc zero-hour hoặc day zero) là đe dọa hoặc tấn công là một cuộc tấn công
khai thác các lỗi chưa công bố trong hệ thống máy tính, có nghĩa là cuộc tấn công xảy ra ngay tức thì khi nhận ra
lỗ hổng. Điều này có nghĩa là nhà phát triển phần mềm phải ngay lập tức xác định và sửa lỗ hổng.
ra bất kỳ bằng chứng thực tế nào để củng cố nỗ lực của họ trong việc ngăn chặn các công ty
xâm nhập thị trường của họ.
Chúng tôi cũng trình bày cách tiếp cận của Huawei với an ninh mạng và trình bày vô cùng chi
tiết cách chúng tôi xây dựng an ninh mạng trong mọi hoạt động của chúng tôi, và cũng như
trình bày tổng quát về cách chúng tôi thực hiện được điều đó.
Cuối cùng, chúng tôi kêu gọi cần chú trọng vào việc hài hòa và minh bạch hóa luật pháp có
cân nhắc tới một số thông tin tiết lộ gần đây về các cơ quan chính phủ và vai trò của một số
doanh nghiệp mà chúng tôi nghĩ giờ đây vẫn đề này cấp bách hơn cả.
5 Bảo vệ tương lai – an ninh cho thế giới ngày mai
Trong một bài diễn văn với tiêu đề “Làn sóng mới của Xã hội số”2, Phó chủ tịch của công ty
chúng tôi, ông Ken Hu đã chia sẻ những hiểu biết sâu sắc của ông đối với bốn xu hướng trong
xã hội số.
Thứ nhất, Internet sẽ trở thành một yếu tố cơ bản trong tư duy kinh doanh.
Thứ hai, công tác làm việc linh hoạt được hỗ trợ bởi tính lưu động sẽ trở thành lựa
chọn lối sống cơ bản, các doanh nghiệp không biên giới sẽ trở thành hình thức thiết yếu trong
hoạt động kinh doanh.
Thứ ba, thông qua việc sử dụng Internet, điện toán đám mây, và các dữ liệu lớn một
cách có hiệu quả, loài người có thể tận dụng tri thức nhân loại và máy móc trên toàn thế giới
để làm đòn bẩy tạo ra một nền tri thức mới được kết nối và sẻ chia.
Cuối cùng, khi mạng Internet và các phương tiện truyền thông xã hội tiếp tục trở nên
phổ biến, hành vi và sở thích của khách hàng và các nhân sẽ giao thoa với nhau, và các phép
phân tích trí tuệ có thể được tận dụng phục vụ các lợi ích kinh doanh. Vì hệ quả là khi ranh
giới giữa các thị trường nhỏ lẻ và thị trường nội địa đang ngày càng không rõ ràng, thì các
doanh nghiệp phải tiến hành kinh doanh trên phạm vi toàn cầu.
Như chúng ta hy vọng, công nghệ 5G được mong đợi đạt được tốc độ gấp 100 lần băng thông
không dây nhanh nhất hiện nay. Là đơn vị tiên phong trong nghiên cứu và tiêu chuẩn hóa 5G
toàn cầu, Huawei cam kết sẽ mang lại các luồng thông tin rộng hơn, thông minh hơn để đạt
được mức “không khoảng cách” giữa người sử dụng và các mạng, cuối cùng kết nối các khả
năng trong làn sóng mới của thế giới số.
Trong một bản báo cáo mang tên “Vượt trên ICT, tiếp tục cuộc cách mạng số tiếp theo,”3
chúng tôi có nói rằng chúng tôi tin tưởng thế kỷ vừa qua đã chứng kiến nhiều làn sóng tiến bộ
khả thi nhờ các công nghệ thông tin, bao gồm các công nghệ được dùng trong truyền thông
(điện báo, điện thoại và phát thanh), giải trí tại nhà (đài radio, TV), máy tính, và mạng
Internet. Công nghệ thông tin giúp cho kinh tế khắp thế giới tăng trưởng và định hình lại cách
thức mọi người sống và làm việc. Hiện tại, chúng tôi đang phát triển một “xã hội trên bánh
xe” thành một “xã hội trên internet”. Tuy nhiên, các hệ thống thông tin vẫn được là các công
cụ phụ trợ và hệ thống hỗ trợ, giữ cho thế giới số và thế giới thực tồn tại song song và ngăn
cách rõ ràng. Giờ đây, khi thế giới số và thế giới thực bắt đầu hợp nhất, thì sự phát triển của
khái niệm the Internet of Things - kết nối moi thứ đã chứng minh nó là chất xúc tác hữu hiệu
cho sự phát triển dựa trên thông tin và chắc chắn sẽ mang lại thay đổi đột phá cho toàn bộ
nhân loại.
Vượt lên trên thông tin và truyền thông, việc thế giới số và thế giới thực ngày càng tích hợp
vào nhau sẽ dẫn tới một cuộc cách mạng số mới.
Sự phụ thuộc nặng nề vào mạng sẽ mở ra một kỷ nguyên công dân số kéo theo đó là một kỷ
nguyên kinh doanh số, mà khi đó các hoạt động sản xuất và kinh doanh sẽ phụ thuộc về mặt
thương mại vào các mạng. Internet không biên giới khiến cho xã hội số phát triển.
Từ số liệu rộng lớn tới “tri thức rộng lớn”, hệ thống IT của các công ty vận tải và doanh
nghiệp đang phát triển từ các hệ thống hỗ trợ hậu xử lý thành hệ thống kinh doanh thời gian
thực. Vì kiến trúc doanh nghiệp IT truyền thống không còn khả năng xử lý khối lượng dữ liệu
khổng lồ gặp phải, nên kiến trúc điện toán đám mây định hướng Internet sẽ nổi lên. Việc tái
thiết các trung tâm dữ liệu sẽ cung cấp cơ sở hỗ trợ các dữ liệu lớn.
2 http://pr.huawei.com/en/news/hw-266216-kenhu-digitalsociety-nikkei.htm
3 http://www.huawei.com/ilink/en/special-release/HW_200943
Các mạng băng thông thấp sẽ cản trở sự phát triển dựa trên nền tảng thông tin và tăng cường
trải nghiệm người dùng, do đó, mạng Gigabit phổ biến khắp nơi sẽ là một điều kiện tiên quyết
cho một xã hội số.
Một cuộc cách mạng từ ống dẫn truyền dữ liệu “cứng” sang “mềm” cho thấy sự phát triển của
mạng khả lập trình, có quy mô, có tính chất áp dụng, tự động và thông minh. Mạng được định
nghĩa bằng phần mềm sẽ dẫn đến sự phát triển của các kiến trúc mạng thế hệ tiếp theo.
Thiết bị đầu cuối thông minh không chỉ là công cụ cho truyền thông, chúng còn được mở rộng
trải nghiệm của chính chúng ta. Thiết bị đầu cuối trong tương lai sẽ có khả năng nhận thức
hoàn cảnh và có khả năng cảm biến thông minh.
Tại Huawei, khi chúng tôi xem xét vấn đề an ninh nhưng không phải an ninh các vấn đề của
ngày hôm qua cũng không phải những vấn đề chúng ta đang trải nghiệm ngày hôm nay.
Chúng tôi chủ động tập trung đặt nền móng để bảo vệ thế giới ngày mai, một thế giới sẽ có
những thay đổi lớn so với ngày hôm nay. Công nghệ thông tin đóng một vai trò cực kỳ quan
trọng trong việc bảo vệ sự tự do và thịnh vượng cho những thế hệ tiếp theo cũng như sự tương
tác kinh tế xã hội; và đó là lý do tại sao nó quan trọng tới mức chúng tôi phải đảm bảo rằng
chúng tôi có một cách tiếp cận đúng đắn để đối đầu với những thử thách về an ninh mạng.
6 Vấn đề với những tiêu chuẩn là chúng không hề đạt tiêu chuẩn
Một trong những thách thức mà các nhà cung cấp và người mua công nghệ cùng gặp phải đó
là tình trạng có quá nhiều tiêu chuẩn và các tiêu chuẩn thực hành tốt nhất. Không hề nói quá
khi nói rằng “vấn đề của các tiêu chuẩn là chúng không hề đạt tiêu chuẩn”. Không phải lúc
nào chúng ta cũng có chung một hệ thống thuật ngữ khi nói về các tiêu chuẩn, hướng dẫn và
các tiêu chuẩn thực hành tốt nhất. Luôn luôn có sự chồng chéo, trùng lặp của các tiêu chuẩn
hoặc phần lớn các tiêu chuẩn, cũng như sự khác biệt về vùng và khác biệt giữa các ngành.
Tuy nhiên, Jonh Donaldson, chủ tịch ISO/CASCO đã đúng khi nói rằng “Nếu không có các
tiêu chuẩn, thì sự đánh giá mức độ tuân thủ sẽ trở thành vô dụng và vô nghĩa; còn nếu không
có sự đánh giá sự tuân thủ thì giá trị của các tiêu chuẩn sẽ bị hạn chế; do vậy đây là hai
phạm trù không thể tách rời trong việc thúc đẩy thương mại quốc tế”.
Nếu chúng ta có một cây đũa thần, chúng ta chắc chắn sẽ sử dụng nó để hợp lý hóa, đơn giản
hóa, bình thường hóa, và tiêu chuẩn hóa những gì “được xem là tốt đẹp” cho an ninh mạng.
Tuy nhiên, mỗi công ty công nghệ cao đều phải đối mặt với tình huống giống như những gì
họ đang thấy ngày hôm nay, kể cả Huawei.
Phương pháp mà Huawei sử dụng để đối diện với những thách thức này là tận dụng đa dạng
các kỹ thuật quản lý chất lượng như Kano4 và Six Sigma trong số nhiều phương pháp khác, và
phương pháp tiếp cận mở rộng của chúng tôi là:
Bước 1: Chúng tôi đánh giá các luật, tiêu chuẩn, các biện pháp thực hành tốt nhất, yêu cầu
của khách hàng, các nghiên cứu tình huống và các kiến thức mới để đánh giá xem làm thế nào
chúng có thể và nên được sử áp dụng cho các giải pháp, chính sách, và quy trình của Huawei;
4 http://www.kanomodel.com/
Bước 2: Chúng tôi lập/cập nhật tầm nhìn, các mục tiêu chiến lược và các thiết kế tổ chức,vv.
Chúng tôi tạo ra/cập nhật các đường cơ sở bảo mật trong mọi lĩnh vực của Huawei mà cần áp
dụng “kiến thức/yêu cầu” này.
Bước 3: Chúng tôi cập nhật các giải pháp, quá trình, chính sách và quy trình phù hợp với các
yêu cầu trong cơ sở bảo mật được cập nhật.
Bước 4: Từ đó chúng tôi có thể tạo ra những tiêu chuẩn, quy tắc, mẫu và hướng dẫn kỹ thuật,
kiểm tra các Điểm Kiểm soát Quan trọng và chúng tôi sẽ cung cấp nhận thức và đào tạo phù
hợp khi thích hợp.
Bước 5: Để cải tiến liên tục, chúng tôi lặp lại việc áp dụng các kỹ thuật quản lý vòng đóng để
giải quyết các vấn đề khi được phát hiện; và cuối cùng là:
Bước 6: Chúng tôi bắt đầu lại từ Bước 1.
Chúng tôi thực hiện điều này trong từng phần hoạt động của Huawei trong mối tương quan
với kiến thức về các tiêu chuẩn và biện pháp thực hành tốt nhất, và sau đó tiếp tục thực hiện
các hoạt động cải tiến.
6.1. Top 100 điều khách hàng hỏi chúng tôi về vấn đề bảo mật
Để giải quyết các thách thức mà chúng tôi nêu ra trong mục trước, nhân đây chúng tôi kể ra
Top 100 điều các khách hàng của chúng tôi thường trao đổi liên quan tới vấn đề bảo mật. Về
mặt bản chất, danh sách này bao gồm một số câu hỏi mà bất kỳ ai khi tiếp cận với an ninh
mạng cũng muốn hỏi nhà cung cấp công nghệ.
Chúng tôi đặt tên cho danh sách này là “Reverse Request for Information (RFI) (Hỏi đáp
ngược về thông tin)”. Về bản chất, nó là một danh sách tiềm năng về các yêu cầu an ninh
mạng mà khách hàng có thể yêu cầu nhà cung cấp nếu như nhà cung cấp có thể đáp ứng - ví
dụ, khi chúng tôi đảo ngược lại quy trình, chúng tôi sẽ yêu cầu khách hàng hỏi lại chúng tôi,
với tư cách là nhà cung cấp, làm thế nào chúng tôi có thể giải quyết vấn đề an ninh mạng.
Danh sách này về mặt bản chất không thể bao hàm mọi ngành, mọi quy định pháp luật và tất
cả các tiêu chuẩn kỹ thuật; đó cũng không phải là mục đích của danh sách này. Mục đích của
danh sách này là để cung cấp một gợi ý dựa trên các câu hỏi được gửi tới Huawei để khách
hàng có thể phân tích khả năng bảo mật không gian mạng của nhà cung cấp một cách có hệ
thống khi lựa chọn các nhà thầu và có thể sử dụng thông tin này để tăng cường chất lượng
RFI và RFP (Request for Proposals - Yêu cầu đề xuất) khi tìm kiếm nhà cung cấp tốt nhất để
đáp ứng các nhu cầu công nghệ trung hạn và dài hạn.
Chúng tôi sẽ sớm xuất bản danh sách Top 100 này và rất mong nhận được những bình luận,
quan điểm, ý kiến bổ sung và chỉnh sửa cho ấn bản này với ý định xuất bản một bản danh
sách cập nhật vào năm 2014.
7 Phương pháp an ninh mạng end-to-end của Huawei
Phản hồi lớn nhất mà chúng tôi nhận được khi xuất bản cuốn sách trắng trước, và cũng là một
nhân tố chủ chốt trong nhiều cuộc đối thoại của chúng tôi với khách hàng, chính phủ các nước
và các bên liên quan khác, là yêu cầu: “xin công ty cung cấp thêm thông tin chi tiết về tiếp
phương pháp cận an minh mạng end-to-end (từ điểm đầu đến điểm cuối) của công ty”. Trong
mục này, chúng tôi sẽ giải đáp vấn đề đó; chúng tôi sẽ đưa ra một cái nhìn tổng quan nhưng
chi tiết hơn về cách tiếp cận mà chúng tôi sử dụng khi thiết kế, xây dựng và triển khai công
nghệ có liên quan tới những cân nhắc về mặt bảo mật không gian mạng.
Khi trình bày chi tiết phương pháp tiếp cận của chúng tôi, cũng như trong cuốn sách trắng đầu
tiên, chúng tôi không tự nhận rằng phương pháp của chúng tôi là hoàn hảo hay hoàn chỉnh -
bởi đây không phải dành cho chúng tôi tự đánh giá mà xin để cho khách hàng đánh giá..
Chúng tôi biết rằng còn rất nhiều vấn đề chúng tôi cần làm để tiếp tục cải tiến phương pháp.
Tuy nhiên, chúng tôi cam kết về tính cởi mở và minh bạch của phương pháp mình sử dụng, và
đây cũng là động lực thúc đẩy mọi điều mà chúng tôi làm, và chúng tôi tin rằng càng nhiều
người phê bình, xem xét, đánh giá và chất vấn các chính sách và quy trình của chúng tôi, thì
khả năng cung cấp những sản phẩm và dịch vụ chất lượng cao hơn sẽ càng được tác động và
thúc đẩy. Trên tinh thần đó chúng tôi luôn hoan ngênh những phản hồi từ các quý độc giả và
cơ hội được trao đổi mở về các vấn đề nêu trên.
Cuốn sách trắng này được tổ chức trong 12 mục tuân theo các quy trình cốt lõi của Huawei:
Quy trình Tại sao quy trình/khả năng này là quan trọng
1. Chiến lược,
quản trị, và
kiểm soát
Nếu an ninh mạng không phải là vấn đề đối với Hội đồng quản trị và các
viên chức cấp cao, thì đó cũng không phải là vấn đề đối với các nhân viên.
Việc đảm bảo rằng an ninh mạng được đưa vào khâu thiết kế tổ chức, chiến
lược quản trị, quản lý rủi ro và khung kiểm soát nội bộ là điểm khởi đầu cho
công tác thiết kế, phát triển và chuyển giao sản phẩm có khả năng bảo mật
tốt.
2. Xây dựng
các vấn đề cơ
bản: các quy
trình và tiêu
chuẩn
Để có được sản phẩm có chất lượng có thể lặp lại ta cần có các quy trình,
tiêu chuẩn và phương pháp tiếp cận tương tự có chất lượng có thể lặp lại
được áp dụng bởi các nhân viên và nhà cung cấp. An ninh mạng cũng vậy:
nếu như các quy trình của bạn là ngẫu nhiên hoặc tiếp cận với các tiêu chuẩn
cũng là ngẫu nhiên, thì chất lượng, độ an toàn và bảo mật của sản phẩm cuối
cũng là ngẫu nhiên có được.
3. Luật pháp
và quy định
Luật pháp rất phức tạp, biến thiên và hay thay đổi. Thậm chí trong luật pháp
của một quốc gia, các cách thi hành cũng có sự khác biệt lớn hoặc có sự giải
thích khác nhau cho cùng một luật hoặc bộ luật. Các điều luật, quy phạm,
các tiêu chuẩn và các biện pháp kiểm soát quốc tế tạo thêm sự phức tạp, rủi
ro đối với nhà cung cấp hoặc doanh nghiệp. Quy trình của bạn phải chú
trọng và giải quyết được sự thay đổi và sự phức tạp đó và hoạt động ở mức
cao nhất của luật pháp chứ không phải mức thấp nhất.
4. Vấn đề về
Con người
Rất nhiều công ty cho rằng nhân lực của họ là tài sản quan trọng nhất, điều
này rất đúng. Tuy nhiên, về mặt an ninh, đây lại là một điểm yếu lớn nhất.
Cách thức tuyển dụng, đào tạo và động viên nhân viên cũng như quản lý
cách làm việc của nhân viên thường quyết định sự khác biệt giữa thành công
và thất bại - không chỉ vấn đề về an ninh mạng mà còn là cách thực hiện
chiến lược chung của cả công ty.
5. Nghiên cứu
và phát triển
(R&D)
Các công ty không hề muốn sử dụng nguồn vốn eo hẹp mình để mua sản
phẩm công nghệ cao từ các công ty không có quy trình R&D chặt chẽ bởi
các quy trình đó có thể mang lại sản phẩm chất lượng cao lâu bền và an toàn.
Họ cũng không muốn thấy các nhà cung cấp luôn phải băn khoăn khi đưa ra
quyết định đầu tư giữa “đầu tư vào một sản phẩm mới” hay “đầu tư vào việc
làm cho mọi sản phẩm an toàn và bảo mật”. Nếu một sản phẩm không chất
lượng thì cũng sản phẩm đó cũng chẳng thể đảm bảo chúng có khả năng bảo
Quy trình Tại sao quy trình/khả năng này là quan trọng
mật mạng; các công ty cần phải chứng minh cam kết lâu dài của họ trong
việc thúc đẩy phương pháp R&D để hỗ trợ cho công tác thiết kế, phát triển
và triển khai an ninh mạng một cách phù hợp cũng như đầu tư vào thế hệ sản
phẩm tiếp theo.
6. Kiểm tra:
Không giả
định, không
tin tưởng ai,
kiểm tra mọi
thứ
Trong khi quy trình R&D vững chắc là nền tảng cho sản phẩm chất lượng,
an toàn và có tính bảo mật cao, R&D cũng có thể chịu áp lực cần triển khai
sản phẩm mới nhanh chóng mà bỏ qua các khâu thí nghiệm và kiểm tra đúng
đắn. Phương pháp kiểm tra “many hands” - nhiều người cùng tham gia kiểm
chứng, “many eyes” - tỉ mỉ cho mỗi kiểm chứng độc lập làm giảm nguy cơ
phân phối các sản phẩm không an toàn. Việc cân bằng của các kiểm tra và
cân bằng end-to-end được bổ sung kiểm chứng an ninh độc lập đảm bảo một
cách tiếp cận “không đi đường tắt” và bảo vệ khoản đầu tư và các dịch vụ
của khách hàng.
7. Quản lý nhà
cung cấp bên
thứ ba
Có rất nhiều công ty công nghệ cao lớn sử dụng các công ty thứ ba để cung
cấp các linh kiện phần cứng, phần mềm, hỗ trợ chuyển giao và lắp đặt. Nếu
công nghệ và quy trình của bên thứ ba có nhiều điểm yếu về an ninh, điều
này làm tăng đáng kể điểm yếu của các sản phẩm và dịch vụ của nhà cung
cấp đó bởi vì chúng được tích hợp trong sản phẩm tới tay người tiêu dùng.
An ninh mạng end-to-end có nghĩa là nhà cung cấp phải làm việc với các
nhà cung cấp của mình để áp dụng các biện pháp bảo mật không gian mạng
theo tiêu chuẩn thực hành tốt nhất.
8. Sản xuất Các nhà sản xuất sản phẩm phải kiểm soát tất cả các linh kiện cho dù chúng
từ quốc gia nào, có nguồn gốc thế nào và các tiêu chuẩn an ninh ra sao; việc
sản xuất ra các sản phẩm cuối cho khách hàng đảm bảo rằng trong tất cả các
bước của quy trình sản xuất và giao nhận sản phẩm, không phát sinh bất cứ
nguy cơ an ninh, bảo mật nào một cách tình cờ hoặc hữu ý.
9. Cung cấp
các dịch vụ
một cách an
toàn
Không có gì quá đặc biệt khi tập trung vào thiết kế các sản phẩm mà luôn
quan ngại về vấn đề bảo mật nếu khi bạn triển khai công nghệ của mình,
hoặc hỗ trợ hoặc duy trì công nghệ, điều này không được thực hiện một cách
an toàn. Khách hàng thường muốn đảm bảo rằng đối với các thiết bị phục vụ
cho công việc của họ, việcvận hành và bảo trì cần an toàn và bảo mật, kể cả
những bảnnâng cấp, vá lỗi và sửa chữa lỗi - họ hi vọng vấn đề bảo mật được
đảm bảo trong suốt vòng đời của sản phẩm.
10. Khi gặp sự
cố: Vấn đề, sự
cố và giải
pháp khắc
phục yếu điểm
bảo mật
Không có công ty chịu trách nhiệm nào có thể đảm bảo 100% về vấn đề an
ninh. Do đó, khả năng của một công ty có thể đối phó một cách hiệu quả lại
những vấn đề, rút ra bài học từ các sự cố đóng vai trò vô cùng quan trọng
đối với cả khách hàng và nhà cung cấp. Biết được việc gì cần làm trong thời
điểm “khủng hoảng” sẽ đảm bảo có thể cung cấp thông tin cho các cán bộ
điều hành cấp cao từ đó đưa ra quyết định nhanh chóng và hợp tác hiệu quả
với khách hàng và các bên liên quan đảm bảo dịch vụ thông thường được
phục hồi một cách nhanh chóng và an toàn.
11. Khả năng
truy xuất
nguồn gốc
Khi gặp sự cố, khả năng nhanh chóng nhận diện nơi phát sinh sự cố, phần
cứng hay phần mềm nào là nguyên nhân gây ra vấn đề, cũng như khả năng
xác định bộ phận đó còn được sử dụng ở chỗ nào khác đóng vai trò cốt yếu
để có thể khắc phục sự cố kịp thời. Tuy nhiên, điều đó là chưa đủ; phân tích
nguyên nhân sâu xa cần có khả năng theo dõi và truy tìm ngược mỗi người,
mỗi linh kiện từ mỗi nhà cung cấp cho mỗi sản phẩm và mỗi khách hàng.
12. Kiểm toán Kiểm toán chặt chẽ có vai trò rất quan trọng trong việc đảm bảo cho Hội
đồng quản trị và các viên chức điều hành cao cấp của công ty, đảm bảo cho
Quy trình Tại sao quy trình/khả năng này là quan trọng
khách hàng, đảm bảo các chính sách, quy trình và tiêu chuẩn phù hợp được
triển khai để cho ra kết quả kinh doanh yêu cầu.
7.1 Chiến lược, quản trị, và kiểm soát
Nếu an ninh mạng không phải là vấn đề đối với Hội đồng quản trị và các viên chức cấp cao,
thì đó cũng không phải là vấn đề đối với các nhân viên. Việc đảm bảo rằng an ninh mạng
được đưa vào khâu thiết kế tổ chức, chiến lược quản trị, quản lý rủi ro và khung kiểm soát nội
bộ là điểm khởi đầu cho công tác thiết kế, phát triển và chuyển giao sản phẩm có khả năng
bảo mật tốt.
Chúng tôi đưa vào cả chính sách quản trị công ty trong cuốn sách trắng xuất bản lần trước, và
chính sách này vẫn có hiệu lực tới tận ngày hôm nay như năm 2011 khi chúng tôi lần đầu tiên
xuất bản cuốn sách đó.
“Là một nhà cung cấp giải pháp viễn thông hàng đầu thế giới, Huawei Technologies Co., Ltd
(“Huawei”) nhận thức đầy đủ tầm quan trọng của an ninh mạng và hiểu rõ sự quan tâm của
chính phủ các nước và khách hàng đối với vấn đề an ninh. Với sự phát triển và tiến bộ liên
tục của ngành viễn thông và công nghệ thông tin,các mối đe dọa và thách thức về an ninh
đang ngày càng gia tăng, điều này làm tăng thêm mối quan tâm về an ninh mạng. Do đó,
Huawei rất chú trọng đến vấn đề này và lâu nay chúng tôi vẫn luôn chuyên tâm đến việc áp
dụng các biện pháp hữu hiệu, khả thi để nâng cao khả năng bảo mật cho các sản phẩm và
dịch vụ của mình, do đó đã giúp các khách hàng giảm thiểu và tránh được các rủi ro về an
ninh và xây dựng niềm tin và sự tin tưởng vào hoạt động kinh doanh của Huawei. Huawei tin
rằng việc thiết lập một khung đảm bảo an ninh mở, minh bạch, và rõ ràng sẽ là con đường
dẫn tới sự phát triển bền vững và lành mạnh của chuỗi các ngành và sự cải tiến công nghệ;
đồng thời tạo điều kiện tạo ra các phương tiện truyền thông thông suốt và bảo mật giữa mọi
người.
Trên cơ sở những nội dung nói trên, thông qua cuốn sách này Huawei cam kết rằng bằng
cách tuân thủ các quy định pháp luật, quy phạm, tiêu chuẩn hiện hành và có xét tới các tiêu
chuẩn thực hành tốt nhất của ngành, công ty đã thành lập và sẽ luôn luôn tối ưu hóa hệ thống
đảm bảo an ninh mạng end-to-end với vai trò là một cam kết chiến lược của doanh nghiệp.
Hệ thống này sẽ bao gồm nhiều lĩnh vực từ chính sách doanh nghiệp, cơ cấu tổ chức, quy
trình kinh doanh, công nghệ và thực hành tiêu chuẩn. Huawei đã và đang chủ động xử lý các
thách thức về an ninh mạng thông qua mối quan hệ hợp tác với các chính phủ, khách hàng và
các đối tác một cách cởi mở và minh bạch. Thêm vào đó, Huawei cũng đảm bảo chúng tôi
cam kết rằng chúng tôi sẽ không đặt nặng những lợi ích thương mại của mình lên trên vấn đề
bảo mật không gian mạng.
Từ góc nhìn về mặt tổ chức, Ủy ban An ninh mạng toàn cầu (GCSC), trên vai trò là cơ quan
quản lý an ninh mạng cao nhất của Huawei, chịu trách nhiệm về điều chỉnh chiến lược đảm
bảo an ninh mạng. Giám đốc An ninh mạng toàn cầu (GCSO) là một thành viên đặc biệt quan
trọng của GCSC, phụ trách việc phát triển chiến lược này và quản lý giám sát việc thực hiện
chiến lược. Hệ thống này được áp dụng toàn cầu bởi tất cả các phòng ban trực thuộc Huawei
để đảm bảo việc thực hiện chiến lược một cách nhất quán. GCSO cũng sẽ nỗ lực để tạo các
điều kiện thuận lợi cho công tác thông tin liên lạc hiệu quả giữa Huawei và các bên liên
quan, kể cả các chính phủ, khách hàng, các đối tác và nhân viên. GCSO báo cáo trực tiếp lên
CEO của Huawei.
Về quy trình kinh doanh, việc đảm bảo an ninh sẽ được tích hợp trong toàn bộ quá trình kinh
doanh liên quan đến R&D, chuỗi cung ứng, bán hàng và marketing, chuyển giao và các dịch
vụ kỹ thuật. Sự tích hợp này, là yêu cầu nền tảng của hệ thống quản lý chất lượng, sẽ được
thực hiện theo sự hướng dẫn của các quy định quản lý và các quy cách kỹ thuật. Ngoài ra,
Huawei sẽ cũng cố việc thực hiện hệ thống đảm bảo an ninh mạng bằng việc triển khai công
tác kiểm tra nội bộ và xác nhận và kiểm toàn bên ngoài từ các cơ quan an ninh hoặc các cơ
quan độc lập bên thứ ba. Hơn nữa, Huawei đã được chứng nhận theo cấp phép BS7799-
2/ISO27001 từ năm 2004.
Trên phương diện quản lý nhân lực, yêu cầu các nhân viên, đối tác và tư vấn của chúng tôi
phải tuân thủ các chính sách và yêu cầu an ninh mạng do Huawei đề ra và được đào tạo phù
hợp để mọi người trong toàn Huawei nắm rõ, hiểu sâu sắc về khái niệm về an ninh . Để thúc
đẩy an ninh mạng, Huawei trao thưởng cho nhân viên tích cực chủ động tham gia vào đảm
bảo an ninh mạng và có những hành động phù hợp đối phó với những người vi phạm chính
sách bảo đảm an ninh mạng. Các nhân viên có thể phải chịu các trách nhiệm về pháp lý cho
hành động vi phạm luật và quy định có liên quan.
Với một thái độ cởi mở, minh bạch và chân thành, Huawei mong muốn được làm việc với các
chính phủ, khách hàng, và các đối tác thông qua nhiều kênh khác nhau để cùng nhau đối đầu
với các đe dọa và thách thức về an ninh mạng. Huawei sẽ thành lập các trung tâm chứng
nhận an ninh vùng nếu cần thiết. Các trung tâm này sẽ được minh bạch hóa hoạt động với
các chính phủ các nước và khách hàng, và Huawei sẽ cho phép người được ủy quyền của các
chính phủ các nước kiểm tra để đảm bảo khả năng bảo mật của các sản phẩm và dịch vụ của
Huawei. Đồng thời, Huawei cũng tham gia tích cực, chủ động vào các hoạt động tiêu chuẩn
hóa an ninh mạng viễn thông tổ chức bởi ITU-T, 3GPP,và IETF, vv và tham gia các tổ chức
an ninh như FIRST và hợp tác với các công ty an ninh lớn để đảm bảo an ninh mạng của
khách hàng và thúc đẩy sự phát triển lành mạnh của các ngành.
Hệ thống đảm bảo an ninh mạng này áp dụng cho Shenzhen Huawei Investment Holding co.,
Ltd và tất cả các công ty con, công ty liên kết dưới sự kiểm soát trực tiếp hoặc gián tiếp của
công ty này. Tuyên bố này được lập thay mặt cho tất cả các đơn vị nói trên.
Tuyên bố này tuân thủ các luật và quy định luật pháp sở tại. Trong trường hợp xảy ra bất kỳ
xung đột nào giữa tuyên bố này với các quy định luật pháp sở tại, sẽ ưu tiên tuân thủ theo quy
định luật pháp sở tại. Hàng năm, Huawei sẽ rà soát lại tuyên bố này và chỉnh sửa cho phù
hợp với luật và quy định của địa phương.”
Huawei Technologies Co., Ltd.
CEO Ren Zhengfei
Tuy nhiên, để đưa những lời này thành một phương pháp và chiến lược nhất quán với những
yêu cầu được xây dựng theo từng vai trò, từng quy trình, từng sản phẩm dịch vụ lại là một vấn
đề khác. Điểm xuất phát của của chúng tôi là tạo ra một cách thức quản trị để biến điều đó
thành hiện thực, nhưng quan trọng là việc vạch rõ những yếu tố tạo nên thành công và thất bại
cho công tác này. Điều này chỉ có thể xảy ra ở các cấp tổ chức trên - Nếu nó không phải là
vấn đề đối với Hội đồng quản trị và các viên chức cấp cao, thì đó không phải là vấn đề đối với
các nhân viên. Sơ đồ quản trị của Huawei như sau:
Hình 1.Cơ cấu quản trị an ninh mạng giản đơn
Đứng đầu cơ cấu này là ông Ren Zhengfei người sáng lập và cũng là CEO của Huawei, người
đã có một tuyên bố công cộng về chính sách an ninh mạng; và đồng thời chứng minh rõ rang
rằng ông rất quan tâm tới vấn đề này. Giám đốc an ninh mạng toàn cầu báo cáo trực tiếp tới
ông Ren. Các cơ quan đóng vai trò cốt lõi về an ninh mạng bao gồm:
Ủy ban An ninh Mạng Toàn cầu:
GCSC: Định hướng chiến lược; chịu trách nhiệm thống nhất chiến lược, xây dựng kế hoạch,
chính sách, lộ trình và đầu tư; đông thời chịu trách nhiệm thực hiện và giải quyết những ưu
tiên chiến lược mâu thuẫn và công tác kiểm toán.
Việc phát triển chiến lược, thủ tục và tiêu chuẩn chính sách về an ninh mạng; cũng như việc
phân bổ các nguồn tài nguyên đều được quản lý bởi Ủy ban thường trực về bảo mật không
gian mạng dưới sự chủ trì của Phó Chủ tịch và một trong những Giám đốc điều hành luân
phiên của công ty. Ban này bao gồm các thành viên chủ chốt Hội đồng quản trị và các chủ sở
hữu quy trình toàn cầu, vai trò của họ là đảm bảo các yêu cầu an ninh mạng được thể hiện
trong tất cả các quy trình, chính sách và tiêu chuẩn và được thực hiện một cách có hiệu quả.
Hội đồng quản trị
Ban điều hành
Chủ tịch GCSC
Ken HU
Phòng Thí nghiệm An ninh mạng bên ngoài/CSEC Giám đốc Văn phòng GCSO
Jupiter Wang
Phòng Thí nghiệm An ninh mạng nội bộ
Chức năng CC
SO
của N
hật B
ản
CC
SO
của A
ustralia
CC
SO
của Đ
ức
CC
SO
của Ấ
n Đ
ộ
CC
SO
của P
háp
CC
SO
của A
nh
CC
SO
của M
ỹ
Văn
phòng A
n n
inh m
ạng th
í nghiệm
2012
Văn
phòng an
nin
h m
ạng ch
uỗi cu
ng ứ
ng
Văn
phòng an
nin
h m
ạng cu
ng ứ
ng
Mạng truyền tải BG Văn phòng An ninh
mạng
Tru
ng tâm
cạnh tran
h an
nin
h
Doanh nghiệp BG
Văn phòng An ninh
mạng
Người tiêu dùng BG
Văn phòng An ninh
mạng
Nếu có bất kỳ mâu thuẫn nào hay vấn đề nào về nguồn lực trong công tác an ninh mạng thì ủy
ban này có quyền đưa ra các quyết định và những thay đổi cần thiết đối với doanh nghiệp.
Giám đốc an ninh mạng toàn cầu:
GCSO: Đứng đầu nhóm phát triển chiến lược bảo mật, thành lập hệ thống bảo hiểm anninh
mạng nội bộ, hỗ trợ các mối quan hệ chính phủ và mối quan hệ cộng đồng (GR/PR) và hỗ trợ
những tài khoản khách hàng toàn cầu.
Văn phòng An ninh Mạng Toàn cầu:
Văn phòng GSCO: Hợp tác với các phòng ban liên quan để đề ra các nguyên tắc hoạt động và
hành động chi tiết hỗ trợ cho chiến lược và việc thực hiện chiến lược, thúc đẩy việc áp dụng,
kiểm nghiệm và theo dõi việc thực hiện. Vai trò của văn phòng là giúp công ty xác định điểm
trọng tâm để nhận dạng và giải quyết các vấn đề an ninh mạng.
Các chuyên viên an ninh mạng cấp khu vực và phòng ban:
Các chuyên viên an ninh mạng cấp khu vực/phòng ban: Chịu trách nhiệm làm việc với GCSO
để nhận dạng những thay đổi và giám sát việc thực hiện các quá trình ở cấp đơn vị sự nghiệp/
phòng ban sao cho chiến lược an ninh mạng cùng các yêu cầu về an ninh mạng đều được gắn
vào các khu vực và được cập nhật khi cần thiết. Họ cũng là những chuyên gia đã đóng góp
cho sự phát triển và cải tiến các chiến lược toàn diện. Mỗi phòng ban đều có những chuyên
gia an ninh mạng riêng.
Các nhân viên kiểm tra của Huawei, cả nội bộ và bên ngoài, sử dụng Các điểm Kiểm soát chủ
chốt (điểm trong một quy trình mà quy trình đó có thể kiểm chứng rằng nó hoạt động hiệu quả
và mang lại kết quả và đầu ra như mong muốn) và Hướng dẫn Kiểm soát Quy trình Toàn cầu
để đảm bảo rằng các quy trình được triển khai hiệu quả. Các đợt kiểm duyệt, kiểm tra bên
ngoài và rà soát bởi bên thứ ba đều giúp cho những gì đang diễn ra trái với những gì nên xảy
ra trở nên phù hợp. Trách nhiệm giải trình và trách nhiệm pháp lý cá nhân (các quy tắc và quy
định) được xây dựng trong Hướng dẫn Đạo đức kinh doanh của Huawei và các quy trình kinh
doanh , nêu rõ cách thức chứng tôi thực hiện các hoạt động hàng ngày. Điều này luôn được
cập nhật thông qua các kiểm tra trực tuyến hàng năm để đảm bảo kiến thức luôn được cập
nhật theo kịp tình hình hiện tại và điều này cũng tạo nên một phần của Chương trình Tuân thủ
Nội bộ của chúng tôi.
7.2 . Xây dựng các vấn đề cơ bản: các quy trình và tiêu chuẩn
Để có được sản phẩm có chất lượng có thể lặp lại ta cần có các quy trình, tiêu chuẩn và
phương pháp tiếp cận tương tự có chất lượng có thể lặp lại được áp dụng bởi các nhân viên
và nhà cung cấp. An ninh mạng cũng vậy: nếu như các quy trình của bạn là ngẫu nhiên hoặc
tiếp cận với các tiêu chuẩn cũng là ngẫu nhiên, thì chất lượng, độ an toàn và bảo mật của sản
phẩm cuối cũng là ngẫu nhiên có được.
Huawei được quản lý bằng bộ các quy trình tích hợp chứa đựng trong tất cả các hoạt động mà
chúng tôi thực hiện. Từ tương tác đầu tiên với một khách hàng tới khi chúng tôi hoàn thành
thành công dự án; từ khi đặt ra một ý niệm mơ hồ thông qua quy trình R&D hoàn chỉnh tới
khi kết thúc vòng đời của một sản phẩm.
Mỗi người trong quy trình đều nhận thức được rằng các hoạt động của họ trực tiếp hoặc gián
tiếp tạo ra giá trị cho khách hàng hoặc giảm giá trị do chất lượng kém, dịch vụ kém và thiếu
sự quan tâm về vấn đề an ninh. Các thành viên trong Hội đồng quản trị được chỉ định làm
những Người sở hữu Quy trình Toàn cầu; họ sở hữu chất lượng, sự hoàn thiện và sự lành
mạnh của quy trình này. Trên quan điểm bảo mật, nhiệm vụ của họ là phải đảm bảo rằng quy
trình của họ thỏa mãn mọi nhu cầu an ninh mạng.
Những Người sở hữu Quy trình toàn cầu nhận biết các điểm kiểm soát quan trọng của hoạt
động kinh doanh cho mỗi quy trình và ma trận phân công nhiệm vụ sẽ được áp dụng cho tất
cả các khu vực, công ty con và các đơn vị kinh doanh. Việc phân chia nhiệm vụ này đảm bảo
cho mỗi người (hoặc mỗi đội) không tạo cho họ quá nhiều khả năng kiểm soát đến mức họ có
cơ hội đặt vấn đề an toàn, an ninh, chất lượng của các kết quả và đầu ra của quá trình vào tình
thế rủi ro. Chủ sở hữu câc Quy trình toàn cầu tổ chức và thực hiện các bài kiểm tra tuân thủ
định kỳ hàng tháng tại các điểm kiểm soát chủ chốt nhằm liên tục theo dõi hiệu quả của công
tác kiểm soát nội bộ, từ đó họ sẽ lập báo cáo kiểm tra. Tập trung vào các “điểm yếu” trong
quá trình hoạt động, Chủ sở hữu quy trìnhtoàn cầu tối ưu hóa quy trình và các biện pháp kiểm
soát nội bộ để nâng cao hiệu quả hoạt động, độ an toàn, độ bảo mật, sự hài lòng của khách
hàng, lợi ích và giúp đạt được các mục tiêu kinh doanh. Chủ sở hữu quy trình toàn cầu triển
khai công tác đánh giá kiểm soát định kỳ nửa năm một lần để đánh giá một cách toàn diện
hiệu quả của việc thiết kế quy trình và quá trình thực hiện trong các đơn vị kinh doanh.
Kết quả được báo cáo tới Ủy ban Kiểm toán và các Ủy ban thường trực khác.
Trong cuốn sách trắng phát hành lần trước, chúng tôi đã nêu chi tiết một kiến trúc quy trình
đơn giản được vận hành trong Huawei. Kiến trúc đó được mô tả chi tiết như sau:
Hình 2. Kiến trúc quy trình tổng thể
Hình trên thể hiện quy trình end-to-end khép kín để quản lý công tác bảo mật không gian
mạng và khung của chính sách tổng thể tại Huawei. Phía bên trái hình là quá trình tập hợp tất
cả các yêu cầu, cho dù là các yêu cầu luật pháp, tiêu chuẩn, yêu cầu của khách hàng hoặc của
Huawei. Kiến thức này được chuyển hóa thành các kế hoạch và chiến lược kinh doanh; thành
các chính sách, quy trình và các đường cơ sở. Những đường cơ sở này xác định bộ các yêu
cầu tối thiểu. Bộ quy trình ở giữa triển khai các chiến lược, chính sách và thủ tục đã được xác
Kiểm nghiệm an ninh Chủ Quy
trình
Quản trị khép kín
Kh
ách
hà
ng
Kh
ách
hàn
g
Lập
đư
ờng c
ơ s
ở y
êu c
âu
Thu
th
ập y
êu c
ầu
Lập đường cơ sở Thực hiện đường cơ sở Kiểm nghiệm đường cơ sở
Quy tình OR
Yêu cầu dài hạn
Yêu cầu trung hạn
Đường cơ sở an
ninh R&D
Yêu cầu quản lý bán
hàng
Đường cơ sở an
ninh dịch vụ
Chuỗi cung ứng và
đường cơ sở an ninh
cung ứng
Kế hoạch lộ
trình
Đặc điểm sản
phẩm
Quy cách công cụ
Hoàn thiện quy
trình
quy cách hoạt
động
Hượp đồng và dự
án
Hoàn thiện quy
trình
Điề
u l
ệ
Kh
ái n
iệm
Kế
ho
ạch
Phát triển Kiểm nghiệm Phát hành Vòng đời
Lãnh đạo quản lý Cơ hội quản lý Hoàn thành hợp đồng quản lý
Quản lý bán hàng
Đánh giá tư vấn Quy hoạch và mạng Tích hợp hệ thống rô-out và thiết kế mạng
Bảo đảm và hỗ trợ khách hàng Giáo dục và học tập Dịch vụ được quản lý
Quy trình LTC
Quy trình SD
Chuỗi cung ứng và quy trình cung ứng
Đặt hàng
Kế
hoạch
Sản
xuất
Chuyển
giao
Logistic
ngược lại
OR: Yêu cầu cung cấp
IPD: Quy trình sản phẩm tích hợp
PDCP: Điểm kiểm tra quyết định kế
hoạch
LTC: Dẫn Tiền mặt
SD: Chuyển giao dịch vụ
BC: Kiểm soát kinh doanh
IA: Kiểm nghiệm nội bộ
CT: kiểm tra tuân thủ
SACA: Đánh giá kiểm soát nửa năm 1 lần
Thiết kế
quy trình
(SOD/KC
Ps)
Đánh giá
hàng tháng
Nghiệm
thu rủi ro
Ủy ban Kiểm nghiệm
định theo các kế hoạch đã được thống nhất. Cuối cùng bên phải là các cơ chế kiểm toán để
đánh giá xem liệu việc triển khai có đáp ứng các yêu cầu đã được xác định từ đầu của quy
trình hay không. Kiến thức mới thu lượm và bất kỳ điểm yếu hay lỗ hổng được xác định nào
đều được phản hồi trở lại điểm bắt đầu của quy trình để xem xét và được xem như là một
nhân tố của giai đoạn lặp lại tiếp theo.
7.3 Luật pháp và quy định
Luật pháp rất phức tạp, biến thiên và hay thay đổi. Thậm chí trong luật pháp của một quốc
gia, các cách thi hành cũng có sự khác biệt lớn hoặc có sự giải thích khác nhau cho cùng một
luật hoặc bộ luật. Các điều luật, quy phạm, các tiêu chuẩn và các biện pháp kiểm soát quốc tế
tạo thêm sự phức tạp, rủi ro đối với nhà cung cấp hoặc doanh nghiệp. Quy trình của bạn phải
chú trọng và giải quyết được sự thay đổi và sự phức tạp đó và hoạt động ở mức cao nhất của
luật pháp chứ không phải mức thấp nhất.
Huawei, cũng như các nhà cung cấp thiết bị ICT khác và khách hàng, đều đối mặt với hàng
loạt môi trường pháp lý và quy chế phức tạp. Tuy nhiên, như những gì chúng tôi đã nêu sơ
lược trong Tuyên bố về Thành lập Hệ thống Bảo đảm An ninh Mạng Toàn cầu, Huawei tuân
thủ tất cả các luật và quy định hiện hành ở mọi thể chế nơi công ty hoạt động. Để đưa an ninh
mạng trở thành một phần không thể tách rời trong hoạt động kinh doanh của Huawei, chúng
tôi điều tra, xác định, theo dõi, sắp xếp và phân loại tất cả các luật và yêu cầu luật pháp hiện
hành của các nước nơi chúng tôi có hoạt động kinh doanh. Chúng tôi đảm bảo rằng sản phẩm,
dịch vụ, nhân lực và biện pháp kiểm soát hoạt động của chúng tôi đáp ứng được các yêu cầu
tuân thủ quy chế về an ninh mạng có liên quan trong suốt quá trình giao dịch/kinh doanh end-
to-end (từ điểm đầu đến điểm cuối). Cách thức chúng tôi thực hiện như sau:
Theo dõi và xác định các yêu cầu pháp lý hiện hành:
Huawei the dõi và xác định các yêu cầu pháp lý hiện hành. Huawei tuyển mộ trên 500 chuyên
gia pháp lý có trình độ chuyên môn trên toàn thế giới với rất nhiều cố vấn pháp lý về an ninh
mạng nội bộ và trên 140 luật sư địa phương đang tiến hành một cuộc khảo sát cơ bản về các
quy định và luật áp dụng5. Chúng tôi liên kết với các hãng luật danh tiếng và có kinh nghiệm
về luật pháp về an ninh mạng. Chúng tôi liên tục nhận được các thông tin từ các chuyên gia
Quan hệ Chính phủ và các cố vấn pháp lý, những người duy trì mối quan hệ đúng đắn với các
cơ quan chính phủ về pháp chế của địa phương và quốc gia. Chúng tôi cũng xác định các quy
định và luật áp dụng thông qua các hợp đồng chúng tôi ký kết với khách hàng. Trong trường
hợp này một trong những thách thức mà tất cả các nhà cung cấp và khách hàng gặp phải đó là
không phải tất cả các quốc gia đều có luật liên quan đến an ninh mạng hoặc bảo vệ quyền
riêng tư cá nhân. Nếu những quốc gia đó có luật áp dụng thì các luật đó cũng không được thi
hành đầy đủ hoặc không rõ ràng. Nhưng không phải cứ không có luật là không có các điều lệ
hoặc tiêu chuẩn. Khách hàng cũng tự áp dụng các yêu cầu và giải thích riêng của họ.
Tuy nhiên, xét tổng thể các yêu cầu pháp lý áp dụng, chúng thường nhất quán về mặt nguyên
tắc, bảo vệ tự do và các bí mật truyền thông của người dùng cuối cùng, bảo vệ sự riêng tư và
các dữ liệu cá nhân để hỗ trợ các mạng an toàn và bền vững cho khách hàng.
Kiểm soát việc tuân thủ quy chế:
Dựa trên các yêu cầu pháp lý nêu trên, Huawei phát triển chiến lược an ninh mạng của mình
và chính sách tuân thủ các yêu cầu đó, phục vụ cho khung và các đường cơ sở chiến lược để
5 Chúng tôi đăng lý dịch vụ thông tin có liên quan; tham dự các diễn đàn hội thảo; theo dõi các website của các
nhà lập pháp.
đảm bảo rằng các yêu cầu tuân thủ về an ninh mạng được tích hợp trong các tiêu chuẩn thực
hành kinh doanh end-to-end, vòng đời của sản phẩm và quản lý từ khâu phát triển sản phẩm
tới chuyển giao dịch vụ và hỗ trợ dịch vụ.
Ví dụ, trong Quy trình Phát triển Sản phẩm Tích hợp (IDP) (quy trình chính hoạt động với
Nghiên cứu và Phát triển), đội pháp lý của chúng tôi tư vấn cho các đơn vị kinh doanh cá
nhân về luật pháp và quy định áp dụng bên cạnh việc hỗ trợ tuân thủ. Hơn nữa, đội pháp lý
cũng có quyền bác bỏ khi xem xét việc phát triển bất kỳ sản phẩm nào nếu phát hiện có vấn
đề vi phạm. Về Nhân lực, chúng tôi giải quyết các yêu cầu về hỗ trợ hoạt động an toàn của
các mạng, hoạt động kinh doanh của khách hàng và bảo vệ quyền riêng tư của người dùng
cuối và sự tự do thông tin trong Hướng dẫn Đạo đức kinh doanh của chúng tôi, hướng dẫn
này được xem như là bộ các nguyên tắc hoạt động yêu cầu tất cả các nhân viên và nhà thầu
tuân theo. Chúng tôi cũng liên tục đào tào nhân lực về các yêu cầu tuân thủ để nâng cao nhận
thức của nhân viên về việc tuân thủ luật pháp và giúp họ thực hiện nhiệm vụ của mình theo
quy định và luật. Ngoài ra chúng tôi còn bố trí đào tạo cho các nhân viên mới, đào tạo đội ngũ
quản lý và thậm chí đào tạo riêng cho các vị trí chủ chốt về an ninh mạng. Chúng tôi cũng thi
hành chính sách khen-thưởng để đảm bảo tất cả nhân viên đều có trách nhiệm nghiêm túc
tuân thủ. Về phía nhà cung cấp, chúng tôi yêu cầu các nhà cung cấp của chúng tôi ký hợp
đồng an ninh mạng để đảm bảo các yêu cầu liên quan đến an ninh mạng được tuân thủ (chi
tiết vui lòng xem mục 7.7, Quản lý nhà cung cấp bên thứ ba).
Huawei cũng thiết lập và duy trì một quy trình để đánh giá định kỳ việc tuân thủ chiến lược an
ninh mạng và chính sách tuân thủ các yêu cầu. Trách nhiệm xem xét vấn đề tuân thủ luật do
Phòng Pháp lý và Văn Phòng GCSO quản lý. Phòng Pháp lý và Văn Phòng GCSO sẽ báo cáo
các hoạt động nghi ngờ có vi phạm và các rủi ro có thể có tới GCSC, sau đó Ban Điều hành
Nhóm Kinh doanh sẽ rà soát tiếp để có hành động tiếp theo.
Mô hình tuân thủ của Huawei được tích hợp trong vai trò của mỗi cá nhân, mỗi chức năng
được độc lập kiểm tra và kiểm toán. Trách nhiệm giải trình về các biện pháp kiểm soát, chính
sách và tiêu chuẩn thuộc về chính cá nhân cũng như người giám sát và quản lý cá nhân đó.
Đưa ra các chính sách khuyến khích hoặc không khuyến khích thuộc về trách nhiệm của ban
quản lý chứ không chỉ cá nhân người vi phạm vấn đề.
Tham gia các hoạt động lập pháp:
Trong năm qua, chúng tôi đã được chứng kiến rất nhiều những thay đổi đang kể trong luật
pháp và quy định về an ninh mạng của rất nhiều quốc gia. Ở Mỹ, Tổng thống Obama ra Lệnh
Thi hành an ninh mạng để phát triển tiêu chuẩn an ninh mạng tự nguyện cho các cở sở hạ tầng
quan trọng và các yêu cầu bảo đảm có liên quan trong việc cung ứng sản phẩm công nghệ
thông tin cho chính phủ. Ủy ban Châu Âu đưa ra đề xuất về Phương hướng mạng và An ninh
thông tin để thiết lập một môi trường số đáng tin cậy và đảm bảo. Australia công khai thảo
luận về các cải cách tiềm năng về lập pháp quốc gia về vấn đề an ninh, và New Zealand phát
hành Yết thị Viễn thông để khuyến khích sự hợp tác giữa các nhà khai thác mạng và Chính
phủ. Huawei đã được mời tham dự đóng góp ý kiến và gợi ý cho Austrialia và New Zealand
về các hoạt động lập pháp liên quan đến an ninh mạng; tại Mỹ chúng tôi đưa ra các ý kiến
chính thức về Khung an ninh mạng NIST và Yêu cầu về thông tin và đang đóng góp các ý
kiến về tiêu chuẩn an ninh Mỹ sẽ được đưa vào trong khung an ninh mạng. Để tránh mâu
thuẫn và các nghĩa vụ pháp lý nhập nhằng, và với hy vọng khuyến khích sự đơn giản hóa các
yêu cầu trong chuỗi cung ứng toàn cầu, Huawei luôn hoan ngênh một khung an ninh mạng
nhất quán trên toàn cầu. Chúng tôi tin rằng các kết quả về an ninh sẽ được cung cấp một cách
hiệu quả nhất bởi một thị trường cạnh tranh đầy đủ thông tin, do vậy chúng tôi rất ủng hộ
phương pháp dựa trên rủi ro, bình đẳng về mặt công nghệ và căn cứ trên kết quả.
Ngoài các vấn đề an ninh mạng như kiểm soát xuất khẩu, bảo vệ IPR, cạnh tranh công bằng
và chống tham nhũng, chúng tôi còn thiết lập các hệ thống quản lý tuân thủ tương ứng để đảm
bảo tuân thủ luật pháp. Ví dụ, trong kiểm soát xuất khẩu, chúng tôi cung cấp các thiết bị trên
toàn thế giới và đảm bảo các thiết bị đó đáp ứng các tiêu chuẩn truyền thông phục vụ mục
đích dân sự và tuân thủ luật pháp, quy định hiện hành, đồng thời chúng tôi cũng thực hiện và
ban hành chính sách tuân thủ nội bộ (ICP) về vấn đề kiểm soát xuất khẩu phù hợp với tiêu
chuẩn ngành.
Đối với bảo vệ IPR, mỗi năm chúng tôi trả hơn 300 triệu đô-la Mỹ để được cấp giấy phép sử
dụng bằng sáng chế và chúng tôi là một trong ba đơn vị hàng đầu toàn cầu xin cấp bằng sáng
chế (với hơn 30.000 bằng sáng chế được cấp trên toàn thế giới). Trong lĩnh vực cạnh tranh
công bằng, Huawei đã thiết lập một loạt các chính sách nhằm đảm bảo yêu cầu nhân viên của
mình tuân thủ các quy tắc cạnh tranh công bằng, bao gồm định giá sản phẩm, quản lý các đối
tác hợp tác, quan hệ nghiệp vụ với các đối thủ cạnh tranh và mối quan hệ ngân hàng thương
mại. Về vấn đề chống tham nhũng, chúng tôi tin tưởng rằng hệ thống chống hối lộ hiệu quả và
minh bạch sẽ giúp xây dựng lòng tin với các đối tác và khách hàng, do đó sẽ thúc đẩy sự phát
triển bền vững của Huawei. Những hướng dẫn về quy tắc đạo đức kinh doanh của chúng tôi
mô tả các chính sách chống tham nhũng và chống hối lộ thương mại của Huawei và phải được
các nhân viên trên toàn cầu của chúng tôi ký kết hàng năm.
7.4 Vấn đề về con người
Rất nhiều công ty cho rằng nhân lực của họ là tài sản quan trọng nhất, điều này rất đúng.
Tuy nhiên, về mặt an ninh, đây lại là một điểm yếu lớn nhất. Cách thức tuyển dụng, đào tạo
và động viên nhân viên cũng như quản lý cách làm việc của nhân viên thường quyết định sự
khác biệt giữa thành công và thất bại - không chỉ vấn đề về an ninh mạng mà còn là cách
thực hiện chiến lược chung của cả công ty.
Khung quản lý nguồn nhân lực phục vụ công tác bảo mật không gian mạng dựa trên nền tảng
của một hệ thống hợp pháp và các quy định pháp luật của một quốc gia. Những yêu cầu về an
ninh mạng trong quản lý Nhân lực nhằm đảm bảo rằng nhân viên của chúng tôi đủ điều kiện
về nền tảng, cách ứng xử của nhân viên phù hợp với các quy định pháp luật, chính sách và
quy trình thủ tục cũng như các yêu cầu về đạo đức kinh doanh của Huawei, đảm bảo nhân
viên của chúng tôi có đủ trình độ, kỹ năng và kinh nghiệm để đảm nhận các nhiệm vụ của
mình. Dưới đây là chi tiết mô hình chung của chúng tôi:
Hình 3: Đưa an ninh mạng vào các quy trình Nhân lực
nâng cao nhận thức và năng lực của nhân viên
nhằm tránh được các rủi ro do khả năng của nhân
viên và công ty
Yêu cầu về pháp luật trong các tình hình khác nhau
Yêu cầu về khách hàng Yêu cầu về an ninh mạng Các chính sách an ninh mạng và BCG
Tích hợp an ninh mạng vào quản lý nhân lực
Cơ chế giám sát Giáo dục nhận
thức
Nhận biết vị trí
quan trọng
Hiệu chỉnh vị trí
quan trọng
Cải thiện năng lực
vị trí quan trọng
Tất cả
nhân
viên
Nhân
viên
trong vị
trí an
ninh
Nhân viên ở các vị trí
chung
Sau khi thôi
việc:”làm sạch”
tài sản và giấy
phép
Trong quá trình
công tác: “làm
sạch”hành vi
Trước khi công
tác: “làm
sạch”nền tảng Phổ biến giáo
dục nhận thức
Tiến hành các
hoạt động công
khai
Đánh giá tác
động giáo dục
Nhận biết vị trí
an ninh
Xác định trách
nhiệm an ninh
Hiệu chỉnh nèn tảng
an ninh trước khi công
tác
Kiểm nghiệm an ninh
thường xuyên khi công
tác
Làm sạch tài sản và
cho phép an ninh sau
khi thôi việc
Ký giấy cam kết
Thiết lập ma trận
cải thiện năng lực
Phát triển các khóa
đào tạo
Tỏ chức học tập và
kiểm tra
Tỏ chức các hoạt
đọng theo chủ đề
Hệ thống giải
trình an ninh
mạng
Kênh báo cáo
Tích hợp an ninh mạng vào quản lý nhân lực
Quản lý quy trình nhân lực Tổ chức giáo dục an ninh mạng Các khóa đào tạo an ninh mạng & quản lý tìn huông
Đối với vấn đề giáo dục nhận thức cho nhân viên, Huawei đang xây dựng môi trường văn hóa
và giáo dục an ninh mạng trong công ty nhằm nhận thức được tầm quan trọng của an ninh
mạng. Để làm được điều đó, Huawei tổ chức các hoạt động nhận thức an ninh mạng để cải
thiện và nâng cao hiểu biết về an ninh mạng cho nhân viên.
Trong năm 2012, Huawei đã tổ chức các hội thảo dành cho các nhà quản lý gồm hơn 6.000
nhà quản lý thảo luận về các vấn đề an ninh mạng. Mục đích là nhằm nuôi dưỡng một môi
trường thông qua tổ chức giáo dục và tìm hiểu về an ninh mạng trong công ty. Huawei cũng
đã tổ chức khóa đào tạo nhận thức về an ninh mạng cho toàn thể nhân viên trong công ty và tổ
chức cho họ tìm hiểu về các yêu cầu an ninh mạng, tham gia và được kiểm tra, ký cam kết đã
hiểu những trách nhiệm của mình về an ninh mạng. Hơn 150.000 nhân viên công ty trên toàn
cầu đã tham gia vào hoạt động này, và đã đạt được các mục tiêu đề ra về giáo dục nhận thức
an ninh mạng cho nhân viên công ty. Ngoài ra, các phòng kinh doanh cũng thực hiện các hoạt
động đào tạo kiến thức về an ninh mạng và kỹ năng cũng như giáo dục nhận thức khác cho
nhân viên công ty dựa trên những yêu cầu kinh doanh của riêng mình, hơn nữa các phòng này
cũng đã nghiên cứu về những trường hợp an ninh mạng riêng đối với lĩnh vực kinh doanh của
mình.
Chúng tôi cũng thường xuyên phân phát các ấn bản định kỳ về an ninh mạng thông qua cơ sở
công khai nội bộ. Ngoài ra, chúng tôi áp dụng các phương pháp khác, như dán áp phích quảng
cáo và thẻ nhằm công khai nội dung giáo dục an ninh mạng. Các phòng kinh doanh tổ chức
thực hiện các hoạt động công khai an ninh mạng theo yêu cầu và các đặc điểm kinh doanh của
mình, như khuyến khích các bài viết về an ninh mạng và ghi nhận những bài báo đó bằng hình
thức tặng thưởng, lựa chọn slogan an ninh mạng, các nghiên cứu tình huống, v.v. Mọi hoạt
động đều nhằm giúp việc giáo dục nhận thức an ninh mạng được ghi nhớ vào lịch trình công
việc hàng ngày của nhân viên.
Huawei xem việc đào tạo vấn đề an ninh mạng là một chiến dịch dài hạn. Mặt khác, chúng tôi
đã đưa các yêu cầu về an ninh mạng vào Hướng dẫn về Đạo đức kinh doanh (BCG) dành cho
nhân viên Huawei nhằm phổ biến các yêu cầu an ninh mạng tới toàn thể nhân viên công ty
thông qua các hoạt động tìm hiểu BCG hàng năm, kiểm tra và ký cam kết để giúp họ nâng cao
nhận thức về an ninh mạng. Mặt khác, chúng tôi cũng tiếp tục tiến hành nghiên cứu đào tạo an
ninh mạng và các nghiên cứu tình huống, phổ biến các yêu cầu hành vi và kiến thức về an
ninh mạng, nhằm tiếp tục tăng nhận thức về an ninh mạng của nhân viên công ty.
Xét về khía cạnh rủi ro, một số vai trò gây ra mối đe dọa về an ninh trong nội bộ lớn hơn
những rủi ro khác. Huawei nhận biết các vị trí quan trọng về an ninh mạng trong mỗi lĩnh vực
kinh doanh và xác định rõ ràng các vị trí có thể tạo ra cơ hội can thiệp hoặc thực hiện hoạt
động cố ý phá hoại thông qua thiết kế, xây dựng , triển khai và hỗ trợ sản phẩm mà chúng tôi
cung cấp tới khách hàng.
Đối với nhân viên đảm nhận các vị trí quan trọng về an ninh mạng, Huawei đã yêu cầu như
sau:
Trước khi tuyển dụng nhân viên vào công ty, chúng tôi sẽ tiến hành xem xét lý lịch
một cách chặt chẽ đảm bảo nhân viên tiềm năng có quá trình công tác, lịch sử công tác phù
hợp với các yêu cầu của khách hàng đối với vị trí đó.
Chúng tôi sử dụng một mẫu chi tiết và thống nhất với các yêu cầu về an ninh mạng được xây
dựng trong quy trình “đánh giá trình độ chuyên môn” khi tìm kiếm và lựa chọn ứng viên.
Kiểm tra lý lịch khi tuyển dụng được áp dụng đối với tuyển dụng bên ngoài và phân bổ nhân
viên hiện có trong nội bộ.
Khi các nhân viên được nhận vào làm việc, chúng tôi áp dụng các tiêu chí đánh giá
trình độ chuyên môn và chứng nhận công việc để hướng dẫn họ nâng cao nhận thức của mình
và cải thiện các kỹ năng liên quan, đồng thời chúng tôi cũng thực hiện kiểm tra an ninh
thường xuyên.
Đối với các hành vi của nhân viên đảm nhận các vị trí quan trọng về an ninh mạng, chúng tôi
tiến hành xem xét đạo đức liên quan đến an ninh mạng nhằm kiểm tra xem họ có vi phạm luật
pháp không, nhờ đó đảm bảo các hành vi của nhân viên đó phù hợp và đúng đắn.
Khi nhân viên thôi việc, hoặc khi nhân viên thôi giữ chức vụ quan trọng, chúng tôi sử
dụng các điểm kiểm soát trong quy trình kiểm tra khi chấm dứt công việc nhằm hướng dẫn
Nguồn nhân lực và nhân sự về an ninh mạng xóa bỏ hoặc thay đổi đặc quyền và bỏ đi tài sản
của nhân viên, khi cần thiết. Kiểm tra khi thôi việc được áp dụng đối với việc tái phân bổ
nhân viên trong nội bộ và khi từ chức.
Phát triển kỹ năng và kiến thức của nhân viên để họ có thể hoàn thành vai trò của mình một
cách hiệu quả là một thành phần cốt lõi trong văn hóa dựa trên hiệu quả của Huawei. Chúng
tôi phát triển kế hoạch nâng cao năng lực an ninh cụ thể và các khóa cơ bản nhằm nâng cao
năng lực an ninh mạng của nhân viên thông qua các cơ chế học hỏi mang tính hệ thống của
chúng tôi. Huawei hướng tới mục tiêu nâng cao hiểu biết và kỹ năng về an ninh mạng cho
nhân viên giữ vị trí quan trọng để giảm thiểu những hành vi không tuân thủ của nhân viên.
Đồng thời, chúng tôi cũng chỉ đạo nhân viên chủ động học hỏi để bổ sung thêm vào vốn kiến
thức được đào tạo thụ động. Ngoài ra, đối với năng lực cần có đối với những vị trí quan trọng
về an ninh mạng ở những phòng ban kinh doanh khác nhau, chúng tôi đã phát triển các khóa
theo yêu cầu và các đợt kiểm tra. Chúng tôi tổ chức các khóa học và các đợt kiểm tra hàng
năm cho nhân viên nhằm thúc đẩy họ học tập một cách chủ động và có trách nhiệm. Nhiều
hoạt động nâng cao năng lực hướng tới thực hành được thực hiện nhằm nâng cao hiểu biết và
kỹ năng của nhân viên giữ những vị trí quan trọng. Ví dụ, chúng tôi tổ chức các bài giảng về
an ninh mạng, các diễn đàn về an ninh mạng và kho dữ liệu về các tình huống an ninh mạng.
Nhằm đánh giá sự cải thiện năng lực của nhân viên, chúng tôi đã áp dụng mô hình
Kirkpatrick6và sử dụng các phương pháp như điều tra về sự thỏa mãn đối với khóa đào tạo và
các bài kiểm tra nhằm đánh giá hiệu quả của việc nâng cao năng lực.
Huawei đã áp dụng hệ thống trách nhiệm an ninh mạng nghiêm ngặt vốn thực hiện các cơ chế
giải trình chính thức. Chúng tôi yêu cầu mỗi nhân viên phải giải trình về những việc mình làm
và hậu quả của những hành động đó, không chỉ xét trên khía cạnh công nghệ mà gồm cả luật
pháp. Nhân viên của chúng tôi biết rằng khi xảy ra vấn đề an ninh mạng, khách hàng, công ty
và từng cá nhân có thể bị ảnh hưởng khá nghiêm trọng. Vì vậy, dù hành vi là vô ý hay cố ý,
chúng tôi cũng thực hiện quy trình chính thức dựa trên bối cảnh và hậu quả thực tế. Chúng tôi
cũng đã xác định bảy loại vi phạm và năm kịch bản kinh doanh theo tình trạng an ninh mạng
ở những quốc gia và khu vực khác nhau, gồm Châu Âu và Mỹ. Dựa vào đó, chúng tôi đã công
khai Hệ thống giải trình về Vi phạm an ninh mạng, chúng tôi đã nêu rõ hậu quả đối với mỗi cá
nhân khi vi phạm an ninh mạng.
Điểm khởi đầu của chúng tôi là nhân viên, nhân viên của hầu hết các công ty đến để thực hiện
công việc quy mô lớn. Tuy nhiên, nhân viên có thể chứng kiến các đồng nghiệp khác làm
những việc mà khiến họ không thoải mái, có thể do đơn giản là họ làm sai, hoặc do về mặt
đạo đức họ nghĩ đó là sai, hoặc họ không chắc, nhưng muốn ai đó biết về đạo đức. Cũng
giống như các tổ chức khác, chúng tôi cũng nhận biết các tình huống đó và cung cấp kênh
cảnh báo vi phạm nhằm báo cáo tình huống vi phạm nghi ngờ thông qua quy trình Hướng dẫn
Đạo đức Kinh doanh (BCG).
6 http:www.kirkpatrickpartners.com/ourphilosophy/thekirkpatrickmodel/tabid/302/default.aspx
7.5 Nghiên cứu và phát triển
Các công ty không hề muốn sử dụng nguồn vốn eo hẹp mình để mua sản phẩm công nghệ cao
từ các công ty không có quy trình R&D chặt chẽ bởi các quy trình đó có thể mang lại sản
phẩm chất lượng cao lâu bền và an toàn. Họ cũng không muốn thấy các nhà cung cấp luôn
phải băn khoăn khi đưa ra quyết định đầu tư giữa “đầu tư vào một sản phẩm mới” hay “đầu
tư vào việc làm cho mọi sản phẩm an toàn và bảo mật”. Nếu một sản phẩm không chất lượng
thì cũng sản phẩm đó cũng chẳng thể đảm bảo chúng có khả năng bảo mật mạng; các công ty
cần phải chứng minh cam kết lâu dài của họ trong việc thúc đẩy phương pháp R&D để hỗ trợ
cho công tác thiết kế, phát triển và triển khai an ninh mạng một cách phù hợp cũng như đầu
tư vào thế hệ sản phẩm tiếp theo.
Tổ chức Nghiên cứu và Phát triển gồm hơn 75.000 kỹ sư và tuân thủ theo một bộ các quy
trình và phương pháp chính thức như trình bày trong hình sau. Tổ chức xây dựng trên quy
trình MM (Quản lý Thị trường) và quy trình IPD (Phát triển sản phẩm tích hợp) được nêu chi
tiết trong Hình 2, Kiến trúc tổng thể về quy trình.
Hình 4. Quản lý thị trường đối với Phát triển Sản phẩm tích hợp
Quy trình chính trong Nghiên cứu và Phát triển (R&D) là Quy trình Phát triển sản phẩm tích
hợp, hay IPD. Chúng tôi đã phát triển quy trình IPD vào năm 1999. Quy trình này là sự tích
hợp phương pháp PACE của PRTM, tư vấn từ thực tế, kinh nghiệm sâu rộng trong thời gian
dài của Huawei và IBM.
Dựa vào độ sâu rộng các hoạt động nghiên cứu và phát triển của Huawei có xét tới thực tiễn
an ninh ngành như OpenSAMM7 và SSE_CMM
8, phản hồi của khách hàng và Chính phủ,
chúng tôi đã tích hợp vào các hoạt động an ninh của quy trình IPD như thiết kế an ninh, phát
triển an ninh và kiểm tra an ninh. Điều này đảm bảo việc thực hiện hiệu quả các hoạt động an
7 http://www.opensamm.org
8 http://en.wikipedia.org/wiki/ISO/IEC_21827
MM (Quản lý thị trường)
Làm đúng việc
Làm đúng cách
Chiến lược
kinh doanh
Dữ liệu lịch sử
Công nghệ
Các yêu cầu Đán
h g
iá t
hị
trư
ờng
Ph
ân k
hú
c th
ị
trư
ờn
g
Ph
ân t
ích
cơ
hội
Ho
ạch
đ
ịnh
kin
h d
oan
h
Tích hợp kế
hoạch kinh
doanh
Quản lý kế hoạch
kinh doanh và thảm định hiệu quả
Các yêu cầu dài
hạn
Các yêu cầu trung hạn
Các yêu cầu chào hàng
Lộ trình
Thuê
Qu
ản
lý O
R
Các yêu cầu khẩn cấp
Khái
niệm
Kế
hoạch
Phát
triển Sửa đổi Giới
thiệu
Vòng
đời
E2E:từ điểm đầu tới điểm cuối
MM: Quản lý thị trường
OR: Yêu cầu chào hàng
SP: Hoạch định chiến lược
BP: Hoạch định kinh doanh
PCR: Yêu cầu thay đổi kế
hoạch
ninh này, nhờ đó nâng cao tính bảo mật của sản phẩm, tăng cường bảo vệ tính riêng tư và
cung cấp các sản phẩm và giải pháp cho khách hàng một cách an toàn hơn. Mức độ chi tiết
của quy trình IPD cho thấy phương thức an ninh mạng được đưa vào hoạt động hàng ngày của
mỗi người, theo đó, an ninh trở thành một nhiệm vụ của mỗi người và là một vấn đề được
thực hiện một cách tự nhiên.
Chúng tôi áp dụng phương thức cài đặt sẵn để đưa vào các yêu cầu an ninh mạng trong quy
trình kinh doanh từ điểm đầu tới điểm cuối như phân tích mối đe dọa an ninh và quét an ninh
mã nguồn, v.v. Nhằm hỗ trợ phương pháp này, chúng tôi đã thành lập Trung tâm kỹ thuật an
ninh hoạt động trong lĩnh vực Nghiên cứu và Phát triển, và tất cả các hoạt động kinh doanh
của Huawei nhằm xây dựng an ninh vào thiết kế, chống lại tấn công an ninh, và cải tiến công
tác quốc phòng an ninh.
Trong bước hình thành khái niệm, phân tích yêu cầu an ninh chủ yếu tập trung vào
hai mảng chính. Trước hết, cơ sở an ninh sản phẩm nên được đưa vào danh mục các yêu cầu
và nên được thực hiện chính xác- đây là những yêu cầu bắt buộc. Thứ hai, phân tích mối đe
dọa khi sản phẩm được lắp đặt ở địa điểm của khách hàng để nhận biết những yêu cầu về an
ninh bổ sung, hoặc theo yêu cầu bảo mật cụ thể của khách hàng.
Cơ sở an ninh sản phẩm bao gồm các yêu cầu về an ninh nhằm đảm bảo an ninh hoặc rủi ro ở
mức có thể chấp nhận được. Cơ sở này bắt nguồn từ quy định pháp luật của địa phương và
quốc tế, những yêu cầu của chính phủ, ngưỡng của khách hàng và các vấn đề mạng trực
tiếp.v.v. Mục tiêu là nhằm đảm bảo tính tuân thủ luật pháp về an ninh, bảo vệ truyền thông và
sự riêng tư của người dùng, tăng cường kiểm soát truy cập hệ thống/ bảo vệ dữ liệu nhạy cảm
và tăng khả năng phòng vệ của hệ thống.
Phân tích mối đe dọa được sử dụng nhằm tìm ra các nguồn tiềm năng và các loại đe dọa cũng
như các điểm tấn công theo các trường hợp cụ thể mà sản phẩm được sử dụng để chúng tôi có
thể đánh giá những rủi ro này và đảm bảo rằng các biện pháp đối phó được đưa vào trong
danh mục các yêu cầu đối với sản phẩm.
Trong bước lên kế hoạch, chúng tôi sẽ nêu chi tiết các mối đe dọa an ninh trong bước
hình thành khái niệm của thiết kế sản phẩm. Tại đây, chúng tôi thiết kế kiến trúc an ninh sản
phẩm và các đặc điểm thiết kế an ninh. Chúng tôi cũng tham khảo các quy định như các thông
số về an ninh X.805 và OWASP, đồng thời phát triển các tiêu chuẩn thiết kế an ninh mạng
dựa trên các tiêu chuẩn và quy trình kỹ thuật tốt nhất.
Trong bước phát triển, nhà phát triển sản phẩm tuân thủ các thông số mã hóa an toàn
khi ghi phần mềm và sau đó thực hiện xem xét tổng thể. Công cụ quét mã tự động được sử
dụng để thực hiện quét an ninh và phân tích mã nhằm giảm các lỗi về an ninh trong mã hóa và
nhận biết thêm các khu vực điều tra.
Trong bước đánh giá, các nhân viên kiểm tra tiến hành kiểm tra dựa trên các thông
số kỹ thuật về yêu cầu an ninh. Mật độ lỗi sản phẩm là một chỉ số quan trọng để đưa ra quyết
định tại ADCP (Các điểm kiểm tra quyết định độ khả dụng). Phòng thí nghiệm an ninh mạng
nội bộ kiểm tra các sản phẩm của các Nhóm kinh doanh (Mạng viễn thông, Doanh nghiệp,
Khách hàng) kể cả các sản phẩm của OEM độc lập với phòng kinh doanh nhằm xác minh các
sản phẩm đó có phù hợp với các yêu cầu cơ sở về an ninh sản phẩm hay không.
Ngoài ra, chúng tôi đảm bảo sự phân tách hoàn toàn các nhiệm vụ xuyên suốt toàn bộ quy
trình Nghiên cứu và Phát triển. Các nhà phát triển phần mềm không thể duyệt kết quả thử
nghiệm cuối cùng hoặc khâu tung ra thị trường cuối cùng. Các nhà phát triển phần mềm cũng
không được quyền tung phần mềm của mình ra thị trường. Quy trình đánh giá, tungsản phẩm
ra thị trường phải độc lập và nghiêm ngặt --- khi phần mềm được tung ra thị trường, thì nó sẽ
được ký bằng số và tự động được tải lên website hỗ trợ cho download trong quá trình sản xuất
hoặc tại site của khách hàng.
Hình dưới đây là tóm tắt quy trình IPD nhúng.
Hình 5. An ninh tích hợp trong quá trình IPD
7.5.1 Quản lý khâu thiết lập cấu hình và Trung tâm xây dựng
Quản lý khâu thiết lập cấu hình bao gồm các quy trình mà Huawei đảm bảo tính nhất quán,
thống nhất, và khả năng truy xuất nguồn gốc sản phẩm của mình. Quản lý khâu thiết lập cấu
hình không chỉ đảm bảo tính toàn vẹn của phần mềm được thiết kế và phát triển bởi Huawei,
mà còn đảm bảo tính toàn vẹn, của bên thứ ba và các thành phần nguồn mở.
Quy trình quản lý khâu thiết lập cấu hình của Huawei là một phần không thể tách rời trong
quy trình IPD (Phát triển Sản phẩm tích hợp). Các hoạt động quản lý thiết lập cấu hình được
tiến hành ở những bước khác nhau trong quy trình IPD. Những bước này gồm chiến lược và
kế hoạch quản lý thiết lập cấu hình, nhận dạng hạng mục cấu hình, kiểm soát thay đổi cấu
hình, quản lý công bố sản phẩm, quản lý thư viện cấu hình, giải thích tình trạng cấu hình,
kiểm nghiệm cấu hình. Môi trường này tạo ra khả năng truy xuất nguồn gốc sản phẩm vốn là
kết quả an ninh mạng cốt lõi. Để truy cập được vào thư viện quản lý cấu hình của Huawei, các
nhà phát triển cần phải xin phép các cơ quan có thẩm quyền, vì vậy đảm bảo mã trong thư
viện cấu hình được an toàn và chỉ các nhà phát triển được ủy quyền thực hiện dự án mới
được truy cập vào.
Một vai trò quan trọng trong công tác quản lý cấu hình là sự chia tách công việc, phân tách
các hoạt động, vai trò và trách nhiệm trong quy trình xây dựng, và đảm bảo rằng các vai trò
đó được xác định rõ ràng, từ khâu chuẩn bị lặp lại, lên kế hoạch, phát triển đến nghiệm thu hệ
thống.
Ở bước chuản bị tích hợp, Kỹ sư Tích hợp liên tục (CIE) phát triển một danh mục các công cụ
biên soạn và xây dựng cần thiết để phát triển sản phẩm, tạo ra môi trường tích hợp liên tục
theo danh mục công cụ tương đương. Khi sản phẩm bước vào giai đoạn phát triển lặp lại, và
các kỹ sư Nghiên cứu & Phát triển đã hoàn thành việc mã hóa, CIE phát triển script xây dựng
và hướng dẫn biên tập và thực hiện quy trình xây dựng tự động bằng một cú click chuột. Tự
động hóa quy trình xây dựng đảm bảo rằng không tiềm ẩn mã hoặc hạng mục không được ủy
Tuân thủ luật
pháp
Yêu cầu của
chính phủ
Tấn công
mạng
cố tình nhúng
và giả mạo
theo dõi và
kiểm tra hành
vi
Thực hiện các chính sách và yêu cầu về an ninh mạng
và liên tục cải thiện
Cải thiện liên tục Yêu cầu về an ninh
Gồm các thành phần an ninh mạng trong quá trình IPD, bổ sung các yêu cầu quản lý an ninh và các
hoạt động quản lý hiện có và các hệ thống hoạch định chính sách
Conceept Ké hoạch Phát triển
Kiểm tra Tung ra thị
trường
Vòng đời
yêu cầu về an
ninh
Thiết kế an
ninh
Phát triển an
ninh
Thử nghiệm
an ninh
Cung cấp và
bảo trì an ninh
Khả năng phân tích
đe doạn an ninh
Khả năng thiết kê
an ninh
Khả năng mã hóa
an ninh
Khả năng thử
nghiệm an ninh
Khả năng cung
cấp an ninh
Trung tâm khả năng an
ninh
Phòng kỹ thuật an ninh
mạng SE an ninh
Nhân viên nghiên
cứu và phát triển
Tối ưu cấu trúc tổ chức để đảm bảo tích lũy và kế thừa những khả năng này
Đảm bảo tực hiện quá trình này thông qua cải thiện các khả năng an ninh dài hạn
Các cơ quan
chính phủ
Hãng vận tải
Doanh nghiệp
người dùng
đầu cuối
các bên liên
quan
quyền bổ sung đầu vào. Quy trình xây dựng cũng sử dụng các công cụ phù hợp như Fortify9
cũng như các công cụ phân tích tự xây dựng và thương mại khác nhằm để kiểm tra lỗi mã
hóa. Sau đó những lỗi này được ghi vào Hệ thống Theo dõi Lỗi (DTS) và được chỉ định lại
cho kỹ sư chịu trách nhiệm về phát triển mã hóa. Khi xử lý xong tất cả các lỗi, CIE bắt đầu lại
quá trình xây dựng đơn.
Ở bước nghiệm thu hệ thống, nhóm tích hợp và xác minh sẽ xác nhận rằng quy trình xây dựng
đã hoàn thành dựa trên hướng dẫn biên dịch, và cùng thời điểm đó đảm bảo rằng hướng dẫn
biên dịch là chính xác và khả thi. Đội đảm bảo chất lượng sẽ thực hiện kiểm tra các công cụ
được sử dụng thực tế trong quy trình xây dựng để tránh việc sử dụng các công cụ mà không
được phê duyệt. Sau khi hoàn thành tất cả những nhiệm vụ này, phần mềm sẽ được đưa vào
cổng phân phối của Huawei cho khách hàng download.
Để đảm bảo quá trình xây dựng lặp lại, Huawei đã thiết lập trung tâm xây dựng mà tại đó tất
cả các phần cứng, công cụ biên dịch, phần mềm bên thứ ba, nguồn cơ sở dữ liệu và các hệ
thống vận hành đáp ứng các tiêu chuẩn và các yêu cầu hỗ trợ nghiêm ngặt. Trung tâm xây
dựng là một giải pháp đối với việc xây dựng và biên tập sản phẩm và nó cung cấp dịch vụ
đám mây nhằm hỗ trợ các hoạt động xây dựng phần mềm trong quá trình IPD. Trung tâm
mang ba đặc điểm chính: quản lý các nguồn đã được tiêu chuẩn hóa, tiêu chuẩn hóa quy trình
xây dựng và tăng tốc dịch vụ.
Quản lý nguồn đã được tiêu chuẩn hóa: thực hiện quản lý tập trung phần cứng tiêu chuẩn,
các hệ điều hành tiêu chuẩn, công nghệ ảo, công nghệ đám mây và phần cứng, hệ điều hành
trong môi trường xây dựng sản phẩm. Nó làm tăng đáng kể độ ổn định của việc xây dựng
phần mềm và nâng tỷ lệ thành công, đảm bảo mọi sản phẩm đều chứa các thành phần hợp
pháp, từ các nguồn hợp pháp tại dịch vụ hiệu chỉnh, chắp vá, và số phiên bản. Nó đảm bảo
rẳng chỉ những thành phần được phê duyệt cần thiết đối với sản phẩm được đưa vào quá trình
xây dựng phần mềm.
Tiêu chuẩn hóa quy trình xây dựng: tự động hóa toàn bộ quy trình xây dựng từ việc xây
dựng môi trường, đến download mã, biên tập một click chuột, đóng gói, rà soát mã tĩnh, thử
nghiệm mức độ thấp tự động tới mức cao thông qua quản lý các công cụ một cách tập trung,
tieu chuẩn hóa các kịch bản xây dựng, xây dựng bằng một click chuột và thiết lập tự động môi
trường xây dựng,… Khi thực hiện như vậy, chúng tôi đảm bảo quy trình xây dựng sản phẩm
có thể được lặp lại/ phục hồi và được theo dõi.
Tăng tốc dịch vụ: tăng hiệu quả xây dựng. Về bản chất, đây là dịch vụ điện toán đám mây
luôn hoạt động 24 giờ/ ngày.
Ngoài ra trung tâm xây dựng kể trên, chúng tôi đã thực hiện hai thêm hai chức năng khác:
trung tâm quét (scan) virus có thể chạy trên bốn sản phẩm phần mềm anti-virus vốn được tích
hợp vào quá trình thử nghiệm, và thứ hai, là trung tâm chữ ký số để thực hiện ký số các mã đã
được biên dịch bằng từ khóa được lưu trữ trong dữ liệu từ khóa nhằm đảm bảo an toàn.
Huawei vừa ra mắt Quản lý Vòng đời Ứng dụng (ALM), một giải pháp đúng đắn cho ngành,
nhằm thiết lập một nền tảng phát triển cộng tác phần mềm tích hợp để hỗ trợ khả năng truy
xuất nguồn gốc từ điểm đầu tới điểm cuối. Huawei đã nhóm các mục tiêu kinh doanh của
mình để sử dụng ALM thành ba lĩnh vực sau:
Trong quá trình phân tích yêu cầu, những yêu cầu thô (RRs) được chia nhỏ thành
những yêu cầu ban đầu (IRs) và những yêu cầu hệ thống (SRs).
9 http://www9.hp.com/uk/en/software-solutions/software.html?compURL=1338812
Trong quá trình thiết kế hệ thống, các tình huống thử nghiệm và chức năng được
thiết kế dựa trên những yêu cầu hệ thống. Các kỹ sư phát triển viết và xây dựng mã hóa nhằm
thực hiện các chức năng trong quá trình mã hóa và xây dựng.
Sau khi mã hóa và xây dựng, một phiên bản thử nghiệm được tạo ra. Sau khi phiên
bản đó đạt yêu cầu thử nghiệm và kiểm tra sẽ được ra mắt tới tay khách hàng.
Các mối quan hệ về khả năng truy xuất nguồn gốc giữa những mục tiêu kinh doanh này đã
được thực hiện nhằm đảm bảo rằng tất cả những yêu cầu của khách hàng được phát triển một
cách đúng đắn và được xác minh rõ ràng. Đặc biệt, mối liên kết giữa các quá trình phát triển
khác nhau có thể chuyển tiếp hoặc gửi ngược lại khả năng truy xuất nguồn gốc các yêu cầu và
nhận dạng cá nhân đi kèm với việc phát triển sản phẩm trong từng giai đoạn.
7.5.2 Quản lý công cụ và các thành phần của bên thứ ba
Huawei thuê gia công phần mềm bên thứ ba và phần mềm mã nguồn mở từ khắp nơi trên thế
giới. Việc thuê gia công phần mềm từ các bên thứ ba khiến cho tất cả các công ty phải đối mặt
với nhiều khó khăn thách thức và cần phải cân nhắc những vấn đề sau:
Mã nguồn hoặc thành phần nguồn mà bạn đang sử dụng có nguồn gốc đáng tin cậy
không?
Bằng cách nào bạn có thể theo dõi việc sử dụng của phần mềm để hiệu chỉnh lỗi và
quản lý giấy phép?
Bạn sẽ xử lý vấn đề lỗ hổng bảo mật thông tin?
Bạn dự định tái sử dụng bộ phận đó như thế nào?
Làm sao để phương thức quản lý vòng đời tổng thể sản phẩm từ bên thứ ba có thể phù
hợp với vòng đời sản phẩm của bạn?
Chúng tôi không chỉ cân nhắc đến thành phần của bên thứ ba, mà còn phải đảm bảo rằng
thành phần đó và việc lựa chọn tất cả các thành phần liên quan cần thiết để biên dịch mã
nguồn hoặc thành phần của bên thứ ba cũng phải nằm trong tầm kiểm soát. Huawei đã tiến
hành quản lý toàn bộvòng đời của các sản phẩm thuê gia công từ bên thứ ba, từ việc lựa chọn
các thành phần này cho tới làm thế nào để chúng được đưa vào sản phẩm của chúng tôi.
Huawei kiểm soát chặt chẽ việc sử dụng các thành phần nguồn mở và bên thứ ba và đảm bảo
rằng chỉ được lấy các thành phần đó từ các nguồn đáng tin cậy. Chúng tôi đã tạo ra một thư
viện lưu trữ mọi thành phần nguồn mở và của bên thứ ba, các nhà phát triển của chúng tôi có
thể chỉ có quyền truy cập vào các thành phần này sau khi được cho phép. Điều này đảm bảo
rằng Huawei có thể tập trung liên tục cập nhật các thành phần nguồn mở và của bên thứ ba và
duy trì các công cụ cần thiết để xây dựng mã hóa.
Sử dụng một kho tập trung chứa mã nguồn mở và của bên thứ ba được nhúng vào quy trình
IPD tổng thể của Huawei cũng cho phép chúng tôi đảm bảo rằng mỗi thành phần đều được
thu thập từ nguồn đáng tin cậy, được cấp phép theo quy định pháp luật, và theo dõi vị trí
thành phần đó được sử dụng và đảm bảo rằng việc lựa chọn công cụ đó là hoàn toàn chính
xác. Quan trọng là chúng tôi có thể quản lý lỗ hổng bảo mật và đảm bảo rằng các nhà phát
triển có thể hoàn toàn giải quyết được bất kỳ vấn đề nào liên quan tới việc sử dụng thành phần
đó.
Một thành phần vô cùng quan trọng trong dữ liệu tập trung là đảm bảo Huawei có thể theo dõi
lỗ hổng bảo mật có thể xuất hiện trong mã nguồn mở và của mã của bên thứ ba tại bất cứ thời
điểm nào. Khi khách hàng, nhà cung cấp thành phần hoặc Huawei phát hiện ra lỗ hổng, thì
thành phần đó phải được đánh giá, và nhà phát triển gốc phải đưa ra giải pháp phù hợp, hoặc
cách giải quyết khác. Sau đó thành phần đó phải được chuyển tới nhóm PSIRT để cùng với
khách hàng giải quyết vấn đề.
Việc sử dụng kho chứa tập trung cho phép chúng tôi quản lý vòng đời của mã nguồn mở và
mã của bên thứ ba. Điều này vô cùng quan trọng khi phần mềm của Huawei được sản xuất với
vòng đời vốn có; thành phần mã nguồn mở hoặc của bên thứ ba có thể được cập nhật trong
chu trình này và sẽ phải thay đổi để đảm bảo tính thống nhất, đặc biệt trong trường hợp nhà
phát triển ban đầu công bố thành phần nguồn mở hoặc của mã nguồn của bên thứ ba hết hạn.
7.6 Kiểm tra: Không giả định, không tin tưởng ai, kiểm tra mọi thứ
Trong khi quy trình R&D vững chắc là nền tảng cho sản phẩm chất lượng, an toàn và có tính
bảo mật cao, R&D cũng có thể chịu áp lực cần triển khai sản phẩm mới nhanh chóng mà bỏ
qua các khâu thí nghiệm và kiểm tra đúng đắn. Phương pháp kiểm tra “many hands” - nhiều
người cùng tham gia kiểm chứng, “many eyes” - tỉ mỉ cho mỗi kiểm chứng độc lập làm giảm
nguy cơ phân phối các sản phẩm không an toàn. Việc cân bằng của các kiểm tra và cân bằng
end-to-end được bổ sung kiểm chứng an ninh độc lập đảm bảo một cách tiếp cận “không đi
đường tắt” và bảo vệ khoản đầu tư và các dịch vụ của khách hàng.
Tại Huawei, chúng tôi tán thành áp dụng phương pháp đa tầng theo kiểu “nhiều tay và nhiều
mắt” để công khai và minh bạch hóa về những gì chúng tôi làm. Chúng tôi khuyến khích việc
kiểm toán, rà soát và kiểm tra các nhà cung cấp công nghệ, gồm cả Huawei, theo hình thức
công bằng và không phân biệt, bởi vì mỗi đợt kiểm duyệthoặc kiểm tra lại đưa ra thách thức
khiến các công ty phải đưa ra những ý tưởng, chính sách và quy trình, nhưng đổi lại sẽ nâng
cao năng lực của họ, cải thiện chất lượng sản phẩm và độ bảo mật sản phẩm. Chúng tôi tin
tưởng rằng từ khía cạnh hiệu quả, năng suất và bảo mật, sẽ càng có nhiều người tìm kiếm, trải
nghiệm, thử nghiệm và đặt câu hỏi về những điều mà chúng tôi làm, điều đó sẽ tốt hơn cho
Huawei và các khách hàng của chúng tôi. Đó là những điều chúng tôi luôn khuyến khích các
nhà cung cấp của mình.
Những năm gần đây, Huawei đã có nhiều sáng kiến trong việc chủ động giải quyết các thách
thức về an ninh mạng phức tạp và nghiêm trọng mà các chính phủ và nhà cung cấp mạng
truyền thông trên toàn cầu đang phải đối mặt. Những thách thức này khiến cho tất cả các bên
liên quan hiểu rõ hơn về những gì các nhà cung cấp công nghệ nên làm để giảm bớt những
vấn đề, mối quan ngại về an ninh. Chúng tôi tin rằng phần lớn những bên liên quan của chúng
tôi nhất trí rằng nên có một tiêu chuẩn hoặc bộ tiêu chuẩn về an ninh mạng trong bối cảnh
truyền thông hiện nay. Tuy nhiên, các bên liên quan rất khó đi đến thống nhất những tiêu
chuẩn này là gì, hoặc những tiêu chuẩn mới cần phát triển là gì. Huawei tin rằng chúng tôi
phải giải quyết (nhà cung cấp, hãng vận tải và chính phủ) tất cả những thách thức chung này
theo cách thức sâu rộng và hợp lý thường được áp dụng để giải quyết phần lớn các vấn đề phổ
biến nhất.
Khi không có sự thống nhất trên toàn cầu về các tiêu chuẩn đánh giá an ninh mạng, Huawei
tin rằng bằng việc xây dựng một môi trường đảm bảo an ninh mạng công bằng và có mục
tiêu, những thách thức an ninh mạng phổ biến có thể sẽ được khắc phục. Tại Huawei, chúng
tôi luôn rà soát các sản phẩm của mình từ bước hình thành concept ban đầu cho tới bước triển
khai và quản lý liên tục, vá lỗi/ nâng cấp để đảm bảo rằng ở mỗi bước sản phẩm đều được
kiểm tra tính bảo mật. Việc tạo ra chương trình đánh giá tính tuân thủ toàn cầu cho các sản
phẩm ICT sẽ đóng góp đáng kể vào khả năng của các nhà thu mua sản phẩm ICT nhằm đưa ra
quyết định đúng đắn hơn về các sản phẩm ICT và có biện pháp khuyến khích các nhà sản
xuất, và nhà cung cấp đưa ra sản phẩm có ít lỗ hổng bảo mật hơn và có tính đảm bảo hơn.
Đánh giá theo tầng
Huawei đã xây dựng một quy trình đánh giá an ninh mạng đa tầng nhằm đảm bảo rằng các
sản phẩm của chúng tôi được khảo sát về các vấn đề an ninh mạng tiềm ẩn từ khâu thiết kế
sản phẩm, phát triển, cho tới triển khai, bảo trì trong mạng lưới khách hàng của chúng tôi trên
toàn thế giới.
Hình 6. Phương pháp kiểm tra độc lập đa tầng
Chúng tôi tiến hành và liên tục phát triển sản phẩm của mình bằng cách áp dụng “quản lý
khép kín”. Quản lý khép kín nhằm đảm bảo các mối quan tâm về an ninh và các yêu cầu của
khách hàng được đưa vào bước thiết kế sản phẩm để cải thiện chất lượng và độ bảo mật của
sản phẩm theo tiêu chuẩn quốc tế. Bất kỳ báo cáo nào sau khi đánh giá các sản phẩm được
cung cấp cho tổ chức Nghiên cứu và Phát triển (R&D) của chúng tôi đều nhằm đảm bảo các
kết quả đều phù hợp với sản phẩm được công bố trong tương lai.
Chúng tôi bảo đảm bảo mật cho khách hàng thông qua công tác thử nghiệm và đánh giá sản
phẩm độc lập của chúng tôi thông qua các nền hệ thống khác nhau như Phòng thí nghiệm an
ninh mạng nội bộ của Huawei, Trung tâm Đánh giá An ninh mạng của Anh (CSEC), đánh giá
của khách hàng, và người kiểm nghiệm và đánh giá của bên thứ ba.
Do có nhiều phương pháp và cách hiểu khác nhau về an ninh, nên các yêu cầu an ninh của
khách hàng có thể khác nhiều so với các bên khác. Yêu cầu về an ninh cũng thay đổi tùy theo
các mạng và thiết bị ở những mức độ khác nhau. Theo đó, chúng tôi đưa ra những đánh giá an
ninh nhằm đáp ứng các yêu cầu về an ninh của khách hàng cá nhân. Huawei gần đây mới áp
dụng ba mô hình đánh giá khác nhau nhằm liên tục nâng cao tính bảo mật cho sản phẩm:
1. Phòng thí nghiệm an ninh mạng nội bộ của Huawei chịu trách nhiệm tự kiểm tra về an
ninh mạng. Tự kiểm tra về an ninh mạng bao gồm việc xem xét đánh giá lỗ hổng bảo mật đã
được phát hiện và cơ sở bảo mật của sản phẩm. Công tác này bao gồm cả việc kiểm tra và
kiểm soát nội bộ các sản phẩm của Huawei từ khâu hình thành concept ban đầu tới khâu triển
khai thực hiện.
2. Phòng thí nghiệm an ninh mạng nội bộ của Huawei chịu trách nhiệm đánh giá an ninh ở
cấp khu vực và quốc gia. Hình thức đánh giá này nhằm đáp ứng các yêu cầu chứng nhận an
ninh của các chính phủ địa phương và khách hàng. Gần đây, Trung tâm đánh giá an ninh
Mạng Anh (CSEC) tiến hành các đánh giá đó. Ở những trung tâm này, chất lượng mã hóa và
an ninh được phân tích sử dụng các công cụ thương mại và tự thiết kế để tìm kiếm nhược
điểm của mã tiềm năng. Phần mềm này cũng được thử nghiệm bằng cách sử dụng một loạt
IPD: Quy trình phát triển sản phẩm tích hợp
Những gì chúng tôi học, cập nhật tất cả quy trình của Huawei, tiêu
chuẩn và chính sách, và được áp dụng cho mọi sản phẩm và dịch
vụ- “chu trình” chuẩn
Định nghĩa Kế hoạch Phát triển Định tính Ra mắt Tuổi thọ
Thử nghiệm
thâm nhập độc
lập Phòng thí
nghiệm an ninh
mạng độc lập
của Huawei
UK CSEC
(người vận
hành) thử
nghiệm độc lập
Khách hàng/
bên thứ ba thử
nghiệm độc
lập/ tiêu chí
chung
Bên thứ ba
Bên thứ ba
các công cụ và công nghệ để đánh giá khả năng chống bị xâm nhập và phải xem xét lần cuối
các đặc tính thiết kế an ninh.
3. Huawei cũng làm việc với các cơ quan đánh giá bên thứ ba độc lập và những người
đánh giá, là những người đánh giá an ninh sản phẩm một cách không thiên vị, và trong một số
trường hợp, kiêm cả công tác chứng nhận. Hình thức đánh giá này thường được tiến hành bởi
khách hàng, người kiểm nghiệm bên thứ ba, bao gồm mô hình chứng nhận an ninh theo tiêu
chí chung (CC). Huawei đã được cấp các giấy chứng nhận CC cho nhiều sản phẩm. Một số
hãng vận tải tự tiến hành thử nghiệm an ninh nội bộ của sản phẩm vì họ tiếp tục phát triển các
môi trường an toàn hơn, trong khi các khách hàng khác mời bên thứ ba như các khách hàng ở
Bắc Mỹ và Châu Âu để thử nghiệm sản phẩm một cách độc lập.
Nhiều mắt, nhiều tay, kiểm tra nhiều
Lợi ích khác của phương pháp đa tầng là phương pháp “nhiều mắt, nhiều tay, kiểm tra nhiều”
để đảm bảo xem xét của phòng thí nghiệm được xác minh bằng nhiều phương pháp bình
duyệt khác nhau, vì vậy có quan điểm khác thông qua việc đánh giá sản phẩm.
Phòng thí nghiệm an ninh mạng nội bộ của chúng tôi cũng được xây dựng nhằm cho phép
khách hàng hoặc các bên thứ ba thực hiện thử nghiệm tại cơ sở của mình. Trong phòng thí
nghiệm nội bộ gần đây, chúng tôi đã thực hiện môi trường riêng, đảm bảo có thể hỗ trợ việc
đánh giá đồng thời từ khách hàng hoặc các chuyên gia của bên thứ ba. Khách hàng và các bên
thứ ba có thể tận dụng nền tảng này để tiến hành đánh giá an ninh mạng độc lập một cách
nhanh chóng và hiệu quả. Điều này giúp họ có một môi trường thử nghiệm riêng với quyền
truy cập vào các nguồn, công cụ thử nghiệm, và thiết bị nhằm đáp ứng nhu cầu đánh giá của
mình. Các khách hàng đang tận dụng cơ sở này để trực tiếp đánh giá và đảm bảo an ninh cho
các sản phẩm của mình.
Khách hàng có thể sử dụng bên thứ ba độc lập với Huawei và các công cụ, công nghệ và các
cách tiếp cận khác của bên này Huawei mà Huawei không có để kiểm tra. Trong các trường
hợp đó, một khi đánh giá hoàn tất, khách hàng, bên có liên quan quan trọng như các cơ quan
chính phủ có liên quan và bộ phận R&D của Huawei sẽ nhận được một báo cáo kiểm toán
đáng tin cậy. Nội dung của báo cáo này bao gồm hiện trạng, cung cấp thông tin về các vấn đề
được phát hiện và mức độ nghiêm trọng của các vấn đề đó cũn nhưthông tin về các biện pháp
để giảm thiểu tình trạng theo mong muốn của khách hàng cho tới khi đưa ra được một giải
pháp lâu dài. Các kết quả này được cung cấp cho bộ phận phát triển sản phẩm nhằm đảm bảo
cải tiến thống nhất chất lượng và độ bảo mật của sản phẩm nói chung.
Sau khi báo cáo, các khách hàng và chính phủ có thể kiểm tra bất kỳ thay đổi nào của phần
mềm do quá trình nâng cấp hoặc khắc phục sự cố nhằm đưa ra các giải pháp bảo đảm liên tục
trong quá trình sử dụng.
Trong một số trường hợp, có thể cần các giấy chứng nhận sản phẩm như chứng nhận Tiêu chí
đánh giá chung (CC) và Huawei phải làm việc với các bên liên quan để được chứng nhận này.
Huawei tin rằng công tác đánh giá an ninh mạng phát huy tối đa hiệu quả khi có sự hợp tác
với các bên liên quan. Chúng tôi làm việc với bộ phận an ninh của khách hàng, các nhà cung
cấp giải pháp an ninh bên thứ ba và các tập đoàn về an ninh nhằm học hỏi kinh nghiệm và cải
thiện năng lực đánh giá, tính thực tiễn và các yêu cầu. Bên cạnh đó, chúng tôi tận dụng các
kết quả độc lập và khách quan của các công ty an ninh thứ ba, các cơ quan an ninh và khách
hàng để kiểm tra tính khách quan và chính xác của các báo cáo.
Quan trọng hơn, một điều không ngạc nhiên là phương pháp tiếp cận kiểm tra và kiểm
nghiệm độc lập lại đòi hỏi một cách tiếp cận độc lập. Mỗi phòng thí nghiệm hoặc mô hình của
bên thứ ba sử dụng các công cụ, kĩ thuật, cách tiếp cận và phương pháp khác nhau. Mục đích
là kiểm tra và rà soát sản phẩm từ nhiều chiều hướng và cách tiếp cận khác nhau nhất có thể
nhằm tăng cường khả năng bảo mật của sản phẩm.
Nói tóm lại, chúng tôi nhận thấy các rủi ro các công ty phải đối mặt trong thế giới hôm nay
vàchúng tôi sẽ tiếp tục chủ động tham gia vào các quá trình đánh giá sản phẩm và làm việc
nhằm đưa ra những đánh giá khách quan và công bằng về sản phẩm. Trong khi ngành này cần
cân nhắc nhiều để đi đến sự thống nhất trên toàn cầu về các tiêu chuẩn kiểm tra an ninh mạng,
Huawei sẽ tiếp tục làm việc với khách hàng và các bên liên quan nhằm đáp ứng nhu cầu về an
ninh của họ.
7.7 Quản lý nhà cung cấp bên thứ ba.
Có rất nhiều công ty công nghệ cao lớn sử dụng các công ty thứ ba để cung cấp các linh kiện
phần cứng, phần mềm, hỗ trợ chuyển giao và lắp đặt. Nếu công nghệ và quy trình của bên thứ
ba có nhiều điểm yếu về an ninh, điều này làm tăng đáng kể điểm yếu của các sản phẩm và
dịch vụ của nhà cung cấp đó bởi vì chúng được tích hợp trong sản phẩm tới tay người tiêu
dùng. An ninh mạng end-to-end có nghĩa là nhà cung cấp phải làm việc với các nhà cung cấp
của mình để áp dụng các biện pháp bảo mật không gian mạng theo tiêu chuẩn thực hành tốt
nhất.
7.7.1 Chuỗi cung ứng
Huawei đã thành lập một hệ thống toàn diện quản lý bên cung cấp nhằm lựa chọn và đánh giá
chất lượng của nhà cung cấp dựa trên cáchệ thống, quy trình và sản phẩm của họ đồng thời
liên lục giám sát và đánh giá thường xuyên các hoạt động chuyển giao của nhà cung cấp và
lựa chọn các nhà cung cấp có khả năng đóng góp vào chất lượng và độ bảo mật của sản phẩm
và dịch vụ Huawei cung cấp.
Chương trình quản lý chuỗi cung ứng (SCM) của Huawei quan tâm đến chất lượng sản phẩm
trên vai trò là chiến lược cốt lõi và liên tục cải tiến chất lượng sản phẩm và hiệu quả của quy
trình thông qua hàng loạt hoạt động cải tiến liên tục như Six Sigma, các dự án tối ưu hóa, các
chu trình quản lý chất lượng (QCCs), hộp thư đóng góp ý kiến truyền thống và Hệ thống Sản
phẩm Huawei (HPS). Ví dụ, kể từ khi triển khai mô hình Six Sigma năm 2002, Huawei đã mở
rộng những nỗ lực về chất lượng từ chất lượng nội bộ của sản phẩm đến thỏa mãn khách hàng
bên ngoài và từ khâu sản xuất đến quy trình chuỗi cung ứng end-to-end (từ điểm đầu tới điểm
cuối), như quản lý đơn hàng và kế hoạch.
Thông qua quy trình quản lý kho vận toàn cầu của Huawei và các quy trình kho vận quốc gia,
Huawei quản lý phân tầng (toàn cầu – khu vực – quốc gia) các hoạt động kinh doanh kho vận
toàn cầu nhằm hỗ trợ hệ thống quản lý an ninh chuỗi cung ứng. Huawei đã thành lập hệ thống
IT, HTM (quản lý vận tải Huawei) cho phép trực quan hóa và kiểm soát quy trình vận tải.
Huawei đã xây dựng các quy trình đánh giá hoạt động trả lại của chuỗi cung ứng. Huawei
cũng xây dựng các yêu cầu áp dụng cho các phương pháp xử lý hàng hóa bị trả lại dựa trên
các luật và quy định tại địa phương nhằm đáp ứng tất cả các yêu cầu về hàng hóa lỗi thời hoặc
hàng bị trả lại. Để đảm bảo bảo mật thông tin của khách hàng, như nguy cơ các thông tin nhạy
cảm vẫn còn lưu trong thiết bị bị trả lại, Huawei yêu cầu khách hàng xóa hết dữ liệu trong
thiết bị trước khi gửi trả. Chiến lược chuỗi cung ứng toàn cầu của Huawei nhấn mạnh vào các
đặc tính mang tính nền tảng, liên quan đến vấn đề an ninh như sau:
Tính hiệu quả - Tăng cường dòng sản phẩm và dịch vụ kịp thời và hiệu quả của
Huawei trong chuỗi cung ứng nhằm bảo vệ chuỗi cung ứng không bị xâm phạm hoặc lợi dụng
và giảm khả năng bị lợi dụng hoặc phá hoại.
An ninh – đảm bảo tính toàn vẹn của sản phẩm và dịch vụ trong suốt chuỗi cung ứng
toàn cầu; xác định và đối mặt với các mối đe dọa từ khâu đầu tiên của quy trình, thành lập và
duy trì hệ thống quản lý an ninh chuỗi cung ứng hoạt động liên tục và được cải tiến không
ngừng.
Đối phó – xác định và quản lý các rủi ro của chuỗi cung ứng và phát triển các kế
hoạch phản ứng, phục hồi và cải thiện hiệu quả việc phản hồi, phục hồi nhanh chóng và cải
thiện liên tục chuỗi cung ứng của Huawei. Huawei đã thành lập hệ thống truy xuất nguồn gốc
chính xác và hiệu quả nhằm xác định và chỉ ra các rủi ro, liên hệ chúng với các rủi ro và lỗ
hổng của các thành phần và quy trình đang cần cải thiện để phục hồi chuỗi cung ứng.
Huawei tin tưởng rằng những phá hoại có chủ ý có thể diễn ra trong mọi hoạt động trong
chuỗi cung ứng. Do vậy, điều quan trọng không phải là chỉ tập trung vào một hành động nhất
định nào đó mà phải bao quát toàn bộ chuỗi cung ứng.
Các mối đe dọa đến chuỗi cung ứng rơi vào hai loại chính: làm giả sản phẩm và bôi nhọ sản
phẩm. Các mối đe dọa này bao gồm các phần mềm độc hại, các bộ phận thiết bị và điều chỉnh
cấu hình không được ủy quyền, sản xuất không được ủy quyền và phá hoại có chủ ý.
Huawei đã thành lập hệ thống quản lý an ninh chuỗi cung ứng dựa trên các yêu cầu và quy
trình của Huawei về bảo đảm chất lượng, an ninh thông tin, bảo vệ môi trường, bảo đảm IT
cũng như các yêu cầu của ISO28000 (quản lý an ninh chuỗi cung ứng), C-TPAT10
(Hiệp hội–
Thương mại Chống khủng bố) và TAPA11
(Hiệp hội Bảo vệ tài sản Vận tải). Hệ thống quản lý
an ninh chuỗi cung ứng đã đạt yêu cầu chứng nhận của bên thứ 3 về ISO 28000 và được cấp
chứng nhận.
Huawei phát triển cơ sở an ninh mạng chuỗi cung ứng nhằm đảm bảo tính toàn vẹn, khả năng
truy xuất nguồn gốc và tính xác thựccủa sản phẩm trong chuỗi cung ứng. Các đường cơ sở
này bao gồm an ninh về mặt vật lý (bảo mật khi chuyển giao toàn bộ), an ninh trong công tác
cung cấp phần mềm cũng như các nhận thức an ninh cán bộ, quy trình và tổ chức. Các đường
cơ sở bảo mật vật lý được thiết kế để ngăn truy cập vật lý có thể làm xáo trộn hoặc động hoặc
đưa vào các mã độc.
An ninh trong công tác cung cấp phần mềm đảm bảo tính toàn vẹn end-to-end của phần mềm
bằng cách ngăn chặn các truy cập vật lý trái phép vào phần mềm và cho phép kiểm tra kỹ
thuật. Nhằm quản lý các rủi ro liên quan đến nguyên liệu đầu vào, Huawei kiểm tra nguyên
liệu đầu vào dựa trên các tiêu chí kĩ thuật của vật liệu, tiêu chuẩn chất lượng liên qua và
hướng dẫn về vật liệu, và tuân thủ các quy trình trong từng giai đoạn của vòng đời sản phẩm:
thu mua, phát triển và chuỗi cung ứng.
Với giai đoạn chuỗi cung ứng, Huawei đã thành lập hệ thống quản lý an ninh chuỗi cung ứng
tuân thủ ISO28000 nhằm xác định và kiểm soát các rủi ro an ninh trong suốt quy trình end-to-
end từ nguyên liệu đầu vào đến giao hàng cho khách. Huawei kiểm tra tính toàn vẹn các sản
phẩm của bên thứ ba trong suốt các quy trình nhập nguyên liệu, sản xuất vào chuyển giao, lưu
giữ kết quả và thành lập hệ thống truy xuất trực quan.
Quản lý phần mềm là hoạt động quan trọng trong quản lý an ninh. Huawei sử dụng phương
pháp quản lý an ninh phần mềm quan trọng cho chuỗi cung ứng, bao gồm kiểm soát truy cập
nghiêm khắc và an ninh vật lý. Chúng tôi áp dụng duy nhất một số hiệu sản phẩm cho mỗi
phiên bản phần mềm (VRC) được chuyển giao tới khách hàng; số hiệu này theo suốt quy trình
chuyển giao phần mềm. Trong quá trình chuyển giao phần mềm, hệ thống tự động đưa ra việc
trao quyền và cấp phép theo thông tin hợp đồng; cùng lúc đó, hệ thống tự động gửi truy vấn
trước khi load phần mềm đến server của nhà sản xuất (ATE). Tất cả các dữ liệu trong các hệ
thống này được thực hiện tự động nhằm tránh rủi ro bị giả mạo hoặc can thiệp thủ công.
Chúng thôi lưu trữ các hồ sơ chi tiết việc load và thử nghiệm phần mềm để khi cần có thể
thực hiện dễ dàng việc tìm thông tin như phiên bản phần mềm của thiết bị ở một site nào đó,
và dễ dàng xác định được vị trí của chúng.
Huawei không ngừng cải tiến hệ thống hỗ trợ và nền tảng phân phối phần mềm nhằm hỗ trợ
các kĩ sư dịch vụ và để cung cấp các dịch vụ nâng cấp cho khách hàng và nhằm hỗ hợ khách
hàng tự nâng cấp chương trình. Chúng tôi áp dụng cách tiếp cận quản lý trao quyền phân cấp,
chỉ những nhân viên có thẩm quyền mới có thể sử dụng và download phần mềm và giấy phép
từ hệ thống hỗ trợ và nền tảng phân phối phần mềm theo hợp đồng hoặc yêu cầu thiết bị.
10
http://www.c-tpat.com/ 11
http://www.tapaonline.com/
Những trường hợp còn lại sẽ bị hệ thống từ chối đăng nhập hoặc download. Tất cả các truy
vấn hoặc cá nhân cấp nhận truy vấn sẽ được ghi lại đầy đủ vì mục đích kiểm thẩm tra.
Huawei đã tích hợp chức năng truy xuất nguồn gốc trong các linh kiện và sản phẩm từ khi liên
lạc lần đầu đến lúc giao hàng như một phần quan trọng trong hệ thống quản lý an ninh chuỗi
cung ứng, dựa trên Hệ thống lên lịch và kế hoạch tiên tiến (APS) và Hệ thống Thực hiện Sản
xuất – Hợp tác (C-MES).
7.2.2 An ninh trong công tác cung ứng
Hệ thống quản lý nhà cung cấp của Huawei bao gồm các yếu tố sau: công nghệ, chất lượng,
phản hồi, chuyển giao, chi phí, môi trường, trách nhiệm xã hội và an ninh.
Huawei đã phát triển và thực hiện các đường cơ sở an ninh mạng trong công tác cung ứng đối
với nhà cung cấp, đồng thời xác định rõ ràng tiêu chí an ninh sản phẩm và dịch vụ mà các nhà
cung cấp phải đáp ứng.
Hình 7. Mô hình quản lý nhà cung cấp
Mô hình quản lý Nhà cung cấp
Công nghệ
An ninh
mạng
Chất
lượng
Mô tả
1. Công nghệ: giới hạn công nghệ, nguồn mở và khả năng
tham gia R&D sớm, cải tiến, và khả năng dịch vụ kỹ
thuật.
2. Chất lượng: hệ thống chất lượng, hoạt động chất lượng,
tốc độc phản hồi khi xử lý sự cố và khả năng cải tiến chất
lượng liên tục.
3. Phản hồi: Thời gian phản hồi, tính linh hoạt khi cung
cấp, chia sẻ thông tin thị trường, nhanh chóng khi chuẩn
bị năng lực và phản hồi theo yêu cầu.
4. Giao hàng: đúng hạn, chính xác và đầy đủ.
5. Chi phí: giá cả cạnh tranh, khả năng giảm giá liên tục,
đóng góp vào TCO, tổng lỗ và các điều kiện và điều
khoản thanh toán thương mại thuận lợi.
6. Môi trường: thiết lập hệ thống môi trường bao gồm việc
loại bỏ các chất độc hại, kiểm soát và giảm khí nhà kính
và ô nhiễm môi trường.
7. Trách nhiệm xã hội: thiết lập trách nhiệm xã hội toàn
vẹn và hệ thống quản lý sức khỏe và an toàn nghề nghiệp
(OHSMS), bao gồm các tiêu chuẩn người lao động, sức
khỏe an toàn và đạo đức kinh doanh.
8. An ninh mạng: Chính sách, Quy trình, Thỏa thuận, Đào
tạo, Kiểm tra, Phản ứng nhanh.
Phản
hồi
Trách
nhiệm
xã hội
Giao
hàng Môi
trường
Chi phí
Khi chưa có các tiêu chuẩn an ninh mạng trong công tác cung ứng, Huawei đã phát triển 46
cơ sở an ninh mạng cung ứng dựa trên đặc tính an ninh của sản phẩm và dịch vụ từ các nhà
cung cấp toàn cầu, và cần phân tích về rủi ro an ninh tiềm tàng của nhà cung cấp và đánh giá
nhu cầu an ninh mạng của khách hàng.
Các quy trình bảo đảm bảo mật không gian mạng trong công tác cung ứng được thành lập để
phối hợp – không phải độc lập – với hoạt động cung ứng nhằm đảm bảo cả hai bên hiểu được
các yêu cầu và nhận thức được an ninh mạng là một nỗ lực chung. Huawei triển khai công tác
bảo mật quản lý cung ứng thông qua các quy trình này, bao gồm đánh giá năng lực bảo mật
của nhà cung cấp, kiểm tra bộ bảo mật của nguyên liệu, khả năng bảo mật của nhà cung
cấpkiểm tra/thẩm tra an ninh nhà cung cấp, quản lý hoạt động, đánh giá rủi ro, quản lý các lỗ
hổng và truy xuất nguồn gốc và phản hồi trong tình trạng khẩn cấp. Huawei cũng yêu cầu các
nhà cung cấp ký kết các thỏa thuận an ninh xác định trách nhiệm chung.
Ở mức độ cao, việc đảm bảo an ninh mạng trong công tác cung ứng yêu cầu quản lý các nhà
cung cấp và quản lý khả năng bảo mật của nhà cung cấp. Quản lý nhà cung cấp bao gồm quản
lý các yêu cầu, chiến lược, mức độ đáp ứng về năng lực và chấp thuận cung ứng. Quản lý khả
năng bảo mật nhà cung cấp bao gồm:
Chứng nhận khả năng bảo mật của nguyên liệu và nhà cung cấp
Thỏa thuận và thực thi bảo mật
Khả năng đối phó trong tình huống khẩn cấp và thẩm tra khả năng bảo mật của nhà
cung cấp
Kiểm tra và chấp thuận an ninh
Khả năng bảo mật nhà cung cấp và phase-out - hủy bỏ dần
Bảo mật trong khâu cung ứng không chỉ áp dụng cho quy trình cung cấp nguyên liệu sản
phẩm và cung cấp dịch vụ kỹ thuật mà còn được đưa vào trong haiquy trình hỗ trợ: quản lý
nhà cung cấp và quản lý nguyên liệu. Bảo mật trong quá trình cung ứng cũng đã được tích
hợp trong các quy trình của Huawei trong các khâu như Phát triển sản phẩm tích hợp R&D
(IPD), Hướng đầu tư tiền mặt (LTC), chuỗi cung ứng và Chuyển giao dịch vụ (SD), và các
quy trình có liên quan tớiR&D, sản phẩm, dịch vụ và marketing. Nhờ được đưa vào các quy
trình, nên các sáng kiến quản lý bảo mật được liên kết từ đầu tới cuối, trở thành bộ phận hiệu
quả và không thể thiếu trong hệ thống đảm bảo an ninh mạng Huawei.
Trong giai đoạn đánh giá năng lực nhà cung cấp, Huawei tích hợp các yêu cầu an ninh mạng
vào bốn quy trình chính: Yêu cầu thông tin nhà cung cấp (RFI), tự kiểm tra hệ thống nhà cung
cấp, đánh giá năng lực hệ thống nhà cung cấp và các điều kiện của thỏa thuận an ninh bắt
buộc thực thi. Mỗi giai đoạn là điều kiện của giai đoạn sau. Chỉ những nhà cung cấp đáp ứng
được các yêu cầu an ninh của Huawei có thể trở thành nhà cung cấp của Huawei.
Huawei đã phát triển cơ chế thẩm định năng lực hệ thống an ninh nhà cung cấp nguyên liệu,
nhà cung cấp dịch vụ kỹ thuật, nhà cung cấp kho vận, nhà cung cấp EMS, nhà cung cấp dịch
vụ thiết bị và gia công phần mềm ở nước ngoài. Sau khi vượt qua các thẩm định năng lực hệ
thống, các nhà cung cấp phải ký kết thỏa thuận an ninh mạng trước khi trở thành nhà cung cấp
chính thức của Huawei.
Thỏa thuận an ninh mà Huawei thực hiện với các nhà cung cấp bao trùm nhiều lĩnh vực liên
quan, bao gồm: yêu cầu về bảo mật sản phẩm, yêu cầu về bảo mật dịch vụ, yêu cầu bảo mật
hệ thống, và các nghĩa vụ trong trường hợp xảy ra vi phạm.
Huawei cũng phát triển thỏa thuận an ninh dịch vụ kỹ thuật nhắm tới các nhà thầu kĩ thuật
phụ và các thỏa thuận được ký kết bởi tất cả các nhà thầu kĩ thuật liên đến an ninh mạng của
Huawei. Thỏa thuận này bao gồm yêu cầu an ninh dịch vụ, yêu cầu an ninh hệ thống và nghĩa
vụ trong trường hợp xảy ra vi phạm. Thêm vào đó, Huawei cũng đã phát triển thỏa thuận an
ninh với các nhà cung cấp kho vận, EMS, các nhà sản xuất phần mềm ở nước ngoài và các
nhà cung cấp dịch vụ thiết bị. Tất cả các nhà cung cấp này đã ký kết thỏa thuận với Huawei và
cam kết hợp tác trong việc giảm thiểu rủi ro an ninh mạng.
Huawei cũng rất chú tâm tới tầm quan trọng của việc thẩm định năng lực bảo mật nhà cung
cấp vật liệu và thẩm định năng lực bảo mật của nhà cung cấp. Huawei đã tích hợp các yêu cầu
an ninh với ba quy trình quan trọng: tiêu chuẩn kĩ thuật nguyên liệu, đánh giá rủi ro an ninh
mạng trong đánh giá rủi ro chất lượng kĩ thuật và tích hợp kiểm tra an ninh mạng với quá
trình kiểm tra nguyên liệu. Các công tác này đảm bảo Huawei chỉ thu mua các nguyên liệu có
mức độ rủi ro an ninh thấp nhất và đã vượt qua kiểm tra an ninh.
Để quản lý khả năng bảo mật của các nhà cung cấp hiện tại, Huawei sử dụng cơ chế quản lý
phân cấp dựa trên đánh giá rủi ro an ninh, bao gồm việc thẩm định các mức độ rủi ro an ninh,
các kiểm tra và cải thiện an ninh của các nhà cung cấp. Huawei sử dụng phiếu ghi điểm để
đánh giá khả năng bảo mật của nhà cung cấp, thông báo về lỗ hổng bảo mật của nhà cung cấp
và khả năng đối phó trong trường hợp khẩn cấp. Phiếu ghi điểm này có sáu yếu tố và 11 tiêu
chí đánh giá. Hàng năm, Huawei đánh giá và chấm điểm khả năng bảo mật của các nhà cung
cấp. Huawei giảm việc hợp tác hoặc thậm chí dừng hợp tác với nhà cung cấp có khả năng bảo
mật thấp.
Huawei sử dụng công cụ đánh giá rủi ro an ninh nhà cung cấp nhằm đánh giá mức độ rủi ro
bảo mật của nhà cung cấp và vị trí của nhà cung cấp trong danh sách dựa trên khả năng bảo
mật của họ: thấp, trung bình và cao. Dựa trên danh sách này, Huawei quản lý phân cấp các
nhà cung cấp, yêu cầu các nhà cung cấp có mức độ rủi ro cao tự kiểm tra và tiến hành kiểm
tra tại hiện trường trong hai ngày tại cơ sở của nhà cung cấp; nhà cung cấp có mức độ rủi ro
trung bình sẽ tự kiểm tra và tiến hành kiểm tra nửa ngày; và yêu cầu các nhà cung cấp có mức
độ rủi ro thấp tự kiểm ra.
Tại Huawei, việc thông báo về yếu điểm trong bảo mật của nhà cung cấp và khả năng đối phó
trong tình huống khẩn cấp là sự mở rộng của sáng kiến quản lý nhà cung cấp của Bộ phận Đối
phó Sự cố An ninh Sản phẩm của Huawei (PSIRT). Bằng cách yêu cầu nhà cung cấp đưa ra
các cảnh báo về những lỗ hổng bảo mật và nhanh chóng đối phó với những lỗ hổng đó,
Huawei giúp đảm bảo các lỗ hổng về phần mềm của bên thứ ba được quản lý hiệu quả.
Khi phát hiện sản phẩm có lỗi an ninh, nhà cung cấp phải gửi thông tin về PSIRT bằng văn
bản dựa vào các yêu cầu quy định trong thỏa thuận cung cấp dịch vụ thông báo về lỗ hổng
bảo mật của Huawei. Nhà cung cấp phải khấc phục, xử lý sự cố nhanh chóng bằng cách phát
triển các phiên bản mới của sản phẩm và phải thông báo cho Huawei thông qua các kênh phát
hành chính thức.
7.8 Sản xuất
Các nhà sản xuất sản phẩm phải kiểm soát tất cả các linh kiện cho dù chúng từ quốc gia nào,
có nguồn gốc thế nào và các tiêu chuẩn an ninh ra sao; việc sản xuất ra các sản phẩm cuối
cho khách hàng đảm bảo rằng trong tất cả các bước của quy trình sản xuất và giao nhận sản
phẩm, không phát sinh bất cứ nguy cơ an ninh, bảo mật nào một cách tình cờ hoặc hữu ý.
Bảo mật trong khâu sản xuất là một bộ phận quan trọng trong chương trình bảo đảm toàn cầu
của Huawei. Huawei đã thành lập hệ thống sản xuất end-to-end tiêu chuẩn, hiệu quả, chất
lượng cao và an toàn từ khâu nhập nguyên liệu đầu vào đến quá trình xử lý, đóng gói và vận
chuyển sản phẩm cuối cùng. Hệ thống này được tích hợp vào tất cả các hoạt động trong quá
trình sản xuất dựa trên các hoạt động tiêu chuẩn, văn bản quy trình cần thiết và các chỉ dẫn
khác.
Quy trình sản xuất của Huawei được chia làm các bước cốt lõi sau: quản lý chất lượng đầu
vào, in vỏ hộp, lắp ráp trên bề mặt, hàn chảy, ghép, hàn sóng, chạy thử, lắp ráp, kiểm tra chức
năng (hệ thống), đóng gói và giao hàng.
Ngoài ra, dựa trên đặc tính gia công của mỗi sản phẩm riêng biệt tại từng bước, Huawei kiểm
tra quá trình sản xuất với năm mức độ với 1.188 nhân viên kiểm tra từ nguyên liệu thô đến
khâu ra thành phẩm. Huawei sử dụng thiết bị và công cụ tiên tiến để kiểm tra và thử nghiệm
tự động như thiết bị kiểm tra quang học tự động (AOI), thiết bị kiểm tra X-quang tự động
(AXI), thiết bị kiểm tra chức năng (FT) và thiết bị kiểm tra trong mạch (ICT).
Huawei liên tục cải tiến chất lượng sản phẩm và hiệu suất quá trình thông qua nhiều hoạt
động như Six Sigma, các dự án tối ưu hóa, các chu trình quản lý chất lượng (QCCs), hộp thư
đóng góp ý kiến và Hệ thống Sản xuất Huawei (HPS). Ví dụ, kể từ khi đưa vào áp dụng mô
hình Six Sigma năm 2002, Huawei đã củng cố những nỗ lực về đảm bảo chất lượng từ chất
lượng nội tại của sản phẩm đến thỏa mãn khách hàng và từ sản phẩm đến quy trình chuỗi
cung ứng end-to-end (từ điểm đầu tới điểm cuối), như quản lý đơn hàng và kế hoạch.
Huawei đã áp dụng hàng loạt các biện pháp đảm bảo quý trình sản xuất tuân thủ các quy định
của pháp luật và các tiêu chuẩn công nghiệp bao gồm việc thực hiện các kiểm tra mức độ bảo
vệ môi trường của nguyên liệu đầu vào và chuyển giao hiệu quả các yêu cầu liên quan cho
nhà cung cấp khi phù hợp.
Để đối phó với rủi ro về an ninh trong quá trình sản xuất và đảm bảo tình toàn vẹn của phần
cứng và phần mềm, Huawei triển khai các quá trình end-to-end nhằm ngăn chặn nguy cơ bị
can thiệp, kể cả các nguy cơ như thay thế các thiết bị phần cứng trái phép, cài đặt phần mềm
trái phép và lây nhiễm virus. Huawei lưu lại các hồ sơ và các nhân viên kiểm tra sẽ kiểm tra
mọi bước vận hành trong quá trình sản xuất.
Quẩn lý phần mềm là một hoạt động quan trọng trong công tác quản lý an ninh. Huawei sử
dụng các phương pháp quản lý an ninh phần mềm quan trọng. Phần mềm được coi là thông
tin bí mật của Huawei:
1. Các nhân viên R&D chỉ phát hành phần mềm qua hệ thống an ninh nội bộ an toàn và
tất cả các thông tin về phần mềm được quản lý như thông tin bí mật của công ty, chỉ các nhân
viên được chỉ định có quyền nhận thông tin update phần mềm.
2. Các cá nhân có thẩm quyền được chỉ định download phần mềm từ thư viện phần mềm
R&D tại Hệ thống Quản lý Dữ liệu Sản phẩm (PDM) về Hệ thống Thực thi Sản xuất – Hợp
tác (C-MES), một hệ thống phân phối sản xuất được bảo mật và phần mềm được kiểm tra lại
bởi người có thẩm quyền khác. Mỗi ngày, server C-MES tự động kiểm tra và ghi lại các thay
đổi về server và theo đó sẽ đưa ra các báo cáo.
3. Các quy trình có độ bảo mật vật lý cao được áp dụng khi quản lý khâu chuẩn bị sản
xuất và phòng thiết bị.
Huawei sử dụng cơ chế tự động tải và kiểm tra 95% sản phẩm của mình. Sản phẩm không
được kiểm tra tự động sẽ phải trải qua các quy trình quản lý download phần mềm nghiêm ngặt
thông qua việc kiểm tra quy trình phê duyệt ứng dụng phần mềm và việc test và load sản
phẩm đó được thực hiện bởi các nhân viên kiểm tra.
Thông qua việc kiểm tra tự động, Huawei đã giảm thiểu các rủi ro và các mối đe dọa gây ra
bởi nhân tố con người. Thêm vào đó, Huawei có thể xác định các links và điểm xảy ra lỗi
hoặc mối đe dọa thông qua các báo cáo được ghi chép và khả năng truy xuất nguồn gốc trong
các quy trình end-to-end và công nghệ hỗ trợ.
Huawei đã triển khai quy trình bảo hành nghiêm ngặt và bảo mật nhằm đảm bảo tính toàn vẹn
của sản phẩm trong quá trình. Huawei ghi lại hồ sơ toàn bộ quá trình sản xuất và hệ thống mã
vạch. Hồ sơ này bao gồm các điểm xảy ra sự cố, nguyên liệu bảo hành, nhân sự bảo hành, tải
lại phần mềm, thông tin kiểm tra, lưu kho sản phẩm-hàng hóa và các bộ phận hỏng được thay
thế. Việc ghi chép này và kiểm toán truy xuất ngược cho phép Huawei truy vấn mã vạch của
bảng lỗi, hiện tượng lỗi, nhân viên bảo hành đảm trách, phiên bản phần mềm được tải và các
kết quả kiểm tra.
Về mặt quản lý an ninh Dịch vụ Sản xuất Điện tử (EMS), Huawei có một đội quản lý chuyên
trách để quản lý các đối tác EMS. Huawei có các chế độ quản lý khác nhau cho các trung tâm
cung cấp trong và ngoài Trung Quốc. Tại Trung Quốc, Huawei có các giám đốc và thanh tra
làm việc tại các nhà máy, các trung tâm cung cấp ngoài Trung Quốc được quản lý theo các
yêu cầu mô hình nhà máy của Huawei kể cả bố trí một đội ngũ quản lý sản xuất tại nhà máy
chịu trách nhiệm hỗ trợ kĩ thuật, kiểm soát chất lượng và quản lý an ninh cho các đối tác EMS
của Huawei. Đối với công tác quản lý phần mềm, Huawei đảm bảo phần mềm được đồng bộ
hóa trục tiếp từ server phân phối phần mềm Huawei HQ nhằm đảm bảo tính chính xác và
ngăn chặn bất kì thay đổi phần mềm nào trước khi chúng được tải vào thiết bị.
Công tác logistics nội bộ của quá trình sản xuất – lựa chọn nguyên liệu, kiểm tra, đóng gói sản
phẩm, cân, dán nhãn.. - đóng vai trò quan trọng với triển vọng an ninh. Huawei quản lý các
khâu này tuân thủ nghiêm ngặt các yêu cầu của Hiệp hội thương mại Chống Khủng Bố (C-
TPAT12
). Về mặt quản lý nhân sự, Huawei tiến hành kiểm tra lý lịch nghiêm ngặt đối với các
nhân viên làm việc trong khu vực đóng gói và tổ chức tập huấn về công tác bảo mật sau khi
tuyển dụng. Việc tiếp cận khu vực đóng gói được kiểm soát chặt chẽ, đảm bảo những các
nhân không có nhiệm vụ không được ra vào khu vực và việc trao quyền bị hủy bỏ khi cá nhân
đó nghỉ việc.
Hình 8. Phương pháp tiếp cận truy xuất mã vạch
Huawei ưu tiên khả năng truy xuất end-to-end và như đã đề cập ở trên, Huawei sử dụng hệ
thống truy xuất sản phẩm dựa trên mã vạch. Hệ thống ứng dụng IT khi đánh mã vạch đóng vai
trò cốt lõi tronghệ thống truy xuất sản phẩm của Huawei. Tất cả các hệ thống mã vạch đều
dùng chung một cơ sở dữ liệu mã vạch. Hệ thống mã vạch đảm trách một phần chức năng của
hệ thống ERP và xử lý một phần dịch vụ quản trị và một vài nghiệm vụ thu thập thông tin.
Thông qua việc chuyển dữ liệu và tương kết giữa các hệ thống, Huawei đảm bảo hoàn tất khả
năng truy xuất từ nguyên liệu đầu vào đến khi bàn giao sản phẩm cuối cùng.
12
http://c-tpat.com/what-is-ctpat/
Cơ sở dữ liệu mã vạch
Hệ thống Quản lý Mã vạch nguyên liệu
Nhận
nguyên liệu
Phân phối
nguyên liệu
Kiểm tra
PCBA
Kiểm tra và
lắp đặt thiết
bị
Đóng
gói
Vận
chuyển
Phân phối
Thiết bị
Nguyên liệu Chuyển tới khách
hàng
Tương quan dữ liệu
mã vạch
Đơn đặt hàng ↔ Đơn đặt hàng số
Lô số + Đơn đặt hàng số ↔ Nhiệm vụ số
Nhiệm vụ số ↔ PCB SN
PCB SN ↔ PCBA SN
PCBA SN ↔ Modul SN
Modul SN ↔ Thiết bị SN
Thiết bị SN ↔ Yêu cầu khác
hàng
Thùng hàng số ↔ Yêu cầu
khác hàng
Yêu cầu khách hàng ↔ Yêu cầu
nguyên liệu
Thùng hàng số ↔ Yêu cầu
nguyên liệu
Yêu cầu nguyên liệu ↔ Chỉ dẫn
vận chuyển
Chỉ dẫn vận chuyển ↔ POD
Các quy trình sản xuất của Huawei đóng góp vào chương trình đảm bảo toàn cầu bằng cách
tăng cường hiểu biết về các rủi ro, đặt ra các yêu cầu thực thi và nhấn mạnh vào việc cải tiến
liên tục.
7.9 Cung cấp dịch vụ một cách an toàn
Không có gì quá đặc biệt khi tập trung vào thiết kế các sản phẩm mà luôn quan ngại về vấn
đề bảo mật nếu khi bạn triển khai công nghệ của mình, hoặc hỗ trợ hoặc duy trì công nghệ,
điều này không được thực hiện một cách an toàn. Khách hàng thường muốn đảm bảo rằng
đối với các thiết bị phục vụ cho công việc của họ, việc vận hành và bảo trì cần an toàn và bảo
mật, kể cả những bản nâng cấp, vá lỗi và sửa chữa lỗi - họ hi vọng vấn đề bảo mật được đảm
bảo trong suốt vòng đời của sản phẩm.
Huawei nhận thấy rằng việc cung cấp dịch vụ có liên quan đến tất cả các khâu trong các quy
trình cốt lõi của công ty, từ quy trình kinh doanh hoạt động cốt lõi đến quy trình hợp thức hóa
và hỗ trợ.
Điểm bắt đầu của bất kì dịch vụ nào phải rõ ràng đối với nhu cầu của khách hàng. Các yếu tố
cốt lõi bao gồm: kiểm soát và truy cập mạng; kiểm soát và truy cập dữ liệu về kinh doanh và
nhân sự; các yêu cầu về sử dụng lao động tại địa phương; và các cách tiếp cận xử lý sự cố
phải được xác định rõ.
Mạng và thông tin là tài sản của khách hàng. Do đó, bất cứ truy cập hoặc hoạt động nào liên
quan đến khác hàng phải được khách hàng phê duyệt rõ ràng và tuân thủ theo các luật và quy
định liên quan. Huawei đã triển khai một bộ các thủ tục và quy trình riêng biệt ngay từ đầu
khâu thiết kế mạng kể cả phê duyệt hoạt động thu thập, lưu trữ, sử dụng và xử lý thông tin
mạng của khách hàng.
Có bốn quy trình kinh doanh chính trong Dịch vụ Tích hợp Mạng của Huawei, bao gồm: thiết
kế và quy hoạch mạng, giới thiệu mạng, chấp thuận và ủy thác, bàn giao và chuyển giao kỹ
năng.
Mỗi quy trình kinh doanh yêu cầu một mức độ rủi ro và đánh giá an ninh. Huawei đã kết hợp
chặt chẽ các yêu cầu quản lý an ninh mạng quan trọng với các hoạt động cung cấp dịch vụ.
Các yêu cầu quản lý an ninh mạng then chốt sau đây đã được kết hợp trong Dịch vụ Tích hợp
Mạng:
Bàn giao và chuyển giao kỹ năng
Rà soát giải pháp dự án
Quản lý nhân sự
Tăng cường an ninh
Chuyển giao để bảo hành dự án
Quản lý dữ liệu của khách hàng
Quản lý phần mềm
Quản lý ủy thác mạng
Chuyển giao kỹ thuật cho khách hàng
Hình 9. Tổng quan cung cấp dịch vụ
Bằng việc triển khai các quy trình bảo đảm an ninh mạng end-to-end, chúng tôi tăng cường
khả năng xác định và giải quyết các vấn đề an ninh mạng, kể cả cải tiến kỹ thuật sản phẩm,
quy trình và quy định, và quản lý nhân sự. Bằng cách này, chúng tôi có thể đảm bảo rằng các
sản phẩm và dịch vụ chúng tôi cung cấp được bảo mật trong khả năng tối đa.
Do các nhà khai thác dịch vụ viễn thông đang hướng tới mục tiêu giảm thiểu chi phí bằng
cách outsource công tác quản lý và vận hành mạng, do vậy cần phải cân nhắc tới nhiều loại
rủi ro an ninh mới, đồng thời thẩm tra lại các quá trình và thủ tục. Các lĩnh vực cần chú ý là:
An ninh thông tin
Quản lý nhân sự
Tuân thủ luật pháp và quy định sở tại
Chiến lược kinh doanh cốt lõi
An ninh vật lý
Quản lý hoạt động chuyển tiếp
Tuy nhiên, khác với dịch vụ tích hợp mạng, những rủi ro này cùng được quản lý bởi nhà cung
cấp và chủ sở hữu mạng.
Trước khi làm việc với mạng, cần được chủ sở hữu mạng cấp phép. Trong khi tải phần mềm
vào mạng của khách hàng, phần mềm phải được quét trước khi sử dụng để diệt virus và đảm
bảo rằng các công cụ và phần mềm sử dụng được mua qua các kênh hợp pháp (ví dụ như
website hỗ trợ chính thức), và có chữ ký số chính xác khi rời quy trình R&D.
Tất cả các hoạt động trên mạng được ghi lại trong nhật ký kiểm tra để đảm bảo khách hàng có
thể xác nhận tính hợp lệ của công việc được giao và công việc được thực hiện đúng với công
việc được giao.
Tuy nhiên, sự cố có thể xảy ra trong mạng của khách hàng, đó có thể là lỗi phần cứng hoặc
phần mềm, hoặc các vấn đề về công nghệ. Các sự cố của khách hàng có thể được xác định và
giải quyết nhanh chóng. Huawei xác định lỗi an ninh mạng dựa trên các định nghĩa của họ
được ghi lại tại trung tâm hỗ trợ và các vấn đề an ninh mạng ghi nhãn “An ninh mạng” trong
hệ thống iCare và gửi các vấn đề này lên bộ phận TAC/GTAC và sau đó gửi lên PSIRT, đảm
bảo rằng tiến dộ xử lý vấn đề được báo cáo kịp thời.
Cung
cấp
dịch
vụ
Yêu cầu
kinh
doanh
Yêu cầu
hoạt động
Đánh giá &
Tư vấn
Quy hoạch
mạng
Thiết kế,
giới thiệu
& tích hợp
mạng
Hỗ trợ và
bảo đảm
cho khách
hàng
Phát triển
kỹ thuật và
học hỏi
Quản lý
dịch vụ
Quản lý
tài sản
thông tin
Quản lý
truy cập
Sự toàn
vẹn phần
mềm
Quản lý
việc ủy
quyền
Bảo vệ
sự riêng
tư
Thiết kế và
củng cố an
ninh
An ninh vật
lý và môi
trường
An ninh viễn
thông & hoạt
động
Kiểm
soát truy
cập
Phát triển và bảo
trì hệ thống
thông tin
Phân loại và
kiểm soát tài
sản thông tin
Ngoài ra, có bốn điểm kiểm soát chính được đưa vào quy trình sửa chữa linh kiện và dịch vụ
gửi trả để đảm bảo khả năng bảo mật dữ liệu, đó là:
1. Sau khi yêu cầu dịch vụ sửa chữa và gửi trả được gửi lên, hệ thống tự động nhắc
khách hàng xóa dữ liệu lưu trữ trong các bộ phận được sửa chữa.
2. Trước khi các bộ phận hỏng được gửi về Huawei, khách hàng nhận được mẫu phiếu
sửa chữa nhằm nhắc nhở họ xóa dữ liệu hoặc tháo các thiết bị lưu trữ.
3. Trong trường hợp các bộ phận không thể sửa tại chỗ và phải gửi về trụ sở chính của
Huawei, tag lỗi sẽ được kiểm tra theo từng hạng mục. Các sản phẩm có dữ liệu lưu trữ chưa
được xóa hoặc các thiết bị lưu trữ chưa được tháo bị cấm gửi trả về trụ sở chính. Khách hàng
có thể ủy quyền cho Huawei xóa dữ liệu nếu luật pháp tại địa phương cho phép.
4. Trong trường hợp các bộ phận bị hỏng có thể sửa tại chỗ, thiết bị kiểm tra tự động xóa
dữ liệu trong các bộ phận này.
Các nhân viên cung cấp dịch vụ là những người lực lượng xung kích của công ty do họ truy
cập vào các thông tin nhạy cảm tiềm tàng, và được đào tạo để hỗ trợ việc bảo vệ mạng khỏi
các vấn đề kiểm soát truy cập, an ninh liên lạc và bảo vệ dữ liệu đã được xác định. Về phần
quản lý nhân viên, Huawei đã phát triển một bộ Quy tắc ứng xử, dựa trên ISO27001 và các
tiêu chuẩn khác, cho các nhân viên, bao gồm năm yếu tố chính, ví dụ như các yêu cầu vật lý
và môi trường. Hoạt động quản lý mạng cũng phải xem xét các miền của nhiều nhà cung cấp
và đề phòng việc xóa bỏ trái phép các thông tin cá nhân hoặc bí mật.
Huawei quản lý chặt chẽ các nhân viên có quyền truy cập vào mạng của khách hàng. Những
nhân viên này phải ký giấy cam kết về các trách nhiệm pháp lý, trách nhiệm giải trình và vai
trò của họ và phải nghiên cứu và làm các bài kiểm tra liên quan đến an ninh mạng.
Các văn phòng đại diện và các đội dự án phải quản lý an ninh mạng thường xuyên và theo dõi
hoạt động của các thành viên trong đội và nhân viên trong việc tuân thủ các yêu cầu an ninh
mạng. Hoạt động quản lý các nhân viên thuê ngoài là một phần quan trọng trong quản lý dự
án tại chỗ. Các nhân viên thuê ngoài này có hiểu biết khác nhau về an ninh mạng; do đó, họ
phải tham gia vào các khóa đào tạo do đội dự án tổ chức và chỉ có thể đảm trách các nhiệm vụ
sau khi vượt qua đánh giá của đội dự án. Huawei đã phát triển các tiêu chuẩn chấp thuận dự
án của các nhân viên thuê ngoài và đánh giá chất lượng dự án của họ dựa trên các tiêu chuẩn
này.
7.10 Khi gặp sự cố: Vấn đề, sai sót, phát hiện và giải pháp khắc phục yếu
điểm bảo mật
Không có công ty chịu trách nhiệm nào có thể đảm bảo 100% về vấn đề an ninh. Do đó, khả
năng của một công ty có thể đối phó một cách hiệu quả lại những vấn đề, rút ra bài học từ
các sự cố đóng vai trò vô cùng quan trọng đối với cả khách hàng và nhà cung cấp. Biết được
việc gì cần làm trong thời điểm “khủng hoảng” sẽ đảm bảo có thể cung cấp thông tin cho các
cán bộ điều hành cấp cao từ đó đưa ra quyết định nhanh chóng và hợp tác hiệu quả với khách
hàng và các bên liên quan đảm bảo dịch vụ thông thường được phục hồi một cách nhanh
chóng và an toàn.
Chúng ta đang sống trong một thế giới được kết nối toàn cầu, và luôn phải đối mặt với các
mối đe dọa máy tính toàn cầu. Những mối đe dọa đó không chỉ giới hạn trong phạm vi địa lý
của những quốc gia, mà còn ảnh hướng đến toàn bộ công nghệ và các nhà cung cấp dịch
vụ/phần mềm/phần cứng. Các nguy cơ luôn luôn cao, và mức độ phức tạp cũng như khối
lượng thì ngày càng tăng.
Quy trình Phương hướng đề ra Giải pháp (ITR) cung cấp một khuôn khổ khép kín từ khâu
tiếp nhận, phân tích và xử lý các vấn đề mà khách hàng của chúng ta gặp phải, có liên quan
đến an ninh hay không.
Thông thường các vấn đề khách hàng có thể ảnh hưởng ít nhiều đến công ty chúng tôi khi đó
là một yêu cầu dịch vụ kỹ thuật, yêu cầu dịch vụ vận hành và vấn đề về linh kiện, một vấn đề
an ninh được trình báo hoặc khiếu nại của khách hàng. Do vậy, quy trình ITR được kết hợp
chặt chẽ với quá trình Nghiên cứu và Phát triển (IPD), PSIRT, Hệ thống Dò tìm Lỗi (DTS) và
quy trình khác. Điều này giúp đảm bảo đối phó kịp thời để giải quyết các vấn đề cho khách
hàng.
GCSO: Giám đốc an ninh mạng toàn cầu SPOC: Điểm liên lạc đơn
Hình 10. Tích hợp PSIRT với các quy trình khác
Bất cứ vấn đề nào mà khách hàng của chúng tôi gặp phải với các sản phẩm, giải pháp hoặc
dịch vụ sẽ ảnh hưởng đến khách hàng trên các khía cạnh tính khả dụng, nguyên vẹn, bảo mật,
khả năng truy xuất, độ vững chắc và độ bền trong các thao tác. Do đó điều quan trọng là
chúng ta phải xác định các tác động an ninh càng sớm càng tốt trong quy trình.
Khi đối phó với một vấn đề, cho dù vấn đề đó rất đơn giản, quan trọng là bất kỳ giải pháp nào
đưa ra và được thực hiện không vô tình đưa vào các nguy cơ an ninh và các hành vi rủi ro.
Chúng ta cần liên tục cải thiện và rút kinh nghiệm từ những vấn đề phát sinh. Sự đa dạng của
các vấn đề nảy sinh cũng đóng vai trò quan trọng do Huawei phục vụ trên 1/3 dân số toàn cầu,
nhưng chúng tôi cần đảm bảo rằng chúng ta là một tổ chức phát triển và học hỏi kinh nghiệm
- để vấn đề tương tự không lặp lại; nếu lặp lại, điều đó có nghĩa rằng nguyên nhân cốt lõi của
vấn đề chưa được giải quyết triệt để.
Huawei đã lập một hệ thống khép kín để tạo ra một quy trình ITR tích hợp và toàn diện giúp
liên kết các quy trình quan trọng khác. Điều này đảm bảo toàn bộ các vấn đề được giải quyết
triệt để và hiệu quả.
Để hỗ trợ quy trình ITR, và ngược lại, Đội phản ứng nhanh an ninh mạng máy tính (CERT) là
một thành phần cơ bản của toàn bộ hệ thống an ninh mạng giúp người sử dụng công nghệ
giảm thiểu hoặc loại bỏ các nguy cơ tiềm ẩn từ các điểm yếu bảo mật đối với các mạng và
công nghệ hiện có bằng cách chia sẻ bí mật thông tin có yếu điểm bảo mật, các hoạt động
giảm thiểu thực tế và quản lý giải pháp khắc phục yếu điểm bảo mật. Tại Huawei, chức năng
này được đảm nhận và thực hiện bởi Đội Phản ứng Sự cố An ninh Sản phẩm (PSIRT).
Nếu không chia sẻ kịp thời thông tin có yếu điểm bảo mật, công nghệ có nguy cơ bị khai thác
và lạm dụng. Nếu sản phẩm có chứa thông tin có yếu điểm bảo mật lọt vào tay của nhữn kẻ
bất chính thì toàn bộ công nghệ tích hợp sử dụng các phần cứng và/hoặc phần mềm chứa yếu
điểm bảo mật đó có thể bị đe dọa.
Xác định mức
độ tổn thương
Cộng đồng/khách
hàng
CERT Khách
hàng
CSI, CTO khách
hàng
Đội phục vụ
khách hàng
Cung ứng VP GCSO
Báo cáo cho
Báo cáo mức độ tổn thương
Đưa ra các yêu cầu
của PSIRT cho nhà
cung cấp
Đội ngũ chủ chốt
Chuyên gia kỹ thuật hàng đầu Báo cáo mức độ tổn thương
N/cứu và phát triển
dây chuyền sản
phẩm
Nhóm từ
Trung tâm an ninh (Bộ phận
hỗ trợ kỹ thuật)
Y/cầu pháp lý
Giải thích
pháp lý
P. Pháp chế
P. Quan hệ
công chúng
Công bố
chung
Côg nkhai vào công bố tổn thương
Giải thích
pháp lý
Thông báo tổn thương
Quầy thông tin khách hàng
SPOC an ninh
Dây chuyền
cung ứng
Quầy sản phẩm bị ảnh hưởng
Công bố
Hỗ trợ kỹ thuật
Quản lý cấu hình
Huawei rất quan tâm đến nguy cơ này và áp dụng các biện pháp cương quyết nhất đối với
thông tin có yếu điểm bảo mật. Ngoài ra, Huawei cũng tích cực tham gia các tổ chức và diễn
đàn tiêu chuẩn quốc tế để phổ biến kiến thức về những vấn đề này cũng như chia sẻ những
biện pháp hiệu quả nhất với cộng đồng máy tính. Tuy nhiên, nếu không có các tiêu chuẩn
quốc tế13
và các hệ thống đánh giá hiệu quả, thì các nhà cung cấp không thể đưa ra quyết định
làm cách nào và có thể chia sẻ thông tin có yếu điểm bảo mật với ai.
An ninh mạng là một cuộc đua vũ trang giữa những kẻ muốn xâm nhập công nghệ vì mục
đích phi pháp và sai trái trong với nhà cung cấp cũng như khách hàng, là những người đang
nỗ lực để ngăn chặn chúng. Đáp lại, vai trò của PSIRT là để đảm bảo rằng các nhà khai thác
mạng thông báo về mọi yếu điểm mạng có thể xảy ra, cùng với những biện pháp giảm thiểu
và các giải pháp lâu dài đối với các rủi ro đi kèm với các sản phẩm của Huawei. Việc công bố
chính xác và kịp thời thông tin này giúp các nhà khai thác mạng có thể duy trì an ninh của
mạng lưới bằng cách đảm bảo các biện pháp bảo vệ mạng theo các hướng dẫn sản phẩm mới
nhất.
Quy trình xử lý điểm yếu bảo mật của PSIRT được chia thành 4 giai đoạn:
1. Thu thập và nghiên cứu yếu điểm bảo mật - Được thực hiện cùng với việc xác định và/hoặc
tiếp nhận những thông báo về yếu điểm bảo mật gửi đến. Các thông báo gửi đến được tiếp
nhận từ mọi người gửi, gồm khách hàng, các CERT bên ngoài, chuyên viên nghiên cứu hoặc
nhân viên tìm kiếm website và phân tích các yếu tố rủi ro. Tại Huawei chúng tôi khuyến khích
thông báo có trách nhiệm, nghĩa là người ngoài phát hiện thấy yếu điểm bảo mật, họ nên cho
nhà sản xuất có đủ thời gian để giải quyết và khắc phục các vấn đề trước khi công bố rộng rãi.
Giai đoạn thu thập yếu điểm bảo mật cũng bao gồm việc công bố các yêu cầu an ninh cho các
nhà cung cấp thuộc chuỗi cung ứng thông qua nhân viên mua hàng, và đảm bảo đáp ứng đầy
đủ các yêu cầu này thông qua hợp đồng. Những cam kết trong hợp đồng sẽ đảm bảo nhà cung
cấp báo cáo kịp thời về các yếu điểm bảo mật liên quan đến các sản phẩm Huawei.
2. Đánh giá, phân tích và xác minh yếu điểm bảo mật - Khi nghi ngờ hoặc xác nhận có một
yếu điểm bảo mật nào đó, đội PSIRT sẽ làm việc với chủ sở hữu sản phẩm để nhanh chóng
hoàn thiện bảnđánh giá tính xác thực của yếu điểm và các rủi ro đi kèm. Trong quá trình phân
tích và xác nhận, đội ngũ PSIRT sẽ sử dụng các công cụ mã nguồn mở và công cụ thương mại
đầu ngành cũng như các tiêu chuẩn mới nhất để nâng cao độ chính xác và độ kịp thời khi
phân tích yếu điểm.
3. Dò tìm và khắc phục - Khi đã xác nhận có yếu điểm, PSIRT sẽ khẩn trương gửi thông tin
cho đội ngũ chịu trách nhiệm về các sản phẩm bị ảnh hưởng, và sau đó chủ động dò tìm biện
pháp khắc phục. Các yếu điểm được kiểm tra để xác minh xem chúng có tồn tại trong các
thành phần của cấu trúc thông thường, hoặc trong các linh kiện hoặc sản phẩm đặc biệt nào
không (các linh kiện tùy chỉnh dựa trên các cấu trúc thông thường), do đó đảm bảo rằng vấn
đề được giải quyết trong mọi dòng sản phẩm, các phiên bản sản phẩm và các model sản phẩm.
Quy trình PSIRT được tích hợp chặt chẽ với quy trình Nghiên cứu và phát triển để đảm bảo
khắc phục kịp thời các yếu điểm. Quy trình IPD và Nghiên cứu phát triển bao gồm phát triển
sản phẩm, lập hồ sơ, quản lý cấu hình, kiểm tra và quản lý phát hành. Tích hợp PSIRT và IPD
có ưu điểm là nâng cao nhận thức an ninh của nhân viên và độ bảo mật cho sản phẩm bằng
cách báo cáo kịp thời, chia sẻ và tập huấn theo tình huống. Những thao tác đó giúp tạo một
chu trình khép kín để cải tiến liên tục.
4. Công bố - Công bố thông tin chính xác cho các nhà khai thác mạng là một yêu cầu quan
trọng để duy trì môi trường an toàn. Thông qua quy trình này, đội ngũ PSIRT quản lý công bố
cho cả tổ chức báo cáo yếu điểm nghi ngờ và cho khách hàng. Thông tin công bố cho khách
hàng gồm các chiến lược giảm thiểu cùng với thông tin về giải pháp lâu dài. Danh sách khách
hàng có sản phẩm bị ảnh hưởng được lập từ cơ sở dữ liệu chuỗi cung cấp để đảm bảo đội
chính xác của những thông tin công bố end-to-end (PSIRT đến CERT). Trước khi ban hành
13 Công bố yếu điểm bảo mật ISO 29147 và các quy trình xử lý yếu điểm ISO 3011 đang được xây dựng
Hướng dẫn An ninh ra bên ngoài, công ty sẽ tổ chức và sắp xếp thông tin theo ý kiến kỹ sư hỗ
trợ (GTS), các phòng liên quan, phòng quan hệ công chúng và phòng pháp chế để đảm bảo độ
chính xác và nhất quán của thông tin có yếu điểm bảo mật khi công bố cho những bên liên
quan khác nhau. Thông tin được chia sẻ nghiêm ngặt theo nguyên tắc “cần phải biết” để đảm
bảo bí mật. Trong một số hoàn cảnh Huawei có thể phát hiện thấy những yếu điểm đã tích
hợp trong phần mềm của bên thứ ba và PSIRT Huawei báo cáo ngay yếu điểm cho nhà cung
cấp tương ứng và khuyên họ có những biện pháp khắc phục cần thiết và công bố về yếu điểm
đó.
Tóm tắt quy trình được trình bày trong sơ đồ sau
Hình 11. Quy trình PSIRT/CERT
Trong toàn bộ giai đoạn của quy trình này, bảo vệ thông tin mật cho khách hàng và thông tin
có yếu điểm bảo mật là điều tối quan trọng đối với Huawei.
Khi làm việc với khách hàng để giải quyết các yếu điểm, chúng tôi phải nhận ra rằng không
phải mọi yếu điểm đều có thể khai thác bởi tin tặc, vì điều này được quyết định bởi cấu hình
và kiến trúc chính xác của mạng lưới. Ví dụ, nếu yếu điểm tồn tại trong một đặc tính mà nhà
khai thác mạng đã vô hiệu hóa, hoặc áp dụng cho một giao diện được bảo vệ bởi các đặc tính
an ninh khác, thì việc lợi dụng yếu điểm đó không đáng quan ngại.
Như đã tình bày, thông tin có yếu điểm bảo mật được chia sẻ sẽ để lại hậu quả khôn lường
nếu rơi vào tay kẻ xấu. Toàn bộ các bên liên quan phải giữ bí mật. Do đó, mối qua hệ hai
chiều và tin tưởng lẫn nhau giữa nhà cung cấp và nhà khai thác mạng là mấu chốt của an ninh
mạng.
Đội ngũ PSIRT Huawei sẽ chủ động tham gia ở cấp ngành và công chúng để đề xuất thay đổi
toàn diện nhằm thực hiện tốt và nâng cao nhận thức an ninh mạng nói chung của những nhà
làm luật, lập pháp và giám đốc doanh nghiệp. Điều này bao gồm, nhưng không giới hạn, ở
việc trở thành thành viên của Diễn đàn Đội ngũ An ninh và Phản ứng Sự cố (FIRST), một
diễn đàn được lập ra nhằm kết nối với CERTs chính phủ, CERTs khách hàng, nhà cung cấp
khác, nhà nghiên cứu và các bên thứ ba.
Để góp phần nâng cao nhận thức về vấn đề quan trọng này giữa cộng đồng an ninh mạng và
để góp phần tuân thủ các tiêu chuẩn quốc tế, Huawei chủ động tham gia các tổ chức như Diễn
đàn An ninh Thông tin Mạng của Hội đồng Châu Âu.
Huawei tin rằng để giải quyết các vấn đề tội phạm máy tính, ngành công nghệ máy tính cần
lựa chọn các biện pháp minh bạch để thúc đẩy hợp tác quốc tế và các tiêu chuẩn. PSIRT là
một minh chứng cho sự hợp tác này.
Thu thập yếu điểm Đánh giá mức độ
nghiêm trọng Phân tích, xác nhận và
khắc phục
Công bố
Khách hàng
Nội bộ
Nhà cung cấp
Cộng đồng an
ninh
Nguồn
tổn
thương
Phân loại,
phân tích,
Quyết định
và khớp tổn
thương với
sản phẩm
Yếu điểm,
phân phối
thông tin
Xây dựng
biện pháp
hoặc giải
pháp khắc
phục yếu
điểm
Hướng dẫn
an ninh,
thông báo
an ninh
Đánh dấu cấp an ninh Ủy quyền Lưu giữ Làm rõ
Thư viện
tổn
thương
sản
phẩm
CERT khách
hàng và/hoặc Bên liên
quan khác
LMT: Đội quản lý vòng đời
PDT: Đội phát triển sản phẩm
PSIRT: Đội Phản ứng Sự cố An ninh
Sản phẩm
7.11 Khả năng truy xuất nguồn gốc: Mò kim đáy biển
Khi gặp sự cố, khả năng nhanh chóng nhận diện nơi phát sinh sự cố, phần cứng hay phần
mềm nào là nguyên nhân gây ra vấn đề, cũng như khả năng xác định bộ phận đó còn được sử
dụng ở chỗ nào khác đóng vai trò cốt yếu để có thể khắc phục sự cố kịp thời. Tuy nhiên, điều
đó là chưa đủ; phân tích nguyên nhân sâu xa cần có khả năng theo dõi và truy tìm ngược mỗi
người, mỗi linh kiện từ mỗi nhà cung cấp cho mỗi sản phẩm và mỗi khách hàng.
Hãy tưởng tượng các tiêu đề tin tức trong đất nước bạn: “bộ phận mã nguồn mở sử dụng rộng
rãi chứa những lỗi nghiêm trọng giúp tin tặc có thể truy cập thoải mái vào các hệ thống máy
tính”, hoặc “cung cấp linh kiện máy tính được sử dụng rộng rãi bởi các nhà cung cấp công
nghệ có thể bị thỏa hiệp và lắp đặt vào các mạng nội bộ”.
Câu hỏi đầu tiên mà một CEO có thể hỏi nhân viên an ninh CNTT là “chúng ta có bị ảnh
hưởng bởi mối đe dọa này không” khiến nhân viên an ninh phải liên hệ gấp với các nhà cung
cấp ICT để đặt ra hàng loạt câu hỏi:
“Bạn có sử dụng bộ phận này không?”
“Nếu có, nó có được lắp trong thiết bị của chúng tôi không?”
“Nếu có, cụ thể là thiết bị nào lắp bộ phận và thiết bị đó được gửi tới đâu?”
Và, “khi nào có giải pháp khắc phục”
Quy trình xử lý sự cố của Huawei sẽ được trình bày chi tiết trong thảo luận về quy trình
PSIRT trong mục 7.10, “Khi gặp sự cố: Vấn đề, sai sót và phát hiện và giải pháp khắc phục lỗ
hổng”. Khi có vấn đề, cả PSIRT và khách hàng cần được thông báo trước toàn bộ thông tin để
biết được phạm vi và quy mô rủi ro tiềm ẩn. Khả năng truy xuất ngược mọi yêu cầu phần
mềm từ khách hàng trong suốt quy trình, từ thiết kế, mã hóa phần mềm, kiểm tra, Hỏi đáp, ủy
quyền, triển khai live trở lại nguồn khởi phát đầu tiên sẽ giúp đẩy nhanh tiến trình tìm ra giải
pháp cho vấn đề.. Nhà cung cấp cũng cần có khả năng truy xuất ngược mọi bộ phận phần
cứng từ mọi nhà cung cấp, tuyến, nhà máy, phương pháp vận chuyển, trung tâm nghiên cứu
và phát triển, và sản phẩm khách hàng cuối về lại nhà cung cấp ban đầu.
Quy trình truy xuất phần mềm được trình bày chi tiết trong sơ đồ dưới đây. Huawei sẽ truy
xuất theo yêu cầu đầu tiên của khách hàng đến sản phẩm cuối cùng, và ngược lại từ sản phẩm
cuối cùng đến yêu cầu đầu tiên để bao quát toàn bộ các bước, toàn bộ quy trình, toàn bộ
“những ai từng tiếp xúc với phần mềm”, mọi bộ phận, phiên bản của phần mềm và v.v
Quy trình Phát triển Sản phẩm Tích hợp (IPD)
Hình 12. Sơ đồ truy xuất ngược và chuyển tiếp phần mềm
Ý tưởng Kế hoạch Phát triển Kiểm tra Tung ra thị trường Vòng đời
Truy xuất E2E
Kh
ách
hàn
g
Kh
ách
hàn
g
Thay đổi
Yêu cầu
mới
Phân tích
Yêu cầu Lập các yêu
cầu
Tích hợp Ban hành
Kiểm tra
vấn đề
Vấn đề
mạng
Khắc phục Lỗi
Tkế/Kiểm
tra yêu cầu
Thay đổi
yêu cầu
Yêu cầu
khách hàng
Mã tài liệu Kiểm tra
phiên bản
Phát hành
phiên bản
Chúng tôi áp dụng tương tự với phần cứng. Hệ thống mã vạch của Huawei và Hệ thống Sản
xuất Điện tử (EMS) giúp chúng tôi chuyển tiếp và dò ngược 98% bộ phận sử dụng. Những
hạng mục không truy xuất là các hạng mục “phi công nghệ” như giá đỡ, nhãn, vật liệu đóng
gói, vỏ, hướng dẫn và tài liệu.
Hình 13. Sơ đồ khả năng truy xuất ngược và chuyển tiếp
Tóm lại truy xuất ngược và chuyển tiếp giúp xác định những nhân viên nào phải phụ trách sản
phẩm nào; ai đã phê duyệt thực hiện sản phẩm nào; ai đã cung cấp các linh kiện mà lắp vào
sản phẩm nào; và tựu chung lại là giúp giải quyết các vấn đề một cách nhanh chóng và đánh
giá một cách hiệu quả hậu quả các vấn đề này gây ra.
7.12 Kiểm toán
Kiểm toán chặt chẽ có vai trò rất quan trọng trong việc đảm bảo cho Hội đồng quản trị và
các viên chức điều hành cao cấp của công ty, đảm bảo cho khách hàng, đảm bảo các chính
sách, quy trình và tiêu chuẩn phù hợp được triển khai để cho ra kết quả kinh doanh yêu cầu.
Chu trình kiểm toán Huawei dựa trên việc đánh giá các rủi ro và bắt đầu bằng việc nắm rõ
(các) mục tiêu kinh doanh gắn với môi trường đang được xem xét. Quy trình kiểm toán tập
trung vào công tác quản lý liên quan đến: tuân thủ luật pháp và các thủ tục, hoàn thành các
mục tiêu kinh doanh, thông tin đáng tin cậy phục vụ việc đưa ra quyết định, vận hành hiệu
quả, và bảo vệ tài sản.
Cách tiếp cận dựa trên việc đánh giá các rủi ro được hình thành thông qua các cuộc họp và
phỏng vấn chi tiết với các chủ sở hữu doanh nghiệp cũng như những người có liên quan đến
hoạt động kinh doanh. Khi các mục tiêu được nắm bắt rõ ràng, ban kiểm toán sẽ đánh giá và
phát hiện những rủi ro tiềm tàng liên quan đến lĩnh vực kinh doanh và những yếu tố có thể
ảnh hưởng đến việc đạt được mục tiêu kinh doanh. Như được trình bày chi tiết trong mục 7.1,
“Chiến lược, quản trị và kiểm soát”, việc kiểm soát quá trình và các điểm kiểm soát chủ chốt
đều được gắn liền trong mỗi quá trình quản lý và giảm bớt các rủi ro tiềm tàng đó. Một chiến
lược kiểm tra mạnh mẽ được thiết kế và tiến hành nhằm tìm kiếm bất cứ kẽ hở, sai sót, điểm
mạnh cũng như điểm yếu, và quan trọng hơn cả, là cách tốt nhất để đánh giá rằng liệu công
tác kiểm soát đã được triển khai và tiến hành như thiết kế hay chưa. Các kết quả của đợt kiểm
tra sau đó sẽ được sử dụng để tập trung vào một cơ chế cụ thể và phù hợp (giám sát, đánh giá
và báo cáo), để hiểu làm thế nào có thể đạt được sự đảm bảo chắc chắn mỗi ngày.
Phương pháp tiếp cận kiểm toán hiệu quả này cũng được sử dụng đối với chương trình Đảm
bảo An ninh Mạng. Chương trình này, từ góc nhìn kiểm toán trong quy trình Huawei, không
chỉ chú trọng vào các quá trình mà còn vào mối liên kết giữa các đơn vị kinh doanh chính cần
PO khách hàng
Khách hàng
Nhà cung cấp phần
cứng và EMS
Nhà cung cấp
phần mềm
Phần mềm bên thứ 3
Thiết kế phần cứng và phần mềm Giấy phép phần mềm bên thứ 3
Vật liệu Sản
phẩm bán dẫn
Yêu cầu
Tiếp vận gửi trả
Khách hàng
Tiếp vận
Gửi trả
Quản lý hợp
đồng
Nghiên cứu
phát triển
Kho khu vực
Quản lý
gửi trả
Địa
điể
m l
ắp đ
ặt
Chuỗi cung ứng
Sản xuất sản phẩm
Vật liệu
gửi đến
Sản xuất và
kiểm tra
PCBA
Lắp ráp và
kiểm tra sản
phẩm
Đóng gói
thiết để đảm bảo an ninh mạng từ đầu đến cuối. Phương pháp này bắt đầu bằng việc xem xét
các cơ chế hiện hành để hiểu rõ cách thức các yêu cầu từ khách hàng (Chính phủ, khách hàng,
người sử dụng cuối,…) được quản lý thông qua các quy trình kinh doanh chủ yếu, chẳng hạn
như Phát triển Sản phẩm Tích hợp (IPD) để phân tích các yêu cầu, giải pháp cũng như thiết
kế, phát triển và thử nghiệm các giải pháp. Việc tiến hành phê chuẩn phụ nhằm đảm bảo rằng
các lĩnh vực kinh doanh liên quan, chẳng hạn như Tiếp thị và Bán hàng, đã nhận được thông
tin cần thiết để hiểu và đưa ra tư vấn về các đặc tính sản phẩm phù hợp cho các thị trường
khác nhau dựa trên pháp luật và quy định sở tại.
Giữa các bước để hỗ trợ cho các quy trình như Mua sắm và Chuỗi Cung ứng cũng đều được
kiểm tra để đảm bảo rằng các nhà cung ứng đạt tiêu chuẩn đã cung cấp các sản phẩm (phần
cứng và phần mềm) đạt tiêu chuẩn an ninh mạng của Huawei, cũng như đảm bảo rằng các sản
phẩm được giao đến cho khách hàng hoàn toàn giống như sản phẩm đã được phát triển và thử
nghiệm trước khi tiến hành giao hàng (ví dụ như còn nguyên vẹn và có khả năng truy xuất
nguồn gốc).
Các cơ chế vận chuyển cũng sẽ được kiểm toán để chắc chắn rằng các kỹ sư và quản lý dự án
đều nhận thức được các yếu tố an ninh mạng cần có trong các quy trình như Bàn giao Dịch vụ
để bảo trì sản phẩm và các dịch vụ từ xa, và Phương hướng Đề ra Giải pháp (ITR) khi gửi trả
hàng hóa cho khách hàng và tính riêng tư trở thành yếu tố cần được ưu tiên. Phương hướng
Đề ra Giải pháp IRT ngày càng trở nên quan trọng trong cơ chế khép kín đảm bảo rằng chúng
tôi đối phó với những sự cố về an ninh mạng một cách kịp thời và hiệu quả.
Phương pháp kiểm toán ngày một phát triển; do đó chúng tôi sẽ tiếp tục tạo ra những thay đổi
trên thị trường cũng như trong công việc kinh doanh và hoạt động của Huawei để đáp ứng
được yêu cầu rà soát kịp thời chiến lược và phương pháp này.
8 Cùng tiến về phía trước – nhấn nút reset bảo mật
Francis Bacon – một nhà triết học đồng thời là một nhà khoa học người Anh, đã nói rằng: “Kẻ
không chịu áp dụng các phương pháp khắc phục mới chính là kẻ sẽ hứng chịu những tai ương
mới, bởi vì thời gian chính là phát kiến vĩ đại nhất”.14
Năm 2013 sẽ đi vào lịch sử như là một năm thực tế chứng minh rõ nét mức độ số hóa và cách
mà công nghệ xâm nhập mọi ngõ ngách của cuộc sống, thực tiễn đó ngày một trở nên rõ nét
bởi chúng ta đã hiểu rõ hơn về nhu cầu thực tế về việc bảo vệ tính riêng tư, nguyên vẹn, và
khả năng hiệu dụng của dữ liệu cá nhân cũng như dữ liệu của tổ chức.
Đưa an ninh vào một sản phẩm của nhà cung cấp phải đi đôi với việc bảo vệ các dữ liệu của
người dân. Tuy nhiên, an ninh quốc gia cũng như bảo mật cá nhân lại thường có vẻ như
không được quan tâm như nhau và đó là lý do chúng tôi phải làm việc cùng nhau cân bằng
giữa hai yếu tố này.
Đã đến lúc để nâng cao chất lượng và giải quyết cụ thể những thách thức an ninh của cơ sở hạ
tầng thông tin toàn cầu. Nếu như trong quá khứ, chúng ta coi an ninh mạng là một vấn đề có
thể được giải quyết cục bộ, và điều này vẫn không mang lại những kết quả ý nghĩa nào.
Ngược lại, thách thức mạng đang ngày càng trở nên bức thiết hơn bất cứ lúc nào. Các Chính
phủ, ngành cũng như người dùng trên toàn thế giới cần phải cùng nhau hiểu rõ cách kết hợp
với nhau để tìm ra và thống nhất những quy phạm mới và cụ thể về chế độ, chuẩn mực và luật
pháp, cũng như cách để chúng ta đẩy mạng an ninh và bảo mật trên hệ thống mạng thế giới.
Trong mục 5, “Bảo vệ tương lai – an ninh cho thế giới ngày mai”, chúng tôi đã giới thiệu đến
các bạn về việc thế giới sẽ thay đổi như thế nào khi những làn sóng tiếp theo của công nghệ số
tấn công xã hội loài người, cách mà công nghệ 5G sẽ đạt đến tốc độ gấp 100 lần so với hiện
14
http://en.wikiquote.org/wiki/Francis_Bacon
tại hay cả thế giới, các nền kinh tế và các doanh nghiệp sẽ được thiết kế lại, cấu hình lại và
xây dựng lại như thế nào.
Bởi vì tốc độ phát triển công nghệ sẽ tiếp tục dẫn dầu, chúng ta cũng phải đẩy nhanh hơn nữa
việc xem xét nhu cầu an ninh của tương lai – bởi chúng ta không thể lái xe mà chỉ nhìn vào
gương chiếu hậu. Chúng ta đã bàn luận trong một thời gian dài về các vấn đề và thách thức
tương tự, vẫn là các vấn đề về việc hợp tác, những quy phạm mới, chuẩn mực mới và chế độ
mới, nhưng vẫn không đưa ra được kết quả cụ thể nào. Trong mười năm tới, tốc độ thay đổi
công nghệ mà chúng ta sắp được chứng kiến sẽ phá hủy những thành tựu mà chúng ta đạt
được nếu như chúng ta không giải quyết những thách thức về an ninh.
Trên quan điểm của chúng tôi, việc tối quan trọng chính là toàn bộ hệ sinh thái của các chính
phủ, ngành công nghiệp và người dùng tăng cường việc phối hợp với nhau để giải quyết các
vấn đề và khó khăn mà chúng ta sẽ đối mặt trong tương lai. Và trong quá trình đó, chúng ta
cần xem xét những điều sau:
Thách thức về bảo mật trong thế giới số: Giả sử khi cuộc sống và việc kinh doanh của
chúng ta phần lớn được thực hiện trên mạng, với các dữ liệu được truyền đi toàn cầu và được
xử lý tại nhiều quốc gia bằng nhiều nhà cung cấp công nghệ cũng như được quản lý bởi nhiều
luật pháp khác nhau, chúng ta cần các khung pháp lý chặt chẽ và tương thích cũng như các
quy tắc tuyển dụng và công nghệ được nhất trí trên toàn cầu giúp bảo vệ dữ liệu cá nhân và
kinh doanh.
Các thông lệ đánh giá rủi ro toàn diện: khi tốc độ và rate kết nối mạng internet của
người dùng và thiết bị ngày càng cao, cùng với sự phát triển không ngừng của công nghệ, xã
hội cũng đã tự đặt mình trước mối họa lớn nhất từ trước đến nay. Công nghệ không thể bị bó
hẹp để thỏa mãn nhu cầu của bất kỳ một ai trong mọi kịch bản. Phương pháp chiến lược tập
trung vào việc quản lý rủi ro liên quan đến những yếu tố cấp bách đã được miêu tả trong tài
liệu này, và việc thừa nhận một thực tế rằng các mạng toàn cầu phụ thuộc vào chuỗi cung ứng
toàn cầu, là việc hết sức cần thiết để nâng cao an ninh mạng.
Khách hàng là thượng đế: Những người mua công nghệ - có thể là các chính phủ, các
doanh nghiệp hoặc khách hàng – nên sử dụng sức mạnh mua bán và kinh tế của mình để đòi
hỏi nhiều hơn từ các nhà cung cấp công nghệ và dịch vụ. Top 100 câu hỏi mà chúng tôi đã thu
thập được từ các khách hàng của mình có thể giúp người mua đưa ra những yêu cầu của mình
cũng như thúc đẩy các nhà cung cấp công nghệ tăng cường bảo vệ các đặc tính an ninh đối
với sản phẩm của họ. Bởi nhiều doanh nghiệp lớn có hoạt động kinh doanh xuyên biên giới,
nên các công ty này và các nhà cung cấp cần đảm bảo thực hiện theo các khung quy định mà
vẫn duy trì lợi ích về kinh tế. Thực tế là các phương pháp tiếp cận nhắm đến dữ liệu cá nhân
và tổ chức sẽ cản trở lợi ích (và lợi nhuận) kinh tế cũng như kiềm chế sự phát triển.
Trên quan điểm của Huawei, chúng tôi sẽ tiếp tục cố gắng làm việc với các chính phủ, khách
hàng, các tổ chức tiêu chuẩn và các bên liên quan được hưởng lợi khác để tăng cường chất
lượng và sự hoàn thiện cho phương pháp tiếp cận an ninh mạng từ đầu đến cuối của Huawei
và đảm bảo rằng công nghệ của chúng tôi sẽ tuân thủ theo pháp luật và các quy định cũng như
điều lệ hiện hành. Chúng tôi sẽ tiếp tục đấu tranh cho nhu cầu kiểm tra độc lập của các sản
phẩm nhằm giúp thỏa mãn các bên liên quan khác nhau để đảm bảo răng sản phẩm của một
nhà cung cấp là hoàn toàn an toàn. Chúng tôi cũng sẽ hợp tác với ngành ICT để chắc chắn
rằng tất cả các nhà cung cấp đều được đối xử công bằng, không phân biệt, và cùng nhau
chúng tôi sẽ sử dụng khả năng của mình để đẩy mạnh cải tiến nhằm mang đến cuộc sống tốt
hơn cho công dân trên toàn thế giới – chúng tôi sẽ tiếp tục làm những điều trên một cách cởi
mở, minh bạch và với thái độ cộng tác.
Trong cuốn sách trắng trước, chúng tôi đã từng đưa ra kiến nghị về một số quy tắc sau:
Các quy tắc hướng dẫn
1. PHẠM VI TOÀN CẦU: Các nỗ lực nhằm hoàn thiện hệ thống an ninh mạng phải
phản ánh tính chất xuyên biên giới, liên kết và toàn cầu của môi trường mạng hiện nay.
2. PHÁP LUẬT: Chúng tôi phải dung hòa và tuân thủ theo luật pháp, các chuẩn mực,
định nghĩa và quy phạm quốc tế.
3. SỰ CỘNG TÁC: Những nỗ lực nhằm hoàn thiện an ninh mạng phải tận dụng được
các mối quan hệ hợp tác công-tư. Đó không phải là tập hợp của “một vài”, mà là của “tất cả”.
4. DỰA TRÊN CÁC CHUẨN MỰC: Chúng tôi phải thống nhất và tiến hành các chuẩn
mực và tiêu chuẩn quốc tế về an ninh ICT
5. DỰA TRÊN XÁC MINH: Chúng tôi phải phát triển và tiến hành các phương pháp xác
minh độc lập sao cho đảm bảo rằng các sản phẩm tuân thủ theo những tiêu chuẩn đã thống
nhất.
6. DỰA TRÊN CHỨNG CỨ: Những nỗ lực nhằm tăng cường khả năng bảo mật không
gian mạng phải dựa trên các bằng chứng về rủi ro, đối tượng tấn công, mất mát hoặc ảnh
hưởng hoặc bằng chứng có hiệu lực.
7. TIẾN HÀNH CƠ BẢN: Tất cả chúng tôi phải tiến hành “vệ sinh” an ninh mạng cơ
bản để từ đó chúng tôi có thể tăng chi phí tấn công đầu vào
Chúng tôi tin rằng các quy tắc kể trên đến nay vẫn còn hiệu lực.
Huawei sẽ tiếp tục giữ vai trò là một nhà cung cấp hàng đầu về các giải pháp công nghệ thông
tin và truyền thông (ICT) toàn cầu, phối hợp với các chính phủ, khách hàng và các bên liên
quan khác để tiến hành những quy tắc trên và đáp ứng được những yêu cầu về đảm bảo an
ninh mạng của các bên một cách cởi mở, minh bạch và với thái độ hợp tác.
9 Đôi nét về Huawei
Huawei hoạt động trên hơn 140 quốc gia, các sản phẩm và giải pháp của chúng tôi phục vụ
hơn một phần ba dân số thế giới. Có 150.000 nhân viên đang làm việc cho Huawei với độ tuổi
trung bình là 31. Bình quân, 73% nhân viên trong công ty chúng tôi là được tuyển dụng ngay
tại các quốc gia mà công ty hoạt động. Tính đến năm 2012, chúng tôi đã triển khai hơn 130
mạng lưới thương mại LTE và hơn 70 mạng lưới thương mại EPC, đứng đầu trên toàn thế
giới.
Huawei có vai trò dẫn đầu trong ngành thông qua việc không ngừng cải tiến, đồng thời có một
trong những danh mục Quyền sở hữu trí tuệ IPR quan trọng nhất trong ngành viễn thông.
Huawei luôn tôn trọng và bảo vệ Quyền sở hữu trí tuệ của các công ty và các cá nhân khác.
Công ty chúng tôi đầu tư 10% doanh thu hàng năm vào Nghiên cứu và Phát triển R&D và
45% nhân viên đều được tham gia vào chương trình này. Năm 2012, Huawei đã đầu tư 4,8 tỉ
USD vào chương trình Nghiên cứu và Phát triển, chiếm 13,7% tổng doanh thu năm đó. Tổng
mức đầu tư và R&D trong thập kỷ qua đã vượt mức 19 tỉ USD.
Tính đến cuối năm 2012, Huawei đã đưa ra 41.918 ứng dụng sáng chế tại Trung Quốc, 12.453
ứng dụng theo Hiệp ước Hợp tác Sáng chế (PCT) và 14.494 ứng dụng ra nước ngoài. Chúng
tôi đã được cấp 30.230 bằng sáng chế, 90% trong số đó là các sáng chế phát minh. So sánh về
số lượng, Huawei chú trọng nhiều hơn tới giá trị thương mại cũng như chất lượng của các
Quyền sở hữu trí tuệ. Huawei nắm giữ hơn 15% sáng chế cơ bản về công nghệ truyền thông
không dây thế hệ mới LTE và đang ở vị trí dẫn đầu về sáng chế trong FTTP (Kết nối mạng
bằng cáp quang đến tận nhà), OTN (Mạng Truyền tải Quang), G.711.1 (Phát thanh Băng rộng
Cố đinh),… Việc bảo vệ Quyền sở hữu trí tuệ do đó cũng trở nên hết sức quan trọng đối với
thành công hiện tại của Huawei, và bởi điều này, Huawei trở thành công ty dẫn đầu trong việc
bảo vệ Quyền sở hữu trí tuệ.
Chúng tôi có 16 trung tâm Nghiên cứu và Phát triển trên toàn thế giới, 28 trung tâm sáng tạo
chung, và 45 trung tâm đào tạo. Nhìn chung, 68% doanh thu mà công ty chúng tôi thu được là
từ bên ngoài Trung Hoa Đại lục, và 70% nguồn nguyên liệu của chúng tôi là từ các công ty
liên kết nước ngoài. Hoa Kỳ là nhà cung cấp các phụ kiện lớn nhất của chúng tôi với 32% --
tương đương với 5,72 tỉ USD Huawei bỏ ra để mua các nguyên vật liệu từ các công ty của Mỹ
trong năm 2012.
Chúng tôi cung cấp các dịch vụ quản lý cho hơn 120 nhà điều hành trên hơn 70 quốc gia để
giúp các khách hàng đạt được sự quản lý tuyệt hảo và chúng tôi cũng đã thu về tổng cộng hơn
330 hợp đồng dịch vụ quản lý. Huawei đã xây dựng các giải pháp IT nền tảng điện toán đám
mây và cộng tác với hơn 400 đối tác để thúc đẩy ứng dụng thương mại công nghệ điện toán
đám mây trong rất nhiều ngành. Vào tháng 8 năm 2013, chúng tôi đã giúp khách hàng trên
toàn thế giới thành lập 330 trung tâm dữ liệu, bao gồm 70 trung tâm dữ liệu điện toán đám
mây.
Vào năm 2012, Huawei đã bán được 32 triệu điện thoại di động thông minh trên toàn thế
giới, tăng 60% so với năm 2011. Việc vận chuyển và giao thiết bị được tính toán tổng cộng là
127 triệu đơn vị, bao gồm 52 triệu điện thoại di động, 50 triệu thiết bị kết nối băng thông rộng
di động và 25 triệu thiết bị đầu cuối kết nối tại nhà.
Huawei đang rất tâm huyết trong việc hỗ trợ cho các chuẩn mực quốc tế chủ đạo và chủ động
gió phần vào việc tạo lập các tiêu chuẩn tương tự. Đến cuối năm 2012, Huawei đã tham gia
vào hơn 150 tổ chức tiêu chuẩn công nghiệp, có thể kể đến như 3GPP, IETF, ITU (Liên hiệp
Viễn thông Quốc tế), TMF (Diễn đàn Quản lý Viễn thông), ATIS,và tổ chức Open Group,
ngoài ra còn có các tổ chức khác. Tổng cộng, Huawei đã đệ trình hơn 5.000 kiến nghị lên các
cơ quan tiêu chuẩn và chúng tôi đã nắm giữ hơn 180 vị trí trong các tổ chức hỗ trợ việc tiến
đến đồng lòng và nhất trí đối với các tiêu chuẩn quốc tế.
Tính tới ngày 31 tháng 12 năm 2012, 74.253 nhân viên của chúng tôi đã mua vốn chủ sở hữu
của công ty. Kế hoạch Sở hữu Cổ phần của Nhân viên có mối quan hệ chặt chẽ với sự phát
triển liên kết lâu dài của Huawei với đóng góp cá nhân của các nhân viên và tạo một cơ chế
bền vững, lâu dài cho sự cống hiến và chia sẻ công lao. Điều này mang đến cho chúng tôi khả
năng có được tầm nhìn lâu dài; nó cũng đảm bảo rằng chúng tôi có thể cân bằng rủi ro với
việc khen thưởng và chiến lược. Các nhân viên biết rằng, nếu công ty chúng tôi không vượt
trội hơn trong việc phục vụ khách hàng so với các công ty khác, hoặc nếu chúng tôi tiến hành
những hoạt động không phù hợp, thì vốn sở hữu cũng như tiền trợ cấp của họ cũng sẽ bị ảnh
hưởng.
Bản quyền © Công ty TNHH Công nghệ Huawei. Bảo lưu mọi quyền.
Bạn chỉ có thể sao chép và sử dụng tài liệu này với mục đích tham khảo cá nhân. Ngoài ra không được
sử dụng với bất cứ mục đích nào khác.
Tài liệu này được cung cấp “nguyên trạng” mà không có bất cứ bảo hành nào khác, được nói rõ hoặc
ám chỉ. Tất cả các quyền bảo hành đều sẽ tuyệt đối bị hủy bỏ. Sẽ không có bất cứ bảo hành nào cho
việc không vi phạm, khả năng tiêu thụ, và phù hợp với mục đích cụ thể nào đó. Huawei sẽ không chịu
trách nhiệm đối với tính chính xác của thông tin được trình bày trong tài liệu. Bất cứ thông tin nào
được cung cấp trong tài liệu này đều dựa trên hiệu đính, xem xét và thay đổi mà không cần thông báo.
Rủi ro từ việc sử dụng, hoặc dựa trên, các thông tin được cung cấp trong tài liệu sẽ chỉ do bạn gánh
chịu. Tất cả thông tin về bên thứ ba được cung cấp trong tài liệu này đều được lấy từ các nguồn thông
tin chung hoặc thông qua các báo cáo và tài khoản đã được công bố.
HUAWEI, và là nhãn hiệu hoặc thương hiệu đã được đăng ký của Công ty TNHH Công nghệ
Huawei.
Tất cả tên và nhãn hiệu của các công ty khác được nhắc đến trong tài liệu này đều thuộc sở hữu của
riêng công ty đó.