大華一貫將網絡安全和隱私保護作為公司最高綱領,并成立網絡安全委員會作為最高決策組織,從公司戰略層面全面規劃、統籌指導、監督實施。組建專業的安全團隊,擁有各類網絡安全人員百余人,負責公司安全戰略的全面落地。設立專項資金投入,保障安全流程、安全技術、安全解決方案、安全測試和應急響應等領域扎實推進、穩步提升。安全軟件開發流程2018年,大華持續推進安全軟件開發生命周期(sSDLC)的建設,開展全面且深入的安全活動成熟度評估,推動安全活動融入IPD流程,通過對開發流程的規范和軟件工程的控制,進一步建立健全了適合大華的安全研發管控體系。典型的安全活動包括:√ 實施面向研發中心全員的安全需求理解、安全設計方法、安全編碼規范、安全測試方法、安全工具使用等培訓√ 基于GDPR合規與德國TüV萊茵隱私保護認證,建立隱私需求√ 基于安全基線,建立安全需求√ 針對IPC、NVR、智能鎖、云等產品系列與服務進行威脅建模和威脅消減,不斷加強安全設計能力√ 執行嚴格的代碼靜態分析和缺陷修復√ 覆蓋所有版本的安全測試和滲透測試,進行全面的安全掃描、安全功能驗證和攻擊滲透驗證√ 產品發布前安全檢查,包含安全需求和安全設計的一致性、數據合規性、安全測試和滲透測試的完備性,以及產品安全指導文檔安全基線大華致力于為用戶提供良好的功能體驗的同時,享受默認安全的保障,為此大華持續在網絡安全大力投入,組建專業安全團隊,不斷提升產品安全性能。大華啟動“安全基線”構建以來,一直秉承透明、開放、專業、負責、持續升級的理念,讓用戶更加直觀地感受到大華產品的安全能力。客戶安全需求調研、行業安全動態跟蹤、安全標準與法規遵從、產品威脅建模分析、關鍵安全技術預研等活動既是支撐 “安全基線”構建和演進的基石,也是檢驗標準。經過基線1.0系列的探索調研、迭代升級和落地反饋,已打造出“AAA+CIA+S”的安全布局,形成了覆蓋硬件安全、系統安全、應用安全、網絡安全和數據安全等一系列安全實踐。其中,AAA代表認證(Authentication)、授權(Authorization)、安全審計(Audit),CIA代表保密性(Confidentiality)、完整性(Integrity)、可用性(Availability),S為專項安全(Special)。“安全基線”已成為大華安全企業標準,作為支撐大華sSDLC的標準庫,保障所有產品共享安全成果。2019年,大華“安全基線”即將迎來2.0版本的全面升級,大華產品也將以更加安全和規范的品質服務用戶。隱私基線大數據時代,信息呈現出爆炸式的增長趨勢,數據無疑成為企業和個人最重要的資產。企業和個人越來越關注數據安全和隱私保護,各國也相繼頒發了有關個人數據保護的法律法規。大華非常重視數據安全和隱私保護,中國《信息安全技術 個人信息安全規范》、歐盟GDPR頒布以來,大華一直采取積極且務實的態度和策略應對。大華作為全球視頻監控領域首批通過德國TüV萊茵針對IoT產品數據安全和隱私保護認證的企業,IPC和NVR產品率先獲取認證,軟件平臺DSS和智能服務器IVS隨后也開展了認證。在積極開展認證的同時,為進一步全面提升產品的隱私保護水平,更好地幫助客戶實現合規,大華結合內部產品安全要求、個人信息安全規范、GDPR法規和萊茵標準等,制定了《大華個人數據及隱私保護標準要求》,在用戶同意、隱私友好設置、默認隱私保護與設計、數據安全等方面進行了明確的規范,并作為隱私基線導入sSDLC流程。威脅建模威脅建模,作為sSDLC的核心活動,是安全設計核心原則之一,是產品安全提升的關鍵舉措。大華確立了“STRIDE模型+攻擊樹模型”相結合的威脅建模工程方法,并先后針對IPC、NVR、智能鎖、云等產品系列與服務進行威脅建模。通過威脅建模活動,能夠在軟件生命周期早期識別安全威脅、減小攻擊面,進而反哺安全需求、指導源代碼分析、輔助安全設計和滲透測試。威脅建模是一個持續循環的動態模型,2019年大華將繼續推進新一輪的建模活動,以適應不斷發現的新型威脅與攻擊。安全測試產品安全質量越來越引起客戶和終端用戶的關注。把控好產品網絡安全質量,大華股份一直在持續努力。安全測試作為sSDLC核心活動,貫穿于項目研發周期,從需求、設計、編碼、測試、漏洞管理等多環節、多維度、全視角跟進產品安全質量;延展產品全生命周期質量管控。分解多項活動目標,從安全測試策略準入、安全需求驗證、安全測試基線驗證、濫用用例檢證、基于威脅建模的攻擊面分析、產品定制安全測試用例、隱私數據和個人敏感數據檢證、法律/法規合規性驗證、漏洞自動掃描、病毒掃描、開源軟件及第三方組件漏洞驗證等多方面活動項保障產品安全質量。以藍隊Blue Team思維和視角將安全測試工作落地產品研發,通用和定制相結合的模式、因地制宜的針對項目進行活動定制和落地賦能。安全測試團隊從系統安全、業務安全、管理安全等多維度進行安全質量保障。構建成熟的“網絡安全”活動體系,規范化、標準化的文檔在過程改進和知識分享體系,進行研發典型問題根因回溯總結。滲透測試為了保障發布產品的安全質量,大華公司內部按照業界通用標準和規范,參考外部第三方安全評測組織的模式;從紅隊Red Team角度上,按照規范化、標準化、流程化、公開和公正的檢證機構要求,成立不參與項目干系方、獨立于產品線研發的“內部網絡安全實驗室”;作為專業化的內部獨立第三方滲透測評團隊,把控產品安全質量發布的最后一關。循序漸進的運用多種滲透測試方法,對產品進行黑盒測試、灰盒測試、白盒測試、逆向分析、Fuzzing測試、業務場景分析、基于威脅建模的攻擊面分析、漏洞案例分析等方法和工具,建立IoT攻擊模式庫、典型產品滲透測試基線、云安全測試基線等貼近產品多形態的滲透測試方法和模式。有效的工作管控做到公司產品滲透測試全覆蓋。滲透測試團隊技能緊跟安全事態和威脅發展流向,實時保持跟外部國內外安全測評機構/公司的交流、參加業內知名安全會議,引入優秀實踐和關鍵案例。漏洞管理及應急響應大華產品安全事件響應中心(Product Security Incident Response Team,簡稱PSIRT)負責接受、處理和公開披露大華產品和解決方案相關的安全漏洞,同時大華PSIRT是公司對漏洞信息進行披露的唯一出口。做好產品漏洞管理,負責任披露產品安全威脅/漏洞,及時向客戶和終端用戶提供修復建議和方案。大華PSIRT具有一整套規范的、完整的漏洞處理和應急響應處理流程和模板,按照公司統一要求對產品漏洞進行全生命周期管理。漏洞作為關鍵信息安全資產做到有效管控,面向客戶進行負責任披露,得到客戶和終端用戶的廣泛認可;按照負責任披露和信息有效公開模式,保障客戶/終端用戶的知情權、增進產品安全滿意度。滿足客戶對產品安全定制化服務等級需求,對安全事件24小時快速應急響應,端對端的向客戶披露安全問題/漏洞、實時通報安全事件進展。對安全事件做好技術分析和根因排查,做好漏洞分析和問題回溯;利用安全事件/漏洞的根因分析報告,迭代改善sSDLC安全需求引入,階段性的提升網絡安全成熟度模型。關鍵安全技術網絡攻防是一個不斷博弈的過程,沒有永恒的安全。為了應對不斷升級的攻擊技術和方法,順應行業安全發展趨勢和需求,大華安全團隊持續深耕關鍵安全技術,通過外部交流合作、內部預研攻關等方式,先后在多項安全領域取得突破,并在主打產品系列逐步試點落地。2019展望2019年,大華將切實推進安全戰略全面落地,提升sSDLC體系成熟度、加大安全合規力度、循環深化威脅建模、持續集成安全測試平臺、深度定制滲透測試工具、完善應急響應體系。大華將進一步打通到最終客戶的安全鏈路,持續為用戶提供更加安全的產品和解決方案。大華也將以更為積極開放的心態,歡迎各類客戶及專業人士與我們開展深入的網絡安全探討和交流。
查看詳情
《通用數據保護條例》(General Data Protection Regulation, GDPR)于2016年4月27日由歐洲議會頒布,共計11章,99條,將于2018年5月25日全面實施。GDPR的前身是1995年頒布的《數據保護指令》(Data Protection Directive, DPD),原指令只是對歐盟成員國的國內立法起到指引作用,而GDPR可以被各成員國法院直接援引并作為判決依據。 大華作為以視頻為核心的智慧物聯解決方案提供商及運營服務商,本著“以客戶為中心”的理念,致力于幫助用戶實現對個人數據的有效、安全、合規處理。通過對GDPR法案的深度解讀,結合我們對用戶需求的深度挖掘,構建了大華產品個人數據保護設計規范要求。我們對大華產品及服務的個人數據保護能力進行了綜合評估,以及全面提升和完善。
查看詳情
隨著歐盟發布的《一般數據保護條例》(簡稱GDPR或《條例》)的實施日期逐日臨近,數以萬計的企業將必須遵守GDPR規定的數據管理規定。然而人們對于GDPR還是會經常問:GDPR是什么,對企業和個人有何關系?GDPR是怎樣對個人數據進行保護的?下面,大華就給大家簡單介紹一下GDPR。GDPR制定背景1995年,歐盟就出臺過《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》(簡稱“《指令》”),為歐盟成員國立法保護個人數據設立了最低標準。那時,個人數據的收集處理范圍僅限于用戶名、地址及相對簡單的金融信息。但隨著20來年的科技發展,到了如今這個信息互聯的大數據、云計算時代,人們在享受便捷網絡服務的同時,也對產生或提供的個人數據的保護越來越重視。因此個人數據保護面臨新的挑戰。歐盟為此歷經多年的立法協商,在2016年4月27日的歐洲議會上頒布了《一般數據保護條例》(簡稱GDPR或《條例》),該條例將在兩年過渡期之后于2018年5月25日全面實施。GDPR適用范圍如果你認為GDPR是歐盟的法律法規,企業不在歐洲就與我無關,那就大錯特錯,GDPR適用對象不僅包括歐盟內的企業,還包括雖然住所不位于歐盟境內,卻向歐盟用戶提供互聯網和商業服務的所有企業。換言之,不管企業在何處,只要其在提供產品或服務的過程中處理了歐盟境內個體的個人數據,就應當適用本條例。在屬人加屬地主義的雙重適用標準下,該《條例》可以隨著數據的動態流動應用于全球任何企業。GDPR對企業的要求對于提供互聯網和商業服務的企業在個人數據保護方面,GDPR是如何規定的呢?一、在數據處理上,必須遵守以下原則:l 合法性:任何出于商業目的而使用、處理和交易的個人數據,都應當符合法律的規定;l 公平性:在數據的使用處理中,應妥善平衡各主體間的利益,禁止以犧牲數據主體利益的方式來滿足個人數據的商用和出于追求經濟利益而進行的交易;l 透明性:數據使用和交易的目的、范圍及具體用途等,應當以數據主體知道的方式進行,不得在數據主體不知情或不知道數據被處理、被交易的主要程序的情況下,處理、交易個人數據。此外,GDPR還規定了“目的限制”、“數據最小化”、“精度”、“存儲限制”、“完整和機密性”以及“問責制”原則。二、企業在內部建立完善的問責機制企業應當建立周密的制度安排,包括數據安全管理流程、泄露事故發現、上報預案等,以符合《條例》的嚴格要求。l 數據保護官(DPO):企業需設立數據保護官與數據保護監管機構進行聯系,數據保護官需要向GDPR的執行委員會報告,并有權監視企業的數據處理。l 文檔化管理:企業必須全面記載其數據處理活動,做到一舉一動都有據可查。文檔化管理不僅是企業內部的管理措施,而且是數據保護監管機構履行職責的重要抓手。l 數據保護影響評估和事先協商:對于高風險的數據處理活動,要事先進行數據保護影響評估。如果數據保護影響評估的結果顯示是高風險,而企業沒有有效降低風險的措施,企業應當就數據處理活動向相關的數據保護監管機構進行事先協商。l 事件響應:企業對于數據泄露事件應預先計劃應急措施,一旦發生數據泄露事故,企業需要及時通知監管機構,一般應不超過72小時。l 安全保障措施:企業在數據安全保障上應特別做好以下措施:1) 對個人數據的匿名化和假名化;2) 確保提供持久的機密性、完整性、可用性和系統可恢復性的能力;3) 在物理或者技術事故下及時恢復數據可用性、可訪問性的能力;4) 建立定期測試、評估、評價技術和管理措施是否有效的體系。GDPR規定的個人權利GDPR讓人們在個人數據處理上賦予更全面的權利,讓我的數據我做主,實現更好的個人數據保護。那GDPR到底賦予了人們什么樣的權利?GDPR賦予了個人數據所有者堅實強大的權利,詳細規定了數據主體的知情權、訪問權、反對權、數據可攜權和數據被遺忘權等權利。l 知情權:數據控制者必須以清楚簡單明了的方式向個人說明其個人數據是如何被收集處理的。l 訪問權:數據控制者應當為用戶實現該權利提供相應的流程,如果該請求是以電子形式提出的,則也應當以電子形式將數據提供給個人。控制者不能基于提供該服務而收費,除非數據主體的請求明顯過量,超過負擔。l 反對權:數據主體始終有權隨時拒絕數據控制者基于其合法利益處理個人數據,始終有權拒絕基于個人數據的市場營銷行為。《條例》還引入了限制處理的權利,例如當數據主體提出投訴時(例如針對數據的準確性),數據主體并不要求刪除該數據,但可以限制數據控制者不再對該數據繼續處理。l 數據可攜權:個人能夠將其個人數據和資料從一個信息服務者處無障礙地轉移至另一個信息服務者處,這一權利意味著數據主體對個人數據擁有了更強的掌控能力與管理能力。l 數據被遺忘權:數據主體要求數據控制者刪除與其相關的個人數據及避免數據被傳播的權利,這一權利的引入旨在解決當下個人數據大量存儲所帶來的隱私隱患,充分體現了《條例》對數據主體隱私保護的加強。GDPR嚴厲的處罰GDPR不僅對個人數據處理制定了一套統一的法律和更嚴格的規定,同時也規定了對違規行為的嚴厲處罰。這些處罰是以行政罰款的形式出現,對應任何違反GDPR的行為進行處罰,根據違反程度,最高處罰罰金分兩檔:1) 1000萬歐元或企業全球年營業額的2%;2) 2000萬歐元或企業全球年營業額的4%。嚴厲的處罰,使企業更加重視GDPR的合規性,而規避處罰的關鍵是避免數據泄露和數據處理過程的有效控制。GDPR,大華在行動大華是全球領先的視頻監控解決方案提供商及設備提供商,一直致力于個人隱私保護和數據安全。隨著GDPR到來,由于視頻錄像作為個人的個人數據的一部分,大華也更加重視個人數據的保護。在產品設計上,個人數據處理過程滿足合法、公平、透明;同時提供完善的數據保障措施,對個人數據進行加密、匿名化、假名化等操作。在管理體制上,建立更加完善的內部管理流程,優化問責機制,持續完善數據保護過程控制的管理體系。讓數據更安全,讓社會更和諧,使用大華產品能夠幫助您更好的符合GDPR,我們將持續開發更多功能來創建更加安全并保護個人隱私的解決方案。
查看詳情