网络安全:
1、网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动
2、我们的网络安全愿景与使命以我们的客户需求为核心(√)
3、遵守所适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律、法规,严格遵从客户的指示、相应的合同条款来处理个人数据处理或转移及其他相关业务。 4、遵守客户的各项规章制度,服从客户的管理,不攻击、破坏客户网络,不破解客户账户密码。
5、遵守客户账号管理的要求,不共享账号和密码,不使用他人账号或非授权账号登录设备进行操作。
6、不在客户设备和系统中植入任何恶意代码、恶意软件、后门,不预留任何未公开接口和账号。
7、未经客户书面许可,不使用个人便携设备、存储介质接入客户网络。
8、未经客户书面授权,不访问客户系统、收集、持有、处理、修改客户网络中的任何数据和信息。
9、不泄漏和传播客户网络中的数据和信息,对于在提供服务期间获悉的任何信息或数据承担严格的保密义务直至相关信息或数据被合法披露为止。
10、在商用或转入维护阶段后,不保留或使用管理员账号及其它非授权账号。 11、不利用客户系统的信息和数据谋取个人利益或用于其它非法目的。
12、不使用非授权软件在客户网络上运行,需使用来自客户正式渠道的软件版本、补丁、许可。
13、不进行超出客户审批范围内的任何操作。
14、分包商在服务交付中,现网操作授权、工具/软件获取、数据采集和使用、网络接入管理等关键控制点需加强管控,确保服务交付的网络安全
15、衡量是否遵从网络安全的要求,不是以结果或行为人主观意愿为标准,而是以行为作为依据
16、三个审批”是指现网操作前要获得客户审批,华为项目组审批,技术审批。Citrix是远程接入平台
17、软件和工具获取:分包商员工只能使用从Support网站下载的软件和工具,或分包合同中指定的工具软件。如果没有support软件下载权限,可联系华为工程师获取软件和工具。 18、帐号管理:每个接入网络时每人单独使用一个帐号,且必须在客户授权范围内使用,不得共享账号
19、安全加固:按照产品安全部署要求完成操作系统、数据库、软件配置等加固操作;对防火墙产品调测,需要联系华为工程师核、客户核实安全策略
20、网络移交:工程结束后分包商员工代表华为向客户移交关键信息资产时,做好帐户密码移交、远程接入信息等,并提醒客户更改密码
21、客户数据:对客户网络数据进行采集、转移、存储、使用和处理必须得到客户授权、华为项目组授权,防止客户网络数据信息泄露和滥用。
22、进入客户场所设施:进入客户站点、机房、客户办公区域需要得到客户授权。 23、远程接入:远程接入客户网络前须获得客户授权、华为项目组授权。
24、接入前杀毒:分包商员工的工作电脑安装杀毒软件并保持更新,每个月例行有Full Scan记录,避免病毒引入客户网络。
25、备件数据删除:维修分包商按照华为维修操作指导进行维修和信息删除、存储介质移出,并遵从信息安全保密条款
26、客户数据加密:对IMSI/MSISDN/IMEI等敏感信息的用户数据需先进行加密。对敏感国家客户网络数据,分包商员工要与华为工程师核实,并必须采用第三方硬加密方案。 27、①客户数据采集:按客户授权进行数据采集。未经客户书面授权,禁止收集、持有、处理、修改客户网络中的个人数据
28、②客户数据使用:使用用于业务分析的个人数据必须得到客户授权,并进行匿名化处理。对批量导出、复制、销毁信息严格管理,并采取防泄密措施
29、意识转变是最重要的,主管上无恶意是不够的,关键要做到客观上无风险,这是一个完全不同的概念
30、每个分包商员工都要对自己所做的事情和产生的结果负责。不仅要对技术和服务负责,也对法律负责
31、在施工过程中,如果分包商员工对网络安全的要求不确定时(特别是涉及现网操作、数据采集和保存),应暂停工作并联系其华为项目组的项目经理
32、如果在施工中遇到突发网络安全事件(如网络业务中断、黑客攻击、病毒感染网络等),分包商员工应第一时间将情况通知给其对应华为项目组的项目经理
33、三授权:客户授权、技术授权、项目授权(管理授权) 34、六禁令:
1. 严禁在非行业默许时间操作(含远程操作)现网运行设备! 2. 严禁未经客户许可,擅自操作客户设备!
3. 严禁使用未经申请的软件版本进行开局、升级! 4. 严禁无策划方案或方案未经审核,盲目操作设备!
5. 设备操作完毕后务必进行业务和计费等相关测试,严禁未经测试擅自离场! 6. 一旦出现网络设备重大事故,务必按照重大事故通报流程第一时间向主管通报,严禁隐瞒不报或延迟通报!
35、高危操作方案五要素:
网络安全抽查问题汇总
判断题:
1 、进入客户场所设施:进入客户站点、机房、客户办公区域需要得到客户授权。(对) 2、远程接入:远程接入客户网络前须获得客户授权、华为项目组授权。(对)
3 、接入前杀毒:分包商员工的工作电脑安装杀毒软件并保持更新,每个月例行有Full Scan记录,避免病毒引入客户网(对)
4、遵守客户的各项规章制度,服从客户的管理,不攻击、破坏客户网络,不破解客户账户密码(对)
5、遵守客户账号管理的要求,不共享账号和密码,不使用他人账号或非授权账号登录设备进行操作(对)
6不在客户设备和系统中植入任何恶意代码、恶意软件、后门,不预留任何未公开接口和账号(对)
7未经客户书面许可,不使用个人便携设备、存储介质接入客户网络、(对)
8未经客户书面授权,不访问客户系统、收集、持有、处理、修改客户网络中的任何数据和信息。(对)
9在商用或转入维护阶段后,不保留或使用管理员账号及其它非授权账号(对)
10不使用非授权软件在客户网络上运行,需使用来自客户正式渠道的软件版本、补丁、许可(对)
11每个接入网络时每人单独使用一个帐号,且必须在客户授权范围内使用,不得共享账号(对)
12未经客户书面授权,不可在客户网络上安装或使用任何软件(对)
13意识转变是最重要的,主管上无恶意是不够的,关键要做到客观上无风险,这是一个完全不同的概念(对)
14、帐号管理:每个接入网络时每人单独使用一个帐号,且必须在客户授权范围内使用,不得共享账号。(对)
15、软件和工具获取:分包商员工只能使用从Support网站下载的软件和工具,或分包合同中指定的工具软件。如果没有support软件下载权限,可联系华为工程师获取软件和工具(对) 16、.衡量是否遵从网络安全的要求,是以结果或行为人主观意愿为依据。(错)
17、.分包商员工只能使用从Support网站下载的软件和工具,或分包合同中指定的工具软件。如果没有support软件下载权限,可联系华为工程师获取软件和工具。(对)
18、.每个接入网络时每人单独使用一个帐号,且必须在客户授权范围内使用,不得共享账号(对)
19、未经客户书面授权,可以远程接入客户网络。(错)
20、在电脑、通信终端、存储介质接入客户网络前,必须先杀毒 。(对)
21、安全加固:按照产品安全部署要求完成操作系统、数据库、软件配置等加固操作;对防火墙产品调测,需要联系华为工程师核、客户核实安全策略。(对)
22、在商用或转入维护阶段后,不保留或使用管理员账号及其它非授权账号。(对) 23、不利用客户系统的信息和数据谋取个人利益或用于其它非法目的。(对) 填空题:
1、现网操作必须通过技术审批、项目组审批、客户审批,获得“三个审批”后方可执行操作
2、工程结束后分包商员工代表华为向客户移交关键信息资产时,做好帐户密码移交、远程接入信息等,并提醒客户更改密码
3、对客户网络数据进行采集、转移、存储、使用和处理必须得到客户授权、华为项目组授权,防止客户网络数据信息泄露和滥用
4、远程接入客户网络前须获得客户授权、华为项目组授权
5、 进入客户站点、机房、客户办公区域需要得到客户授权
6、三个审批:现网操作必须通过技术审批、项目组审批、客户审批,获得“三个审批”后方可执行操作。
7、客户数据:对客户网络数据进行采集、转移、存储、使用和处理必须得到客户授权、华为项目组授权,防止客户网络数据信息泄露和滥用。(填空)
8主动预防服务关健业务活动包括网络服务监控、网络性能管理、变更管理 5.如果在施工中遇到突发网络安全事件(如网络业务中断、黑客攻击、病毒感染网络等),分包商员工应第一时间将情况通知给其对应华为项目组的项目经理。
9、衡量是否遵从网络安全的要求,不是以结果或行为人主观意愿为标准,而是以行为作为依据。
9. 使用合法软件和工具:分包商员工只能使用从Support网站下载的软件和工具、或分包合同中指定的工具软件。如果没有support软件下载权限,可联系华为工程师获取软件和工具
10. 接入前杀毒:分包商员工的工作电脑安装杀毒软件并保持更新,每个月例行有Full Scan记录,避免病毒引入客户网络。 11、
在施工过程中,如果分包商员工对网络安全的要求不确定时(特别是涉及现网操
作、数据采集和保存),应暂停工作并联系其华为项目组的项目经理。 12、
如果在施工中遇到突发网络安全事件(如网络业务中断、黑客攻击、病毒感染网
络等),分包商员工应第一时间将情况通知给其对应华为项目组的项目经理。 13、
客户数据不带走。未经客户书面授权,不能将含客户网络数据(含个人数据)的
设备或存储介质带离客户场所。