華為采用BSIMM提升安全水平

時間：2022-03-14 01:36:02 | 來源：行業(yè)動態(tài)

時間：2022-03-14 01:36:02 來源：行業(yè)動態(tài)

全球領(lǐng)先的ICT（信息與通信）基礎(chǔ)設(shè)施和智能終端提供商，華為致力于把數(shù)字世界帶入每個人、每個家庭、每個組織，構(gòu)建萬物互聯(lián)的智能世界。目前，華為和運(yùn)營商一起，在全球建設(shè)了1500多張網(wǎng)絡(luò)，幫助世界超過三分之一的人口實(shí)現(xiàn)聯(lián)接。

華為網(wǎng)絡(luò)安全與用戶隱私業(yè)務(wù)管理部安全設(shè)計(jì)主管楊光磊表示，ICT行業(yè)正面臨著變化莫測的市場格局，產(chǎn)品開發(fā)專業(yè)人員被迫迅速地推出新的解決方案或產(chǎn)品。激烈的市場競爭給軟件開發(fā)人員帶來壓力，他們需要在極短時間內(nèi)完成產(chǎn)品開發(fā)。但是華為不會以犧牲安全性來換取交付速度。

楊光磊介紹說，產(chǎn)品開發(fā)過程中任一環(huán)節(jié)從設(shè)計(jì)、開發(fā)、測試，交付到維護(hù)，出現(xiàn)軟件安全問題都可能導(dǎo)致多年來精心建立的聲譽(yù)毀于一旦，并且會失去來之不易的客戶信任。隨著華為的產(chǎn)品系列增加和全球影響力擴(kuò)大，其對產(chǎn)品開發(fā)過程中的安全性和軟件完整性愈發(fā)重視。我們建立了由華為公司董事會成員牽頭的網(wǎng)絡(luò)安全組織，從上到下，在每個層級都建立了相應(yīng)的管理體系技術(shù)支撐安全。

華為一方面把安全活動嵌入到整個產(chǎn)品的開發(fā)過程中，并設(shè)立檢查點(diǎn)，確保這些安全活動在產(chǎn)品開發(fā)過程中能夠有效地得到執(zhí)行。另一方面，在整個的研發(fā)流程中不斷引入安全實(shí)踐。自2010年起，華為開始參考OpenSAMM、Microsoft SDL等業(yè)界優(yōu)秀實(shí)踐，在軟件開發(fā)流程中融入安全性。采取內(nèi)置安全措施的軟件開發(fā)方法提升軟件的質(zhì)量與安全，增強(qiáng)產(chǎn)品健壯性，加強(qiáng)隱私保護(hù)。并且，華為還在持續(xù)關(guān)注業(yè)界最新的威脅和應(yīng)對方法，不斷地優(yōu)化軟件開發(fā)流程。

楊光磊說，雖然參考多種軟件安全標(biāo)準(zhǔn)是一個很好的起點(diǎn)，但很快我們就看到了不足；這些評估只是基于內(nèi)部的流程，缺乏與業(yè)界標(biāo)桿對比的標(biāo)準(zhǔn)，無法衡量華為軟件安全能力在業(yè)界的水平情況。通過觀察和分析全球杰出SSI的真實(shí)數(shù)據(jù)，幫助企業(yè)理解、衡量和規(guī)劃SSI。憑借BSIMM評估，華為可以參考對比業(yè)界優(yōu)秀的實(shí)踐活動，以便更加有針對性地改善自身軟件安全成熟度。

2013年，華為產(chǎn)品與解決方案部門的軟件安全之旅又邁進(jìn)了一步 采用新思科技BSIMM評估，每輪評估過程大概2到3個月，對產(chǎn)品的整體安全能力進(jìn)行評估，包括安全標(biāo)準(zhǔn)策略、安全培訓(xùn)、安全架構(gòu)、安全測試等，制定有針對性的安全計(jì)劃，持續(xù)提升安全成熟度。

借助BSIMM，新思科技對華為內(nèi)部執(zhí)行的軟件安全方案進(jìn)行評估，涉及的主題與BSIMM軟件安全框架一致，如華為的軟件安全政策、供應(yīng)商管理和風(fēng)險評級等等。之后，新思科技軟件質(zhì)量與安全部門面向華為軟件安全團(tuán)隊(duì)，開展了活動培訓(xùn)，探討和剖析不同行業(yè)垂直領(lǐng)域出色的安全實(shí)踐，并介紹業(yè)界應(yīng)對安全問題的新舉措。另外，公司的決策層也會接受相關(guān)的培訓(xùn)，充分了解公司安全計(jì)劃的狀態(tài)。

最終，BSIMM評估結(jié)果記分卡提供了精準(zhǔn)、簡練的概況和詳細(xì)的分?jǐn)?shù)比較，概述了華為與同類公司執(zhí)行的安全方案之間的差異。借助BSIMM，華為制定了增強(qiáng)現(xiàn)有SSI的方案。比如經(jīng)過BSIMM的評估，華為已經(jīng)在全球的12個實(shí)踐中，有9個實(shí)踐達(dá)到了最高的第三級評估標(biāo)準(zhǔn)，在整個ICT的行業(yè)中是領(lǐng)先的。

楊光磊表示，從這幾年BSIMM評估的結(jié)果來看，華為在很多領(lǐng)域得到了比較明顯的提升：

培訓(xùn)領(lǐng)域：一開始評估，華為的安全培訓(xùn)只是零星的開展，沒有形成課程和培訓(xùn)體系，相關(guān)活動基本沒有得分。經(jīng)過一兩年建設(shè)，開展了絕大多數(shù)活動，培訓(xùn)獲得3分；

戰(zhàn)略和指標(biāo)：華為參考業(yè)界實(shí)踐，建立了SDP Track平臺（Security Development Platform），對產(chǎn)品安全開發(fā)流程中的各個安全活動進(jìn)行管理，跟蹤和了解各個安全活動的數(shù)據(jù)和狀態(tài)。在2017年評估中得到了認(rèn)可；

代碼檢視：以前在產(chǎn)品代碼靜態(tài)掃描中主要使用商業(yè)和華為自研的工具進(jìn)行掃描，所有產(chǎn)品使用統(tǒng)一規(guī)則。通過改進(jìn)，將不同類型產(chǎn)品安全編碼檢查規(guī)則嵌入到開發(fā)環(huán)境中，量身定制的規(guī)則和自動化工具做了結(jié)合，發(fā)現(xiàn)了一些過去沒發(fā)現(xiàn)的問題。

經(jīng)過五年BSIMM評估，華為整個軟件開發(fā)生命周期（SDLC）的安全成熟得到提高。根據(jù)最新的BSIMM評估，在BSIMM框架實(shí)踐中，華為超過了全球行業(yè)平均標(biāo)準(zhǔn)。例如，華為云在2018年年初的安全評估中獲得了高分。華為是首家在BSIMM評估中獲得高分的中國云服務(wù)供應(yīng)商。在整個云產(chǎn)品開發(fā)過程中，華為不斷進(jìn)行相應(yīng)的設(shè)計(jì)安全措施，保證云基礎(chǔ)設(shè)施盡量少造成因?yàn)槁┒炊鸬姆?wù)中斷，或者服務(wù)中止，而給客戶帶來損失。

BSIMM的妙處在于它是一個活的工具，評估方式與時俱進(jìn)，緊貼行業(yè)和市場的需求新標(biāo)準(zhǔn)。我們會繼續(xù)與新思科技軟件質(zhì)量與安全部門緊密合作，開展BSIMM評估。我們也計(jì)劃在其它領(lǐng)域與新思科技進(jìn)一步合作，比如代碼安全檢測、協(xié)議安全測試等，以幫助提升產(chǎn)品安全能力。楊光磊最后說。