云計算、人工智能、萬物互聯等新技術的發展，給人類社會帶來新的發展機遇，也帶來了新的安全挑戰。今天，西方和世界其他國家的政府都在重新審視對新一代移動通信設備技術的監管。這是一種對公眾利益負責任的態度，但必須依靠技術來解決。作為世界領先的全球領先的ICT（信息與通信）基礎設施提供商，我們認為從技術上看，未來的網絡安全必須要建立在一種協作機制之上：網絡是由不同供應商的設備和運營商的服務連接起來的。任何一個服務流程的缺失，任何一個單點設備的缺陷，都可能造成網絡安全的風險。為了有效應對在網絡安全上面臨的挑戰，需要政府、行業組織和相關企業協同起來，共同建設全程全網的安全。

首先，我們需要一個共同的規則。政府、行業組織和相關企業要共同制定統一的安全標準，保證全網的設備、全程的服務都能達到一致的安全水平。任何一個設備、服務沒有達到安全標準，都會影響全程全網的安全。過去一些年，3GPP是移動通信領域的國際標準組織，卷入華為、愛立信等相關企業，一起制定了安全標準，促進了通信網絡網的安全。相比4G，5G的安全標準具有更強的加密算法和更靈活的認證機制，并將在安全產品部署和新業務的安全上探討相應的標準。

其次，我們需要一個統一的安全認證標準。各國政府和相關企業需要共同制定安全認證標準，如：CC認證是目前全球認可度和權威性最高的IT產品安全認證。運營商以及各垂直行業要基于安全標準，匹配行業特點和相應的安全要求，決定所需要的安全認證等級，并要求所有設備和服務都達到相應的安全認證等級，以保證全程全網的網絡安全。我們必須思考如何運用和升級當前的安全認證標準，并同相關利益人一起完善安全認證標準、流程和方法，構建政府、客戶都認可的標準、流程和方法，這是我們建立技術信任的基礎，比如，韓國LGU+要求5G設備做CC EAL 4級認證，以此作為5G產品準入的要求。

再次，我們需要安全的制造和服務流程。設備與服務供應商要努力提升自身產品的網絡安全設計能力，使自己的產品符合安全標準，并達到客戶要求的安全認證等級。華為、愛立信等設備與服務供應商根據3GPP、CC等安全標準設計LTE、5G設備和服務的安全。

最后，我們需要建立公開公正的第三方安全認證機制，解決產業界需共同面對的網絡安全認證問題。建立政府、設備商、運營商、認證機構等多方在內的第三方安全認證機制，統一標準，并且所有的設備廠商都需要進行認證。要建立全社會和全行業對第三方認證機構的信任，由其按照安全標準對入網設備和服務進行獨立認證，保證認證結果的公正。對當前認證標準不適合或未覆蓋的場景，可以通過認證過程中的發現，改進現有認證體系或者建設新的認證體系。3GPP正在進行NESAS（網元安全評估機制）的標準制定，GSMA已對第三方認證實驗室進行資質審核，由具備相應資質的第三方認證實驗室對網元的安全性進行認證。

總而言之，非專業的監管機構審查或者輿論焦慮并不能實現網絡安全，我們也沒法依靠人為的隔離來遠離風險。相反，人類通過對技術的開發和共享更緊密地鏈接為一個整體，才是實現全程全網安全的唯一出路。

早在1999年，華為就開始了網絡安全旅程，發布了首批安全技術規范，以增強產品與解決方案的安全性。2011年，公司創始人及CEO任正非簽署并發布了如下的網絡安全保障政策，進一步強調了我們的承諾：

“作為全球領先的電信解決方案供應商，華為技術有限公司（以下簡稱“華為”）充分理解網絡安全的重要性，同時我們也理解各國政府及客戶對此的擔憂與高度關注。隨著電信網絡和信息技術的不斷演進與發展，網絡安全面臨的威脅和挑戰將日益嚴重。華為對此高度重視，并致力于采取切實有效的措施提升產品和服務的安全性，從而幫助客戶規避和減少安全方面的風險，以贏得各利益相關方的信賴。華為認為，構建一個開放、透明、可視的安全問題解決框架，將有助于整個產業鏈的持續健康發展，也將會促進通信技術創新和人類溝通交流。

鑒于上述認識，華為在此承諾：將構筑并全面實施端到端的全球網絡安全保障體系作為公司的重要發展戰略之一，在遵從所有適用的國家和地區安全法規、國際電信標準和參考行業最佳實踐的基礎上，從政策、組織、流程、管理、技術和規范等方面建立和完善可持續、可信賴的安全保障體系，并與有關政府、客戶及行業伙伴以開放和透明的方式，共同應對安全方面的挑戰，全面滿足客戶的網絡安全需求。華為同時承諾：將公司對網絡和業務安全性保障的責任置于公司的商業利益之上。”

為了持續交付高質量產品和服務，需要有先進的業務流程保障。華為自1997年起聘請了世界知名公司，為華為提供業務流程咨詢。基于網絡安全的要求，華為在公司標準流程、基線、政策和規范中融入了所需要的最佳實踐。這種方式使網絡安全成為華為日常經營的標準動作，而不是亡羊補牢。華為將網絡安全規范嵌入到如下12個公司流程與業務模塊。

自上而下保障網絡安全戰略執行

僅靠流程并不能解決所有問題，如果董事會和高層管理者不重視網絡安全，員工也不會重視。為此，華為建立了自上而下的網絡安全治理架構，以確保安全戰略落地執行。

全球網絡安全與用戶隱私保護委員會作為華為公司的最高網絡安全管理機構，負責決策和批準公司總體網絡安全戰略。全球網絡安全與隱私保護官是全球網絡安全與隱私保護委員會的重要成員，直接向公司CEO匯報。全球網絡安全與隱私保護官負責領導團隊制定安全戰略，統一規劃、管理和監督研發、供應鏈、市場與銷售、工程交付及技術服務等相關部門的安全組織和業務，確保網絡安全保障體系在各體系、各區域、全流程的實施，積極推動與政府、客戶、合作伙伴、員工等各利益相關方的溝通。

今天，ICT正在從一個垂直行業演變成全社會的平臺性產業，使能各行各業的數字化、智能化轉型，驅動新一輪工業革命，推動人類社會邁向萬物互聯的智能世界。全面云化、智能化、軟件定義一切等發展趨勢，對ICT基礎設施產品的可信提出了前所未有的要求。可信將成為客戶愿買、敢買一個產品的基本條件。可信不僅僅是產品外在表現的結果，更是產品內在實現的過程，是結果和過程的雙重可信的高質量。

華為公司把網絡安全和隱私保護作為公司的最高綱領。華為將在遵循ISO9000的質量管理體系、遵循ISO/IEC/IEEE 15288和12207的系統工程和軟件開發過程之上建設更加強壯的管理系統，使每一位具備可信價值觀的員工，基于華為可信任過程相互協作創新，開發出具備可信特征的產品，給客戶提供可信的高質量產品，并持續改進。

華為對業界主流安全標準、流程規范、指導書，以及法規指令、白皮書、學術論文等150+篇文檔開展研究,我們發現每一個標準不一定都是完備的，或者關注點各自有側重。未來在電信行業、在ICT社會里面構建全聯接的基礎底座，需要什么樣的可信標準？為了在設計和信任之間建立起橋梁，便于產品定義者和設計者、以及產品的使用者和運營者對如何可以達成可信形成一致地理解，我們結合華為自身大規模的研發、網絡部署和運維經驗，有設計大型復雜產品的系統知識和系統架構能力。我們從系統工程的行業共識出發，基于可解釋、可落地、可驗證和有相當業界共識基礎的四個原則定義華為可信框架。

圖1-1：華為可信任框架Huawei Trustworthiness Framework

我們要在每一個ICT基礎設施產品和解決方案中，都融入信任、構建高質量，包括：

安全性（Security）：產品有良好的抗攻擊能力，保護業務和數據的機密性、完整性和可用性。

韌性（Resilience）：系統受攻擊時保持有定義的運行狀態（包括降級），遭遇攻擊后快速恢復并持續演進的能力。

隱私性（Privacy）：遵從隱私保護既是法律法規的要求，也是價值觀的體現。用戶應該能夠適當地控制他們的數據的使用方式。信息的使用政策應該是對用戶透明的。用戶應該根據自己的需要來控制何時接收以及是否接收信息。用戶的隱私數據要有完善的保護能力和機制。

安全性（Safety）：系統失效導致的危害不存在不可接受的風險，不會傷害自然人生命或危及自然人健康，不管是直接還是通過損害環境或財產間接造成的。

可靠性和可用性（Reliability& Availability）：產品能在生命周期內長期保障業務無故障運行，具備快速恢復和自我管理的能力，提供可預期的、一致的服務。

每一個產品在產品定義和完整實現環節、在創新中融入可信思考和控制，從源頭就注入可信。我們還要保證產品從創新到客戶現場的整個過程是完整、雙向一致可追溯的，并在必要的時候提供恰當的（權限分離、信任、行為監控）機密性保護，確保產品沒有被仿冒、篡改，確保部署、維護、處置作業過程和作業工具可信，敏感數據沒有被泄漏。各產業落實可信產品定義、可信系統設計、可信軟件實現、可信交付運維、產品生命周期管理變革，實現結果和過程可信。

過去一百年來，世界上許多成功的公司都因不能適應變化而倒下。要適應外部變化，唯有自我進化，我們必須保持開放和持續變革。華為公司董事會已決定，全面提升軟件工程能力與實踐將以變革的方式來開展，由輪值董事長徐直軍總負責,華為公司初始投入20億美元,計劃用5年時間，在ICT基礎設施領域實現為客戶打造可信的高質量產品的目標。如此，我們才能實現未來的愿景和使命：把數字世界帶入每個人、每個家庭、每個組織，構建萬物互聯的智能世界。