Với tiêu đề “Viễn cảnh An ninh mạng: Đưa An ninh mạng trở thành một phần trong DNA của công ty - thiết lập các tiêu chuẩn, chính sách và quy trình tích hợp”, cuốn Sách trắng (the White Paper) lần thứ 2 của Huawei vừa được công bố cuối tuần qua đã cho thấy khá rõ nét quan điểm, phương pháp tiếp cận và cách thức bảo mật cho các sản phẩm, thiết bị của nhà cung cấp những giải pháp ICT hàng đầu thế giới này.
Các tác giả cuốn sách nhận xét rằng sự thực là không thể có câu trả lời dễ dàng hoặc thấu đáo cho thách thức về an ninh mạng. Đây là một vấn đề quá rộng, có quá nhiều dụng cụ được kết nối với mạng Internet có mức độ an ninh khác nhau, có quá nhiều lỗ hổng trong phần cứng và phần mềm, tỷ lệ thay đổi công nghệ quá lớn, và những người có ý định xấu chỉ cần làm thành công một lần trong khi những người bảo vệ an ninh mạng cần phải luôn luôn thành công.
Từ quan điểm toàn cầu hóa về an ninh mạng…
Trong cuốn Sách trắng đầu tiên về An ninh mạng được xuất bản vào tháng 9/2012, Huawei đã truyền tải các thông điệp rằng: Thực tế an ninh mạng có thể gây ảnh hưởng rất xấu cho hoạt động kinh doanh; rằng chuỗi cung ứng ICT của thế giới đã hòa lẫn với nhau và không thể gọi bất kỳ thiết bị ICT nào là “của nước ngoài”; rằng tất cả chúng ta phải thận trọng không để mạng Internet trở thành một “miền Tây hoang dã”; và việc giải quyết hoặc giảm thiểu rủi ro từ các thách thức an ninh mạng đòi hỏi tất cả người chơi toàn cầu phải hợp tác.
Huawei cũng đã trình bày chi tiết hệ thống cung ứng của mình và giải thích rằng logo Huawei trên vỏ hộp thiết bị không có nghĩa là toàn bộ cấu kiện đều là của Huawei. Thực tế, có tới 70% bộ phận linh kiện có trong sản phẩm của Huawei lại không phải là của Huawei, mà từ chuỗi cung ứng toàn cầu với Hoa Kỳ là nhà cung cấp linh kiện lớn nhất, chiếm khoảng 32%. Sách trắng cũng đã cung cấp các số liệu cho thấy nhiều doanh nghiệp ICT phương Tây có trung tâm R&D lớn tại Trung Quốc và chỉ riêng tại thành phố Chengdo đã có 189 trong số 500 công ty trong danh sách Fortune đặt trụ sở tại đây - và hiện con số này đã lên tới 250.
Huawei cũng thẳng thắn nhận xét về vai trò của chính phủ trong việc sử dụng công nghệ để thúc đẩy các mục tiêu xa hơn của họ, về sự thiếu nhất quán trong thông điệp khi một vài chính phủ phê phán các doanh nghiệp là đối thủ cạnh tranh trực tiếp của các doanh nghiệp thuộc quốc gia đó, trong khi họ vẫn tận dụng tối đa vai trò của công nghệ để thúc đẩy phát triển kinh tế và thế mạnh chính trị của chính họ nhờ vào chi phí của các bên khác. Huawei cũng không ngần ngại phê phán các chính phủ và nhà chính trị đang sử dụng an ninh mạng như một rào chắn thương mại mà không cung cấp bất kỳ bằng chứng thực tế nào để củng cố ý định của mình trong việc ngăn chặn các công ty ra khỏi thị phần của họ.
…đến cách làm: Đưa an ninh mạng trở thành một phần trong DNA
Trong cuốn Sách trắng lần thứ 2, Huawei tập trung chú ý vào công tác quản lý, chiến lược, chính sách và quy trình liên quan tới an ninh mạng, trình bày chi tiết hơn, thực tiễn hơn so với cuốn trước về cách công ty đưa an ninh mạng trở thành một phần DNA của công ty.
Huawei áp dụng phương pháp đa tầng theo kiểu “nhiều tay và nhiều mắt” để cung cấp sự thông thoáng, minh bạch về những gì mình làm. Công ty khuyến khích kiểm nghiệm, xem xét và kiểm tra các nhà cung cấp công nghệ, gồm cả chính mình, theo hình thức công bằng và không phân biệt, bởi vì mỗi lần kiểm nghiệm hoặc kiểm tra lại đều khiến các công ty phải đưa ra những ý tưởng, chính sách và quy trình, nhưng sẽ nâng cao năng lực của họ, cải thiện chất lượng sản phẩm và bảo mật sản phẩm.
Những năm gần đây, Huawei đã có nhiều sáng kiến trong việc chủ động giải quyết các thách thức về an ninh mạng phức tạp và nghiêm trọng mà các chính phủ và nhà cung cấp mạng viễn thông trên toàn cầu đang phải đối mặt. Những thách thức này khiến cho tất cả các bên liên quan hiểu rõ hơn về những gì các nhà cung cấp công nghệ nên làm để giảm bớt những vấn đề về an ninh. Vì thế, cần có một tiêu chuẩn hoặc bộ tiêu chuẩn về an ninh mạng trong bối cảnh hiện nay. Tuy nhiên, các bên liên quan rất khó đi đến thống nhất những tiêu chuẩn này, hay những tiêu chuẩn mới cần xây dựng là gì.
Khi không có sự thống nhất trên toàn cầu về các tiêu chuẩn đánh giá an ninh mạng, Huawei tin rằng bằng việc xây dựng một môi trường đảm bảo an ninh mạng công bằng và có mục tiêu, những thách thức an ninh mạng phổ biến có thể sẽ được khắc phục.
Huawei cũng đã xây dựng một quy trình đánh giá an ninh mạng đa tầng nhằm đảm bảo rằng các sản phẩm của mình đều được khảo sát về các vấn đề an ninh mạng tiềm ẩn, từ thiết kế, phát triển sản phẩm, cho tới triển khai, bảo trì trong mạng lưới khách hàng trên thế giới.
Huawei tiến hành và liên tục phát triển sản phẩm của mình bằng cách áp dụng “quản lý vòng kín”. Quản lý vòng kín nhằm đảm bảo các mối quan tâm về an ninh của khách hàng và các yêu cầu được đưa vào bước thiết kế sản phẩm để cải thiện chất lượng và bảo mật của sản phẩm theo tiêu chuẩn quốc tế. Bất kỳ báo cáo nào sau khi đánh giá các sản phẩm sẽ được cung cấp cho bộ phận nghiên cứu và phát triển (R&D) của công ty để đảm bảo các kết quả đều phù hợp với sản phẩm được công bố trong tương lai.
Do có nhiều phương pháp và cách hiểu khác nhau, nên các yêu cầu an ninh mạng của khách hàng có thể khác nhau, và thay đổi tùy theo các mạng và thiết bị ở những mức độ khác nhau. Vì thế, Huawei gần đây đã áp dụng 3 mô hình đánh giá khác nhau nhằm liên tục nâng cao bảo mật sản phẩm.
Phòng thí nghiệm an ninh mạng nội bộ của Huawei chịu trách nhiệm tự xác minh về an ninh mạng, bao gồm việc xem xét đánh giá lỗ hổng bảo mật đã được phát hiện và cơ sở bảo mật của sản phẩm. Điều này giúp cho việc kiểm tra sản phẩm được thực hiện từ khâu thiết kế tới khâu triển khai thực hiện.
Phòng thí nghiệm an ninh mạng ngoại bộ của Huawei chịu trách nhiệm đánh giá an ninh tại mức khu vực và quốc gia, nhằm đáp ứng các yêu cầu chứng nhận an ninh của các chính phủ sở tại và khách hàng. Hiện nay, Trung tâm đánh giá an ninh Mạng tại Anh (CSEC) tiến hành các đánh giá đó.
Huawei cũng làm việc với các cơ quan đánh giá thứ ba và các chuyên gia đánh giá độc lập, những người đánh giá an ninh sản phẩm không bị thiên lệch. Hình thức đánh giá này thường được tiến hành bởi khách hàng, người kiểm nghiệm bên thứ ba, bao gồm mô hình chứng nhận an ninh tiêu chí thông thường (CC).
Theo Ictnews.vn