华为采用BSIMM提升安全水平

时间：2022-03-14 01:36:02 | 来源：行业动态

时间：2022-03-14 01:36:02 来源：行业动态

全球领先的ICT（信息与通信）基础设施和智能终端提供商，华为致力于把数字世界带入每个人、每个家庭、每个组织，构建万物互联的智能世界。目前，华为和运营商一起，在全球建设了1500多张网络，帮助世界超过三分之一的人口实现联接。

华为网络安全与用户隐私业务管理部安全设计主管杨光磊表示，ICT行业正面临着变化莫测的市场格局，产品开发专业人员被迫迅速地推出新的解决方案或产品。激烈的市场竞争给软件开发人员带来压力，他们需要在极短时间内完成产品开发。但是华为不会以牺牲安全性来换取交付速度。

杨光磊介绍说，产品开发过程中任一环节从设计、开发、测试，交付到维护，出现软件安全问题都可能导致多年来精心建立的声誉毁于一旦，并且会失去来之不易的客户信任。随着华为的产品系列增加和全球影响力扩大，其对产品开发过程中的安全性和软件完整性愈发重视。我们建立了由华为公司董事会成员牵头的网络安全组织，从上到下，在每个层级都建立了相应的管理体系技术支撑安全。

华为一方面把安全活动嵌入到整个产品的开发过程中，并设立检查点，确保这些安全活动在产品开发过程中能够有效地得到执行。另一方面，在整个的研发流程中不断引入安全实践。自2010年起，华为开始参考OpenSAMM、Microsoft SDL等业界优秀实践，在软件开发流程中融入安全性。采取内置安全措施的软件开发方法提升软件的质量与安全，增强产品健壮性，加强隐私保护。并且，华为还在持续关注业界最新的威胁和应对方法，不断地优化软件开发流程。

杨光磊说，虽然参考多种软件安全标准是一个很好的起点，但很快我们就看到了不足；这些评估只是基于内部的流程，缺乏与业界标杆对比的标准，无法衡量华为软件安全能力在业界的水平情况。通过观察和分析全球杰出SSI的真实数据，帮助企业理解、衡量和规划SSI。凭借BSIMM评估，华为可以参考对比业界优秀的实践活动，以便更加有针对性地改善自身软件安全成熟度。

2013年，华为产品与解决方案部门的软件安全之旅又迈进了一步 采用新思科技BSIMM评估，每轮评估过程大概2到3个月，对产品的整体安全能力进行评估，包括安全标准策略、安全培训、安全架构、安全测试等，制定有针对性的安全计划，持续提升安全成熟度。

借助BSIMM，新思科技对华为内部执行的软件安全方案进行评估，涉及的主题与BSIMM软件安全框架一致，如华为的软件安全政策、供应商管理和风险评级等等。之后，新思科技软件质量与安全部门面向华为软件安全团队，开展了活动培训，探讨和剖析不同行业垂直领域出色的安全实践，并介绍业界应对安全问题的新举措。另外，公司的决策层也会接受相关的培训，充分了解公司安全计划的状态。

最终，BSIMM评估结果记分卡提供了精准、简练的概况和详细的分数比较，概述了华为与同类公司执行的安全方案之间的差异。借助BSIMM，华为制定了增强现有SSI的方案。比如经过BSIMM的评估，华为已经在全球的12个实践中，有9个实践达到了最高的第三级评估标准，在整个ICT的行业中是领先的。

杨光磊表示，从这几年BSIMM评估的结果来看，华为在很多领域得到了比较明显的提升：

培训领域：一开始评估，华为的安全培训只是零星的开展，没有形成课程和培训体系，相关活动基本没有得分。经过一两年建设，开展了绝大多数活动，培训获得3分；

战略和指标：华为参考业界实践，建立了SDP Track平台（Security Development Platform），对产品安全开发流程中的各个安全活动进行管理，跟踪和了解各个安全活动的数据和状态。在2017年评估中得到了认可；

代码检视：以前在产品代码静态扫描中主要使用商业和华为自研的工具进行扫描，所有产品使用统一规则。通过改进，将不同类型产品安全编码检查规则嵌入到开发环境中，量身定制的规则和自动化工具做了结合，发现了一些过去没发现的问题。

经过五年BSIMM评估，华为整个软件开发生命周期（SDLC）的安全成熟得到提高。根据最新的BSIMM评估，在BSIMM框架实践中，华为超过了全球行业平均标准。例如，华为云在2018年年初的安全评估中获得了高分。华为是首家在BSIMM评估中获得高分的中国云服务供应商。在整个云产品开发过程中，华为不断进行相应的设计安全措施，保证云基础设施尽量少造成因为漏洞而引起的服务中断，或者服务中止，而给客户带来损失。

BSIMM的妙处在于它是一个活的工具，评估方式与时俱进，紧贴行业和市场的需求新标准。我们会继续与新思科技软件质量与安全部门紧密合作，开展BSIMM评估。我们也计划在其它领域与新思科技进一步合作，比如代码安全检测、协议安全测试等，以帮助提升产品安全能力。杨光磊最后说。