七、物理安全

环境安全

秘书告诉我下班离开前做好“五关”,我想知道“五关”具体是指什么?
五关是指:关门、关窗、关空调、关灯、关计算机,做好“五关”是保证办公环境安全的基本要求之一。

办公安全

在办公桌面安全上我应该注意什么?
下班或离开办公桌10分钟以上,应关闭或锁定计算机。桌面上不能放有秘密级以上文件。秘密级以上文件应放在带锁抽屉或保密柜内。

会议安全

在公司内部开会,需要注意哪些安全问题?
(1)开会前,需要确保选取的会议室和开会内容的安全级相匹配。例如:召开部门例会,可以选取部门公用会议室。
(2)会议结束后,要带走相关的会议资料,同时清理会议室场所(包括相关机器设备上的电子件材料、白板上的板书信息、纸件材料等),保证会议信息的保密不泄漏和会议室使用后的整洁。

什么情况下允许在公司外部开会?审批流程以及注意事项是什么?

如果是特别保密或敏感的会议建议在公司内的会议室召开。特殊情况下(比如时间和空间条件限制、会议与会者的情况限制等)才可以在公司外部场所召开会议,召开之前需要得到会议组织部门领导的批准。相关的注意事项是:
(1)会议召集人负责会议的信息安全。在会议前就应明确与会者名单;开会时确定与会者的身份及其参会资格,比如,要求与会者佩戴工卡并核对签到等;会议期间,会场的出入口应有专人看守;确认除主入口外,其他入口已经关闭或是有专人看守。
(2)每位与会者应自觉将会议资料保管好,不得在离开会议现场时随意将其放置在桌面上或是在人离开后放置在宾馆房间里,更不能将保密资料随手丢到酒店的垃圾筐内。
(3)如果需要录音、录相或者拍照等,需要经过会议组织部门领导批准。

对于电话会议,还需要注意什么?

(1)召开电话会议时,电话会议的会议ID和密码等信息,一般情况下需要通过公司的信息系统(Notes系统、Email系统等)发送,不能通过手机短信方式发送。如果情况比较紧急或特殊,请通过点对点的电话方式告知。电话会议接入信息只能发送给相关的与会人员。
(2)接入电话会议的人员,应到专用会议室接入会议系统; 如条件限制需在开放办公区接入电话会议,应注意不要启用电话的免提功能。
(3)特别地,对于销售与服务体系,机密级以上的电话会议要求使用主叫呼出的安全电话会议系统(接入码285-60789)。使用其他2个系统(287-80999和285-60888)时,电话会议的会议ID和密码等信息,必须分不同的方式发送,密码只能通过电话语音通知,不能采用手机短信方式发送;或可以采用附件方式通过邮件发送,附件必须为OFFICE文档的RMS授权加密方式。如果情况比较紧急或特殊,可通过点对点的电话方式告知。

网络安全

网络连接安全

所有计算机都必须安装SPES才能接入公司网络吗?Unix平台的机器怎么办?

所有需要接入公司网络访问公司应用的Windows平台的客户端设备都需要安装SPES,包括但不限于公司内部人员管理的客户端设备、外包人员使用设备、供应商提供测试设备、顾问或临时来访人员使用设备。
非Windows平台的设备不需要安装,但需要申请固定IP并通过审批才能保证策略实施后正常接入公司网络。

个人能够设置FTP、Wins等网络服务吗,为什么?

未经批准,不得私自设置WWW、FTP以及BBS、NEWS、DNS、Wins、DHCP等各种形式的网络服务,更不能在公司网络上运行任何攻击或破坏网络服务的软件。因为设置这类服务会对网络正常运行造成不良影响。
如确实业务需要,不接入公司大网(如,仅在实验室小网使用)同时不需要IT协助的服务申请,提交“IS Authority Application”电子流进行申请,其余服务的申请通过IT requirment流程申请。

出差到办事处,需要在宾馆上网,需要注意什么来保证个人便携机的安全?

对于便携机的安全,一般从下面几个方面防范:
(1)安装和使用公司指定的个人防火墙,在外出差启动便携机时,也要把个人防火墙启动。个人防火墙策略在通过公司指定的服务器下载安装时已经配置好,个人不需要也不能改动个人防火墙策略。
(2)使用便携机收发电子邮件的附件时,下载和打开前要使用杀毒软件先杀毒。
(3)通过便携机访问公司Email系统时,网址输入格式推荐使用https代替http。

我是全球技术服务部工程师,需要填写研发的需求承诺电子流,这个电子流放在研发区,我不能访问该如何办?

需要填写“NC帐号申请”电子流申请NC帐号,然后就可以使用NC服务器进行这类业务的操作。

是否可以在公司的办公区使用无线上网服务?

公司所有办公区域目前没有开通无线上网服务。所以,在公司相关办公区域不能无线上网,如果有业务需要,请使用公司的有线网络服务。

我因工作需要通过MODEM、ISDN等连接到外部网络,应该怎么做?

首先需要通过”IS Authority Application”电子流提交申请,获取MODEM、ISDN等服务权限,没有经过批准不能私自使用MODEM、ISDN等服务。
获得MODEM、ISDN等网络连接批准后,在与外网连接前需要确保相关的机器和公司网络是断开的。因为如果您的计算机同时连到公司网络和外部网络,外部网络上的人员很可能通过您的机算计访问公司内部网络,这样会对公司网络带来很大的安全隐患,所以禁止在个人计算机与内部网络连接的情况下与外部网络通信。

如果在出差期间需要通过外网访问公司的相关系统和服务器时(比如Notes、Email等系统),应该怎么办?公司VPN服务能够解决此类需求吗?

通过使用VPN网络可以满足此业务需求:
但出差前你需要提交“Token 管理电子流”申请Token卡并在便携机上安装checkpoint客户端软件; 这样出差时你就可以从外网通过VPN访问公司资源了。此时您只需要运行checkpoint软件,输入静态密码和Token卡产生的动态密码,通过验证以后,您就可以像在内网上一样使用公司的相关应用和服务了。
特别提示,公司禁止员工在处理工作邮件时使用公网上提供的免费邮箱,在外出差或者公干时也要求员工使用公司提供的邮箱;在访问公司的Webmail系统时,网址输入采用https形式,这样在信息传递时增加了一层加密保护的功能。

八、接待、对外合作和信息交流

对外接待和陪同

谁负责外部人员在公司的信息安全管理工作?

根据公司的信息安全管理策略,外部人员所服务或进行合作的接口部门的主管或项目经理应该总体负责外部人员的信息安全管理工作。

我被部门指派陪同非公司人员,应注意些什么?

作为接口人,或说接待人,您引领供应商/合作商等人员进入特定公司区域,需经主管该区域的部门负责人批准。供应商/合作商在上述区域活动时,您应全程陪同。
来访人员携带便携机时,如不需要使用,您可协助其将便携机存放于门卫处;如需携带便携机进入公司,您应注意不让来访人员独自在办公区域使用便携机。此外您还应注意,供应商/合作商只能在经批准的办公区域进行本次业务相关的活动。

因工作需要,向公司外人员发送保密信息有哪些注意事项?

(1)向外部提供文档资料时,应遵照《信息保密管理规定》,首先获得接口部门主管许可,然后向信息owner部门申请:
(2)发送的资料要加密,以防止保密信息泄密;发送绝密、机密级文件,发送的方式范围、对象需经过信息所有人审批;
(3)保密信息必须加密发送并设置回执,如:口令、研究报告、开发信息和其他的敏感数据;需事先与接收方签署保密协议。

信息交流

作为接待人员,对外接待交流中需要注意哪些信息安全事项?

(1) 接待人员不应向供应商/合作商透露业务范围之外的公司技术、商务情况,不随意承诺,不在授权范围之外行事, 已经承诺和双方达成意向的事宜应当做正式记录。
(2) 供应商/合作商需要查看公司文档、资料,按如下优先顺序提供: 查阅(不借)->纸件借阅->电子档借阅。
(3) 向供应商/合作商提供含有公司保密信息的文件、资料或实物的,接待人应获得部门主管批准,并与供应商/合作商签订保密协议后再行提供。

对外商务活动中,移动电话的使用有哪些安全注意事项?

(1)不能在电梯、汽车、餐厅、酒店大堂等公共场所接听重要电话,必须接听时请到相对空旷或不易被窃听的地方;
(2)销服员工在商谈重要的商务问题时尽可能使用随机的固定电话,不能使用本人名片上的移动电话和固定电话,若必须使用移动电话,则必须使用临时购买的预付费卡。

签署保密协议

哪些情况需要对外签署保密协议?

华为公司与其他公司或个人之间在合作、雇佣、技术支持等有可能接触公司的保密信息时需要签署保密协议。

对外签署保密协议有哪些注意事项?

(1)保密协议应首先使用公司模板,可从“法务之窗”Notes库获取。
(2)必须签署原件保密协议。在紧急情况下可以先签署复印件、传真件,后补签原件;
(3)英文保密协议一般不需盖章,只需签字,中文保密协议一般需签字盖章;
(4)盖章时应盖法人章或保密协议专用章,不应盖部门章。

若与对方的合同中已有保密相关的内容,是否可以不再与对方单独签订保密协议?

合同中有关保密的内容大多是框架性的。实际作业中信息不同,保密条款中的要求会有所不同,可能需要进一步细化。要根据具体情况区分对待,不是说合同里签了就不用签了,有些可能是签附加条款,有些应该再签单独的保密协议。签署保密协议方面的问题,可咨询法务部。

九、研发信息安全

研发网络与非研发网络隔离

什么是研发工作区?研发工作区包含哪些区域?

研发工作区:有明确的物理边界,贯彻和实施了研发信息安全政策的工作区域。
研发工作区包括深圳科研中心(F1、F3、F4、F5、中试中心)、华电研发工作区、南京研究所研发工作区、上海研究所研发工作区、北京研究所研发工作区、西安研究所研发工作区、成都研究所研发工作区、杭州研究所研发工作区等研发办公场地。具体研发工作区清单参见网络安全部维护与公布的“IS Policy, Standard & Regulation”数据库中的《最新研发工作区清单》。

研发区和非研发区之间不能直接实现文件共享,如果文件共享,怎么办?

分为两种情况:
1)数据从研发传递到其他工作区
小于10M的文档可以通过Notes Mail直接发送;大于10M的文档可以在“研发便携&文档外出管理”数据库中填写“公司内异地传输”申请,审批通过后,通过FTP服务器进行传送。
2)数据从非研发传递到研发区
小于10M的文档可以通过Notes Mail直接发送;大于10M的文档可以通过公司的FTP服务器进行传送或者通过Bigmail数据库进行传送。
可通过“IS Authority Application”中的“(非研发)FTP帐号申请”电子流申请FTP帐号。

研发工作区的应用,公司非研发区无法访问;公司非研发的应用,研发工作区无法访问。如果需要全公司的都需要访问,这个问题怎么解决?

由于研发工作区和公司其他工作区网络都可以访问数据中心通用区,所以全公司访问的服务器/应用可申请搬迁到数据中心。服务器/应用搬迁到通用区的需求由信息所属部门通过IT Requirement Application提交需求。

我是非研发员工,如果到研发区办公,无法访问我的非研发Notes邮箱,该怎么办?

由于在研发区是不允许访问非研发的Notes服务器的,因此非研发员工如果因工作需要到研发区办公,在办公位变动之前,需要填写“IT Service Application”中的“Notes邮箱搬迁”将您的Notes邮箱从非研发区服务器迁移到研发区服务器上。
注意:邮箱搬迁到新服务器后,原先旧服务器上的邮件不会同步搬迁过来,因此搬迁之前需要先将服务器上的邮件下载到本地。

我是研发员工,到海外代表处出差,我该怎么访问Notes?

由于实施研发/非研发网络隔离,海外代表处属于非研发区,无法直接访问研发Notes邮箱和研发Notes应用数据库。
您可以出差之前申请NC帐户(在“IS Authority Application”数据库中填写“NC帐号申请”),通过NC来访问您的研发Notes邮箱与研发Notes应用。
对于Notes邮箱,除通过NC可以访问外,也可以在出差之前将您的Notes邮箱从研发区服务器搬迁(填写“IT Service Application”中的“Notes邮箱搬迁”)至海外代表处当地区域数据中心非研发的服务器上。优点是访问Notes邮箱速度快,缺点是出差结束后需要考虑将出差期间的邮件拷贝到个人PC机上。

研发信息安全问题求助渠道

(1)发邮件给Public IS/huawei,会有专人处理回答您的疑问。
(2)可以联系本部门信息安全专员。
(3)访问Notes数据库“研发信息安全工作平台”获取帮助。