大华一贯将網絡安全和隐私保护作为公司最高纲领,并成立網絡安全委员会作为最高决策组织,从公司战略层面全面规划、统筹指导、监督实施。组建專業的安全团队,拥有各类網絡安全人员百余人,负责公司安全战略的全面落地。设立专项资金投入,保障安全流程、安全技術、安全解決方案、安全测试和應急響應等领域扎实推进、稳步提升。安全软件开发流程2018年,大华持续推进安全软件开发生命周期(sSDLC)的建设,开展全面且深入的安全活动成熟度评估,推动安全活动融入IPD流程,通过对开发流程的规范和软件工程的控制,进一步建立健全了适合大华的安全研发管控体系。典型的安全活动包括:√ 实施面向研发中心全员的安全需求理解、安全设计方法、安全编码规范、安全测试方法、安全工具使用等培训√ 基于GDPR合规与德国T?V莱茵隐私保护认证,建立隐私需求√ 基于安全基线,建立安全需求√ 针对IPC、NVR、智能鎖、云等产品系列与服务进行威胁建模和威胁消减,不断加强安全设计能力√ 执行严格的代码静态分析和缺陷修复√ 覆盖所有版本的安全测试和渗透测试,进行全面的安全扫描、安全功能验证和攻击渗透验证√ 产品发布前安全检查,包含安全需求和安全设计的一致性、数据合规性、安全测试和渗透测试的完备性,以及产品安全指导文档安全基线大华致力于为用戶提供良好的功能体验的同时,享受默认安全的保障,为此大华持续在網絡安全大力投入,组建專業安全团队,不断提升产品安全性能。大华启动“安全基线”构建以来,一直秉承透明、开放、專業、负责、持续升级的理念,让用戶更加直观地感受到大华产品的安全能力。客户安全需求调研、行业安全動態跟踪、安全标准与法规遵从、产品威胁建模分析、关键安全技術预研等活动既是支撑 “安全基线”构建和演进的基石,也是检验标准。经过基线1.0系列的探索调研、迭代升级和落地反馈,已打造出“AAA+CIA+S”的安全布局,形成了覆盖硬件安全、系统安全、应用安全、網絡安全和数据安全等一系列安全实践。其中,AAA代表认证(Authentication)、授权(Authorization)、安全审计(Audit),CIA代表保密性(Confidentiality)、完整性(Integrity)、可用性(Availability),S为专项安全(Special)。“安全基线”已成为大华安全企业标准,作为支撑大华sSDLC的标准库,保障所有产品共享安全成果。2019年,大华“安全基线”即将迎来2.0版本的全面升级,大华产品也将以更加安全和规范的品质服务用戶。隐私基线大数据时代,信息呈现出爆炸式的增长趋势,数据无疑成为企业和个人最重要的资产。企业和个人越来越关注数据安全和隐私保护,各国也相继颁发了有关个人数据保护的法律法规。大华非常重视数据安全和隐私保护,中国《信息安全技術 个人信息安全规范》、欧盟GDPR颁布以来,大华一直采取积极且务实的态度和策略应对。大华作为全球视频监控领域首批通过德国T?V莱茵针对IoT产品数据安全和隐私保护认证的企业,IPC和NVR产品率先获取认证,軟件平台DSS和智能服务器IVS随后也开展了认证。在积极开展认证的同时,为进一步全面提升产品的隐私保护水平,更好地帮助客户实现合规,大华结合内部产品安全要求、个人信息安全规范、GDPR法规和莱茵标准等,制定了《大华个人数据及隐私保护标准要求》,在用戶同意、隐私友好设置、默认隐私保护与设计、数据安全等方面进行了明确的规范,并作为隐私基线导入sSDLC流程。威胁建模威胁建模,作为sSDLC的核心活动,是安全设计核心原则之一,是产品安全提升的关键举措。大华确立了“STRIDE模型+攻击树模型”相结合的威胁建模工程方法,并先后针对IPC、NVR、智能鎖、云等产品系列与服务进行威胁建模。通过威胁建模活动,能够在软件生命周期早期识别安全威胁、减小攻击面,进而反哺安全需求、指导源代码分析、辅助安全设计和渗透测试。威胁建模是一个持续循环的动态模型,2019年大华将继续推进新一轮的建模活动,以适应不断发现的新型威胁与攻击。安全测试产品安全质量越来越引起客户和终端用戶的关注。把控好产品網絡安全质量,大华股份一直在持续努力。安全测试作为sSDLC核心活动,贯穿于项目研发周期,从需求、设计、编码、测试、漏洞管理等多环节、多维度、全视角跟进产品安全质量;延展产品全生命周期质量管控。分解多项活动目标,从安全测试策略准入、安全需求验证、安全测试基线验证、滥用用例检证、基于威胁建模的攻击面分析、产品定制安全测试用例、隐私数据和个人敏感数据检证、法律/法规合规性验证、漏洞自动扫描、病毒扫描、开源软件及第三方组件漏洞验证等多方面活动项保障产品安全质量。以蓝队Blue Team思维和视角将安全测试工作落地产品研发,通用和定制相结合的模式、因地制宜的针对项目进行活动定制和落地赋能。安全测试团队从系统安全、业务安全、管理安全等多维度进行安全质量保障。构建成熟的“網絡安全”活动体系,规范化、标准化的文档在过程改进和知识分享体系,进行研发典型问题根因回溯总结。渗透测试为了保障发布产品的安全质量,大华公司内部按照业界通用标准和规范,参考外部第三方安全评测组织的模式;从红队Red Team角度上,按照规范化、标准化、流程化、公开和公正的检证机构要求,成立不参与项目干系方、独立于产品线研发的“内部網絡安全实验室”;作为專業化的内部独立第三方渗透测评团队,把控产品安全质量发布的最后一关。循序渐进的运用多种渗透测试方法,对产品进行黑盒测试、灰盒测试、白盒测试、逆向分析、Fuzzing测试、业务场景分析、基于威胁建模的攻击面分析、漏洞案例分析等方法和工具,建立IoT攻击模式库、典型产品渗透测试基线、云安全测试基线等贴近产品多形态的渗透测试方法和模式。有效的工作管控做到公司产品渗透测试全覆盖。渗透测试团队技能紧跟安全事态和威胁发展流向,实时保持跟外部国内外安全测评机构/公司的交流、参加业内知名安全会议,引入优秀实践和关键案例。漏洞管理及應急響應大华产品安全事件响应中心(Product Security Incident Response Team,简称PSIRT)负责接受、处理和公开披露大华产品和解決方案相关的安全漏洞,同时大华PSIRT是公司对漏洞信息进行披露的唯一出口。做好产品漏洞管理,负责任披露产品安全威胁/漏洞,及时向客户和终端用戶提供修复建议和方案。大华PSIRT具有一整套规范的、完整的漏洞处理和應急響應处理流程和模板,按照公司统一要求对产品漏洞进行全生命周期管理。漏洞作为关键信息安全资产做到有效管控,面向客户进行负责任披露,得到客户和终端用戶的广泛认可;按照负责任披露和信息有效公开模式,保障客户/终端用戶的知情权、增进产品安全满意度。满足客户对产品安全定制化服务等级需求,对安全事件24小时快速應急響應,端对端的向客户披露安全问题/漏洞、实时通报安全事件进展。对安全事件做好技术分析和根因排查,做好漏洞分析和问题回溯;利用安全事件/漏洞的根因分析报告,迭代改善sSDLC安全需求引入,阶段性的提升網絡安全成熟度模型。关键安全技術网络攻防是一个不断博弈的过程,没有永恒的安全。为了应对不断升级的攻击技术和方法,顺应行业安全发展趋势和需求,大华安全团队持续深耕关键安全技術,通过外部交流合作、内部预研攻关等方式,先后在多项安全领域取得突破,并在主打产品系列逐步试点落地。2019展望2019年,大华将切实推进安全战略全面落地,提升sSDLC体系成熟度、加大安全合规力度、循环深化威胁建模、持续集成安全测试平台、深度定制渗透测试工具、完善應急響應体系。大华将进一步打通到最终客户的安全链路,持续为用戶提供更加安全的产品和解決方案。大华也将以更为积极开放的心态,欢迎各类客户及專業人士与我们开展深入的網絡安全探讨和交流。
查看詳情
《通用数据保护条例》(General Data Protection Regulation, GDPR)于2016年4月27日由欧洲议会颁布,共计11章,99条,将于2018年5月25日全面实施。GDPR的前身是1995年颁布的《数据保护指令》(Data Protection Directive, DPD),原指令只是对欧盟成员国的国内立法起到指引作用,而GDPR可以被各成员国法院直接援引并作为判决依据。 大华作为以视频为核心的智慧物联解決方案提供商及运营服务商,本着“以客户为中心”的理念,致力于帮助用戶实现对个人数据的有效、安全、合规处理。通过对GDPR法案的深度解读,结合我们对用戶需求的深度挖掘,构建了大华产品个人数据保护设计规范要求。我们对大华产品及服务的个人数据保护能力进行了综合评估,以及全面提升和完善。
查看詳情
引言保护用戶信息及隐私是我们的一项基本原则。您在使用我们的服务时,我们可能会收集和使用您的相关信息。我们希望通过本《隐私政策》向您说明,在使用我们的服务时,我们如何收集、使用、储存、披露和处理这些信息,以及我们为您提供的访问、更新、控制和保护这些信息的方式。本《隐私政策》与您所使用的我们服务息息相关,希望您仔细阅读,在需要时,按照本《隐私政策》的指引,做出您认为适当的选择。本《隐私政策》中涉及的相关技术词汇,我们尽量以简明扼要的表述,以便您的理解。您使用或继续使用我们的服务,即意味着同意我们按照本《隐私政策》收集、使用、储存、披露和处理您的相关信息。一、适用范围我们所有的服务均适用本隐私政策,但某些特定服务还将适用特定的隐私政策,我们将进一步向您提供用戶数据指引作为补充。上述特定服务的隐私政策构成本隐私政策的一部分,如与本隐私政策有不一致之处,以特定服务的隐私政策为准。除非本隐私政策另有明确所指,本隐私政策不适用于通过我们的服务而接入的由第三方独立为您提供的服务的情形,例如在可能包含我们提供的服务的网站或者在我们的服务中链接到的其他网站。请注意,如果您使用第三方的产品和/或服务时并向其提供您的个人信息,您的信息应当适用该第三方的隐私声明或类似政策,我们对任何第三方不当使用或披露由您提供的信息不承担任何法律责任。二、可能收集的信息为了向您提供更好、更个性化的服务,您同意我们收集以下信息:1. 您向我们提供的信息· 1) 为满足向您提供服务之目的,您注册账号时须至少向我们提供的信息(用戶名称、国产综合亚洲区号码或电子邮箱,并创建密码等)。· 2) 您使用特定服务时(如在线升级、密码重置、购买服务等),为满足向您提供服务之目的,除注册时提供的信息外,您还需要进一步向我们提供您的其他信息。如果您不使用特定服务,则无需提供相关信息。· 3) 我们还可能会记录您在使用我们的服务时提供、形成或留存的信息。您有权选择不提供前述信息,但这将导致您可能无法使用特定服务或功能,或者无法达到相关服务拟达到的效果。2. 在您使用服务过程中收集的信息我们可能会收集关于您使用服务过程中的信息,此类信息包括但不限于:1) 设备信息。为了提供更好的服务并改善您体验,我们会收集设备属性信息(如硬件型号、唯一设备标识符、网络设备硬件地址MAC等)。对于从您的各种设备上收集到的信息,我们可能会将它们进行关联,以便我们能在这些设备上为您提供一致的服务。2) 日志信息。当您使用服务时,我们的服务器会自动记录一些信息。3) 位置信息。当您使用具有定位功能的服务时,当您开启设备定位功能并使用我们基于位置提供的相关服务时,我们可能会收集和处理有关您实际所在位置的信息,以使得您不需要手动输入自身地理坐标就可获得相关服务。我们会使用相关技术进行定位,这些技术包括 IP地址、GPS 以及能够提供相关信息的其他传感器。您可以通过关闭定位功能,停止对您的地理位置信息的收集,但您可能将无法获得相关服务或功能,或者无法达到相关服务拟达到的效果。3. 来自第三方的信息为共同向您提供服务或改进产品服务的质量和个性化程度或出于对服务安全性的考量等合理需要,我们将按照法律法规的规定或基于您的授权从关联公司、联盟成员、合作伙伴及其他受信任的第三方供應商、服务商及代理商处接收您的个人信息及其他信息。三、如何使用收集到的信息我们基于以下目的使用我们收集的信息:1.提供或改进服务我们使用收集的信息来提供或改进我们、合作伙伴及其他受信任的第三方供應商、服务商及代理商提供的服务,例如运营产品或提供服务、评估、维护、改进或升级服务的性能,参与有关我们服务的市场调查活动,开发新的服务、提供客户支持等。为改进我们、合作伙伴及其他受信任的第三方供應商、服务商及代理商的服务,我们也可能会对产品使用情况进行统计和分析,但这些统计信息将不会包含您的任何身份识别信息。2.与您通信,并将通信内容个性化我们也可能会使用信息发送重要通知,例如關于我們相关条款、条件和政策的变更。由于这些信息对您与我们之间的沟通至关重要,建议您接收并阅读此类信息。3.保障合法权益我们可能使用您的信息用于身份验证、客户服务、安全防范、诈骗监测、信贷分析等,以预防、发现、调查欺诈、危害安全、非法或违反与我们的协议、政策或规则的行为,以保护您、我们、合作伙伴及其他受信任的第三方供應商、服务商、代理商及社会公众的合法权益。4.出于法律原因如果我们确信,为了实现以下目的而有必要访问、使用、保留或披露相关信息,我们就会与我们以外的公司、组织和个人分享您个人信息:遵循任何适用法律、法规、法律程序的要求或强制性的政府要求;在法律要求或允许的范围内,保护您或公众的权利、财产或安全免遭损害。5.经您许可的其他用途6.特定服务数据存儲 您使用特定服务时(如P2P、在线升级和密码重置等),我们仅处理与对应服务相关的个人数据,所处理的个人数据以实现对应服务为必要限度,且保存时间不会超过以提供对应服务为目的的数据处理所必须的时间。四、您作为数据主体的权利1.访问和更新您的信息我们都会尽可能保证您可以顺利访问自己的个人信息。如果这些注册信息有误,我们会努力提供各种方式来让您快速更新或删除账户内信息(除非我们出于合法业务或法律方面的原因而必须保留这些信息)。在访问、更新、更正和删除前述信息时,我们可能会要求您进行身份验证,以保障您个人信息的安全。2.修改、删除或转移您的信息根据我们的条款与条件,您有权要求修改、删除、转移存儲于我们服务器上的个人数据,例如您的账户信息。您应确保提交的所有个人数据都准确无误。我们会尽力维护个人数据的准确和完整,并及时更新这些数据。您有权访问自己的个人数据,某些法律例外情况除外。如果某些管辖区的隐私和信息法有所不同,我们则会遵守这些法律。五、信息安全我们重视个人数据的安全。我们会采取业内标准做法来保护您的个人数据,防止数据遭到未经授权访问、披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施,保护您的个人数据。六、未成年人使用我们的服务我们的服务主要面向成人。如果没有父母或监护人的同意,儿童不得创建自己的账户。对于经父母同意而收集儿童个人数据的情况,我们只会在受到法律允许、父母或监护人明确同意或者保护儿童所必要的情况下使用或披露此数据。七、第三方提供商及其服务为确保流畅的浏览体验,您可能会收到来自我们及其合作伙伴外部的第三方(下文简称“第三方”)提供的内容或网络链接。我们对此类第三方无控制权。您可选择是否访问第三方提供的链接、内容、服务。我们无法控制第三方的隐私和数据保护政策,此类第三方不受到本政策的约束。在向第三方提交个人信息之前,请参见这些第三方的隐私保护政策。八、您的信息如何在全球范围转移对信息的转移,我们会依据信息所在地区适用法律法规的要求进行处理。九、本政策如何更新我们保留不时更新或修改本政策的权利。我们会通过不同渠道向您发送变更通知。我们还会向您发布单独的通知(如电子通知),提醒您隐私政策的任何变更。十、 Cookie的使用a) 在您未拒绝接受cookies的情况下,我们会在您的计算机上设定或取用cookies,以便您能登录或使用依赖于cookies的我们的平台服务或功能。我们使用cookies可为您提供更加周到的个性化服务,包括推广服务。b) 您有权选择接受或拒绝接受cookies。您可以通过修改浏览器设置的方式拒绝接受cookies。但如果您选择拒绝接受cookies,则您可能无法登录或使用依赖于cookies的我们的平台服务或功能。c) 通过我们所设cookies所取得的有关信息,将适用本政策。十一、 如何国产综合亚洲区如果您有任何疑问、意见或建议,请通过官网服务电话与我们联系。 重要提示:本政策的任何译本仅仅是为了满足当地需要。如果中文文本与任何非中文文本出现争议,在您所在国家或地区当地法律不禁止的范围内,应以本政策的中文文本为准。
查看詳情
随着欧盟发布的《一般数据保护条例》(简称GDPR或《条例》)的实施日期逐日临近,数以万计的企业将必须遵守GDPR规定的数据管理规定。然而人们对于GDPR还是会经常问:GDPR是什么,对企业和个人有何关系?GDPR是怎样对个人数据进行保护的?下面,大华就给大家简单介绍一下GDPR。GDPR制定背景1995年,欧盟就出台过《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(简称“《指令》”),为欧盟成员国立法保护个人数据设立了最低标准。那时,个人数据的收集处理范围仅限于用戶名、地址及相对简单的金融信息。但随着20来年的科技发展,到了如今这个信息互联的大数据、云计算时代,人们在享受便捷网络服务的同时,也对产生或提供的个人数据的保护越来越重视。因此个人数据保护面临新的挑战。欧盟为此历经多年的立法协商,在2016年4月27日的欧洲议会上颁布了《一般数据保护条例》(简称GDPR或《条例》),该条例将在两年过渡期之后于2018年5月25日全面实施。GDPR适用范围如果你认为GDPR是欧盟的法律法规,企业不在欧洲就与我无关,那就大错特错,GDPR适用对象不仅包括欧盟内的企业,还包括虽然住所不位于欧盟境内,却向欧盟用戶提供互联网和商业服务的所有企业。换言之,不管企业在何处,只要其在提供产品或服务的过程中处理了欧盟境内个体的个人数据,就应当适用本条例。在属人加属地主义的双重适用标准下,该《条例》可以随着数据的动态流动应用于全球任何企业。GDPR对企业的要求对于提供互联网和商业服务的企业在个人数据保护方面,GDPR是如何规定的呢?一、在数据处理上,必须遵守以下原则:l 合法性:任何出于商业目的而使用、处理和交易的个人数据,都应当符合法律的规定;l 公平性:在数据的使用处理中,应妥善平衡各主体间的利益,禁止以牺牲数据主体利益的方式来满足个人数据的商用和出于追求经济利益而进行的交易;l 透明性:数据使用和交易的目的、范围及具体用途等,应当以数据主体知道的方式进行,不得在数据主体不知情或不知道数据被处理、被交易的主要程序的情况下,处理、交易个人数据。此外,GDPR还规定了“目的限制”、“数据最小化”、“精度”、“存儲限制”、“完整和机密性”以及“问责制”原则。二、企业在内部建立完善的问责机制企业应当建立周密的制度安排,包括数据安全管理流程、泄露事故发现、上报预案等,以符合《条例》的严格要求。l 数据保护官(DPO):企业需设立数据保护官与数据保护監管机构进行联系,数据保护官需要向GDPR的执行委员会报告,并有权监视企业的数据处理。l 文档化管理:企业必须全面记载其数据处理活动,做到一举一动都有据可查。文档化管理不仅是企业内部的管理措施,而且是数据保护監管机构履行职责的重要抓手。l 数据保护影响评估和事先协商:对于高风险的数据处理活动,要事先进行数据保护影响评估。如果数据保护影响评估的结果显示是高风险,而企业没有有效降低风险的措施,企业应当就数据处理活动向相关的数据保护監管机构进行事先协商。l 事件响应:企业对于数据泄露事件应预先计划应急措施,一旦发生数据泄露事故,企业需要及时通知監管机构,一般应不超过72小时。l 安全保障措施:企业在数据安全保障上应特别做好以下措施:1) 对个人数据的匿名化和假名化;2) 确保提供持久的机密性、完整性、可用性和系统可恢复性的能力;3) 在物理或者技术事故下及时恢复数据可用性、可访问性的能力;4) 建立定期测试、评估、评价技术和管理措施是否有效的体系。GDPR规定的个人权利GDPR让人们在个人数据处理上赋予更全面的权利,让我的数据我做主,实现更好的个人数据保护。那GDPR到底赋予了人们什么样的权利?GDPR赋予了个人数据所有者坚实强大的权利,详细规定了数据主体的知情权、访问权、反对权、数据可携权和数据被遗忘权等权利。l 知情权:数据控制者必须以清楚简单明了的方式向个人说明其个人数据是如何被收集处理的。l 访问权:数据控制者应当为用戶实现该权利提供相应的流程,如果该请求是以电子形式提出的,则也应当以电子形式将数据提供给个人。控制者不能基于提供该服务而收费,除非数据主体的请求明显过量,超过负担。l 反对权:数据主体始终有权随时拒绝数据控制者基于其合法利益处理个人数据,始终有权拒绝基于个人数据的市场营销行为。《条例》还引入了限制处理的权利,例如当数据主体提出投诉时(例如针对数据的准确性),数据主体并不要求删除该数据,但可以限制数据控制者不再对该数据继续处理。l 数据可携权:个人能够将其个人数据和资料从一个信息服务者处无障碍地转移至另一个信息服务者处,这一权利意味着数据主体对个人数据拥有了更强的掌控能力与管理能力。l 数据被遗忘权:数据主体要求数据控制者删除与其相关的个人数据及避免数据被传播的权利,这一权利的引入旨在解决当下个人数据大量存儲所带来的隐私隐患,充分体现了《条例》对数据主体隐私保护的加强。GDPR严厉的处罚GDPR不仅对个人数据处理制定了一套统一的法律和更严格的规定,同时也规定了对违规行为的严厉处罚。这些处罚是以行政罚款的形式出现,对应任何违反GDPR的行为进行处罚,根据违反程度,最高处罚罚金分两档:1) 1000万欧元或企业全球年营业额的2%;2) 2000万欧元或企业全球年营业额的4%。严厉的处罚,使企业更加重视GDPR的合规性,而规避处罚的关键是避免数据泄露和数据处理过程的有效控制。GDPR,大华在行动大华是全球领先的视频监控解決方案提供商及设备提供商,一直致力于个人隐私保护和数据安全。随着GDPR到来,由于视频录像作为个人的个人数据的一部分,大华也更加重视个人数据的保护。在产品设计上,个人数据处理过程满足合法、公平、透明;同时提供完善的数据保障措施,对个人数据进行加密、匿名化、假名化等操作。在管理体制上,建立更加完善的内部管理流程,优化问责机制,持续完善数据保护过程控制的管理體系。让数据更安全,让社会更和谐,使用大华产品能够帮助您更好的符合GDPR,我们将持续开发更多功能来创建更加安全并保护个人隐私的解決方案。
查看詳情
智能客服
400 6728 166
華飛智能
華睿科技
大華樂橙
小華科技
大華安保