发展持续刷新。 产品网络安全基线 1.保护用户通信内容 2.保护用户隐私 3.防止后门 4.防止恶意软件、恶意行为 5.访问通道控制 6.系统加固 7.应用安全 8.加密 9.敏感数据保护 10管理和维护安全 11.安全启动和完整性保护 12.安全资料 13.安全编码 14.安全编译 15.生命周期管理 总计 4条 5条 2条 3条 2条 1条 2条 华为乾崑智能汽车解决方案网络安全理念与架构 21 PART 2 华为乾崑智能汽车解决方案网络安全理念与架构 20 9、敏感数据保护 在产品设计时，需要根据产品的使用场景，识别出产品中的敏感数据。典型的敏感数据包括认 证凭据（如口令、私钥、动态令牌卡等）、加密密钥、敏感个人信息（如人脸、车辆位置等） 等。从敏感数据的存储、传输和处理过程中采取认证、授权或加密等安全机制保证数据安全。 10、管理和维护安全 产 有正确的应用才能够访问对应的数据。通过对文件加密密钥的管控，提供了文件保护增强能 力，用于高风险等级数据在使用过程中的访问控制增强处理，确保有访问权限的软件才能够使 用这些高风险数据。 4）敏感数据出车时，在数据脱敏的基础上，进行数据加密传输。 5）普通的恢复出厂设置操作，并不保证彻底删除保存在物理存储上的数据，为了提高效率，往 往通过删除逻辑地址的方式实现，导致实际存储的物理地址空间没有清除，可以被恢复回来。

数仓 DWS 图分析 GES 搜索 CSS 流处理 Flink 实时查询 CloudTable 批处理 MRS 产 数据接入能力 数据一站式开发能力 存 数据上云能力 数据领域建模能力 敏感数据安全存储 消 数据服务化能力 分析资产沉淀能力 分析资产标准化能力 管 数据质量管理能力 元数据管理能力 数据模型管理能力 控 数据服务计量能力 数据脱敏能力 数据水印保护能力 审计追溯能力 支持模型资产沉淀，构筑行业知识库，通 过模板一键导入导出能力复用数据资产和 模型，将原有 1 个月的数据建模工作缩短 到 1 天以内  支持公有云、混合云部署，灵活支持客户 数据系统建设需求 数据安全 访问权限管理 敏感数据识别 隐私保护管理 华为云“数智员工”——我们的贴身小助手 以画画为例： 1. 需要头脑思考如何画 2. 眼睛看到画板和自己画的东西 3. 脑袋支配手来执行动作 4. 可以用嘴来交流如何画

已有数据库映射迁移数据 归档成果中提取数据 平台数据库 专人录入数据 • 400 余类数据、成果 • 地上地下一体化涵盖 • … … • 权限系统 • 配套管理制度 • 杜绝敏感数据泄 露 • … … • 全延长 23 个采油 气 厂 / 指挥部覆盖 • 13 万余口井数据 • 数据跨度约 20 年 • … … 1 大数据集 成管理

提供来协助能源集团建立具有全面性、 39 39 敏感数据识别 • 梳理采集入湖的 元数据，对 敏感 数据进行识别和 标识 ，如个人信 息、薪酬信息、 交易信息、财务 信息等。 数据脱敏、加密 • 对不同等级的数据资源，制 定相应的 数据安全管理策略。 • 遵循数据安全法律、法规及 集团数据安全管理办法，按 照电力行业网络安全防护要 求，将识别的敏感数据、重 要数据和核心数据进行加密、

数字拥抱能源 点亮绿色世界 智慧能源单元—安装与布线 biaoti ● 安全芯片 ： 采用安全芯片实现终端安全接入国 网 ● 物理层 ： 多网络相互独立 、 多板卡物理独立 ● 数据层 ： 敏感数据文件加密存储 ● 操 作 系 统 ： 安 全 加 固 Linux 系 统 ● 应用层 ： 应用安全打包 、 远程维护与管理 ● 软件加密 ： 对 376 . 1 规约加密数据区包含

双 向 超 低 延 时 传 输 ( 包 括 控 制 信 号 下 达 和 控 制 反 馈 ), 承 载 远 程 操 控信号。 ● 现场操作高清摄像头视频回传，辅助远程控制，实时监控现场环境。 ● 敏感数据不出厂区，通过 MEC 本地化分流。 ■ 系统由集控操作中心 +5G+MEC+ 本体 ( 电控 PLC 、 运行监控摄像系统 ) 三个主要部分组 成。 ■ 达到效果：现场操作无人化，

传输中/静态数据加密 监控系统 视频监控和记录 入侵检测/防御系统 IDS/IPS实时威胁检测与 阻断 系统加固 安全配置、最小化安装 安全开发 SDL、代码审计、SAST/ DAST 数据脱敏 敏感数据屏蔽和匿名化 物理屏障 围栏、防撞柱、安全门 VPN 安全远程访问加密通信 补丁管理 自动化漏洞修复 身份认证 MFA、OAuth、SAML 备份与恢复 3-2-1备份策略 安保人员

行分析、培训，以优化解决流程或制定机制防止事件再次发生；新 补丁应及时在服务器及网络设备上安装，补丁安装前应经过申请、 审批，测试后经批准方可上线；加强落实对定期备份结果进行检查 并进行备份恢复测试，对敏感数据的备份要严格进行加密控制。 4.2.3.4 数据中台 4.2.3.4.1 大数据平台 大数据平台总体技术架构图 平台应采用 Hadoop 生态为基础的大数据框架为基础，构建平 台的 相应服务 模块有： （1）数据库审计。可智能解析数据库通信流量，细粒度审计数 据库访问行为，帮助用户精准识别、记录数据库安全威胁。 （2）敏感数据保护。帮助用户发现、分类和保护敏感数据，支 持关系型数据库、分析型数据库、对象存储等产品的敏感数据保护。 （3）加密服务。基于国家密码局认证的密码机，保证用户对于 密钥安全可靠的管理，支持多种加密算法。 4.3.2.4 容器安全架构设计

数据与应用严重依赖云计算中心，其稳定性、可靠性相较传统系统，要求更 高。 云架构的特点决定了云平台存在的安全问题。具体有：  黑客入侵云端服务器窃取数据；  云服务供应商内部员工窃取客户敏感数据；  使用同一云服务供应商的其它客户意外取得或窃取敏感数据；  云端资源遭到恶意滥用，被用来滥发垃圾邮件或恶意主机等；  客户不易对云服务供应商安全控制措施和访问记录进行审计；  云服务供应商灾备管理不完善，导致服务中断；