产品安全方针
中兴通讯的产品安全保障计划坚持六点方针:有规范,严执行,强监管,能追溯,全透明,可信赖。
有规范:尊重规则和规范,根据适用的法律法规和国际国内标准,制定一系列产品安全的策略、标准、流程和指导书。
严执行:各业务部门的日常工作均按照规范严格执行,通过问责制和发布“产品安全红线”加强执行的力度。
强监管:通过三道防线治理模型进行强有力的监督和管理。
能追溯:所有安全活动都做到有记录可查询,有证据可追溯,快速发现和定位问题。
全透明:公司的安全活动向客户、政府和利益相关方公开,客户可参观、代码可审查。安全问题披露透明公开,漏洞和补丁及时发布。
可信赖:通过开放透明的安全治理活动以及第三方安全认证,增进客户的信任。
三道防线治理架构
在组织架构方面,中兴通讯采用三道防线治理架构,从多角度保障产品及服务的安全性。各业务单位作为第一道防线实现产品安全性的自我管控;公司产品安全部作为第二道防线实施独立的安全测评和监督;公司内控审计部作为第三道防线评估与审计第一、第二道防线运作的有效性,同时公司接受客户和外部第三方独立机构的安全审计。
安全人才队伍建设
中兴通讯组织了多种层面的产品安全意识和专业技能培训,包括高层研讨会、管理干部读书班、全员培训、安全设计培训、渗透测试培训和安全编码比赛等,推动了公司产品安全能力提升,形成了公司产品安全文化。
中兴通讯重视安全人才队伍的专业化,公司目前有40余位持有安全认证证书的专家,包括:CISSP、CISA、CSSLP、CEH、CISP、CISAW、C-CCSK等,具备成熟的安全架构、安全设计、渗透测试、安全审计、安全管理等方面的安全能力。
端到端的安全交付
系统每个环节的安全都会影响到整体的安全,整体的安全强度由最薄弱的链条决定。中兴通讯的安全治理覆盖研发、供应链、工程服务、事件管理和各支撑职能。对产品研发来说,包括安全需求、安全设计、安全编码、安全测试、安全交付、安全运行维护等阶段的安全控制,同时考虑第三方组件安全。对供应链来说,涉及到采购、生产、制造、仓储、运输直到交付给客户。
产品安全事件响应
中兴通讯产品安全事件响应团队(PSIRT)负责识别和分析安全事件,跟踪事件处理过程,与内部和外部相关方密切沟通,及时披露安全漏洞,以减轻安全事件带来的不利影响。作为事件响应和安全团队论坛(FIRST)成员和CVE编号颁发成员(CNA),中兴通讯以公开的方式与客户及相关方进行协同。
独立测评验证
在三道防线的组织架构下,独立安全测评属于第二道防线,负责对一线安全实践进行评估和监督。通过应用风险控制的原则,从多个角度审核产品的安全性。通过监督与制约机制进一步降低安全风险,对发现的问题实施闭环管理跟踪,直到问题解决,实现产品安全治理的持续改进。
安全审计
中兴通讯的安全审计对公司产品安全保障体系的健全性、合理性和有效性进行独立评价,以组织与运作、风险管理过程、控制活动、内部监督等维度开展,覆盖产品安全总体治理、研发安全、供应链安全、交付安全、安全事件响应、独立安全测评等端到端的产品安全保障全流程,实现产品安全体系的可监管、全透明管理。
安全实验室
筹建“1+N”的运行模式的网络安全实验室,核心实验室设在国内,国内外部署多个远程接入点。2019年在海外建设两个安全实验室,地点分别设在比利时和意大利,在安全实验室可以开展源代码审计、安全设计审核和安全测试等。
第三方安全认证与合作
2005年,中兴通讯通过ISO 27001信息安全管理体系认证审核,并每年持续更新,所覆盖的范围包括中兴通讯所从事的所有业务。2015年,中兴通讯加入国际安全论坛组织FIRST(Forum of Incident Response and Security Teams),旨在提升安全事件响应能力。 2017年通过ISO 28000 供应链安全管理体系认证。2019年4月,中兴通讯获得中国网络安全审查技术与认证中心认证的《信息安全服务资质认证证书》(一级)。2019年7月,成功申报CNCERT第八届网络安全应急服务支撑单位和CNNVD国家信息安全漏洞库技术支撑单位。
中兴通讯长期积极参与3GPP, IETF,ITU-T和CSA等国际标准化组织或安全论坛的活动,推进安全领域的标准化工作,并担任ITU-T SG17副主席职务。在5G安全方面,参与3GPP SA3的SCAS_5G相关协议的编写,主导GTI项目中2-5G eMBB P4-Task4 5G安全白皮书的输出工作。
中兴通讯积极与多个第三方机构开展合作,对中兴通讯的产品进行安全测评,包括:源代码审计、安全设计评估和渗透测试。
中兴通讯产品安全的愿景是“安全融入血脉,透明增进信任”,目标为客户提供可信赖的、端到端的、全生命期的安全保障。中兴通讯愿以公开和透明的方式与监管机构、客户、合作伙伴和其他利益相关方沟通与合作,共同创造良好的安全生态环境。