网络安全

中兴通讯坚持开放、透明的态度,以自顶向下的方式开展产品安全治理工作。构筑三道防线安全治理结构,将安全策略融入到产品生命周期的每个阶段,建立覆盖产品研发、供应链与制造、工程服务、安全事件管理和独立验证审计等领域的产品全生命周期的产品安全保障机制,通过产品安全的基线化、流程化和闭环化,实现产品和服务的端到端的安全交付。

中兴通讯重视客户的安全价值,遵从网络安全的相关法律法规,端到端交付安全可信的产品和服务。安全是中兴通讯产品研发和交付的最高优先级之一,中兴通讯根据公司发展战略规划,参考法律法规和国际国内标准,建立健全的产品安全治理结构,培养全员安全意识,强调全流程安全。

产品安全方针

中兴通讯的产品安全保障计划坚持六点方针:有规范,严执行,强监管,能追溯,全透明,可信赖。

有规范:尊重规则和规范,根据适用的法律法规和国际国内标准,制定一系列产品安全的策略、标准、流程和指导书。

严执行:各业务部门的日常工作均按照规范严格执行,通过问责制和发布“产品安全红线”加强执行的力度。

强监管:通过三道防线治理模型进行强有力的监督和管理。

能追溯:所有安全活动都做到有记录可查询,有证据可追溯,快速发现和定位问题。

全透明:公司的安全活动向客户、政府和利益相关方公开,客户可参观、代码可审查。安全问题披露透明公开,漏洞和补丁及时发布。

可信赖:通过开放透明的安全治理活动以及第三方安全认证,增进客户的信任。

三道防线治理架构

在组织架构方面,中兴通讯采用三道防线治理架构,从多角度保障产品及服务的安全性。各业务单位作为第一道防线实现产品安全性的自我管控;公司产品安全部作为第二道防线实施独立的安全测评和监督;公司内控审计部作为第三道防线评估与审计第一、第二道防线运作的有效性,同时公司接受客户和外部第三方独立机构的安全审计。

安全人才队伍建设

中兴通讯组织了多种层面的产品安全意识和专业技能培训,包括高层研讨会、管理干部读书班、全员培训、安全设计培训、渗透测试培训和安全编码比赛等,推动了公司产品安全能力提升,形成了公司产品安全文化。

中兴通讯重视安全人才队伍的专业化,公司目前有40余位持有安全认证证书的专家,包括:CISSP、CISA、CSSLP、CEH、CISP、CISAW、C-CCSK等,具备成熟的安全架构、安全设计、渗透测试、安全审计、安全管理等方面的安全能力。

端到端的安全交付

系统每个环节的安全都会影响到整体的安全,整体的安全强度由最薄弱的链条决定。中兴通讯的安全治理覆盖研发、供应链、工程服务、事件管理和各支撑职能。对产品研发来说,包括安全需求、安全设计、安全编码、安全测试、安全交付、安全运行维护等阶段的安全控制,同时考虑第三方组件安全。对供应链来说,涉及到采购、生产、制造、仓储、运输直到交付给客户。

产品安全事件响应

中兴通讯产品安全事件响应团队(PSIRT)负责识别和分析安全事件,跟踪事件处理过程,与内部和外部相关方密切沟通,及时披露安全漏洞,以减轻安全事件带来的不利影响。作为事件响应和安全团队论坛(FIRST)成员和CVE编号颁发成员(CNA),中兴通讯以公开的方式与客户及相关方进行协同。

独立测评验证

在三道防线的组织架构下,独立安全测评属于第二道防线,负责对一线安全实践进行评估和监督。通过应用风险控制的原则,从多个角度审核产品的安全性。通过监督与制约机制进一步降低安全风险,对发现的问题实施闭环管理跟踪,直到问题解决,实现产品安全治理的持续改进。

安全审计

中兴通讯的安全审计对公司产品安全保障体系的健全性、合理性和有效性进行独立评价,以组织与运作、风险管理过程、控制活动、内部监督等维度开展,覆盖产品安全总体治理、研发安全、供应链安全、交付安全、安全事件响应、独立安全测评等端到端的产品安全保障全流程,实现产品安全体系的可监管、全透明管理。

安全实验室

筹建“1+N”的运行模式的网络安全实验室,核心实验室设在国内,国内外部署多个远程接入点。2019年在海外建设两个安全实验室,地点分别设在比利时和意大利,在安全实验室可以开展源代码审计、安全设计审核和安全测试等。

第三方安全认证与合作

2005年,中兴通讯通过ISO 27001信息安全管理体系认证审核,并每年持续更新,所覆盖的范围包括中兴通讯所从事的所有业务。2015年,中兴通讯加入国际安全论坛组织FIRST(Forum of Incident Response and Security Teams),旨在提升安全事件响应能力。 2017年通过ISO 28000 供应链安全管理体系认证。2019年4月,中兴通讯获得中国网络安全审查技术与认证中心认证的《信息安全服务资质认证证书》(一级)。2019年7月,成功申报CNCERT第八届网络安全应急服务支撑单位和CNNVD国家信息安全漏洞库技术支撑单位。 

中兴通讯长期积极参与3GPP, IETF,ITU-T和CSA等国际标准化组织或安全论坛的活动,推进安全领域的标准化工作,并担任ITU-T SG17副主席职务。在5G安全方面,参与3GPP SA3的SCAS_5G相关协议的编写,主导GTI项目中2-5G eMBB P4-Task4 5G安全白皮书的输出工作。

中兴通讯积极与多个第三方机构开展合作,对中兴通讯的产品进行安全测评,包括:源代码审计、安全设计评估和渗透测试。

中兴通讯产品安全的愿景是“安全融入血脉,透明增进信任”,目标为客户提供可信赖的、端到端的、全生命期的安全保障。中兴通讯愿以公开和透明的方式与监管机构、客户、合作伙伴和其他利益相关方沟通与合作,共同创造良好的安全生态环境。

  • 中兴通讯产品安全白皮书

    详细 >

  • 中兴通讯PSIRT

    详细 >

  • 漏洞上报

    详细 >

  • 漏洞响应流程

    详细 >

  • 安全通告

    详细 >

 选择国家/语言

Global - English China - 中文