網絡安全

中興通訊堅持開放、透明的態度,以自頂向下的方式開展產品安全治理工作。構筑三道防線安全治理結構,將安全策略融入到產品生命周期的每個階段,建立覆蓋產品研發、供應鏈與制造、工程服務、安全事件管理和獨立驗證審計等領域的產品全生命周期的產品安全保障機制,通過產品安全的基線化、流程化和閉環化,實現產品和服務的端到端的安全交付。

中興通訊重視客戶的安全價值,遵從網絡安全的相關法律法規,端到端交付安全可信的產品和服務。安全是中興通訊產品研發和交付的最高優先級之一,中興通訊根據公司發展戰略規劃,參考法律法規和國際國內標準,建立健全的產品安全治理結構,培養全員安全意識,強調全流程安全。

產品安全方針

中興通訊的產品安全保障計劃堅持六點方針:有規范,嚴執行,強監管,能追溯,全透明,可信賴。

有規范:尊重規則和規范,根據適用的法律法規和國際國內標準,制定一系列產品安全的策略、標準、流程和指導書。

嚴執行:各業務部門的日常工作均按照規范嚴格執行,通過問責制和發布“產品安全紅線”加強執行的力度。

強監管:通過三道防線治理模型進行強有力的監督和管理。

能追溯:所有安全活動都做到有記錄可查詢,有證據可追溯,快速發現和定位問題。

全透明:公司的安全活動向客戶、政府和利益相關方公開,客戶可參觀、代碼可審查。安全問題披露透明公開,漏洞和補丁及時發布。

可信賴:通過開放透明的安全治理活動以及第三方安全認證,增進客戶的信任。

三道防線治理架構

在組織架構方面,中興通訊采用三道防線治理架構,從多角度保障產品及服務的安全性。各業務單位作為第一道防線實現產品安全性的自我管控;公司產品安全部作為第二道防線實施獨立的安全測評和監督;公司內控審計部作為第三道防線評估與審計第一、第二道防線運作的有效性,同時公司接受客戶和外部第三方獨立機構的安全審計。

安全人才隊伍建設

中興通訊組織了多種層面的產品安全意識和專業技能培訓,包括高層研討會、管理干部讀書班、全員培訓、安全設計培訓、滲透測試培訓和安全編碼比賽等,推動了公司產品安全能力提升,形成了公司產品安全文化。

中興通訊重視安全人才隊伍的專業化,公司目前有40余位持有安全認證證書的專家,包括:CISSP、CISA、CSSLP、CEH、CISP、CISAW、C-CCSK等,具備成熟的安全架構、安全設計、滲透測試、安全審計、安全管理等方面的安全能力。

端到端的安全交付

系統每個環節的安全都會影響到整體的安全,整體的安全強度由最薄弱的鏈條決定。中興通訊的安全治理覆蓋研發、供應鏈、工程服務、事件管理和各支撐職能。對產品研發來說,包括安全需求、安全設計、安全編碼、安全測試、安全交付、安全運行維護等階段的安全控制,同時考慮第三方組件安全。對供應鏈來說,涉及到采購、生產、制造、倉儲、運輸直到交付給客戶。

產品安全事件響應

中興通訊產品安全事件響應團隊(PSIRT)負責識別和分析安全事件,跟蹤事件處理過程,與內部和外部相關方密切溝通,及時披露安全漏洞,以減輕安全事件帶來的不利影響。作為事件響應和安全團隊論壇(FIRST)成員和CVE編號頒發成員(CNA),中興通訊以公開的方式與客戶及相關方進行協同。

獨立測評驗證

在三道防線的組織架構下,獨立安全測評屬于第二道防線,負責對一線安全實踐進行評估和監督。通過應用風險控制的原則,從多個角度審核產品的安全性。通過監督與制約機制進一步降低安全風險,對發現的問題實施閉環管理跟蹤,直到問題解決,實現產品安全治理的持續改進。

安全審計

中興通訊的安全審計對公司產品安全保障體系的健全性、合理性和有效性進行獨立評價,以組織與運作、風險管理過程、控制活動、內部監督等維度開展,覆蓋產品安全總體治理、研發安全、供應鏈安全、交付安全、安全事件響應、獨立安全測評等端到端的產品安全保障全流程,實現產品安全體系的可監管、全透明管理。

安全實驗室

籌建“1+N”的運行模式的網絡安全實驗室,核心實驗室設在國內,國內外部署多個遠程接入點。2019年在海外建設兩個安全實驗室,地點分別設在比利時和意大利,在安全實驗室可以開展源代碼審計、安全設計審核和安全測試等。

第三方安全認證與合作

2005年,中興通訊通過ISO 27001信息安全管理體系認證審核,并每年持續更新,所覆蓋的范圍包括中興通訊所從事的所有業務。2015年,中興通訊加入國際安全論壇組織FIRST(Forum of Incident Response and Security Teams),旨在提升安全事件響應能力。 2017年通過ISO 28000 供應鏈安全管理體系認證。2019年4月,中興通訊獲得中國網絡安全審查技術與認證中心認證的《信息安全服務資質認證證書》(一級)。2019年7月,成功申報CNCERT第八屆網絡安全應急服務支撐單位和CNNVD國家信息安全漏洞庫技術支撐單位。 

中興通訊長期積極參與3GPP, IETF,ITU-T和CSA等國際標準化組織或安全論壇的活動,推進安全領域的標準化工作,并擔任ITU-T SG17副主席職務。在5G安全方面,參與3GPP SA3的SCAS_5G相關協議的編寫,主導GTI項目中2-5G eMBB P4-Task4 5G安全白皮書的輸出工作。

中興通訊積極與多個第三方機構開展合作,對中興通訊的產品進行安全測評,包括:源代碼審計、安全設計評估和滲透測試。

中興通訊產品安全的愿景是“安全融入血脈,透明增進信任”,目標為客戶提供可信賴的、端到端的、全生命期的安全保障。中興通訊愿以公開和透明的方式與監管機構、客戶、合作伙伴和其他利益相關方溝通與合作,共同創造良好的安全生態環境。

  • 中興通訊產品安全白皮書

    詳細 >

  • 中興通訊PSIRT

    詳細 >

  • 漏洞上報

    詳細 >

  • 漏洞響應流程

    詳細 >

  • 安全通告

    詳細 >

 選擇國家/語言

Global - English China - 中文
妹妹影院