• 首頁
  • 手機及智能産品
  • 中興商城

網絡安全

中兴通讯坚持开放、透明的态度,以自顶向下的方式开展産品安全治理工作。构筑三道防线安全治理结构,将安全策略融入到産品生命周期的每个阶段,建立覆盖産品研发、供应链与制造、工程服務、安全事件管理和独立验证审计等领域的産品全生命周期的産品安全保障机制,通过産品安全的基线化、流程化和闭环化,实现産品和服務的端到端的安全交付。

中兴通讯重视客户的安全价值,遵从網絡安全的相关法律法规,端到端交付安全可信的産品和服務。安全是中兴通讯産品研发和交付的最高优先级之一,中兴通讯根据公司发展战略规划,参考法律法规和国际国内标准,建立健全的産品安全治理结构,培养全员安全意识,强调全流程安全。

産品安全方针

中兴通讯的産品安全保障计划坚持六点方针:有规范,严执行,强监管,能追溯,全透明,可信赖。

有规范:尊重规则和规范,根据适用的法律法规和国际国内标准,制定一系列産品安全的策略、标准、流程和指导书。

严执行:各业务部门的日常工作均按照规范严格执行,通过问责制和发布“産品安全红线”加强执行的力度。

強監管:通過三道防線治理模型進行強有力的監督和管理。

能追溯:所有安全活動都做到有記錄可查詢,有證據可追溯,快速發現和定位問題。

全透明:公司的安全活動向客戶、政府和利益相關方公開,客戶可參觀、代碼可審查。安全問題披露透明公開,漏洞和補丁及時發布。

可信賴:通過開放透明的安全治理活動以及第三方安全認證,增進客戶的信任。

三道防線治理架構

在组织架构方面,中兴通讯采用三道防線治理架構,从多角度保障産品及服務的安全性。各业务单位作为第一道防线实现産品安全性的自我管控;公司産品安全部作为第二道防线实施独立的安全测评和监督;公司内控审计部作为第三道防线评估与审计第一、第二道防线运作的有效性,同时公司接受客户和外部第三方独立机构的安全審計。

安全人才隊伍建設

中兴通讯组织了多种层面的産品安全意识和专业技能培训,包括高层研讨会、管理干部读书班、全员培训、安全设计培训、渗透测试培训和安全编码比赛等,推动了公司産品安全能力提升,形成了公司産品安全文化。

中興通訊重視安全人才隊伍的專業化,公司目前有40余位持有安全認證證書的專家,包括:CISSP、CISA、CSSLP、CEH、CISP、CISAW、C-CCSK等,具備成熟的安全架構、安全設計、滲透測試、安全審計、安全管理等方面的安全能力。

端到端的安全交付

系统每个环节的安全都会影响到整体的安全,整体的安全强度由最薄弱的链条决定。中兴通讯的安全治理覆盖研发、供应链、工程服務、事件管理和各支撑职能。对産品研发来说,包括安全需求、安全设计、安全编码、安全测试、安全交付、安全运行维护等阶段的安全控制,同时考虑第三方组件安全。对供应链来说,涉及到采购、生产、制造、仓储、运输直到交付给客户。

産品安全事件响应

中兴通讯産品安全事件响应团队(PSIRT)负责识别和分析安全事件,跟踪事件处理过程,与内部和外部相关方密切沟通,及时披露安全漏洞,以减轻安全事件带来的不利影响。作为事件响应和安全团队论坛(FIRST)成员和CVE编号颁发成员(CNA),中兴通讯以公开的方式与客户及相关方进行协同。

獨立測評驗證

在三道防线的组织架构下,独立安全测评属于第二道防线,负责对一线安全实践进行评估和监督。通过应用风险控制的原则,从多个角度审核産品的安全性。通过监督与制约机制进一步降低安全风险,对发现的问题实施闭环管理跟踪,直到问题解决,实现産品安全治理的持续改进。

安全審計

中兴通讯的安全審計对公司産品安全保障体系的健全性、合理性和有效性进行独立评价,以组织与运作、风险管理过程、控制活动、内部监督等维度开展,覆盖産品安全总体治理、研发安全、供应链安全、交付安全、安全事件响应、独立安全测评等端到端的産品安全保障全流程,实现産品安全体系的可监管、全透明管理。

安全實驗室

筹建“1+N”的运行模式的網絡安全實驗室,核心实验室设在国内,国内外部署多个远程接入点。2019年在海外建设两个安全實驗室,地点分别设在比利时和意大利,在安全實驗室可以开展源代码审计、安全设计审核和安全测试等。

第三方安全認證與合作

2005年,中兴通讯通过ISO 27001信息安全管理体系认证审核,并每年持续更新,所覆盖的范围包括中兴通讯所从事的所有业务。2015年,中兴通讯加入国际安全论坛组织FIRST(Forum of Incident Response and Security Teams),旨在提升安全事件响应能力。 2017年通过ISO 28000 供应链安全管理体系认证。2019年4月,中兴通讯获得中國網絡安全审查技术与认证中心认证的《信息安全服務资质认证证书》(一级)。2019年7月,成功申报CNCERT第八届網絡安全应急服務支撑单位和CNNVD国家信息安全漏洞库技术支撑单位。 

中兴通讯长期积极参与3GPP, IETF,ITU-T和CSA等国际标准化组织或安全论坛的活动,推进安全领域的标准化工作,并担任ITU-T SG17副主席职务。在5G安全方面,参与3GPP SA3的SCAS_5G相关协议的编写,主导GTI项目中2-5G eMBB P4-Task4 5G安全白皮书的输出工作。

中兴通讯积极与多个第三方机构开展合作,对中兴通讯的産品进行安全测评,包括:源代码审计、安全设计评估和渗透测试。

中兴通讯産品安全的愿景是“安全融入血脉,透明增进信任”,目标为客户提供可信赖的、端到端的、全生命期的安全保障。中兴通讯愿以公开和透明的方式与监管机构、客户、合作伙伴和其他利益相关方沟通与合作,共同创造良好的安全生态环境。

  • 中兴通讯産品安全白皮书

    詳細 >

  • 網絡安全實驗室

    詳細 >

  • 網絡安全对外发声一览

    詳細 >

  • 中興通訊PSIRT

    詳細 >

 選擇國家/語言

Global - English China - 中文