中興通訊首席安全官鐘宏談安全保障

鐘宏

中興通訊股份有限公司首席安全官


      中興通訊將客戶的安全價值置于商業利益之上,遵從網絡安全的相關法律法規,保證端到端地交付安全可信的產品和服務。

網絡安全是中興通訊產品研發和交付的最高優先級之一,中興通訊將根據公司發展戰略規劃,參考國際標準和法律法規,建立健全的產品安全治理結構,培養全員安全意識,強調全流程安全。

中興通訊將安全策略和安全控制融入到產品生命周期的每個階段,建立覆蓋產品研發、供應鏈與制造、工程服務、安全事件管理和驗證審計等領域的產品全生命周期的產品安全保障機制,以實現產品和服務的端到端安全地交付,并為此構筑三道防線安全治理結構,實現產品安全的基線化、流程化和閉環化。

在組織架構方面,中興通訊采納了三道安全防線治理模型,從多角度審視產品及服務的安全性。業務單位作為第一道防線實現產品安全性的自我管控;公司安全實驗室作為第二道防線實施獨立的安全測評和監督;外部專業機構及客戶作為第三道防線評估與審計第一、第二道防線的有效性。

中興通訊產品安全事件響應團隊(PSIRT)負責識別和分析安全事件,跟蹤事件處理過程,與內外部各相關方密切溝通,及時披露安全漏洞,以減輕安全事件帶來的不利影響。作為事件響應和安全團隊論壇(FIRST)成員和CVE編號頒發成員(CNA),中興通訊正以更加公開的方式與客戶及相關方進行協同。

2005年,中興通訊首次獲得ISO 27001信息安全管理體系證書,并每年持續更新,2017年通過ISO 28000 供應鏈安全管理體系認證。

安全測評方面,擁有具備CISSP、CISA、CCIE、CISAW、CCSK等安全各領域的國際認證專家,具備成熟的代碼審計、漏洞掃描、滲透測試等多維度安全測評能力。

問題一: 5G時代已開啟,云計算、物聯網、大數據、人工智能等技術正在引發新一輪的產業變革,在這樣的背景下,抵御不斷演進的網絡安全威脅,是通訊世界面臨的更大挑戰,作為全球通訊設備和方案提供商,中興通訊對于網絡安全保障采取什么立場?

回答:中興通訊認為,客戶的安全價值大于商業利益,產品的安全特性是第一位的。網絡安全威脅是客戶與我們共同面臨的威脅,客戶最關心的問題是我們有足夠的安全措施去保障他們的設備和服務安全運行。中興這幾年持續進行的網絡安全治理,通過一整套網絡安全保障體系,為客戶提供端到端的安全保障,使產品和服務具備抵抗網絡攻擊的能力。

中興通訊愿以開放、透明的方式與運營商、監管機構、合作伙伴和其他利益相關方進行溝通和合作,遵守相關法律法規、尊重客戶和最終用戶的合法權益,不斷改善管理和技術實踐,最終以安全可信的產品回饋客戶,共同建立和維護良好的網絡空間安全秩序。

問題二:最近有部分的國家政府提出了安全的擔憂,從您的觀點出發,對于全球的客戶,中興怎么能夠保護他們的網絡安全,保護他們信息的機密性?或者說,如何幫助客戶實現共同抵御網絡安全威脅的目標,如何打消客戶對于網絡安全的擔憂?

回答:這個問題從兩個角度看,一是自身視角,網絡安全保障我們該做什么,如何做;另一個是客戶視角,我們的舉措如何取得客戶認可和信任。

首先,我認為安全性是產品的內在屬性,因此我們將提升產品的安全性擺在第一重要的位置。其次,一方面我們必須充分理解客戶的安全需求,另一方面要讓客戶相信我們的產品是安全的。中興通訊正在運行一個長期持續進行的網絡安全保障計劃,這個計劃在公司內部稱為“網絡安全治理”,其愿景是“安全融入血脈,透明贏得信任”,最終目標是為客戶提供可信賴的、端到端全生命期的網絡安全保障。

戰略層面,網絡安全是產品研發和交付的最高優先級之一。也就是說,在研發和工程服務過程中關鍵決策節點,當需要我們做出選擇的時刻,我們會優先選擇保障產品的安全性。比如,在產品研發過程中,我們設置了發布關卡,如果安全測試不通過,版本不允許發布;在工程服務過程中,運用技術和管理的手段保障客戶網絡操作的安全性,比如,賬戶管理運用最小需知和最小權限原則;所有涉及訪問客戶網絡和數據的操作,都必須事先獲得客戶授權。

組織層面,中興通訊采納了業界認可的三道安全防線組織結構,基于權責分離的原則,從一線自我管控、二線獨立測評、三線審計監督的多個角度審視產品的安全性。在產品研發過程中,通過部署多層安全驗證機制,確保安全性從多角度得到審視。在工程服務一線,按照區域、國家和項目維度,公司組建了多級產品安全管理團隊,建立了網絡安全監控和安全事件響應機制;二線和三線對工服實行現場檢查和審計,確保在網產品和運維安全可靠。

戰術層面,網絡安全保障計劃堅持六點方針:有規范、嚴執行、能追溯、強監督、全透明、可信賴。

1.有規范——制定的安全策略和流程規范滲透進每個產品和過程環節,我們對照業界的成熟度模型定期審核安全規范,并且確保這些規范可執行且行之有效;

2.嚴執行——各業務部門的日常工作均按照規范嚴格執行,公司內部發布了“產品安全紅線”,畫出了對客戶網絡操作和個人數據處理不可逾越的安全底線,對組織和個人都有強制約束力;

3.能追溯——產品的組件、產品的局點分布、以及執行過程記錄組成產品全圖,幫助我們對產品進行可視化管理,在安全事件發生時能回溯和復盤;

4.強監督——通過內部和第三方安全審計,檢查各環節按規范執行的有效性,審計報告向審計委員會匯報,嚴格執行整改并復查;

5.全透明——網絡安全保障舉措應當對客戶透明,我們部署了一系列舉措實現過程透明化。2017年,公司成為CVE頒發機構,通過正規的漏洞披露政策讓相關方知曉我司處理產品漏洞的過程。今年(2019),我們預計在第一季度發布新版《網絡安全白皮書》,讓關注者了解中興通訊對安全的認識、態度和舉措;同時,公司已經開始籌建海外安全透明實驗室,可以讓客戶在線審查我們的產品;此外,我們正在謀求與第三方建立戰略合作關系,獲取業界領先的技術和服務,運用于安全實驗室籌建、獨立測評和安全審計;

6.可信賴——贏得客戶信賴的前提是尊重和理解客戶的價值觀,途徑是做到過程透明和有監管。中興通訊自2005年開始獲得信息安全管理體系ISO 27001認證并每年更新證書,2017年通過ISO 28000供應鏈安全管理認證,自2011年開始累積十多款產品通過了CC(通用準則,既ISO15408標準)安全認證。在過去的2年中,中興通訊與客戶、第三方和海外監管機構緊密合作,持續開展源代碼審計、安全設計評審、供應商審計等活動。

人員培養方面,我們認為網絡安全保障計劃的成功與否,很大程度上取決于人員和安全意識,我們建設安全團隊、培養安全專家,過去的一年內新增了持有CISSP(注冊信息系統安全師)、CISA(注冊信息系統審計師)、CISAW(信息安全保障人員認證)和CCSK(云安全知識證書)證書的安全專家27人次,組織了多種層面的學習、培訓、研討、實踐和考試,以育人的方式培養安全人員600多人。但最重要的,安全意識培養首先要從管理層開始,產品安全委員會(CSC)由CEO擔任主任,CTO擔任常務副主任,CSO擔任副主任,代表供應鏈、系統產品、工程服務領域的最高負責人擔任常委,網絡安全保障的組織部署已貫穿管理層。

    問題三:請介紹一下中興通訊安全實驗室籌建和發布計劃

    回答:正在籌建的網絡安全實驗室是一個“1+N”的運行模式,核心實驗室設在國內,國內外部署多個遠程接入點。

安全實驗室預設三個功能:1.在安全的環境中查看和評估ZTE產品的源代碼;2.提供對ZTE產品和服務重要技術文檔的訪問服務;3.可通過手動和自動化工具對ZTE產品和服務進行安全測試。

建設計劃:2019年在海外建設兩個安全透明實驗室,分別在比利時和意大利。后續根據客戶需求及業務開展,規劃設立新的安全實驗室。

    問題四:近期,外界傳播著一種對國家安全的擔憂,中國通訊設備廠商的可信度遭到國外政府和企業的質疑,有觀點認為中國通信廠商為政府情報工作提供合作,您對這個問題抱有怎樣的看法?

    回答:中興通訊從未收到過相關機構讓我們在產品中設置后門的要求;我們產品的源代碼可以通過安全實驗室開放給客戶及專業機構進行安全審計。


 選擇國家/語言

Global - English China - 中文
奇米网