中興通訊網(wǎng)絡(luò)安全白皮書

3.2安全設(shè)計(jì)實(shí)踐089.1信息安全22 隨著數(shù)字技術(shù)的發(fā)展，數(shù)字化基礎(chǔ)設(shè)施對促進(jìn)社會發(fā)展和經(jīng)濟(jì)增長發(fā)揮著至關(guān)重要的作用。根據(jù)全球移動(dòng)通信系統(tǒng)協(xié)會(GSMA)預(yù)測1,到2023年底，全球5G連接將達(dá)到15億，到2030年將達(dá)到53億；到2023年底，全球聯(lián)網(wǎng)IoT設(shè)備數(shù)量將增長16%,達(dá)到167億臺2。數(shù)字化的不斷發(fā)展增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，根據(jù)歐盟網(wǎng)絡(luò)安全局(ENISA)《2023ENISA威脅態(tài)勢》3,網(wǎng)絡(luò)攻擊數(shù)量在全球范圍持續(xù)增加，在報(bào)告觀察期內(nèi)，2023年全球安全事件數(shù)量是2022年的兩倍。通信網(wǎng)絡(luò)作為關(guān)鍵的數(shù)字基礎(chǔ)設(shè)施，其安全性得到了前所未有的關(guān)注。從行業(yè)標(biāo)準(zhǔn)的制定和遵循，漏洞響應(yīng)和協(xié)同披露，到生產(chǎn)廠商的全面安全保障措施，整個(gè)行業(yè)及利益相關(guān)者都在共同努力迎接挑戰(zhàn)。各國政府加強(qiáng)了網(wǎng)絡(luò)安全立法，促進(jìn)通信及各行業(yè)的網(wǎng)絡(luò)安全水平提升，以保護(hù)關(guān)鍵的基礎(chǔ)設(shè)施。中國在《網(wǎng)絡(luò)安全法》以及《數(shù)據(jù)保護(hù)法》等法律的基礎(chǔ)上，出臺了如《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》、《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》等細(xì)化的管理規(guī)范。歐盟《網(wǎng)絡(luò)安全法》鼓勵(lì)在設(shè)計(jì)和開發(fā)的最早階段實(shí)施安全措施，并強(qiáng)調(diào)通過不斷優(yōu)化的治理來確保ICT產(chǎn)品、服務(wù)和流程全生命周期的安全性。歐盟《網(wǎng)絡(luò)彈性法》強(qiáng)調(diào)產(chǎn)品安全的重要性，要求制造商在產(chǎn)品的整個(gè)生命周期實(shí)施安全管理，包括產(chǎn)品的設(shè)計(jì)安全、默認(rèn)安全和漏洞處理，以防止易受攻擊的產(chǎn)品進(jìn)入市場。同時(shí)，行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)也在不斷演進(jìn)，包括持續(xù)迭代的GSMA網(wǎng)絡(luò)設(shè)備安全保障計(jì)劃(NESAS)、即將出臺的歐盟網(wǎng)絡(luò)安全認(rèn)證計(jì)劃EUCC和EU5G等，中國也通過關(guān)鍵基礎(chǔ)設(shè)施認(rèn)證來推進(jìn)安全標(biāo)準(zhǔn)化。中興通訊作為全球綜合通信與信息技術(shù)解決方案提供商，有義務(wù)、有責(zé)任遵守法律法規(guī)、遵循行業(yè)標(biāo)準(zhǔn)，最大程度地保障通信網(wǎng)絡(luò)設(shè)備安全性，通過向客戶提供安全可信的產(chǎn)品和服務(wù)，使全球用戶享受安全可靠的網(wǎng)絡(luò)連接和數(shù)字生活。1.5GinContext,Q12023:researcWresearchresear2.StateofloT2023:NumberofconmectedloTdevicesgrowing16%to16.7bilongloballyhttps:/M/numbe3.ENISAThreatLandscape2023:https:/ww.enisa.europa.eu/publicat此白皮書描述了中興通訊安全治理架構(gòu)和安全保障體系，著重強(qiáng)調(diào)了行之有效的治理方法和實(shí)踐，即在產(chǎn)品全生命周期安全管控基礎(chǔ)上，聚焦于縱深改進(jìn)，包括設(shè)計(jì)安全和默認(rèn)安全、第三方組件管理、事件響應(yīng)和漏洞管理等。這些安全管理貫穿供應(yīng)鏈、研發(fā)和交付業(yè)務(wù)流，并通過數(shù)字化支撐系統(tǒng)的不斷完善實(shí)現(xiàn)有網(wǎng)絡(luò)安全沒有止境，持續(xù)改進(jìn)沒有終點(diǎn)。中興通訊秉持開放透明，歡迎外部獨(dú)立安全驗(yàn)證，愿與運(yùn)營商、監(jiān)管機(jī)構(gòu)、合作伙伴和其他利益相關(guān)方密切溝通合作，不斷改善管理和技術(shù)實(shí)踐，共同建立安全可信的網(wǎng)安全保障實(shí)踐框架中興通訊以基于風(fēng)險(xiǎn)的方式建立了覆蓋產(chǎn)品全生命周期的安全治理體系，始終將安全作為產(chǎn)品研發(fā)和交付的最中興通訊遵守法律法規(guī)，遵照行業(yè)標(biāo)準(zhǔn)，尊重客戶需求，以“安全融入血脈，透明增進(jìn)信任”為安全愿景，向三線架構(gòu)確保有效治理中興通訊采用基于三線模型的治理架構(gòu)進(jìn)行產(chǎn)品安全治理4.THEIIA'STHREELINESMODEL:/globalassets/documents/resourupdate-of-the-three-lnes-of-defense-july-2020/three-lines-model-updated-en04產(chǎn)品安全委員會（CSC）（業(yè)務(wù)單位)（產(chǎn)品安全部）產(chǎn)品安全委員會（CSC）（業(yè)務(wù)單位)（產(chǎn)品安全部）（內(nèi)控審計(jì)）董事會監(jiān)督和指導(dǎo)產(chǎn)品安全委員會（CSC）開展產(chǎn)品安全治理工作，內(nèi)控審計(jì)定期向董事會/審計(jì)委員業(yè)務(wù)單位是產(chǎn)品安全治理的第一線。各業(yè)務(wù)單位通過產(chǎn)品安全的自我規(guī)劃、自我執(zhí)產(chǎn)品安全部是產(chǎn)品安全治理的第二線，采用獨(dú)立安全測評機(jī)制對05全意識培訓(xùn)、安全設(shè)計(jì)培訓(xùn)、滲透測試培訓(xùn)等，公司員工目前持2.22.2安全融入產(chǎn)品全生命周期2019年，歐盟頒布《網(wǎng)絡(luò)安全法》，要求通過不斷發(fā)展的設(shè)計(jì)和開發(fā)流程來確保ICT產(chǎn)品和服務(wù)全生命周期的安全性。GSMANESAS對產(chǎn)品開發(fā)和全生命周期提出了安全要求，成為通信設(shè)備安全融入全流程的最佳實(shí)踐。中興通訊基于風(fēng)險(xiǎn)的安全治理覆蓋供應(yīng)鏈、研發(fā)、交付、事件響應(yīng)和各支撐領(lǐng)域，形成了貫穿全生命周期的產(chǎn)品安全保障體系，并持續(xù)對標(biāo)行業(yè)最新標(biāo)準(zhǔn)和最佳實(shí)踐。中興通訊研發(fā)流程（高效產(chǎn)品開發(fā)HPPD）通過了GSMANESAS過程評估和德國BSINESASCCS-GI過程評估。將安全要求嵌入研發(fā)需求、設(shè)計(jì)、驗(yàn)證和發(fā)布流程，如設(shè)計(jì)安全、隱私保護(hù)設(shè)計(jì)（PrivacybyDesign,PbD06DevSecOps工具鏈DevSecOps工具鏈一些端到端的業(yè)務(wù)流，如第三方組件管理、漏洞管理，在DevSecOps工具鏈的支持下，打通供應(yīng)鏈、研發(fā)、2.32.3數(shù)字化支撐系統(tǒng)中興通訊安全治理已融入產(chǎn)品全生命周期各業(yè)務(wù)實(shí)現(xiàn)彈性供應(yīng)、持續(xù)規(guī)劃、協(xié)作開發(fā)、集成測試、發(fā)布部署、問題解決等業(yè)務(wù)環(huán)節(jié)的高效運(yùn)作。配置管理系統(tǒng)產(chǎn)品安全運(yùn)用DevSecOps工具鏈實(shí)現(xiàn)各環(huán)節(jié)的安全管控。在材料安全測試、第三方軟件安全掃描、代碼掃描、漏洞掃描、版本保護(hù)、安全加固等關(guān)鍵安全活動(dòng)中，利用安全工具自動(dòng)檢彈性供應(yīng)，持續(xù)規(guī)劃，協(xié)作開發(fā)，持續(xù)測試，IT基礎(chǔ)實(shí)現(xiàn)設(shè)計(jì)安全和默認(rèn)安全GSMANESAS《開發(fā)和生命周期安全要求》?明確提出設(shè)計(jì)安全的要求，網(wǎng)絡(luò)產(chǎn)品應(yīng)在整個(gè)開發(fā)和產(chǎn)品生命周期中通過設(shè)計(jì)實(shí)現(xiàn)安全性?？紤]了設(shè)計(jì)安全的產(chǎn)品能夠合理防止惡意網(wǎng)絡(luò)攻擊，如非法訪問網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)，以及連接的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)設(shè)備制造商應(yīng)進(jìn)行風(fēng)險(xiǎn)評估，以識別和列舉關(guān)鍵系統(tǒng)普遍存在的網(wǎng)絡(luò)威脅，將保護(hù)措施納入產(chǎn)品藍(lán)圖中。歐盟《網(wǎng)絡(luò)安全法》要求企業(yè)應(yīng)以更高級別的安全性設(shè)計(jì)其ICT產(chǎn)品、服務(wù)或流程，讓用戶獲得最佳安全默認(rèn)配置的產(chǎn)品和服務(wù)?？紤]了默認(rèn)安全的產(chǎn)品在交付時(shí)已經(jīng)做了安全保護(hù)，用戶可以“開箱即用”,幾乎不需要額外配置。設(shè)計(jì)安全和默認(rèn)安全不僅有利于用戶，也有利于制造商，能減少漏洞數(shù)量和修復(fù)漏洞的成本。中興通訊提倡透明和問責(zé)制，認(rèn)為提供設(shè)計(jì)安全和默認(rèn)安全的產(chǎn)品是制造商的責(zé)任。公司強(qiáng)調(diào)在產(chǎn)品開發(fā)生命周期中盡早引入安全設(shè)計(jì)原則，在產(chǎn)品設(shè)計(jì)階段進(jìn)行威脅分析和風(fēng)險(xiǎn)評估，建立并優(yōu)化產(chǎn)品安全保護(hù)準(zhǔn)則及基線。安全設(shè)計(jì)原則包括但不限于：減少攻擊面、設(shè)置安全默認(rèn)值、隱私保護(hù)、最小權(quán)限、縱深防御、失效安全、職責(zé)分離等。安全設(shè)計(jì)過程在中興通訊的產(chǎn)品研發(fā)過程中，安全設(shè)計(jì)是早期的關(guān)鍵環(huán)節(jié)，及早識別產(chǎn)品威脅、合理評估風(fēng)險(xiǎn)、確立安全保護(hù)控制措施，有利于將安全風(fēng)險(xiǎn)和安全成本降到最低。將設(shè)計(jì)安全和默認(rèn)安全要求納入安全設(shè)計(jì)過程控制，可保障產(chǎn)品達(dá)成開箱即用和極簡運(yùn)維的交付目標(biāo)。Version2.1https:/www.gsma.conmVsecurity/wp-content/upbads/2022/02/FS.16-08建設(shè)“產(chǎn)品安全知識庫”實(shí)施面向產(chǎn)品的威脅建模，創(chuàng)建“產(chǎn)品安全技術(shù)要求庫”實(shí)施安全設(shè)計(jì)對標(biāo)規(guī)劃、進(jìn)安全需求安全設(shè)計(jì)①業(yè)界安全規(guī)范、①業(yè)界安全規(guī)范、安全技術(shù)標(biāo)準(zhǔn)、市場安全要求、安全DevSecOpsDevSecOps工具鏈3.23.2安全設(shè)計(jì)實(shí)踐中興通訊安全設(shè)計(jì)最佳實(shí)踐包括：產(chǎn)品安全知識庫、產(chǎn)品安全技術(shù)要求庫和威脅建模平臺。產(chǎn)品安全知識庫持續(xù)積累產(chǎn)品安全知識經(jīng)驗(yàn)，持續(xù)提升安全設(shè)計(jì)專業(yè)性和有效性；產(chǎn)品安全技術(shù)要求庫對標(biāo)業(yè)界安全標(biāo)準(zhǔn)規(guī)范，為安全設(shè)計(jì)提供基線化要求；威脅建模平臺產(chǎn)品安全知識庫吸納了行業(yè)規(guī)范和最佳實(shí)踐，如業(yè)界通用威脅和漏洞信息（CAPEC、ATT&CK、CWE、CVE等）、行業(yè)安全技術(shù)標(biāo)準(zhǔn)規(guī)范（3GPPSCAS規(guī)范、IETFRFC標(biāo)準(zhǔn)等）、以及中興通訊自身的產(chǎn)品安產(chǎn)品安全技術(shù)要求庫威脅建模平臺第三方組件管理隨著ICT產(chǎn)業(yè)的不斷發(fā)展，ICT產(chǎn)品中包含了越來越多的第三方組件?,這些組件帶來了新的安全威脅，例如被發(fā)現(xiàn)有新的漏洞、停止支持等。管理好第三方組件對安全至關(guān)重要。監(jiān)管和行業(yè)紛紛出臺要求和指導(dǎo)，以提升第三方組件管理水平，使可能產(chǎn)生的風(fēng)險(xiǎn)降到最低。比如，GSMANESAS在2.0版本中新增了“第三方組件采購”,要求設(shè)備供應(yīng)商制定適當(dāng)?shù)牧鞒虂泶_保產(chǎn)品生命周期內(nèi)第三方組件的質(zhì)量、使用受支持的第三方組件、評估第三方組件中新發(fā)現(xiàn)的漏洞是否會對網(wǎng)絡(luò)造成威脅等。第三方組件管理策略第三方組件包括開源軟件、商用組件、商用附贈(zèng)軟件等，是產(chǎn)品的組成部分，并可能被多個(gè)產(chǎn)品使用。公司遵循法律法規(guī)要求和行業(yè)最佳實(shí)踐，在供應(yīng)鏈管理、產(chǎn)品研發(fā)、交付過程中，不斷積累管理實(shí)踐，對第三方組件實(shí)施全生命周期管理。中興通訊第三方組件安全管理覆蓋組件引入、使用、運(yùn)維和退出各業(yè)務(wù)階段，第三方組件管理要求已融入高效產(chǎn)品研發(fā)(HPPD)流程。AssuranceScheme-DevelopmentandLifecycleSecurtyRequi第三方組件管理規(guī)范/供應(yīng)鏈安全管理手冊/材料產(chǎn)品安全管理規(guī)范/供應(yīng)鏈產(chǎn)品安全事件管理規(guī)范/數(shù)據(jù)保護(hù)影響評估規(guī)范第三方組件引入需進(jìn)行選型認(rèn)證，只有通過認(rèn)證的第三方組件才能進(jìn)入公司組件庫（組件廣場）。選型數(shù)據(jù)保護(hù)、開源許可等合規(guī)要求；此外，還需要考慮與商用組件供應(yīng)商簽署安全協(xié)議，確保供應(yīng)商理解并對所提供的第三方組件產(chǎn)品安全要求做出承諾。中在產(chǎn)品的方案設(shè)計(jì)、開發(fā)測試及發(fā)布的各個(gè)活動(dòng)中，均嵌入第三方組件的安全風(fēng)險(xiǎn)評估，確保提供恰當(dāng)?shù)谌浇M件作為產(chǎn)品配置項(xiàng)以確保其使用情況可追溯。當(dāng)發(fā)現(xiàn)第三方組件的安全漏洞時(shí)，可通過產(chǎn)品配確保組件庫中的組件是最新的；當(dāng)?shù)谌浇M件提供方停止維護(hù)、組件生命周期終止時(shí)，組件守護(hù)人執(zhí)行在產(chǎn)品交付環(huán)節(jié)，中興通訊產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)（ProductSecurityIncidentResponseTeam,漏洞修復(fù)方案制定、驗(yàn)證和實(shí)施，確?？焖夙憫?yīng)和消除第三方組件帶來的安全問在引入時(shí)，優(yōu)選安全、合規(guī)、社區(qū)活躍度高、生態(tài)系統(tǒng)完備、可信度高的開源組件，并建立開源組件成在使用中，使用開源軟件成分分析工具和漏洞掃描工具，評估開源組件的安全性及許可證合規(guī)情況、識5.25.2第三方組件管理實(shí)踐中興通訊組件廣場為第三方組件的引入者、使用者、管理者提供了一個(gè)安全可信的平臺，是RDCloud的重要組成部分。組件廣場針對產(chǎn)品規(guī)劃、開發(fā)、測試、集成、發(fā)布及運(yùn)維場景，提供同源管理、安全合規(guī)管控、調(diào)用追蹤、檢索、評論等功能，使第三方組件可引入管理使用中興通訊依托成熟的產(chǎn)品配置項(xiàng)管理，建立了融合第三方組件的產(chǎn)品全生命期漏洞管理流程。一旦感知到第三方組件出現(xiàn)的安全漏洞，漏洞管理系統(tǒng)可自動(dòng)定位波及的產(chǎn)品和版本，實(shí)現(xiàn)了從第三方組件漏洞到波及產(chǎn)品、這些攻擊對企業(yè)造成的總成本將較2023年增長76%。分布于全球各地的數(shù)千家供應(yīng)商合作伙伴是中興通訊供應(yīng)鏈的重要組成部分，為中興通訊提供數(shù)以萬計(jì)原材料、半成品、成品或服務(wù)。因此，公司把供應(yīng)商安全管理和材料安全管理作為核心業(yè)務(wù)流程，保障選擇安全可靠的供應(yīng)商是保證供應(yīng)鏈安全的第一步。中興通訊重視供應(yīng)商資源的開發(fā)與布局，建立了一整套從尋源，到資質(zhì)認(rèn)證，再到淘汰退出的供應(yīng)商全生命周期管理機(jī)制。公司要求供應(yīng)商在提供產(chǎn)品或服務(wù)的過程中必須遵守當(dāng)?shù)氐姆?、法?guī)要求，提升安全管理水平，遵守雙方簽署的產(chǎn)品安全協(xié)議。對中興通訊持續(xù)將產(chǎn)品安全、企業(yè)社會責(zé)任等要求傳遞給供應(yīng)商，并通過年度全球合作伙伴大會和供應(yīng)商在材料管理方面，中興通訊實(shí)施品類管理，根據(jù)不同品類材料的特性識別風(fēng)險(xiǎn)，將材料的產(chǎn)品安全風(fēng)險(xiǎn)定義為高、中、低三個(gè)等級。針對高風(fēng)險(xiǎn)材料，在材料引入環(huán)節(jié)，要求供應(yīng)商提供產(chǎn)品安全檢測報(bào)告。對于中低風(fēng)險(xiǎn)等級的材料，通過與供應(yīng)商簽署安全協(xié)議，要求供應(yīng)商進(jìn)行自我管理和約束，允許中興通訊進(jìn)行多種形式的安全審計(jì)。另外，公司建立了產(chǎn)品安全材料檢測實(shí)驗(yàn)室，對中高風(fēng)險(xiǎn)材料進(jìn)行抽檢，中興通訊制定了生產(chǎn)制造安全管理規(guī)范，把生產(chǎn)制造區(qū)域分為三個(gè)等級的安全管控區(qū)，管控生產(chǎn)制造過采取不同的安全管控措施，其中一級、二級管控區(qū)是安全風(fēng)險(xiǎn)嚴(yán)管區(qū)域。在這些區(qū)域設(shè)置安全管理員，為了保障生產(chǎn)環(huán)境的網(wǎng)絡(luò)安全，公司建設(shè)了生產(chǎn)專用網(wǎng)絡(luò)，以防止病毒入侵或軟件篡改。同時(shí)，只有授中興通訊通過倉儲管理系統(tǒng)實(shí)現(xiàn)在庫貨物全程跟蹤，及時(shí)升級物流倉儲IT系統(tǒng)、監(jiān)控設(shè)備和安保設(shè)施，以避免倉儲和貨運(yùn)過程中的成品或核心部件遭受損壞、替換、惡意代碼植入。通過貨運(yùn)中臺系統(tǒng)實(shí)時(shí)監(jiān)供應(yīng)鏈彈性安全交付策略網(wǎng)絡(luò)安全方案安全加固安全上線安全問題安全賬號日常網(wǎng)絡(luò)巡檢安全加固iNet/CNIA/RNIA輔助支撐7.27.2安全交付實(shí)踐中興通訊安全交付涵蓋人員管理、授權(quán)管理、軟件部署、網(wǎng)絡(luò)變更、安全核查、遠(yuǎn)程接入管理、數(shù)據(jù)保護(hù)和事件響應(yīng)等模塊。中興通訊基于AI、大數(shù)據(jù)等技術(shù)實(shí)現(xiàn)交付全流程指標(biāo)可視化，及時(shí)識別與跟蹤風(fēng)險(xiǎn)，協(xié)助客戶中興通訊定期對工程師進(jìn)行綜合安全評估、定崗定級。項(xiàng)目交付中，根據(jù)人員評估結(jié)果進(jìn)行崗位適配，按照客戶要求分配操作權(quán)限，并簽署保密協(xié)議（NDA）。結(jié)合開局、運(yùn)維、巡檢、故障處理、安全加固等日常工作，公司對交付人員進(jìn)行安全賦能，包括專題課堂、專在對客戶的網(wǎng)絡(luò)和數(shù)據(jù)進(jìn)行操作前，如軟件升級、安全加固、安全巡檢，中興通訊事先獲取客戶授權(quán)，并在約定的范圍和時(shí)間段完成操作，操作過程記錄在案，為確保軟件端到端的安全部署，中興通訊實(shí)施嚴(yán)格的流程和管理制度，僅授權(quán)人員才能從技術(shù)支持網(wǎng)站（）下載所需版本或補(bǔ)丁，歷史下載均有記錄，且下載的軟件會在升級前進(jìn)行完整性檢查或數(shù)字簽名驗(yàn)證。軟件部署所需的工具和軟件均從指定渠道獲取，并要求接入客戶網(wǎng)絡(luò)的個(gè)人工作終端做好基本的安全防護(hù)，如安裝系統(tǒng)重要補(bǔ)丁和防病毒軟件，僅安裝授權(quán)的、與業(yè)務(wù)目的有關(guān)且無在獲取客戶網(wǎng)絡(luò)變更的授權(quán)后，中興通訊工程師在網(wǎng)絡(luò)變更管理系統(tǒng)（ZXRDC）提交具體實(shí)施方案，并相關(guān)人員會進(jìn)行一段時(shí)間的值守，對特定指標(biāo)進(jìn)行觀察、記錄與分析。接入客戶網(wǎng)絡(luò)的個(gè)人工作終端部署了智能管控工具，能夠?qū)崟r(shí)攔截高危指令和非預(yù)期動(dòng)作產(chǎn)品在研發(fā)階段已考慮了“開箱即用”的默認(rèn)安全，但隨著內(nèi)外部威脅的變化，產(chǎn)品的安全風(fēng)險(xiǎn)也會相應(yīng)變化。中興通訊基于合同要求定期進(jìn)行安全核查，結(jié)合安全態(tài)勢感知系統(tǒng)，以及客戶的漏洞掃描和滲中興通訊網(wǎng)絡(luò)安全保障實(shí)踐遠(yuǎn)程接入管理為確保高效安全的遠(yuǎn)程技術(shù)支持，中興通訊在遵循所在地法律法規(guī)和客戶授權(quán)的前提下，允許產(chǎn)品專家通過全球一張網(wǎng)系統(tǒng)(AdvancedOperationsSuite,AOS)和安全隔離區(qū)遠(yuǎn)程訪問客戶網(wǎng)絡(luò)，進(jìn)行問題排查或業(yè)務(wù)支持等。對客戶網(wǎng)絡(luò)的所有遠(yuǎn)程操作均可事后審計(jì)。數(shù)據(jù)保護(hù)在遵循當(dāng)?shù)胤煞ㄒ?guī)以及客戶要求的前提下，中興通訊執(zhí)行對重要、敏感的網(wǎng)絡(luò)數(shù)據(jù)的安全保護(hù)操作，如脫敏、加密存儲與傳輸?shù)?。在?shí)施GDPR或類似法規(guī)的國家和地區(qū)，公司與客戶在合同簽署階段，簽署數(shù)據(jù)處理協(xié)議和數(shù)據(jù)轉(zhuǎn)移協(xié)議，明確個(gè)人數(shù)據(jù)保護(hù)條款、責(zé)任界面；合同期內(nèi)，工程師按照合同條款執(zhí)行各項(xiàng)業(yè)務(wù)操作；特殊情況下，如返修的故障板件含有個(gè)人數(shù)據(jù)，工程師會根據(jù)數(shù)據(jù)保護(hù)的合同要求，進(jìn)行相應(yīng)操作。事件響應(yīng)為有效應(yīng)對可能發(fā)生的網(wǎng)絡(luò)安全事件，中興通訊根據(jù)項(xiàng)目場景制定安全方案和應(yīng)急響應(yīng)計(jì)劃，項(xiàng)目組定期與客戶、產(chǎn)品團(tuán)隊(duì)和第三方合作伙伴進(jìn)行跨團(tuán)隊(duì)、跨地域的聯(lián)合應(yīng)急演練。中興通訊接收到客戶安全事件后，PSIRT會立即在全球客戶支持中心創(chuàng)建事件單并分發(fā)到對應(yīng)的產(chǎn)品支持團(tuán)隊(duì)，確保各嚴(yán)重等級的安全事件在客戶服務(wù)水平協(xié)議(SLA)約定時(shí)間內(nèi)得到解決。安全事件響應(yīng)和漏洞管理在日趨復(fù)雜的供應(yīng)鏈環(huán)境中，對安全事件和漏洞的良好管理變得愈發(fā)增強(qiáng)供應(yīng)鏈安全，包含事件響應(yīng)、漏洞處理和披露。歐盟《網(wǎng)絡(luò)彈性法》要求數(shù)字產(chǎn)品制造商報(bào)告已被主動(dòng)利用的漏洞。中國出臺了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,要求網(wǎng)絡(luò)產(chǎn)品提供者履行相關(guān)安全漏洞管理義務(wù)。安全事件響應(yīng)和漏洞管理有賴于利益相關(guān)方的協(xié)同處理，設(shè)備供應(yīng)商有責(zé)任和義務(wù)協(xié)助客戶處置安全事件、及時(shí)消減安全漏洞。中興通訊PSIRT負(fù)責(zé)響應(yīng)公司產(chǎn)品安全事件、處置公司產(chǎn)品安全漏洞。中興通安全團(tuán)隊(duì)論壇(FIRST)成員和CVE編號頒發(fā)機(jī)構(gòu)(CNA),發(fā)布了安全漏洞獎(jiǎng)勵(lì)計(jì)劃，鼓勵(lì)全球安全從業(yè)安全事件響應(yīng)流程中興通訊協(xié)助客戶第一時(shí)間響應(yīng)安全事件。在客戶授權(quán)下，PSIRT協(xié)助客戶迅速對事件進(jìn)行處置，采取必要措施控制事態(tài)發(fā)展，直到業(yè)務(wù)徹底恢復(fù)。2.檢測分析：收集、記錄和分析與事件相關(guān)的數(shù)據(jù)，確定是否發(fā)生入侵并產(chǎn)生后果，分析影響范圍，復(fù)盤PSIRT郵箱復(fù)盤PSIRT郵箱8.28.2安全漏洞處理流程中興通訊重視與安全組織協(xié)作，對內(nèi)外部發(fā)現(xiàn)的漏洞，秉承公開透明的原則進(jìn)行負(fù)責(zé)任的披露。在客戶實(shí)施解決方案之后，對方案的有效性進(jìn)行監(jiān)控，根據(jù)反饋情況4.披露和修復(fù)：接收接收信息安全管理的目標(biāo)是保護(hù)公司信息資產(chǎn)的機(jī)密性、完整性和可用性，為公司產(chǎn)品研發(fā)、生產(chǎn)、運(yùn)營等關(guān)鍵業(yè)務(wù)提供安全的環(huán)境。中興通訊建立了分級的、完備的和閉環(huán)的信息安全管理體系，防泄密，防入侵，一旦發(fā)生總則(方針)總則(方針)通用(原則)管定密業(yè)務(wù)(細(xì)則)業(yè)務(wù)查事件組織定管，是管控信息流本身，關(guān)注信息流相關(guān)的人、事、物等要素，達(dá)到信息安全管控效果；查，是對體系符合性23中興通訊將生產(chǎn)經(jīng)營活動(dòng)中產(chǎn)生、收集和接動(dòng)中訪問、處理的客戶信息，對應(yīng)至相應(yīng)的密級進(jìn)行分級管理，2005年，公司成為國內(nèi)首個(gè)獲得ISO27001:2005信息安全管理體系認(rèn)證的上市公司，截至2023年，公司總9.29.2隱私保護(hù)中興通訊遵守業(yè)務(wù)所在國家和地區(qū)隱私保護(hù)法律法規(guī)，將“法律遵從、信任共建、道德履行”作為隱私保護(hù)的重要基線。中興通訊通過隱私保護(hù)體系建設(shè)、重點(diǎn)場景隱私保護(hù)管控、隱私保護(hù)實(shí)踐探索等方式，踐行“滿足中興通訊以風(fēng)險(xiǎn)為導(dǎo)向，從組織、人員、制度、技術(shù)等維度開展全面的體系建設(shè)，并在體系運(yùn)行過程中，不斷優(yōu)化迭代，保持隱私保護(hù)體系的適配性、有效性、先進(jìn)性。公司建立了場景化的業(yè)務(wù)流程合規(guī)指引，構(gòu)筑了合規(guī)稽查、數(shù)據(jù)保護(hù)和業(yè)務(wù)單位三道風(fēng)險(xiǎn)防線，并針對各類高風(fēng)險(xiǎn)場景構(gòu)建了管控機(jī)制，守護(hù)用戶、客戶及員工數(shù)據(jù)和隱私安全。公司建立了數(shù)據(jù)泄露響應(yīng)流程、數(shù)據(jù)主體權(quán)利響應(yīng)流程、數(shù)據(jù)跨境傳輸管控流程、供應(yīng)商合中興通訊遵循隱私保護(hù)設(shè)計(jì)（PbD）理念，將隱私保護(hù)管控前移至產(chǎn)品和服務(wù)方案的設(shè)計(jì)階段，通過將隱私保護(hù)需求導(dǎo)入產(chǎn)品和服務(wù)需求中，使數(shù)據(jù)保護(hù)要求默認(rèn)集成至產(chǎn)品和服務(wù)中，確保數(shù)據(jù)處理滿足合法、公平、透中興通訊秉持開放、透明的數(shù)據(jù)合規(guī)理念，在中興通訊官網(wǎng)上線了隱私中心9，面向全球客戶、合作伙9./china/privacy_c中興通訊持續(xù)構(gòu)建業(yè)務(wù)連續(xù)性管理(BCM)能力，以保障連續(xù)交付產(chǎn)品和提供服務(wù)能力為宗旨，運(yùn)用體系化框架和方法論，構(gòu)建了應(yīng)急響應(yīng)和復(fù)原能力，并通過了ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證。中興通訊產(chǎn)品研發(fā)的業(yè)務(wù)連續(xù)性管理面向業(yè)務(wù)解決方案和基礎(chǔ)設(shè)施解決方案，產(chǎn)品設(shè)計(jì)和方案設(shè)計(jì)默認(rèn)考慮設(shè)備和網(wǎng)絡(luò)的備份方案和容災(zāi)能力；對于研發(fā)資源布局和研發(fā)云建設(shè)，定期刷新高風(fēng)險(xiǎn)點(diǎn)，針對獨(dú)家供貨、關(guān)鍵IT系統(tǒng)、核心實(shí)驗(yàn)室、病毒攻擊等高風(fēng)險(xiǎn)場景開展治理。中興通訊各地研究所具備快速部署遠(yuǎn)程辦公能力，保障核心業(yè)務(wù)開展。供應(yīng)鏈的業(yè)務(wù)連續(xù)性管理面向采購、制造和貨運(yùn)業(yè)務(wù)流程，運(yùn)用智能供應(yīng)管理系統(tǒng)實(shí)現(xiàn)全業(yè)務(wù)的監(jiān)測、預(yù)警、聯(lián)動(dòng)和調(diào)度，保證采購供應(yīng)、生產(chǎn)制造和物流交付的連續(xù)性和穩(wěn)定性。交付的業(yè)務(wù)連續(xù)性管理包括工程交付及網(wǎng)絡(luò)服務(wù)兩個(gè)方面，為了保障全球客戶在建及運(yùn)維網(wǎng)絡(luò)的業(yè)務(wù)，公司形成了一套從預(yù)警預(yù)防、預(yù)案演練到事件處置及復(fù)盤的管理流程。 2022年6月，中興通訊5GNR和5GC系列產(chǎn)品通過了GSMANESAS2.1版本的“供應(yīng)商開發(fā)和產(chǎn)品生命周期2023年1月，中興通訊5GNRgNodeB產(chǎn)品獲得由德國聯(lián)邦信息安全辦公室(BSI)頒發(fā)的“網(wǎng)絡(luò)設(shè)備安全保障方案網(wǎng)絡(luò)安全認(rèn)證計(jì)劃-德國實(shí)施”(NESASCCS-GI)認(rèn)證證書26中興通訊持有一系列安全相關(guān)的ISO認(rèn)證，包括信息安全、供應(yīng)鏈安全、業(yè)務(wù)連續(xù)性、隱私保護(hù)等。中興通訊還持有中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC）信息安全風(fēng)險(xiǎn)評估一級、C