【中兴通讯】网络安全白皮书——为客户提供安全可信的产品和服务_31页_7mb.pdf
中兴通讯网络安全白皮书为客户提供安全可信的产品和服务安全融入血脉 透明增进信任中兴通讯首席安全官 钟 宏2021 年 10 月作 者本白皮书由中兴通讯各领域专家共同完成。在此,感谢对本文做出重要贡献的人:同时,对出版本白皮书的每位贡献者,感谢你们支持!中兴通讯首席安全官 钟宏 Antonio Relvas 、 Chris Mulley、曹鲲鹏 、戴 恒、 高瑞鑫、郝文瑞、 何 英、华国红、 蒋国兵、李 星、 刘 晖、 Marco Costantini、 马致原、 宋伟强、 王华刚、王玉忠、 俞 婷、 杨桂荣、 殷玲玲、 张金鑫、 张 莉、朱林林。汪冬敏、李依依、 刘日昇、 平 立、 汤可可、韦银星、 徐国荣、 杨铁建、 赵 波、 张 俊、郑 均、蒋 璐、目 录序 言执行摘要中兴通讯网络安全战略基于风险的安全实践基于三线模型的安全治理架构产品安全规范体系安全意识和安全能力提升安全保障贯穿产品生命周期安全可信的弹性供应链产品开发过程安全可控交付安全的网络与服务安全事件管理信息安全隐私安全安全成熟度是可验证的开放透明共建网络安全040607080812151819202223展望未来,携手前行附录 A:缩略语表附录 B:中兴通讯网络安全大事记中兴通讯网络安全白皮书011.世界经济论坛战略洞察 5G 安全和关键基础设施 intelligence.weforum/topics/a1G0X000006NvAbUAK/key-issues/a1G0X000006NvtqUAC2. GSMA 移动通安全全景 5G 网络部署已经开始,凭借超高速率、超低时延和超大规模连接, 5G 将重新定义从工厂车间到云端的关键基础设施运营。 5G 网络引入的软件定义网络、网络功能虚拟化、网络切片、边缘计算、网络能力开放等关键技术,为智慧城市、远程手术、自动驾驶和大规模物联网连接铺平道路。然而, 5G 网络的虚拟化和 IT 化增加了安全攻击面,从而引发更多的安全挑战和担忧。根据世界经济论坛战略洞察1,连接设备数量的增长和敏感数据的增加需要全面的设备安全和网络安全保障措施。GSMA 2021 年发布的移动通信安全全景2指出, 5G 安全需要成为现在关注的重点,因为如果等到 5G 广泛部署后,建立安全性将变得更加困难。为了应对这些挑战, 5G 的安全性得到了前所未有的加强。从行业标准的制定和遵循,协同的漏洞响应和披露,到生产厂商的全面安序 言全保障措施,整个行业及利益相关者都在共同努力提升网络安全。作为全球综合通讯解决方案提供商,中兴通讯有义务、有责任最大程度地保障通信网络设备安全性,通过向客户提供安全可信的产品和服务,使全球用户享受安全可靠的网络连接,以及在此基础上的行业数字化变革。中兴通讯在网络安全方面的原则和立场如下:中兴通讯将安全作为产品研发和交付的最高优先级,中兴通讯根据公司发展战略规划,遵循适用的法律法规和国际国内标准,建立健全的网络安全治理架构,培养全员安全意识,确保全流程安全。中兴通讯愿以开放、透明的方式与运营商、监管机构、合作伙伴和其他利益相关方进行沟通和合作,遵守相关法律法规、尊重客户和最终用户的合法权益,不断改善管理和技术实践,以安全可信的产品和服务回馈客户,与客户和利益相关方共同建立安全的网络环境,维护良好的网络空间安全秩序。中兴通讯网络安全白皮书025G 时代已经开启,云计算、物联网、大数据、人工智能等技术得到越来越广泛的应用。在新技术应用带来新一轮产业变革的同时,网络安全形势越发严峻。一方面,全球性的网络安全威胁和网络犯罪十分猖獗,威瑞森 2021 数据泄露调查报告3深入挖掘了全球多个行业的网络安全状况,分析了 2020 年 29,207 起网络安全事件,其中 5,258 为数据泄露事件。截至 2021 年 10 月,公开批露的 CVE 漏洞达161,750 件4,严重漏洞占 11.6%,高危漏洞占 20.8%。另一方面,根据 2021 年 ENISA供应链攻击威胁态势报告5,自 2zero.slash2zero.slash 年以来,针对供应链的攻击明显增加,这可能是由于组织的安全防护持续提升,攻击者将攻击目标转移到供应链。中兴通讯既是网络运营商的供应商,同时也拥有广泛的供应链。在日益复杂的商业环境和全球疫情的大环境下,安全可信的弹性供应链至关重要。中兴通讯建立了健全的产品安全治理体系,重视培养全员安全意识,将安全策略和措施融入产品生命周期的每个阶段,持续强化整个供应链的安全保障,设计、开发并交付安全的产品。3. 2021 数据泄露调查报告: 4. CVE 漏洞数据: 供应链攻击威胁态势报告: enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks执行摘要本白皮书系统地介绍了中兴通讯如何通过采纳行业标准和最佳实践,实施自上而下、基于风险的网络安全治理,将其贯穿产品全生命周期:在供应链环节,强调供应商、材料和生产制造安全可信、保证供应的持续性和弹性;在研发环节,产品基于安全设计并通过流程规范化确保产品开发过程安全可控;在工程服务环节,遵守规范化的操作,保障产品和服务安全交付。在此白皮书中,中兴通讯强调了验证安全成熟度的重要性,并采纳行业技术标准、认证体系和评估框架,设立网络安全实验室,让客户、监管以及利益相关方能够便捷、有效地验证中兴通讯产品的安全性。中兴通讯致力于向客户提供安全可信的产品和服务,保障通信网络设备安全,以实现在此基础上的数字化变革。网络空间安全需全行业以及利益相关者携手守护,让用户可以放心享受通信技术变革带来的数字化生活。中兴通讯网络安全白皮书03通信网络是一个复杂庞大的系统,涉及大量软、硬件和系统数据。保证这些资产的机密性、完整性和可用性,是网络正常运行的基础。由于安全威胁多样又复杂,通信网络必须能够抵御安全攻击和干扰,具备可恢复性和弹性,这是设备供应商和运营商共同面临的挑战和责任。中兴通讯以基于风险的方式建立了行之有效的安全治理体系,覆盖产品全生命周期。中兴通讯遵守法律法规,遵照行业标准,尊重客户需求,以“安全融入血脉,透明增进信任”为安全愿景,致力于向客户交付安全可信的产品和服务,不断追求无处不在的沟通与信任 6。6. 中兴通讯愿景和使命: 1 网络安全愿景和使命方 针战 略目 标愿 景使 命中兴通讯网络安全白皮书04企业和组织需要通过成熟的治理架构来进行高效的风险管理。国际内部审计师协会 (IIA) 发布的三线模型7帮助企业和组织确定最有助于实现目标的管理架构和流程,明确利益相关方的角色定位和职责,从而更有效地支持治理和管理风险。基于三线模型的安全治理架构7.国际内部审计师协会三线模型: iia.au/technical-resources/professionalGuidance/the-iias-three-lines-model中兴通讯采用基于三线模型的治理架构来推进产品安全治理工作,建立了独立于一线业务单位的安全组织,从机制上避免利益冲突,通过一线业务单位的自我检查、二线的独立安全测评、三线的独立安全审计,从多个角度和多个层次保障产品的安全性。图 2 基于三线模型的安全治理架构基于风险的安全实践图例说明指导、监督、投资负责、报告沟通、协作董事会 / 审计委员会产品安全委员会( CSC) 三线(内控审计)安全审计团队二线 (产品安全部 )安全策略团队安全测评团队安全事件响应团队网络安全实验室安全赋能中心一线 (业务单位 )产品经营部供应链工程服务平台研究院中兴通讯网络安全白皮书05董事会 / 审计委员会董事会监督和指导产品安全委员会开展产品安全治理工作,内控审计定期向董事会 / 审计委员会汇报安全审计情况。产品安全委员会作为公司产品安全工作的决策机构,制定公司产品安全战略并保障资源,确定公司产品安全工作战略方向和目标,审议产品安全规划,决策产品安全相关重大议题。一线业务单位是产品安全治理的第一线。各业务单位通过产品安全的自我规划、自我执行、自我检测和自我改进,实现产品安全的自我控制。在研发环节,将安全控制嵌入研发流程的各个阶段,项目技术评审及版本发布过程中评估安全风险并给予管控;将安全要求嵌入研发需求、设计、验证和发布流程,如设计安全 (SbD)、隐私保护设计 (PbD);对产品进行渗透测试和定期实施安全回归测试;对产品所使用的包含开源的第三方组件安全漏洞持续跟踪分析并解决。在供应链环节,将安全要求嵌入到验证供应商和新引入材料的过程中,通过供应商安全协议将产品安全要求传递给供应商,并定期对供应商进行审核;设立产品安全材料检测实验室对中高危材料进行抽检;在生产环境中建立专用网络用以隔离安全隐患。在工程服务环节,通过持续对标 NIST CSF 8进行全业务流程的安全治理,以及组建跨领域的专业团队实现高效运作和交付安全。二线产品安全部是产品安全治理的第二线。作为公司产品安全委员会的常设机构,负责推动落实产品安全相关各项管理和技术实践,统筹产品安全策略规程建设,指导、检查、监督和评估一线的工作。二线为一线提供安全赋能和专业支持,协助一线管理风险,同时采用独立安全测评机制对一线安全实践进行评估和监督,从多个角度审核产品的安全性。独立安全测评包含过程评估和产品评估。前者用于评估一线安全治理执行过程的符合度和有效性;后者用于分析和评估产品和系统的安全性,包括漏洞扫描,安全编码审查,协议健壮性测试及渗透测试。独立安全测评中如发现违反产品安全红线9要求的情形,产品安全部可行使否决权,叫停业务活动,直到问题解决。同时,公司积极与第三方机构开展安全合作,对产品进行安全评估,如源代码审计、安全设计审查和渗透测试。8. NIST Cybersecurity Framework: nist.gov/cyberframework9. 中兴通讯产品安全红线规定中兴通讯业务过程、产品或服务的最基本安全要求,是各业务单位在开展工作过程中必须达到的标准。中兴通讯网络安全白皮书06三线内控审计是产品安全治理的第三线,对公司产品安全保障体系的健全性、合理性和有效性进行独立评价,向公司管理层以及客户等利益相关方保证产品安全策略、规范、流程得到有效执行,促使客户需求得到有效满足。内控审计负责独立审计一线和二线的工作,包括流程执行的符合性检查和产品安全检测,向董事会 /审计委员会汇报客观独立的审计结果。内控审计可以和第三方外部审计共同对公司的产品安全执行情况进行审计。内控审计以风险为导向,贯穿整个审计流程,中兴通讯持续不断审视公司产品安全体系的健全性和有效性,切实保障客户及利益相关方的安全需求得以满足。中兴通讯建立了产品安全策略、标准、流程和指导书,明确了产品安全治理的基本要求和执行规范。公司颁布了系列的安全管理规范和标准,各业务单位遵循产品安全要求一致地开展产品安全实践活动。在安全规范实际运行中,输出了相应的结果和记录,可作为证据提供给相关方进行审计。产品安全规范体系第一层:产品安全要求总则,该标准是公司产品安全大纲,所有下层文件以此标准为基础。中兴通讯基于系统安全工程10的方法,参考法律法规、安全标准、安全最佳实践和客户要求,建立了覆盖系统全生命周期的产品安全策略,涉及到研发、供应链、工程服务、事件响应等全业务过程。公司产品安全策略作为安全治理的标尺和工具,用于内部流程规范的差距分析、评估产品安全落地的有效性。第二层:产品安全管理规范和流程,支撑安全策略运行的规章和流程,如研发安全规范、供应链安全管理规范、工程服务产品安全管理规范、独立安全测评管理流程、漏洞响应流程、安全事件响应流程。第三层:产品安全指导书,支撑规章和流程的文件,如安全设计指导书、安全编码规范、安全基线编写指导书、安全加固指导书。第四层:产品安全记录,执行过程和结果的记录,如源代码扫描报告、安全测评报告、漏洞分析记录、安全事件复盘报告。公司的产品安全文件体系总体分为四层:10.系统安全工程: csrc.nist.gov/publications/detail/sp/800-160/vol-1/f_inal中兴通讯网络安全白皮书07中兴通讯建立完善的产品安全内部宣贯体系。通过新员工意识培训、全员意识培训、应知应会考试不断提升产品安全意识。通过内部产品安全公众号持续向全员传递产品安全最新资讯、前沿技术和优秀实践;通过宣传海报、公共邮箱、易拉宝等形式向全员宣传产品安全教育内容;组织产品安全技术大会、安全开放日、安全COP 等活动将产品安全意识教育渗透到员工的日常工作中。中兴通讯重视安全人才队伍的专业化建设,提供了安全专职人才职业跑道和全面的培训与发展体系。公司现有五百余名产品安全专职员工,涵盖安全标准、安全规划、安全设计、安全编码、安全工具、渗透测试、安全运维。建立“面向实战,上下贯通”的学习发展体系,安全专安全意识和安全能力提升职人员实行岗位学分制管理,对员工从政策机制形成牵引,结合岗位安全能力要求,实现主动学习、在岗提升。中兴通讯持续进行产品安全能力培训,课程设置上,全员课程、关键岗位课程、专题领域课程相搭配;选拔产品安全技术骨干和专家担任讲师;组织多种层面的专业技能培训,如岗位必备知识培训、岗位技能培训、产品安全专家认证、渗透测试大赛和安全编码比赛等,推动公司产品安全能力提升,形成公司产品安全文化。中兴通讯鼓励员工通过外部培训和专业认证来提升产品安全专业能力,已有 170 余位员工持有安全专业认证,如 CISSP、 CISA、 CISM、 CSSLP、 CEH、 OSCP 等,具备成熟的安全架构、安全设计、渗透测试、安全审计、安全管理等方面的安全能力。中兴通讯网络安全白皮书08供应链面临的风险与挑战目前,许多国家和 ICT 行业已普遍认识到,相比传统行业, ICT 行业的供应链更加复杂,存在安全风险的概率更大。尤其在 5G 时代,网络的复杂化、模块化和软硬件分离的特征,使运营商客户可以多样化地选择供应商,而每个供应商的背后又是一整条供应链,其中任何一个环节出现问题,都有可能造成一系列后果。例如 FragAttacks 的WiFi 系列漏洞就涉及多家第三方组件供应商,需要第三方组件供应商协同响应,一起进行漏洞修复。为此,各国不断推出新的法律、法规,行业标准日益完善。例如,美国商务部 于 2019 年发布确保信息和通信技术及服务供应链安全11,提出了对 5G 产品和服务的新要求。行业规范 NESAS 2.012特别增加了对供应链第三方组件安全的要求,以减少设备供应商在供应链中采购和使用易受攻击、污染和不提供技术支持的第三方组件的可能性。这些新要求均对企业的供应链建设和管理带来新的挑战。同时,客户要求越来越高,市场需求与供应大幅波动。安全可信的弹性供应链11. 确保信息和通信技术及服务供应链安全: federalregister.gov/documents/2021/01/19/2021-01234/securing-the-information-and-communications-technology-and-services-supply-chain12. 网络设备安全保障方案: 年以来,由于 COVID-19 疫情的持续影响,导致市场行情趋紧,芯片类材料供应风险凸显,材料供应周期拉长。此外,各国监管和客户越来越将产品安全的关注范围从网络设备供应商延伸至其二级供应商、乃至三级供应商,同时,从只关注网络安全、数据安全、个人隐私保护,向关注供应安全与业务连续性方面扩展。这两个转变对供应链的安全和弹性提出了更高的要求,为供应链带来了新的挑战。一个系统每个环节的安全都会影响到整体的安全,整体的安全强度由最薄弱的链条决定。中兴通讯的安全保障覆盖供应链、研发、工程服务、事件管理和各支撑职能领域,形成了贯穿产品生命周期的产品安全保障体系,并对标更新的行业标准和最佳实践不断改进。安全保障贯穿产品生命周期 (DoC)中兴通讯网络安全白皮书09图 3 供应链业务流程框架供应商 客 户基础支撑:运营管理、质量管理、财务管理、 HR 管理供应链安全保障体系对中兴通讯而言,构建安全可信的供应链,既是保障公司产品按时交付的内在需求,也是我们对客户的庄严承诺。中兴通讯先后通过了供应链安全管理体系 (ISO 28000)、信息安全管理体系 (ISO 27001)、业务连续性管理体系 (ISO 22301) 认证。 2020 年,中兴通讯再次通过经认证的经营者 (AEO) 高级认证,在全球持续享有相关国家或地区快速通关的便利。中兴通讯拥有完整的供应链业务流程框架,包括:计划、采购、制造、交付、逆向五大业务模块,聚焦客户的业务需求和安全需求,依据供应链运作参考模型 (SCOR) 将供应链范围扩大到从供应商的供应商到客户的客户。根据安全治理重点,我们在下文将从材料安全、生产安全、交付安全三个方面介绍供应链的安全治理实践。供应商管理和材料安全合作伙伴是供应链的重要组成部分,分布于全球各地的数千家供应商与中兴通讯在整个产业链条上分工合作,为中兴通讯提供数万种原材料、半成品、成品或服务,是中兴通讯为客户提供产品和综合解决方案的重要组成部分。因此,中兴通讯把供应商安全管理和材料安全管理作为核心业务流程,保障材料和第三方组件的安全。S&OP计划采购计划生产计划计 划逆向仓储逆向退运逆向计划逆向物流逆向利用/售卖采 购 生 产生产统筹仓储配送系统产品生产终端生产物料选型及导入物料采购检验入库运营保障类采购成品交付交付方案策划订单处理交付计划成品物流中兴通讯网络安全白皮书10首先,选择安全可靠的供应商是保证供应链安全的第一步。中兴通讯一直非常重视供应商资源的开发与布局,建立了一整套从寻源,到资质认证,再到淘汰退出的供应商全生命周期管理机制,包括质量管理、信息安全管理、企业社会责任管理、绩效考核和问题追溯等诸多管理内容。一家潜在的供应商只有通过一系列审核,包括商务、技术、质量、财务、交付、安全、合规、企业社会责任等方面的综合评估后才能成为中兴通讯的合格供应商。其次,在材料管理方面,中兴通讯实施品类管理,根据不同品类材料的特性,将材料的产品安全风险定义为高、中、低三个风险等级。针对高风险材料,在材料引入环节,要求提供新引入材料的产品安全检测报告。另外,中兴通讯建立了产品安全材料检测实验室,实施抽检,针对发现的安全问题实施闭环管理。对于中低风险等级的材料,通过签署供应商安全协议的形式,要求供应商进行自我管理和约束,由中兴通讯进行多种形式的安全审计。中兴通讯要求供应商在提供产品或服务的过程中必须遵守当地的法律、法规要求,并遵守与中兴通讯签署的产品安全协议,及时发布漏洞预警和解决方案,确保将外部引入的产品安全风险降至最低。比如在安全测试或产品使用过程中若发现安全漏洞,供应商应当积极协同配合中兴通讯进行追踪和定位,并及时提供补丁,或者采取升级、替换、召回等解决方案。中兴通讯通过每年一度的全球合作伙伴大会,把产品安全的要求传递给供应商,同时每年举行供应商集训营,把产品安全、信息安全、企业社会责任等方面的要求传递给供应商。生产安全参照公司对生产制造过程的安全管控要求,中兴通讯供应链制定了制造安全管理规范,把生产制造区域分为三类不同等级的安全管控区,管控生产制造过程中的安全风险,防止软件、硬件被篡改,包括未经授权的硬件替换、软件植入或篡改、病毒感染等。针对三类不同等级的安全管控区,采取不同的安全管控措施,其中产品安全一级、二级管控区是安全风险严管区域。在该区域,均设置安全管理员负责实施区域内的安全管控措施和日常安全监管。为了防止病毒入侵或软件篡改,中兴通讯建设了专门的生产专用网络,与办公网络和公用网络隔离,保障生产环境的安全。同样,为了防止制造过程中对产品中软件的篡改,只有授权的工程师才能使用产品数据管理系统归档和发布软件。成品交付安全中兴通讯通过仓储管理系统实现在库货物全程跟踪,及时升级物流仓储 IT 系统、监控设备和安保设施,以避免仓储和货运过程中的成品或核心部件遭受损坏、替换、恶意代码植入的风险。通过货运中台系统实时监控货运轨迹,监控货运在途情况,并设有干系人预警功能。中兴通讯网络安全白皮书11打造弹性的供应链面对越来越高的客户要求,以及大幅波动的市场供求带来的产品交付风险与挑战,中兴通讯供应链聚焦三大核心业务场景:材料供应、生产制造、物流货运,参照业务连续性管理体系 (ISO 22301) 的要求,采取以下措施保障供应链业务的持续稳定运行。采购方面中兴通讯拥有一张遍布全球的供应链网络,包括北美、欧洲的供应商,能够持续保持充足的供应。同时,我们通过深入洞察行业动态和对市场进行前瞻性供需分析,主动感知客户需求,在交付过程中依据供需关系的变化适时调整采购策略, 保证安全库存、供应资源、市场调货等,保持供应链的弹性。中兴通讯开发的可视化风险地图工具在突发事件发生时,能迅速确认波及的供应商、材料代码、产品及影响程度,第一时间完成全面风险评估。例如, 2018 年 9 月日本北海道发生了 6.7 级地震,通过供应风险地图,我们在 2 小时内快速识别了受影响的 32 家供应商, 65 个物料代码,及时启动了应对措施,避免了更大损失。制造方面中兴通讯在中国大陆布局有深圳、河源、长沙、南京、西安五大生产基地,各基地之间的生产资源可以共享,且具备产能相互备份的功能,通过灵活的产能策略,柔性保障生产的连续性和产能需求。中兴通讯建立了产能风险扫描机制,提前规划中长期产能,满足常规需求;通过临时措施可在两周内扩充到标准产能的 120%,以满足短期需求;对于单板、家端、电源、终端等产品,始终储备有 20% 的外包产能,以保障客户交付需求。物流货运方面中兴通讯通过多元物流网络,保障货运安全。一方面加强与船司、航司等资源型供应商的直接合作,保证了货运资源稳定获取;另一方面,主动策划货运线路备份,包括铁运、海运、空运多种运输方案互为备份、多个启运地备份,以及同一运输方式多条线路备份等。例如, 2021 年 3 月 21 号,长荣天赐号搁浅导致苏伊士运河堵塞,公司及时启用备份方案,协调中欧班列满足紧急发货需求。中兴通讯网络安全白皮书12流程和组织安全嵌入的研发流程对交付高质量安全的产品至关重要。早在 2001 年,微软提出安全开发生命周期 (SDL),该流程减少了软件中至少 50% 的漏洞13,大大提高了产品的安全性和开发效率,成为全世界众多公司软件开发流程的蓝本,并加以定制和发展。参考 SDL 的高效产品开发流程 (HPPD) 是中兴通讯研发领域共同遵循的流程,经过多年的发展,其成功借鉴了业界最佳实践,并在各个阶段融入安全管控措施。在该流程基础上,中兴通讯持续提升关键安全技术和研发安全成熟度,提高安全治理核心人员的专业能力。13. The Security Development Lifecycle by Michael Howard and Steve Lipner图 4 融入安全活动的 HPPD 流程持续优化演进将安全活动嵌入到 HPPD 主流程,将安全管理要求融入到评审、决策体系安全需求 安全设计 安全开发 安全测试 安全交付与维护中兴通讯将安全作为研发的最高优先级。“安全性”必须作为产品的一项基本属性融入到产品开发全生命周期过程中,确保实现产品的设计安全和默认安全。为满足不同客户和市场竞争条件的要求,我们持续识别网络安全威胁并与业界最佳实践保持同步,如软件安全构建成熟产品开发过程安全可控度模型 (BSIMM)、网络设备安全保障计划 (NESAS)、能力成熟度模型集成 (CMMI),制定中兴通讯研发安全成熟度模型,进行组织和项目的评估,发现差距,不断改进。 2020年,中兴通讯 5G 产品的全生命周期流程经过第三方公司的BSIMM 模型评估,安全成熟度居于业界第一梯队,并成功通过 NESAS 过程评估和 SCAS 产品测试。概 念 计 划 开 发 维 护持续提升安全能力安全人员能力与安全意识 软件工程能力 研发安全成熟度评估安全工具与系统漏洞管理和安全事件响应安全设计与方案 安全编码规范 安全符合性测试 安全漏洞扫描 版本一致性安全加固安全补丁版本病毒扫描 安全测试协议健壮性测试 渗透测试代码安全检查第三方组件安全评估法律法规 行业标准客户需求威胁建模和风险分析中兴通讯网络安全白皮书13需求和设计安全需求来自不同国家监管、客户、以及技术演进,中兴通讯将中长期安全需求纳入产品路标规划,短期安全需求纳入产品版本规划。我们通过威胁建模来分析安全需求。威胁建模是安全设计中的一项核心步骤,是一种分析和解决问题的结构化方法,用来识别和量化威胁,并确定应对措施的优先级以降低风险。其目的是在产品开发过程的早期阶段识别风险并进行控制。我们参考业界最佳实践,如 ITU-T X.805,微软 STRIDE/DREAD,新思 ARA 等模型,建立了一套适合通讯产品的系统威胁建模方法,以发现威胁,识别风险,输出针对威胁的应对措施。公司发布产品安全设计技术标准和技术栈目录,引入威胁建模工具,建立安全设计知识库,指导产品完成安全需求分析以及安全架构和特性安全设计。对社会各届关注的隐私保护和数据合规问题,中兴通讯遵循隐私保护设计理念,将治理动作前移,在需求阶段即纳入数据保护的需求,尽早发现数据保护合规风险,有效降低风险防控成本。开发和测试在开发测试阶段,我们采用的安全编码标准参考自业界通用指南,如计算机安全应急响应小组 (CERT) 系列安全编码规范、开放式 Web 应用程序安全项目 (OWASP) 开发指南、通用缺陷列表 (CWE)、安全技术实施指南 (STIG)。我们持续优化中兴通讯安全编码规范,研究并替换不安全函数。我们编写的代码需通过静态检查和自动化扫描,衡量代码的质量、可靠性、安全性、可维护性。工具扫描出的缺陷采取看板化管理,监控缺陷闭环,通过控制门确保达成安全缺陷控制目标。在开发测试阶段,我们依据安全测试规程和测试方案,对产品进行代码扫描、漏洞扫描、协议健壮性测试、渗透测试、病毒扫描等安全类测试,充分验证包含个人数据保护等安全需求的实现并修复缺陷。中兴通讯网络安全白皮书14第三方组件安全中兴通讯对产品使用的包含开源的第三方组件实施,包括从引入到退出的全生命周期管理,并且嵌入了 HPPD 流程,由 DevOps 工具链支撑。在第三方组件引入阶段,充分分析和验证其功能和性能,确保达成出口管制、数据保护、开源许可等合规要求,以及公司的产品安全红线要求。同时考虑第三方组件的可替代性及供应商承诺的产品生命周期,保证其与我们产品生命周期匹配,达成对客户的服务承诺。只有通过安全合规评估并确保经过认证的可靠来源的第三方组件才能进入公司的组件管理系统,开发人员通过审批之后才能获得这些软件的访问权限,选取第三方组件以供所需产品使用。产品所选用的第三方组件须通过安全测试,达成安全标准后才能随产品进行发布。在我们的产品生命周期内,一旦发现安全漏洞,不论发现人是客户、供应商、第三方还是我们自己,我们均会对该安全漏洞进行评估,提供解决方案或者规避措施,以及时消除风险。在产品生命周期内,当第三方软件因为功能、性能或安全性进行版本更新、引入补丁程序,或当第三方软件生命周期终止时,我们通过组件管理系统对第三方软件进行更新或宣布停用,以确保产品所使用的第三方软件是最新的。第三方软件的安全风险评估贯穿从组件选型、引入、测试、交付到维护的全过程,并纳入 HPPD 流程的节点管控,确保及时发现安全风险,快速评估并提供恰当的安全解决方案或规避措施。同时,我们将第三方软件作为产品配置项纳入配置管理流程,以确保其使用可追溯。特别是当发现安全漏洞时,我们可以追踪其应用范围,彻底解决所有与第三方软件使用相关的问题。作为开源社区的积极贡献者,中兴通讯持续跟踪社区发布的漏洞,在使用漏洞修复方案的同时贡献安全漏洞修复方案。发布和维护中兴通讯制定了一套严格的发布流程,要求产品必须经过安全测试和工具扫描,通过产品安全风险评估,确保遵从中兴通讯产品安全红线,且产品必须配备安全加固手册和工具方可发布。研发团队对现网已部署和使用中的产品制定持续的回归测试策略并执行测试,以判断新增漏洞是否影响现有版本,并且及时更新安全补丁或部署安全加固方案,确保现网产品安全风险得以消除或控制。中兴通讯网络安全白皮书15随着中兴通讯产品交付给客户,业务场景产生变化,新的安全风险也随之而来,需要采取适当的保护措施保证交付过程中产品和数据的完整性、机密性和可用性,实现端到端的安全。中兴通讯交付领域在全球建立了基于风险的交付安全治理体系,全面涵盖授权管理、安全部署、远程接入管理、网络数据保护、资产安全管理、事件响应、合作伙伴管理等模块,产品安全要求已全面融入开通、验收、移交和运维阶段,确保交付行为安全可靠、网络设备安全运行,客户网络和数据得到有效的保护。此外,中兴通讯定期进行模拟演练和抽查,确保人员安全意识和规范动作到位。图 5 端到端的交付安全保障安全验收安全调测 安全移交基线配置 安全加固安全检查版本 / 补丁安全部署风险评估 数据保护 事件响应安全巡检安全加固安全要求全面融入交付各阶段 开通阶段 验收 / 移交阶段 运维阶段交付安全的网络与服务安全开发保障产品持续安全的交付由稳固的配置管理系统、与开发流程相融合的 DevOps工具链以及研发内部信息安全管控策略来保障。中兴通讯的配置管理系统保证了从客户的原始需求可沿着流程的各个阶段进行追溯。从客户的原始需求正向追溯到最终产品,从最终产品逆向追溯到原始需求覆盖包括设计、开发、测试、交付等所有流程,以及所有接触过该软件的人、工具、组件、研发和生产环境等关键要素。中兴通讯将安全工具融合到整个 DevOps 工具链中,通过持续规划,协作开发,持续测试,发布与部署四大环节迭代串联,在代码扫描、漏洞扫描、渗透测试等安全类测试以及版本保护等关键安全活动中,确保安全工具的高效使用,形成运维监控闭环。中兴通讯对产品的过程交付物,如代码、技术文档,进行了信息安全风险识别并实施控制举措。代码在研发云内实现编译、单元测试 / 功能测试、评审,形成交付版本。代码和文档在研发云上的流转和出云有严格的控制策略,产品在开发过程中安全受控。中兴通讯网络安全白皮书1614. 全球一张网系统 (AOS): AOS 是公司员工进行远程支持工作的主要门户。网络数据保护为保护网络数据的安全,中兴通讯要求接入客户网络的个人移动设备做好基本的安全防护,如安装系统重要补丁和防病毒软件,仅安装授权的、与业务目的有关以及无信息安全风险的软件等。个人移动设备如需临时存储网络数据,需在客户同意后按照数据的敏感性进行相应的脱敏、加密等保护,并在遵循所在地法律法规的前提下,按照“最小范围”和“知所必需”原则进行传播。资产安全管理为确保客户网络设备的防护能力不会随着内外部威胁的变化而降低,中兴通讯基于合同要求定期对网络设备进行安全检查、加固和风险评估,践行对客户资产应尽的风险关注和处置义务。事件响应当客户网络出现安全问题时,现场工程师会立即上报至中兴通讯全球客户支持中心 (GCSC) 系统,并置上“产品安全”标签。安全问题会汇聚到产品安全事件响应团队 (PSIRT) ,并根据其严重等级分发到对应的产品支持团队,确保在客户服务水平协议 (SLA) 约定的时间内得到有效解决。此外,中兴通讯定期进行重大灾害、网络攻击等突发事件的应急演练,持续提升事件响应和处置的能力。远程接入管理为确保高效安全的远程技术支持,中兴通讯在遵循所在地法律法规和客户授权的前提下,允许产品专家通过部署的全球一张网系统 (Advanced Operations Suite, AOS)14、安全隔离区远程访问客户网络,进行问题排查或业务支持等。对客户网络的所有远程操作均可事后审计,确保符合客户预期的授权。授权管理在对客户的网络和数据进行操作前,如软件升级、安全加固、网络巡检,中兴通讯事先获取客户授权,并在约定的范围和时间段完成操作,操作过程记录在案,实施操作的人员可通过日志进行追溯。安全部署为确保软件端到端的安全部署,中兴通讯实施严格的流程和管理制度,仅授权人员才能从支撑网站下载所需版本或补丁,下载均有记录,且所有下载的软件会在升级前进行完整性检查和病毒检查。软件部署所需的工具和软件均从指定官方渠道获取,确保安全可信和知识产权合规。中兴通讯网络安全白皮书17社会责任 社会贡献具备专业技术拥有专业人才质 量交 付 成 本EHS安 全全面的健康安全组织体系,包括工作环境安全、员工健康安全等工程交付准确、及时和完整完备的信息安全、产品安全制度 服务价格有竞争力、有成本优化的潜力图 6 中兴通讯交付领域合作伙伴管理体系外包商管理TQRDCS完善的质量管理体系,包括质量管理规范、质量绩效评估和提升能力合作伙伴管理合作伙伴是交付领域的重要力量,中兴通讯在与他们的合作中扩大了安全保护的边界,可能引入新的安全风险,应有完善的机制对合作伙伴进行安全管理,确保安全可信。中兴通讯建立了整套认证管理体系,通过认证评估、资质管理、安全管理、绩效管理和信用管理,实现对合作伙伴的进入、合作、退出全生命周期的管理机制,并基于供应商关系管理系统、财务系统和工程项目管理对合作伙伴进行端到端可视化管理。中兴通讯制定并实施了合作伙伴认证与采购的安全基线,明确了新引入的合作伙伴必须满足的产品和服务的安全标准。潜在的合作伙伴只有通过包含产品安全及其它要素的评估后,才能正式服务于中兴通讯及其客户。所有通过认证的合作伙伴均需签署包含产品安全要求以及违约责任的产品安全承诺书。中兴通讯定期对合作伙伴的服务绩效和安全情况进行综合风险评估,并根据评估结果进行分级管理和确定未来的合作机会与频率。技 术 社会责任响 应供应能力、资源调度和组织能力中兴通讯网络安全白皮书18安全事件响应机制中兴通讯事件响应机制穿透了供应链、研发和工程服务领域,由专职团队 PSIRT 负责接收、处理和披露与中兴通讯产品和解决方案相关的安全漏洞。 PSIRT 协同客户和利益相关方有效合作,快速给出解决方案。对于安全事件和数据泄露建立分级响应机制,确保统一协作并快速修复,迅速恢复业务。安全事件处理采取预防、检测、纠正和恢复、事后反馈的闭环处理机制,一旦发生安全事件, PSIRT 迅速对事件进行分析,采取必要措施控制事态发展,直到业务彻底恢复。事件得到有效控制后进行复盘改进,防止类似事件再次发生。图 7 安全事件响应机制客户全球技术支持热线和邮箱:+86-755-26771900CERT 组织安全团体上报渠道:PSIRT威胁情报获取事件识别上报波及客户网络解决方案会第一时间分发至其他受影响客户验证分析抑制消除彻底修复验证反馈安全事件处理客户影响分析规避措施补丁 /版本产品经营团队研发团队工程服务团队安全专家团队供应链团队合规 & 法务 & 品牌等支撑团队PS I RT安全团队响应安全事件由于威胁和脆弱性会发生改变,这导致网络的安全风险不能完全消除。当安全风险转变为安全事件时,需要及时缓解,以减轻安全事件带来的不利影响。同时,消减漏洞能在很大程度上避免安全事件的发生,因此,任何已识别的产品漏洞信息应及时披露给客户,并提供漏洞处理方案。此外,安全事件响应和漏洞处理机制有赖于利益相关方协同、高效地分享信息并及时响应,以有效缓解安全风险。安全事件管理中兴通讯网络安全白皮书19图 8 产品安全漏洞处理流程开发方案规避措施补丁 / 版本公开披露:披露分析验证漏洞复现影响分析根因分析上报渠道:全球技术支持热线和邮箱:+86-755-26771900 PSIRT 邮箱:漏洞接收信息安全是保护公司资产的安全,为公司产品研发和生产运营等业务提供安全的环境。通过建立信息安全管理体系,从组织、人员、流程、技术等维度确定控制措施,保证资产的机密性、完整性和可用性,提升公司信息安全水平,为公司业务发展保驾护航。中兴通讯建立了信息安全管理体系 (ISMS),定义信息安全总则、安全策略、信息分级、风险评估和安全审计等管理流程,制定
