中兴通讯产品安全白皮书.pdf

中兴通讯产品安全白皮书 为客户提供端到端产品和服务的安全保障 安全融入血脉 透明增进信任 中兴通讯首席安全官 : 钟宏 中兴通讯股份有限公司 2019 年 3 月 01 本白皮书描述了中兴通讯对网络安全的原则立场、产品安全战略和实践，由许多同事共同完成。 在此，要感谢对本文档做出重要贡献的人： 曹鲲鹏、程军华、池逸飞、高瑞鑫、何英、华国红、李荣坤、刘日昇、刘岩、刘艳、龙浩、马致原、 孟朱丽、聂永立、平立、宋伟强、王华刚、王琳、王玉忠、韦银星、徐国荣、杨铁建、张灿、张杰、 张锐、赵善红、郑均、周继华，以及其他直接或间接对本白皮书做出贡献的人。 钟宏 中兴通讯首席安全官 作者 02 目录 序言 执行摘要 中兴通讯产品安全战略 端到端的产品安全实践 基于三道防线的产品安全治理架构 产品安全规范体系 研发安全 研发安全流程和组织 概念阶段 计划阶段 开发阶段 测试阶段 发布阶段 第三方组件安全治理 持续安全交付 供应链安全 供应商及材料管理 生产制造及返修安全 仓储物流安全 交付安全 交付安全的三个阶段 第三方合作伙伴管理 04 05 08 13 14 16 17 18 19 19 20 20 21 21 21 22 23 25 26 27 28 29 03 信息安全 信息定密 人员安全 物理安全 IT安全 个人数据保护 数据保护合规体系 数据泄露响应机制 数据保护方案实践 安全事件管理 产品安全事件响应机制 产品安全漏洞处理流程 业务连续性管理 研发过程业务连续性管理 供应链业务连续性管理 工程服务业务连续性管理 IT系统业务连续性管理 独立安全测评 独立安全测评控制机制 独立安全测评过程 独立安全测评技术 安全审计 网络安全实验室和外部合作 展望未来，共同前进 附录：中兴通讯产品安全大事记 30 31 31 31 32 34 35 36 36 37 37 38 40 41 41 41 41 42 42 43 43 44 45 46 48 04 序言 网络空间几乎渗透到社会的方方面面，与人类的生活息息相关。网 络空间是一个开放的舞台，由于网络威胁和防御的不对称性和网络 空间固有的脆弱性，网络空间容易受到攻击和破坏。网络安全关系 到每个依赖于这个庞大网络的系统和个人，受到世界各国政府、运 营商和用户的广泛关注。 电信设备和系统是网络空间中一项关键基础设施，作为全球综合通 讯解决方案提供商，中兴通讯在网络安全方面的原则和立场如下： 安全是中兴通讯产品研发和交付的最高优先级之一，中兴通讯根据 公司发展战略规划，参考适用的法律法规和国际国内标准，建立健 全的产品安全治理结构，培养全员安全意识，强调全流程安全。中 兴通讯重视客户的安全价值，遵从网络安全的相关法律法规，保证 端到端交付安全可信的产品和服务。 中兴通讯愿以开放、透明的方式与运营商、监管机构、合作伙伴和 其他利益相关方进行沟通和合作，遵守相关法律法规、尊重客户和 最终用户的合法权益，不断改善管理和技术实践，以安全可信的产 品和服务回馈客户，共同建立安全的网络环境，维护良好的网络空 间安全秩序。 05 执行摘要 06 1 2 5G时代已经开启，云计算、物联网、大数据、人工智能等技术得到越来越广泛的应用。新技术应用在带来 新一轮的产业变革的同时，网络安全形势越发严峻。一方面，全球性的网络安全威胁和网络犯罪十分猖獗， 威瑞森2018数据泄露调查报告 1 深入挖掘了全球多个行业的网络安全状况，报告了在2018年超过5.3 万起网络安全事件和2216起经证实的数据泄露；另一方面，信息系统存在大量的安全漏洞，截止2019年 2月底，公开批露的CVE漏洞达112364件 2 ，严重漏洞占13.5%，高危漏洞占23.0%。 电信设备和系统是网络空间中一项关键基础设施，由于安全威胁和防御的不对称性和系统固有的脆弱性， 电信基础设施容易受到攻击和破坏，系统面临着巨大的安全风险。各国政府和运营商对产品安全存在担忧， 如：产品完整性、后门、供应链安全、个人数据保护等。 中兴通讯坚持开放、透明和信任的态度，以自顶向下的方式开展产品安全治理工作。中兴通讯构筑三道防 线安全治理结构，将安全策略融入到产品生命周期的每个阶段，建立覆盖产品研发、供应链与制造、工程 服务、安全事件管理和独立验证审计等领域的产品全生命周期的产品安全保障机制，通过产品安全的基线化、 流程化和闭环化，实现产品和服务的端到端的安全交付。 5G 时代已经开启，云计算、物联网、大数据、人工智能等技术得到越来越广泛的应用。 新技术应用在带来新一轮的产业变革的同时，网络安全形势越发严峻。 中兴通讯坚持开放、透明和信任的态度，以自顶向下的方式开展产品安全治理工作。 云计算 物联网 大数据 5G 时代 人工智能 07 高层领导重视和承诺 中兴通讯重视客户的安全价值，遵从网络安全的相关法律法规，保证端到端交付安全可信的产品和服务。安全 是中兴通讯产品研发和交付的最高优先级之一，中兴通讯根据公司发展战略规划，参考法律法规和国际国内标 准，建立健全的产品安全治理结构，培养全员安全意识，强调全流程安全。 产品安全方针 中兴通讯的产品安全保障计划坚持六点方针：有规范，严执行，强监管，能追溯，全透明，可信赖。 有规范：尊重规则和规范，根据适用的法律法规和国际国内标准，制定一系列产品安全的策略、标准、流程和 指导书。 严执行：各业务部门的日常工作均按照规范严格执行，通过问责制和发布“产品安全红线”加强执行的力度。 强监管：通过三道防线治理模型进行强有力的监督和管理。 能追溯：所有安全活动都做到有记录可查询，有证据可追溯，快速发现和定位问题。 全透明：公司的安全活动向客户、政府和利益相关方公开，客户可参观、代码可审查。安全问题披露透明公开， 漏洞和补丁及时发布。 可信赖：通过开放透明的安全治理活动以及第三方安全认证，增进客户的信任。 三道防线治理架构 在组织架构方面，中兴通讯采用三道防线治理架构，从多角度保障产品及服务的安全性。各业务单位作为第一 道防线实现产品安全性的自我管控；公司产品安全部作为第二道防线实施独立的安全测评和监督；公司内控审 计部作为第三道防线评估与审计第一、第二道防线运作的有效性，同时公司接受客户和外部第三方独立机构的 安全审计。 安全人才队伍建设 中兴通讯组织了多种层面的产品安全意识和专业技能培训，如高层研讨会、管理干部读书班、全员培训、安全 设计培训、渗透测试培训和安全编码比赛等，推动了公司产品安全能力提升，形成了公司产品安全文化。 中兴通讯重视安全人才队伍的专业化，公司目前有30余位持有国际安全认证的人员，如CISSP、CISA、 CSSLP、CEH、CCIE、CISAW、C-CCSK等，具备成熟的安全架构、安全设计、渗透测试、安全审计、安全管 理等方面的安全能力。 端到端的安全交付 系统每个环节的安全都会影响到整体的安全，整体的安全强度由最薄弱的链条决定。中兴通讯的安全治理覆盖 研发、供应链、工程服务、事件管理和各支撑职能。对产品研发来说，包括安全需求、安全设计、安全编码、 安全测试、安全交付、安全运行维护等阶段的安全控制，同时考虑第三方组件安全。对供应链来说，涉及到采 购、生产、制造、仓储、运输直到交付给客户。 08 产品安全事件响应 中兴通讯产品安全事件响应团队（PSIRT）负责识别和分析安全事件，跟踪事件处理过程，与内部和外部相关 方密切沟通，及时披露安全漏洞，以减轻安全事件带来的不利影响。作为事件响应和安全团队论坛（FIRST） 成员和CVE编号颁发成员（CNA），中兴通讯以公开的方式与客户及相关方进行协同。 独立测评验证 在三道防线的组织架构下，独立安全测评属于第二道防线，负责对一线安全实践进行评估和监督。通过应用 风险控制的原则，从多个角度审核产品的安全性。通过监督与制约机制进一步降低安全风险，对发现的问题 实施闭环管理跟踪，直到问题解决，实现产品安全治理的持续改进。 第三方安全认证与合作 2005年，中兴通讯通过ISO 27001信息安全管理体系认证审核，并每年持续更新，所覆盖的范围包括中兴通 讯所从事的所有业务。2017年通过ISO 28000 供应链安全管理体系认证。通用准则（CC）认证是国际认可的 产品安全认证，中兴通讯目前已有12类产品通过CC认证，涉及核心网、接入网、光传输、网管、路由器、 基站控制器等主流产品和设备。 中兴通讯积极与多个第三方机构开展合作，对中兴通讯的产品进行安全测评，如源代码审计、安全设计评估 和渗透测试。 中兴通讯产品安全的愿景是“安全融入血脉，透明增进信任”，目标是为客户提供可信赖的、端到端的、全 生命期的安全保障。中兴通讯愿以公开和透明的方式与监管机构、客户、合作伙伴和其他利益相关方沟通与 合作，共同创造良好的安全生态环境。 安全审计 中兴通讯的安全审计对公司产品安全保障体系的健全性、合理性和有效性进行独立评价，以组织与运作、风 险管理过程、控制活动、内部监督等维度开展，覆盖产品安全总体治理、研发安全、供应链安全、交付安全、 安全事件响应、独立安全测评等端到端的产品安全保障全流程，实现产品安全体系的可监管、全透明管理。 在本安全白皮书中，提出了中兴通讯的产品安全战略，描述了中兴通讯产品安全的愿景、使命、 目标、战略和方针；介绍了中兴通讯端到端的产品安全实践，覆盖三道防线治理架构、研发安 全、供应链安全、工程服务安全、信息安全、安全事件管理、业务连续性管理、独立安全测评 和安全审计；最后回顾了中兴通讯在产品安全领域的里程碑事件。 09 中兴通讯产品 安全战略 图 1 产品安全战略 10 电信网络是一项关键国家基础设施，对运行在网络上的各项业务和公共服务至关重要。 电信运营商、政府和用户对电信网络的安全非常重视，中兴通讯对安全也高度重视，制 定了公司的产品安全战略，把安全作为公司产品研发和交付的最高优先级之一。 安全融入血脉，透明增进信任 建设一流的产品安全治理体系，为客户提供端 到端的安全保障 提供可信赖的端到端的、全生命周期的产品 安全保障能力 安全作为产品研发和服务交付活动中 最高优先级之一 有规范，严执行，能追溯，强监管， 全透明，可信赖 愿景 使命 目标 战略 方针 11 愿景：安全融入血脉，透明增进信任 安全是产品和服务的一项内在属性，不是一项附加的特性，中兴通讯将安全有机融入业务、组织、流程、技术、 意识和文化中。中兴通讯可以向客户呈现产品实现和过程保障的每个细节，愿意以公开透明的方式增进客户 的信任，客户可以审查源代码和设计文档，可以了解实际运行的系统并进行检测，可以了解采用的安全控制 措施。 目标：提供可信赖的端到端的、全生命周期的产品安全保障能力 遵循法律法规、安全标准和最佳实践，考虑客户的要求和期望，通过组织、流程和技术，来保护网络、设备、 应用和数据等资产免受攻击、破坏或未授权的访问，实现已管理的产品安全。 建立健全的产品安全治理结构，建立起覆盖产品研发、供应链与制造、工程交付、安全事件管理和验证审计 等领域的端到端、全生命周期的安全保障机制，构筑三道防线的产品安全治理结构，实现产品安全的基线化、 流程化和闭环化，具备可信赖的产品安全交付能力，确保中兴通讯的产品安全可信。 树立客户对中兴通讯产品安全的信心，如：产品完整性、无后门、供应链安全、个人数据保护等。 使命：建设一流的产品安全治理体系，为客户提供端到端的安全保障 高级管理人员投入资源并自顶向下地从组织、人员、流程和技术等方面建设一流的产品安全治理体系，保证 各项业务的安全有效开展，为客户提供端到端的安全保障。 12 战略：安全作为产品研发和服务交付活动中最高优先级之一 当产品安全与产品的功能要求或进度出现冲突时，优先考虑产品安全。在研发和工程服务过程中关键决策节点， 当需要做出选择的时刻，我们会优先选择保障产品的安全性。 方针：有规范，严执行，强监管，能追溯，全透明，可信赖 有规范：尊重规则和规范，制定涉及每个产品，每个环节的安全策略和流程规范，而且是具体可执行的，行 之有效的一套标准行为规范，形成一系列产品安全的策略、标准、流程和指导书。 严执行：各业务部门的日常工作均按照规范严格执行，通过问责制和发布“产品安全红线”加强执行的力度。 强监管：通过三道防线治理模型加强监督和管理，由监管部门进行流程审计，检查安全规范执行情况，审计 结果和规范执行情况上报公司产品安全委员会。 能追溯：维护管理产品的组件和局点分布；所有安全活动都做到有运行记录；安全事件发生时能快速回溯和 复盘，定位问题的根本原因。 全透明：公司的安全活动向客户、政府和利益相关方公开，客户可参观、代码可审查。安全问题披露透明公开， 漏洞和补丁及时发布。公司筹建海外安全实验室，可以让客户现场审查中兴通讯产品的系统、源代码和技术 文档。中兴通讯是CVE颁发机构，通过规范的漏洞披露策略让利益相关方知晓中兴通讯的安全漏洞处理过程。 可信赖：通过开放透明的安全治理活动以及第三方安全认证，增进客户的信任。中兴通讯与客户、第三方和 监管机构紧密合作，持续开展源代码审计、安全设计评审、供应商审计等活动。 13 端到端的产品 安全实践 图 2 基于三道防线的产品安全治理架构 14 基于三道防线的产品安全治理架构 产品安全委员会（ CSC） 董事会 / 审计委员会 中兴通讯建立了基于三道防线的组织架构来推进产品安全治理工作，一方面从组织机制上解决利 益冲突问题，避免一线业务单位为了产品和服务的市场进度，而牺牲安全要求的风险；另一方面 遵循风险控制的原则，通过业务单位的自我检查、第二道防线的独立安全测评、第三道防线的安 全审计，从多个角度和多个层次保障产品的安全性。 中兴通讯遵循适用的法律法规要求、国际国内标准和安全最佳实践，吸收领先企业的优 秀安全经验，结合公司的实际情况全方位持续改进安全实践，不断提升公司产品安全能 力，向客户提供安全可信的产品。 第一道防线 （业务单位） 第二道防线 （产品安全部） 第三道防线 （内控审计部） 产品经营部产品安全测评团队安全审计团队 工程服务安全事件响应团队 外部独立第三方团队供应链过程评估团队 平台研究院安全赋能中心 15 董事会 / 审计委员会 董事会授权产品安全委员会开展产品安全治理工作，董事会/审计委员会审核内控审计部提供的安全审计报告。 产品安全委员会 作为公司产品安全工作的决策机构，制定公司产品安全战略并保障资源，确定公司产品安全工作战略方向和目标，审 议产品安全规划，决策产品安全相关重大议题等。 第一道防线（业务单位） 业务单位是产品安全治理的第一道防线。各业务单位通过产品安全的自我规划、自我执行、自我检测和自我改进，实 现产品安全的自我控制。 第二道防线（产品安全部） 产品安全部是产品安全治理的第二道防线。产品安全部作为公司产品安全委员会的常设机构，负责推动落实产品安全 相关各项管理和技术实践，统筹产品安全策略规程建设，指导、检查、监督和评估第一道防线的工作。 第三道防线（内控审计部） 内控审计部是产品安全治理的第三道防线。内控审计部负责审计第一道防线和第二道防线的工作，包括流程执行的符 合性检查和产品安全检测，向董事会/审计委员会汇报审计结果。内控审计部可以和第三方外部审计共同对公司的产 品安全执行情况进行审计。 产品安全治理还涉及一些其他支撑团队，如人力资源、财务、战略和投资、运营管理、公共事务、法务合规和行政物业等。 支撑安全策略运行的规章和流程，包括从供应链到研发到交付、事 件响应等一系列的安全规范和流程，如研发安全规范、供应链安全 管理规范、工程服务技术交付网络安全管理规范、产品安全事件响 应流程、安全编码标准等。 产品安全指导书 16 产品安全规范体系 中兴通讯建立了产品安全策略、标准、流程和指导书，产品安全策略体系对产品安全治理提出了 基本的要求，公司颁布了系列的安全管理规范和标准，各业务单位遵循产品安全要求一致地开展 产品安全实践活动。在安全规范实际运行中，输出了相应的结果和记录，可作为证据提供给相关 方进行审计。 公司的产品安全文件体系总体分为四层 第三层 第二层 第四层 产品安全总则 产品安全管理规范和流程 该标准是公司产品安全大纲，主要内容包括产品安全的方针、目标、 运作、组织、策略、流程和文件等，所有下层文件以此标准为基础。 公司产品安全策略体系包括：总体治理策略、供应链安全策略、研发 安全策略、交付安全策略、安全事件响应策略和安全审计策略。 支撑规章和流程的文件，如安全工具使用指导书、安全基线编写指 导书、安全加固指导书。 执行过程和结果的记录，如源代码扫描报告、安全测评报告、漏洞 分析记录、安全事件复盘报告。 产品安全记录 第一层 17 研发安全 安全作为产品研发和服务交付活动中最高优先级之一，在追求高效研发 的同时，我们更注重产品的安全，将“安全性”作为产品的一项基本属 性融入到产品开发生命周期过程中，确保公司始终具备客户可信赖的产 品安全交付能力，向客户提供安全的产品和解决方案。 概念 计划 维护 安全需求 安全计划 安全开发 安全测试 安全交付与维护 将安全活动嵌入到HPPD主流程，将安全管理要求融入到评审、决策体系，确保公司安全方针、目标在产品研发中落地 产品安全基线 系统威胁建模与 风险分析 安全设计原则和 架构设计 安全编码规范 代码安全检查 漏洞管理 开源与第三方组件安全治理 渗透测试 安全漏洞扫描 网络攻击 仿真测试 版本病毒扫描 安全加固 版本一致性 安全事件响应 产品安全方案 产品安全需求 法律 政府 行业 客户 要求 持续提升安全能力，提供安全活动的组织保证，支撑HPPD研发过程；通过安全度量、安全审计发现改进安全活动机会 公司产品安全方针、目标 安全能力提升 安全组织保障 安全审计 安全度量 开发 图 3安全活动嵌入HPPD主流程 3 4 18 高效产品开发流程（HPPD）是中兴通讯研发领域共同遵循的流程，为适应不同客户和市场竞争条件的要求，一直保持 持续改进和演进。安全作为产品的一种基本属性，已融入到产品开发生命周期过程中。 公司结合实际的研发活动，并参考业界安全实践模型，如BSIMM 3 ，微软SDL 4 ，在高效产品开发流程(HPPD)中定义 了安全需求、安全计划、安全开发、安全测试、安全交付与维护等安全活动，确保安全特性有效地融入到产品中。同时， 公司不断提升安全能力，为安全活动提供组织保障，从而有效支撑高效产品开发流程的运行。实施安全审计和安全度量， 不断对高效产品开发流程的持续改进。 通过HPPD流程内嵌保证安全活动的有效落地，为向客户提供更安全的产品和解决方案，在端到端业务流程中融入安 全要求，例如需求分析中的安全威胁分析，产品设计中的安全架构设计，产品开发中的安全编码及源代码安全扫描， 产品测试中的安全功能测试及渗透测试，产品发布中的漏洞扫描、版本一致性保证等。 公司在产品研发安全组织保障方面，建立了以产品安全总监为核心力量的软件安全小组（SSG），在产品端到端过程中 涉及的规划、研发（需求、设计、开发、测试）、供应链、交付、市场等主要团队的骨干均是通过威胁建模来理解安 全需求，确保产品涉及的各领域的风险充分识别，问题得以快速解决。公司级产品安全委员会对产品安全问题重大风险、 问题进行决策，授权SSG主管对产品安全总监进行业务指导。 研发安全流程和组织 5 SATRC: System, Asset, Threat, Risk, Control 19 在概念阶段，中兴通讯根据市场准入需求（法律法规及行业标准）、客户安全需求、竞争分析、行业活动、同行经验、 特定信息保护、公司内部安全要求，将中长期安全需求纳入产品路标规划，短期安全需求纳入产品版本规划。 产品安全需求主要包括两部分，一是公司产品安全基线，作为最基本的安全需求强制执行；二是对产品在运营商网络 或政企网络的应用场景进行评估风险，将相关的应对措施纳入安全需求。 概念阶段 在计划阶段，中兴通讯参考ITU-T X.805、ISO 15408、3GPP和IETF等安全规范和业界最佳实践，制定了产品安全设 计规范。在此阶段，研发团队进一步细化安全需求，并依据产品安全设计规范进行产品的安全架构设计和特性安全设计。 分析系统的安全需求和潜在安全威胁，确定产品的安全架构和系统方案，确保系统方案满足市场和客户的安全要求。 根据公司安全准入标准，由专业团队来验证供应商的关键物料的安全性，评估第三方的组件的安全性。 通过威胁建模来理解安全需求，在早期发现其他技术不能发现的问题并进行控制。参考业界最佳实践，如ITU-T X.805， 微软STRIDE/DREAD，Synopsys ARA等模型，建立了一套适合通讯产品的系统威胁建模方法-SATRC 5 。 计划阶段 定义系统 分解业务场景，建立系统逻辑架构 模型，识别信任边界、入口点，绘 制数据流图 确定资产 硬件、软件、数据、服务 评估风险 根据威胁造成的风险对威胁进 行评价 发现威胁 完成建模，输出攻击列表 制定控制措施 根据风险的高低，针对威胁确 定相应的应对措施 20 制定安全测试规程和安全测试方案，设计并执行测试用例以验证安全功能模块，对产品进行漏洞扫描、协议健 壮性扫描、渗透性测试，完成系统脆弱性分析。确定产品的安全加固实施方案，提供产品安全认证需要的证据。 开发阶段 测试阶段 在开发阶段，遵循安全编码规范要求，完成编码实现和安全文档开发，并对代码进行静态检查和自动化扫描。 安全编码和代码安全性检查 基于业界权威的安全编码规范，如CERT（计算机安全应急响应小组）、OWASP（开放式Web应用程序安全项目）、CWE（通 用缺陷列表）、STIG（ 安全技术实现指南），建立公司安全编码规范：C/C+/Java/Web安全编码规范。同时，使用业 界领先的源代码扫描工具，如：Klocwork、Coverity。对代码的质量、可靠性、安全漏洞、可维护性进行有效检测和识别， 针对工具扫描出的问题采取有效的跟踪和管理措施，如Klocwork数据的看板化管理，随时监控缺陷遗留情况。 建立三层检查控制点机制，对代码进行三次扫描，分别是：个人构建自检；模块构建扫描；项目构建扫描，如未达成安 全缺陷零遗留的目标，无法通过控制门。 21 产品确保经过多种主流杀毒软件检查无异常后发布版本。同时，从版本发布到用户部署以及运作维护过程中，进行必 要的安全保护，保证版本的一致性。 使用混淆工具对软件版本进行保护，如采用重命名、字符串加密、虚拟代码插入、代码逻辑混淆等方式，使攻击者难 以采用逆向工具直接获得原始代码，从而增强对设备的保护。 中兴通讯对需要使用的第三方组件实施全生命周期管理，从这些第三方组件的引入，直到作为产品的一部分向客户交付。 将第三方组件的安全风险评估、安全测试、漏洞管理嵌入到HPPD流程中，确保在产品生命周期中，一旦发现安全漏洞， 会对漏洞进行评估，并提供解决方案或者规避措施，传递给PSIRT，快速解决所有与第三方组件相关问题。 中兴通讯建立组件广场，存储第三方组件，严格管控第三方组件的使用，确保开发人员只能从经认证的来源获取组件， 同时集中保证第三方组件是合规的、安全的、最新的。我们将第三方组件作为配置项，纳入软件配置管理流程，确保 可以追溯组件的使用。 中兴通讯加入开源社区，持续跟踪社区发布的漏洞，提交安全漏洞修复方案。积极为开源组件产品安全作出贡献。 发布阶段 第三方组件安全治理 DevSecOps持续安全交付由稳固的配置管理支撑系统和与开发流程相融合的DevOps工具链进行保障。 中兴通讯的配置管理系统保证了从客户的原始需求沿着流程的各个阶段进行追溯，从设计、软件编码、测试、质量保障、 现网部署，以及反过来从现场发现的故障，一直追溯到最开始的源头，从客户的原始需求正向追溯到最终产品，并从 最终产品逆向追溯到原始需求覆盖所有步骤，所有流程，所有接触过该软件的人，所有部件，所有软件版本编号等。 同时，将安全工具融合到整个DevOps工具链中，通过持续规划，协作开发，持续测试，发布与部署四大环节迭代串联， 在代码扫描、安全测试、漏洞扫描、版本保护等关键活动中，确保安全工具的高效使用，形成运维监控闭环。 中兴通讯对代码进行了信息安全风险识别并确定了控制举措。研发人员通过终端接入桌面云，访问研发云。代码在研 发云内实现编译、单元/功能测试、评审，形成交付版本。并为代码和文档在桌面云、研发云之间的流动制定了响应 的控制策略：如代码未经审批不能拷贝出云；桌面云通过白名单可以访问互联网，研发云不能访问互联网；个人终端 可以访问互联网，不能访问研发云、IT服务资源；参与外部社区开发，通过中转代码库；调试区进行A级区域管控等， 有效确保代码在开发过程中安全受控。 持续安全交付 图 4 全球供应链管理流程图 22 供应链安全 信息技术是全球开放程度最高的产业，导致产业链全球分布，通讯设备提供商都不可避免的需要全球产业 链上合作伙伴的支持，来自第三方的部件也可能存在安全风险，中兴通讯在供应商与材料管理、制造与返 修、物流与仓储等可能出现产品安全风险的业务中采取了一系列管控措施，保障在这些业务活动中不引入、 不产生、不流出安全缺陷，将自主研发设计的产品以及从第三方采购的配套材料安全地交付给客户。 中兴通讯把产品安全的要求嵌入到供应链的业务流程之中，包括：供应商及材料管理流程、制造及返修流程、 物流、仓储及逆向物流流程等。 供应链建立有专门的产品安全保障团队，识别供应链产品安全风险，健全并完善业务流程，制定有效的风 险管控措施和安全事件响应机制，并通过持续改进的方法，保障公司产品安全管控措施落到实处，确保公 司产品在供应链中的完整性、可靠性和可追溯性。 中兴通讯通过了ISO9001认证，加入全球电信业优质供应商联盟（QuEST Forum）并担任亚太区、大中华 区联席主席。2017年中兴通讯正式获得ISO28000（供应链安全管理体系）和海关AEO贸易安全认证，供 应链安全管理迈上了一个新台阶。 原材料 半成品 外购件 物流 逆向 需求订单 供应商及材料 生产制造及返修 物流仓储及逆向 供应商 认证/材 料管理/ 检验 单板 生产 软件 录入 整机 生产 配置 调测 配送 包装 返修 仓储 客 户 及 营 销 合同 供应链 23 中兴通讯致力于与合作伙伴建立长期稳定的合作关系，实施战略采购，不断扩展与战略合作伙伴的合作机会，形成互信、 稳定、可持续的“共赢”关系。同时希望合作伙伴能够尽早地参与到产品研发和市场项目中来，共创价值。 设立了实践者社区（Communities of Practice），实践者社区提供了一个与合作伙伴全新的技术交流和产品安全交流 方式，是一种正式学习与非正式学习相混合的学习环境。自2017年成立中兴通讯材料COP以来，与多家供应商一起， 举办了线上、线下超过百余场的技术交流。2018年我们还与多个合作伙伴举行过CTO Day活动，取得了很大成效。 中兴通讯实施战略采购，不仅仅体现在中兴通讯与单个供应商之间点对点的协同，我们希望将更多的合作伙伴以及合 作伙伴的上下游联合起来，形成生态圈，通过标准、技术、产品、市场、商业模式等方面的创新与实践来发展壮大产 业链，通过供应链协同规划、IT系统对接、管理经验共享，优势互补，共同提升，形成更加紧密的战略合作关系。在 5G、物联网、大数据、人工智能等新兴行业，将与合作伙伴进行更加深入的合作。 供应商及材料管理是公司产品安全管理体系的一个重要组成部分。分布于全球各地不同行业、规模和文化的数千家供 应商及合作伙伴，分工合作，提供数万种原材料、半成品、成品或服务，是中兴通讯为客户提供产品和综合解决方案 的重要组成部分。 供应商及材料管理 供方引入业务流 需求基准 商务基准财务基准 网络安全 质量 基准 交付 基准 技术基准 技能基准 符合要求的供方 CSR 基准 行业供应商资源供应商资源引入需求 风险 风险 风险 风险 风险 风险 合规基准 图 5 中兴通讯供应商准入机制 24 中兴通讯一直非常重视供应商管理制度建设，建立了一整套从寻源评估、到资质认证、再到淘汰退出的供应商全生命 周期管理机制，包含产品安全管理、企业社会责任（CSR）管理、质量管理、绩效考核和问题追溯等诸多管理内容。一 家潜在的供应商只有通过产品安全评估及其它诸多方面考察，通过综合评估，才能成为中兴通讯的合格供应商。 在材料管理方面，中兴通讯同样也有一整套业务管理流程。我们将材料的产品安全风险定义为高、中、低三个风险等级。 高风险材料的产品安全测试在新材料引入和旧材料变更中进行。对于中低风险等级的材料，则通过与供应商签署产品 安全协议的形式，要求供应商进行自我管理和约束，中兴通讯对该协议的实施情况，会组织定期或不定期的安全审计。 供应商对产品安全事件的响应是中兴通讯产品安全事件响应的重要组成部分。中兴通讯要求供应商在提供产品或服务 的过程中必须遵守与中兴通讯达成的产品安全协议，及时发布漏洞预警和解决方案，确保将外部引入的产品安全风险 降至最低。比如在安全测试和产品使用过程中若发现安全漏洞，供应商应当积极协同配合进行追踪和定位，并及时提 供补丁、升级、替换或召回等解决方案。 材料名称 25 生产制造过程中的产品安全管理是公司产品安全管理体系的一个重要组成部分。基于供应链安全管理体系规范 （ISO28000），中兴通讯建立了一套端到端的制造安全管控体系，覆盖了从来料检测、部件制造、整机组装、到成品 包装和成品入库的整个过程，包括一系列流程文件、操作指导书和其它工作说明等文件，把产品安全规范的要求嵌入 到制造业务流程之中。通过有组织的培训和学习，把产品安全规范的要求溶入员工的意识之中。 为了管控生产制造过程中的产品安全风险，中兴通讯建立了端到端的管理流程，以防止软件、硬件被篡改，包括未授 权的硬件替换、软件植入或篡改、病毒感染等。在生产制造过程中，识别出与产品安全相关的关键生产工序，包括： 产品软件版本管理、芯片写片、印制电路板装配（PCBA）最终测试、模块调测、老化测试、整机调测、包装、运输与 返修等。根据产品安全风险等级，将所有产品制造与存储区域划分为三个等级的产品安全管控区域，其中产品安全一级、 二级管理区是安全严管区域。在产品安全严管区域，均设置有安全管理员负责日常监管、实施区域内的安全管控措施。 中兴通讯还对产品安全敏感岗位上的人员实施例行的人事背景调查，以避免因人的因素而产生的产品安全风险。软件 产品安全管理流程中，为了防止制造过程中对产品软件的篡改，中兴通讯的工程师只能通过授权访问的产品数据管理 系统（PDM）来归档和发布软件。 生产制造及返修安全 Customer Supplier 交付生产采购 ERP-CMS/SCM MES/SCM-WMS SCM/STEP 风险材料追踪 供应商名称 采购订单 在途数量 品牌 采购数量 客户已接收数量 规格型号 接收数量 材料代码 库存数量 客户名称 在制数量 销售合同 图 6 生产制造过程产品安全管理 中兴通讯采用制造执行系统(MES)，对产品的制造过程信息进行完整的记录。根据产品条码、批次信息可以对产品的制 造过程信息进行端到端的有效追溯，包括供应商的来料批次号（含序列号）均在追溯范围之内，同时配合采购的供应链 （SCM）系统、交付的仓储管理系统（WMS）系统实现从材料采购到成品交付的端到端管理和追溯。通过这些管理措施， 中兴通讯可以及时定位到质量问题或产品安全漏洞所涉及的整机、部件、单板或器件，及时掌控在库、在制、在途、客 户已接收的数量和状态，提升安全响应的速度和效率。 订单 交付 26 返修业务中的产品安全是中兴通讯产品安全管理的重要一环。在公司产品出现故障需要送修时，通过中兴通讯故障 设备送修单及其他方式提醒客户对敏感信息进行处理，如数据保存、删除、移除存储介质后再送修等，并在送修设 备的监护权转移到中兴通讯之后，由中兴通讯负责该设备的软件、硬件产品的安全保护。 在维修过程中，中兴通讯只使用认证合格的供应商供应的物料，严禁使用来源不明的物料与器件，从物料源头上保证 返修设备不会受到非法侵害；物料、返修设备在周转期间也采用相应措施，采取视频记录、网络隔离等方式，保证返 修设备在维修过程中不会受到非法篡改、病毒感染以及数据泄露等。中兴通讯有专门针对维修环节进行数据清除的工 艺与要求，对无法修复并替换的设备，由专业单位进行回收处理。返修设备使用售后服务管理系统（ECC-ASM）记录 设备返修各环节的信息及追溯，能够直观了解到设备的处理状态与处理人，并有一整套相应的查询、记录、信息分析 功能。 在物流仓储方面，中兴通讯依托国内六大物流中心，与全球物流服务商深入协同，逐步建设大国物流中心，优化全球 供应链网络布局，策划精品货运线路，确保项目及时交付。携手全球优质物流服务商，依托物联网技术和智能平台， 实现物流状态全程可视，保障客户资产的物理安全。 中兴通讯通过仓储管理系统实现在库货物全程跟踪。对物流仓储IT系统、监控设备和安保设施定期升级，避免物流和 仓储过程中恶意代码植入、核心器件替换或被破坏。通过可视化平台实现订单信息一键查询，状态全程可视。 中兴通讯建立有完整的逆向物流管理流程，依据所在国和当地的法律法规要求策划逆向物流方案，满足客户及所在国 家和地区对信息安全和隐私保护的要求。当逆向回收设备可能含有敏感数据风险时，中兴通讯会提醒并要求客户在设 备返回前对数据进行清除。对于需要报废的产品，则要求报废回收商提供销毁报告，对敏感产品的报废要求有专人现 场监督进行销毁。 仓储物流安全 操作系统/数据库安全补丁 项目产品安全移交技术通知单实施网络安全检查安全补丁 安全加固 验收 / 移交阶段 运维阶段 产品安全测试故障处理重大操作执行网络数据使用授权 移动存储设备安全 访问控制物理安全软件合规操作安全客户授权 数据保护账号安全客户信息保密事件响应 遵循 ISO27001 标准 一个完整的项目交付周期涵盖新建、验收/移交和运维三个阶段。每个阶段均设置有关键安全检查点。根 据各个环节的业务特点，在交付领域定义了一系列安全措施，减小任何操作上的不符合规范可能引入潜在 的安全风险。依据一致的产品安全标准，采用可验证、可重复的安全流程、标准和方法，保证及时发现和 处理安全隐患。中兴通讯根据法律法规、客户需求和安全最佳实践（如ISO27001标准）建立了工程服务 的行为规范，保障交付的产品和服务的安全。 27 保护交付给客户的产品安全是基本的目标，中兴通讯通过技术手段和管理双重措施来保障交付安全，一方 面是给客户交付安全的产品和方案，另一方面是要求人员遵守行为规范来保障产品交付过程的安全。 新建阶段 软件版本的完整性与安全性 工程服务行为规范 图 7 交付安全保障措施 要求人员遵守行为规范来保 障产品交付过程的安全 给客户交付安全的产品 和方案 交付安全 交付安全 28 交付安全的三个阶段 新建阶段 在项目新建阶段，为了防范配置被人为意外地修改和软件篡改，交付领域实施严格的验证 措施：软件仅从指定的官方网站下载，并在版本安装前强制进行一致性检查，确保版本的 完整性与安全性。 工程开通和调测期间，现场人员进行一系列动作：采取技术手段检测恶意程序、安装指定 的操作系统或数据库补丁、进行安全扫描、根据配套的产品合规配置指导和安全加固指导 书等完成加固配置等。 运维阶段 安全风险一直随着新的威胁、新的监管要求、新的攻击形式和不断发展的漏洞而变化。中 兴通讯的交付人员在运维阶段持续监控不断变化的情况，定期进行安全巡检，及时进行安 全漏洞的补丁升级， 保障返修件的数据安全，所有的操作都需要得到客户的许可。 验收移交阶段 项目移交前，进行一系列安全测试（如是否清除各种临时配置等）保证产品的安全性并输 出测试报告。测试报告通过客户验收后，产品方可移交。正式移交给客户的资产不仅包含 具体的物理设备，还有完整的测试报告、文档资料等，并且保证系统的帐号和密码的安全性。 29 在交付活动过程中，第三方合作伙伴的任何不安全行为，都会增加交付风险。交付领域从管理、能力、监 控三个方面对合作伙