《中興通訊網(wǎng)絡(luò)安全白皮書（2023）》

治理遵從開放透明

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

安全融入血脈，透明增進(jìn)信任

中興通訊股份有限公司

2023年12月

作者

本白皮書由中興通訊各領(lǐng)域安全專家共同完成，誠(chéng)摯感謝每位編寫人：

曹鯤鵬丁沛何英蔣璐孔韜李星梁平劉佳寧劉磊平立

湯可可唐蕾汪冬敏王義華韋銀星游世林章樂怡趙波周楊

同時(shí)鳴謝本白皮書的每位貢獻(xiàn)者：

曹琦戴恒韓殿罡華國(guó)紅黃智敏蔣國(guó)兵李雙全劉暉劉俊顏婁愛珍

羅永紅馬偉馬致原田力王華剛王霞王玉忠王智徐敏晏文德

楊桂榮楊宇鑫俞婷張金鑫張永毅張祥軍鄭均周天才朱林林

中興通訊首席安全官鐘宏

1

序言

隨著數(shù)字技術(shù)的發(fā)展，數(shù)字化基礎(chǔ)設(shè)施對(duì)促進(jìn)社會(huì)發(fā)展和經(jīng)濟(jì)增長(zhǎng)發(fā)揮著至關(guān)重要的作用。根據(jù)全球移動(dòng)

通信系統(tǒng)協(xié)會(huì)（GSMA）預(yù)測(cè)1，到2023年底，全球5G連接將達(dá)到15億，到2030年將達(dá)到53億；

到2023年底，全球聯(lián)網(wǎng)IoT設(shè)備數(shù)量將增長(zhǎng)16%，達(dá)到167億臺(tái)2。數(shù)字化的不斷發(fā)展增加了網(wǎng)絡(luò)安全

風(fēng)險(xiǎn)，根據(jù)歐盟網(wǎng)絡(luò)安全局（ENISA）《2023ENISA威脅態(tài)勢(shì)》3，網(wǎng)絡(luò)攻擊數(shù)量在全球范圍持續(xù)增加，

在報(bào)告觀察期內(nèi)，2023年全球安全事件數(shù)量是2022年的兩倍。

通信網(wǎng)絡(luò)作為關(guān)鍵的數(shù)字基礎(chǔ)設(shè)施，其安全性得到了前所未有的關(guān)注。從行業(yè)標(biāo)準(zhǔn)的制定和遵循，漏洞響

應(yīng)和協(xié)同披露，到生產(chǎn)廠商的全面安全保障措施，整個(gè)行業(yè)及利益相關(guān)者都在共同努力迎接挑戰(zhàn)。

各國(guó)政府加強(qiáng)了網(wǎng)絡(luò)安全立法，促進(jìn)通信及各行業(yè)的網(wǎng)絡(luò)安全水平提升，以保護(hù)關(guān)鍵的基礎(chǔ)設(shè)施。中國(guó)在

《網(wǎng)絡(luò)安全法》以及《數(shù)據(jù)保護(hù)法》等法律的基礎(chǔ)上，出臺(tái)了如《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》、《網(wǎng)絡(luò)

產(chǎn)品安全漏洞管理規(guī)定》等細(xì)化的管理規(guī)范。歐盟《網(wǎng)絡(luò)安全法》鼓勵(lì)在設(shè)計(jì)和開發(fā)的最早階段實(shí)施安全

措施，并強(qiáng)調(diào)通過不斷優(yōu)化的治理來確保ICT產(chǎn)品、服務(wù)和流程全生命周期的安全性。歐盟《網(wǎng)絡(luò)彈性法》

強(qiáng)調(diào)產(chǎn)品安全的重要性，要求制造商在產(chǎn)品的整個(gè)生命周期實(shí)施安全管理，包括產(chǎn)品的設(shè)計(jì)安全、默認(rèn)安

全和漏洞處理，以防止易受攻擊的產(chǎn)品進(jìn)入市場(chǎng)。同時(shí)，行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)也在不斷演進(jìn)，包括持續(xù)迭代

的GSMA網(wǎng)絡(luò)設(shè)備安全保障計(jì)劃（NESAS）、即將出臺(tái)的歐盟網(wǎng)絡(luò)安全認(rèn)證計(jì)劃EUCC和EU5G等，

中國(guó)也通過關(guān)鍵基礎(chǔ)設(shè)施認(rèn)證來推進(jìn)安全標(biāo)準(zhǔn)化。

中興通訊作為全球綜合通信與信息技術(shù)解決方案提供商，有義務(wù)、有責(zé)任遵守法律法規(guī)、遵循行業(yè)標(biāo)準(zhǔn)，

最大程度地保障通信網(wǎng)絡(luò)設(shè)備安全性，通過向客戶提供安全可信的產(chǎn)品和服務(wù)，使全球用戶享受安全可靠

的網(wǎng)絡(luò)連接和數(shù)字生活。

1.5GinContext,Q12023:/research/research/research-2023/5g-in-context-q1-2023

2.StateofIoT2023:NumberofconnectedIoTdevicesgrowing16%to16.7billionglobally/number-connected-

iot-devices/

3.ENISAThreatLandscape2023:https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023

01

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

此白皮書描述了中興通訊安全治理架構(gòu)和安全保障體系，著重強(qiáng)調(diào)了行之有效的治理方法和實(shí)踐，即在產(chǎn)

品全生命周期安全管控基礎(chǔ)上，聚焦于縱深改進(jìn)，包括設(shè)計(jì)安全和默認(rèn)安全、第三方組件管理、事件響應(yīng)

和漏洞管理等。這些安全管理貫穿供應(yīng)鏈、研發(fā)和交付業(yè)務(wù)流，并通過數(shù)字化支撐系統(tǒng)的不斷完善實(shí)現(xiàn)有

效落地和持續(xù)改進(jìn)。

網(wǎng)絡(luò)安全沒有止境，持續(xù)改進(jìn)沒有終點(diǎn)。中興通訊秉持開放透明，歡迎外部獨(dú)立安全驗(yàn)證，愿與運(yùn)營(yíng)商、

監(jiān)管機(jī)構(gòu)、合作伙伴和其他利益相關(guān)方密切溝通合作，不斷改善管理和技術(shù)實(shí)踐，共同建立安全可信的網(wǎng)

絡(luò)環(huán)境、保障數(shù)字世界安全。

02

2

安全保障實(shí)踐框架

中興通訊以基于風(fēng)險(xiǎn)的方式建立了覆蓋產(chǎn)品全生命周期的安全治理體系，始終將安全作為產(chǎn)品研發(fā)和交付的最

高優(yōu)先級(jí)。

中興通訊遵守法律法規(guī)，遵照行業(yè)標(biāo)準(zhǔn)，尊重客戶需求，以“安全融入血脈，透明增進(jìn)信任”為安全愿景，向

客戶交付安全可信的產(chǎn)品和服務(wù)，致力于實(shí)現(xiàn)“讓溝通與信任無處不在”的美好未來。

愿景安全融入血脈，透明增進(jìn)信任

使命建設(shè)一流的產(chǎn)品安全治理體系，為客戶提供端到端的安全保障

目標(biāo)提供可信賴的端到端的、全生命周期的產(chǎn)品安全保障能力

戰(zhàn)略安全作為產(chǎn)品研發(fā)和服務(wù)交付活動(dòng)中的最高優(yōu)先級(jí)

方針有規(guī)范、嚴(yán)執(zhí)行、能追溯、強(qiáng)監(jiān)管、全透明、可信賴

圖1中興通訊網(wǎng)絡(luò)安全愿景和使命

2.1三線架構(gòu)確保有效治理

企業(yè)和組織需要通過成熟的治理架構(gòu)來進(jìn)行高效的風(fēng)險(xiǎn)管理。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA)發(fā)布的三線模型4幫助企

業(yè)和組織確定最有助于實(shí)現(xiàn)目標(biāo)的管理架構(gòu)和流程，明確利益相關(guān)方的角色定位和職責(zé)，從而更有效地管理風(fēng)險(xiǎn)。

中興通訊采用基于三線模型的治理架構(gòu)進(jìn)行產(chǎn)品安全治理工作，建立了獨(dú)立于一線業(yè)務(wù)單位的安全組織，從機(jī)制

上避免利益沖突。通過一線業(yè)務(wù)單位的執(zhí)行和檢查、二線的獨(dú)立安全測(cè)評(píng)、三線的獨(dú)立安全審計(jì)，從多個(gè)角度和

多個(gè)層次保障產(chǎn)品和服務(wù)的安全性。

4.THEIIA’STHREELINESMODEL:/globalassets/documents/resources/the-iias-three-lines-model-an-

update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-english.pdf

03

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

董事會(huì)/審計(jì)委員會(huì)

圖例說明

產(chǎn)品安全委員會(huì)（CSC）三線

（內(nèi)控審計(jì)）指導(dǎo)

監(jiān)督

一線二線投資

（業(yè)務(wù)單位)（產(chǎn)品安全部）

安全規(guī)劃安全策略規(guī)程內(nèi)部審計(jì)負(fù)責(zé)

安全執(zhí)行安全風(fēng)險(xiǎn)管理報(bào)告

安全檢查安全測(cè)評(píng)監(jiān)督

溝通

安全改進(jìn)安全培訓(xùn)教育

協(xié)作

圖2中興通訊網(wǎng)絡(luò)安全治理三線模型

董事會(huì)/審計(jì)委員會(huì)：

董事會(huì)監(jiān)督和指導(dǎo)產(chǎn)品安全委員會(huì)（CSC）開展產(chǎn)品安全治理工作，內(nèi)控審計(jì)定期向董事會(huì)/審計(jì)委員

會(huì)匯報(bào)安全審計(jì)情況。

產(chǎn)品安全委員會(huì)：

作為公司產(chǎn)品安全工作的決策機(jī)構(gòu)，制定公司產(chǎn)品安全戰(zhàn)略并保障資源，確定公司產(chǎn)品安全工作戰(zhàn)略方向

和目標(biāo)，審議產(chǎn)品安全規(guī)劃，決策產(chǎn)品安全相關(guān)重大議題。公司高層作為產(chǎn)品安全委員會(huì)常委，參與產(chǎn)品

安全治理工作。

一線：

業(yè)務(wù)單位是產(chǎn)品安全治理的第一線。各業(yè)務(wù)單位通過產(chǎn)品安全的自我規(guī)劃、自我執(zhí)行、自我檢測(cè)和自我改

進(jìn)，實(shí)現(xiàn)產(chǎn)品安全的自我控制。在研發(fā)環(huán)節(jié)，產(chǎn)品基于設(shè)計(jì)安全并通過規(guī)范化流程確保產(chǎn)品研發(fā)過程安全

可控；在供應(yīng)鏈環(huán)節(jié)，強(qiáng)調(diào)供應(yīng)商、材料和生產(chǎn)制造安全可信，保證供應(yīng)的持續(xù)性和彈性；在交付環(huán)節(jié)，

遵守規(guī)范化的操作，保障產(chǎn)品和服務(wù)安全交付。

二線：

產(chǎn)品安全部是產(chǎn)品安全治理的第二線，采用獨(dú)立安全測(cè)評(píng)機(jī)制對(duì)一線安全實(shí)踐進(jìn)行評(píng)估和監(jiān)督。

公司設(shè)立了多個(gè)網(wǎng)絡(luò)安全實(shí)驗(yàn)室，實(shí)施獨(dú)立的安全測(cè)評(píng)。采用過程審計(jì)來評(píng)估一線安全治理執(zhí)行過程的符

合度和有效性；采用產(chǎn)品安全測(cè)試來評(píng)估產(chǎn)品的安全性，安全測(cè)試包括漏洞掃描、安全編碼審查、協(xié)議健

04

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

壯性測(cè)試及滲透測(cè)試。同時(shí)，公司積極與第三方機(jī)構(gòu)開展安全合作，對(duì)產(chǎn)品和流程進(jìn)行安全評(píng)估，如過程

審計(jì)、源代碼審計(jì)、安全設(shè)計(jì)審查和滲透測(cè)試。

中興通訊重視人員安全意識(shí)和能力的培養(yǎng)，持續(xù)開展多層面分領(lǐng)域的安全意識(shí)和專業(yè)技能培訓(xùn)，如全員安

全意識(shí)培訓(xùn)、安全設(shè)計(jì)培訓(xùn)、滲透測(cè)試培訓(xùn)等，公司員工目前持有230+國(guó)際安全認(rèn)證證書。

三線：

內(nèi)控審計(jì)是產(chǎn)品安全治理的第三線。內(nèi)控審計(jì)負(fù)責(zé)獨(dú)立審計(jì)一線和二線的工作，對(duì)公司產(chǎn)品安全保障體系

的健全性、合理性和有效性進(jìn)行獨(dú)立評(píng)價(jià)。

一線執(zhí)行、二線監(jiān)督、三線審計(jì)，確保產(chǎn)品安全治理體系健全有效。

2.2安全融入產(chǎn)品全生命周期

覆蓋產(chǎn)品全生命周期的安全治理和管控是產(chǎn)品安全的基本要求。

2019年，歐盟頒布《網(wǎng)絡(luò)安全法》，要求通過不斷發(fā)展的設(shè)計(jì)和開發(fā)流程來確保ICT產(chǎn)品和服務(wù)全生命周期

的安全性。GSMANESAS對(duì)產(chǎn)品開發(fā)和全生命周期提出了安全要求，成為通信設(shè)備安全融入全流程的最佳實(shí)

踐。中興通訊基于風(fēng)險(xiǎn)的安全治理覆蓋供應(yīng)鏈、研發(fā)、交付、事件響應(yīng)和各支撐領(lǐng)域，形成了貫穿全生命周期

的產(chǎn)品安全保障體系，并持續(xù)對(duì)標(biāo)行業(yè)最新標(biāo)準(zhǔn)和最佳實(shí)踐。中興通訊研發(fā)流程（高效產(chǎn)品開發(fā)HPPD）通過

了GSMANESAS過程評(píng)估和德國(guó)BSINESASCCS-GI過程評(píng)估。

在研發(fā)環(huán)節(jié)，將安全控制嵌入研發(fā)流程的各個(gè)階段，例如：

將安全要求嵌入研發(fā)需求、設(shè)計(jì)、驗(yàn)證和發(fā)布流程，如設(shè)計(jì)安全、隱私保護(hù)設(shè)計(jì)（PrivacybyDesign,

PbD）；

對(duì)產(chǎn)品進(jìn)行滲透測(cè)試，定期實(shí)施安全回歸測(cè)試；

對(duì)第三方組件（含開源）的安全漏洞持續(xù)跟蹤、分析并解決；

在項(xiàng)目技術(shù)評(píng)審及版本發(fā)布過程中評(píng)估安全風(fēng)險(xiǎn)并給予管控。

在供應(yīng)鏈環(huán)節(jié)，將安全要求嵌入到驗(yàn)證供應(yīng)商、新引入材料和生產(chǎn)過程中，例如：

通過供應(yīng)商安全協(xié)議將產(chǎn)品安全要求傳遞給供應(yīng)商，并定期對(duì)供應(yīng)商進(jìn)行審核；

設(shè)立產(chǎn)品安全材料檢測(cè)實(shí)驗(yàn)室對(duì)中高風(fēng)險(xiǎn)材料進(jìn)行抽檢；

在生產(chǎn)環(huán)境中建立專用網(wǎng)絡(luò)用以隔離安全隱患。

05

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

在交付環(huán)節(jié)，采用技術(shù)和管理雙重手段持續(xù)提升網(wǎng)絡(luò)的安全性和彈性，確保始終交付安全的產(chǎn)品與服務(wù)。例如：

對(duì)接觸客戶網(wǎng)絡(luò)關(guān)鍵設(shè)備的關(guān)鍵崗位人員進(jìn)行安全管控和培訓(xùn)；

網(wǎng)絡(luò)變更操作必須獲得客戶授權(quán)，操作有記錄，行為可稽查；

定期進(jìn)行安全事件響應(yīng)應(yīng)急演練，持續(xù)提升事件響應(yīng)能力。

一些端到端的業(yè)務(wù)流，如第三方組件管理、漏洞管理，在DevSecOps工具鏈的支持下，打通供應(yīng)鏈、研發(fā)、

交付的端到端安全管理，快速響應(yīng)安全事件和漏洞。

2.3數(shù)字化支撐系統(tǒng)

中興通訊安全治理已融入產(chǎn)品全生命周期各業(yè)務(wù)流程，實(shí)現(xiàn)了貫穿一線業(yè)務(wù)領(lǐng)域的產(chǎn)品安全數(shù)字化支撐系統(tǒng)。

公司建立了智能供應(yīng)協(xié)同平臺(tái)（ISCP）、產(chǎn)品研發(fā)云（RDCloud）、全球客戶支持中心（GCSC）等數(shù)字化系統(tǒng)，

實(shí)現(xiàn)彈性供應(yīng)、持續(xù)規(guī)劃、協(xié)作開發(fā)、集成測(cè)試、發(fā)布部署、問題解決等業(yè)務(wù)環(huán)節(jié)的高效運(yùn)作。配置管理系統(tǒng)

和漏洞管理系統(tǒng)實(shí)現(xiàn)了產(chǎn)品安全問題的跟蹤和追溯。

產(chǎn)品安全運(yùn)用DevSecOps工具鏈實(shí)現(xiàn)各環(huán)節(jié)的安全管控。在材料安全測(cè)試、第三方軟件安全掃描、代碼掃描、

漏洞掃描、版本保護(hù)、安全加固等關(guān)鍵安全活動(dòng)中，利用安全工具自動(dòng)檢查產(chǎn)品和服務(wù)是否滿足安全要求。

彈性供應(yīng)，持續(xù)規(guī)劃，協(xié)作開發(fā)，持續(xù)測(cè)試，發(fā)布部署，問題解決

供應(yīng)鏈產(chǎn)品研發(fā)交付業(yè)務(wù)管理

智能供應(yīng)和協(xié)同平臺(tái)研發(fā)云全球客戶支持中心

材料安全管理系統(tǒng)研發(fā)安全管理系統(tǒng)智能工程項(xiàng)目管理系統(tǒng)

配置管理系統(tǒng)/漏洞管理系統(tǒng)

DevSecOps工具鏈

IT基礎(chǔ)

設(shè)施

材料庫(kù)組件庫(kù)安全知識(shí)庫(kù)安全標(biāo)準(zhǔn)庫(kù)安全工具庫(kù)制品庫(kù)安全補(bǔ)丁庫(kù)

圖3中興通訊產(chǎn)品全生命周期數(shù)字化支撐系統(tǒng)

06

3

實(shí)現(xiàn)設(shè)計(jì)安全和默認(rèn)安全

GSMANESAS《開發(fā)和生命周期安全要求》5明確提出設(shè)計(jì)安全的要求，網(wǎng)絡(luò)產(chǎn)品應(yīng)在整個(gè)開發(fā)和產(chǎn)品生命

周期中通過設(shè)計(jì)實(shí)現(xiàn)安全性。

考慮了設(shè)計(jì)安全的產(chǎn)品能夠合理防止惡意網(wǎng)絡(luò)攻擊，如非法訪問網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)，以及連接的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)

設(shè)備制造商應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別和列舉關(guān)鍵系統(tǒng)普遍存在的網(wǎng)絡(luò)威脅，將保護(hù)措施納入產(chǎn)品藍(lán)圖中。

歐盟《網(wǎng)絡(luò)安全法》要求企業(yè)應(yīng)以更高級(jí)別的安全性設(shè)計(jì)其ICT產(chǎn)品、服務(wù)或流程，讓用戶獲得最佳安全默認(rèn)

配置的產(chǎn)品和服務(wù)。

考慮了默認(rèn)安全的產(chǎn)品在交付時(shí)已經(jīng)做了安全保護(hù)，用戶可以“開箱即用”，幾乎不需要額外配置。

設(shè)計(jì)安全和默認(rèn)安全不僅有利于用戶，也有利于制造商，能減少漏洞數(shù)量和修復(fù)漏洞的成本。

中興通訊提倡透明和問責(zé)制，認(rèn)為提供設(shè)計(jì)安全和默認(rèn)安全的產(chǎn)品是制造商的責(zé)任。公司強(qiáng)調(diào)在產(chǎn)品開發(fā)生命

周期中盡早引入安全設(shè)計(jì)原則，在產(chǎn)品設(shè)計(jì)階段進(jìn)行威脅分析和風(fēng)險(xiǎn)評(píng)估，建立并優(yōu)化產(chǎn)品安全保護(hù)準(zhǔn)則及基

線。安全設(shè)計(jì)原則包括但不限于：減少攻擊面、設(shè)置安全默認(rèn)值、隱私保護(hù)、最小權(quán)限、縱深防御、失效安全、

職責(zé)分離等。

3.1安全設(shè)計(jì)過程

在中興通訊的產(chǎn)品研發(fā)過程中，安全設(shè)計(jì)是早期的關(guān)鍵環(huán)節(jié)，及早識(shí)別產(chǎn)品威脅、合理評(píng)估風(fēng)險(xiǎn)、確立安全保

護(hù)控制措施，有利于將安全風(fēng)險(xiǎn)和安全成本降到最低。將設(shè)計(jì)安全和默認(rèn)安全要求納入安全設(shè)計(jì)過程控制，可

保障產(chǎn)品達(dá)成開箱即用和極簡(jiǎn)運(yùn)維的交付目標(biāo)。

5.OfficialDocumentFS.16-NetworkEquipmentSecurityAssuranceScheme–DevelopmentandLifecycleSecurityRequirement,

Version2.1

/security/wp-content/uploads/2022/02/FS.16-v2.1.pdf

07

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

中興通訊持續(xù)構(gòu)建具有自身特色、具備業(yè)界領(lǐng)先水平的安全設(shè)計(jì)過程。公司對(duì)標(biāo)業(yè)界規(guī)范、技術(shù)標(biāo)準(zhǔn)、市場(chǎng)要求，

建設(shè)“產(chǎn)品安全知識(shí)庫(kù)”實(shí)施面向產(chǎn)品的威脅建模，創(chuàng)建“產(chǎn)品安全技術(shù)要求庫(kù)”實(shí)施安全設(shè)計(jì)對(duì)標(biāo)規(guī)劃、進(jìn)

行風(fēng)險(xiǎn)接受決策，輸出產(chǎn)品安全方案設(shè)計(jì)。依托DevSecOps工具鏈，實(shí)現(xiàn)了平臺(tái)化的安全設(shè)計(jì)過程線上開發(fā)，

建立了閉環(huán)度量改進(jìn)機(jī)制并持續(xù)優(yōu)化。

安全需求安全設(shè)計(jì)安全實(shí)現(xiàn)安全交付

②面向產(chǎn)品的威脅建模

③安全需求風(fēng)

險(xiǎn)處置方案開箱即用

①業(yè)界安全規(guī)范、④安全要求基

&產(chǎn)品默認(rèn)安全

安全技術(shù)標(biāo)準(zhǔn)、市線對(duì)標(biāo)

場(chǎng)安全要求、安全風(fēng)險(xiǎn)接受決策

競(jìng)品分析安全方案設(shè)計(jì)極簡(jiǎn)運(yùn)維

安全開發(fā)安全測(cè)試

&安全可管可控

業(yè)界威脅+安全設(shè)計(jì)原則

信息庫(kù)

產(chǎn)品安全知識(shí)庫(kù)

產(chǎn)品安全技術(shù)要求庫(kù)

安全需求管理威脅建模安全要求庫(kù)安全安全測(cè)試

安全漏洞庫(kù)

&跟蹤平臺(tái)&對(duì)標(biāo)平臺(tái)編碼庫(kù)用例庫(kù)

DevSecOps工具鏈

圖4中興通訊產(chǎn)品研發(fā)過程中的安全設(shè)計(jì)

3.2安全設(shè)計(jì)實(shí)踐

中興通訊安全設(shè)計(jì)最佳實(shí)踐包括：產(chǎn)品安全知識(shí)庫(kù)、產(chǎn)品安全技術(shù)要求庫(kù)和威脅建模平臺(tái)。產(chǎn)品安全知識(shí)庫(kù)持

續(xù)積累產(chǎn)品安全知識(shí)經(jīng)驗(yàn)，持續(xù)提升安全設(shè)計(jì)專業(yè)性和有效性；產(chǎn)品安全技術(shù)要求庫(kù)對(duì)標(biāo)業(yè)界安全標(biāo)準(zhǔn)規(guī)范，

為安全設(shè)計(jì)提供基線化要求；威脅建模平臺(tái)支持線上化、自動(dòng)化和可視化的協(xié)同操作。

產(chǎn)品安全知識(shí)庫(kù)

產(chǎn)品安全知識(shí)庫(kù)吸納了行業(yè)規(guī)范和最佳實(shí)踐，如業(yè)界通用威脅和漏洞信息（CAPEC、ATT&CK、CWE、

CVE等）、行業(yè)安全技術(shù)標(biāo)準(zhǔn)規(guī)范（3GPPSCAS規(guī)范、IETFRFC標(biāo)準(zhǔn)等）、以及中興通訊自身的產(chǎn)品安

08

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

全實(shí)踐經(jīng)驗(yàn)。產(chǎn)品安全知識(shí)庫(kù)遵循結(jié)構(gòu)化威脅信息表達(dá)式（STIX）規(guī)范，包含了資產(chǎn)、威脅、風(fēng)險(xiǎn)準(zhǔn)則、控制

措施、攻擊模式、濫用案例等關(guān)鍵要素。

產(chǎn)品安全技術(shù)要求庫(kù)

產(chǎn)品安全技術(shù)要求庫(kù)包括了產(chǎn)品安全技術(shù)棧目錄全景圖和產(chǎn)品安全設(shè)計(jì)技術(shù)標(biāo)準(zhǔn)族。技術(shù)棧目錄全景圖按照“架

構(gòu)分層、技術(shù)分域”的原則，對(duì)產(chǎn)品涉及的安全技術(shù)棧進(jìn)行統(tǒng)一分類。針對(duì)關(guān)鍵的安全技術(shù)棧編寫了一系列的

產(chǎn)品安全設(shè)計(jì)技術(shù)指導(dǎo)書，作為企業(yè)技術(shù)標(biāo)準(zhǔn)發(fā)布。中興通訊將所有已發(fā)布的安全技術(shù)要求錄入研發(fā)云（RD

Cloud）的安全技術(shù)要求庫(kù)和對(duì)標(biāo)平臺(tái)中，并在產(chǎn)品研發(fā)流程中嵌入安全技術(shù)要求基線對(duì)標(biāo)控制點(diǎn)。

威脅建模平臺(tái)

中興通訊通過構(gòu)建威脅建模平臺(tái)，實(shí)現(xiàn)了資產(chǎn)識(shí)別、威脅分析、風(fēng)險(xiǎn)評(píng)估及處置、控制措施優(yōu)選、安全追蹤矩

陣輸出等關(guān)鍵威脅建?；顒?dòng)的數(shù)字化工序，實(shí)現(xiàn)了過程的標(biāo)準(zhǔn)化、規(guī)范化、自動(dòng)化、層次化和可視化，威脅建

模平臺(tái)已集成到DevSecOps工具鏈，可支持跨團(tuán)隊(duì)的協(xié)同研發(fā)，靈活開展威脅建模實(shí)踐。

09

4

安全開發(fā)和測(cè)試

中興通訊將安全作為研發(fā)的最高優(yōu)先級(jí)，“安全性”必須作為產(chǎn)品的一項(xiàng)基本屬性融入到產(chǎn)品開發(fā)過程中。

公司產(chǎn)品開發(fā)和測(cè)試的安全要求對(duì)標(biāo)行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，參考軟件安全構(gòu)建成熟度模型（BSIMM）、網(wǎng)絡(luò)設(shè)

備安全保障計(jì)劃（NESAS）、能力成熟度模型集成（CMMI），制定了產(chǎn)品安全成熟度模型和相應(yīng)規(guī)范，定

期進(jìn)行組織和項(xiàng)目評(píng)估，發(fā)現(xiàn)差距，不斷改進(jìn)。

公司安全編碼標(biāo)準(zhǔn)參考業(yè)界通用指南，如計(jì)算機(jī)安全應(yīng)急響應(yīng)小組（CERT）系列安全編碼規(guī)范、開放式Web

應(yīng)用程序安全項(xiàng)目（OWASP）開發(fā)指南、通用缺陷列表（CWE）、安全技術(shù)實(shí)施指南（STIG）。在開發(fā)階段，

源代碼掃描是關(guān)鍵控制點(diǎn)，需通過靜態(tài)檢查和自動(dòng)化掃描，衡量代碼的質(zhì)量和安全性，對(duì)工具掃描出的缺陷進(jìn)

行看板化閉環(huán)管理。公司注重提升開發(fā)人員的安全編碼能力，通過定期評(píng)估持續(xù)提升其能力水平。

各產(chǎn)品項(xiàng)目制定安全測(cè)試規(guī)程和測(cè)試方案，在測(cè)試階段對(duì)產(chǎn)品進(jìn)行代碼掃描、漏洞掃描、協(xié)議健壯性測(cè)試、病

毒掃描等安全測(cè)試，充分驗(yàn)證安全需求的實(shí)現(xiàn)并修復(fù)缺陷。公司成立了專業(yè)的滲透測(cè)試團(tuán)隊(duì)，進(jìn)行更深層次的

漏洞挖掘。

在發(fā)布階段，公司要求產(chǎn)品必須經(jīng)過安全測(cè)試和安全風(fēng)險(xiǎn)評(píng)估。產(chǎn)品發(fā)布時(shí)，必須配備安全加固手冊(cè)和工具。

發(fā)布過程采用證書授權(quán)中心（CA）驗(yàn)證，確保傳輸過程的一致性和可追溯性。

在版本維護(hù)階段，公司定期執(zhí)行回歸測(cè)試，以識(shí)別新增漏洞是否影響已有版本。研發(fā)團(tuán)隊(duì)及時(shí)更新安全補(bǔ)丁、

制定安全加固方案，以便用戶進(jìn)行產(chǎn)品安全風(fēng)險(xiǎn)消除或控制。

10

5

第三方組件管理

隨著ICT產(chǎn)業(yè)的不斷發(fā)展，ICT產(chǎn)品中包含了越來越多的第三方組件6，這些組件帶來了新的安全威脅，例如

被發(fā)現(xiàn)有新的漏洞、停止支持等。

管理好第三方組件對(duì)安全至關(guān)重要。監(jiān)管和行業(yè)紛紛出臺(tái)要求和指導(dǎo)，以提升第三方組件管理水平，使可能產(chǎn)

生的風(fēng)險(xiǎn)降到最低。比如，GSMANESAS在2.0版本中新增了“第三方組件采購(gòu)”，要求設(shè)備供應(yīng)商制定適

當(dāng)?shù)牧鞒虂泶_保產(chǎn)品生命周期內(nèi)第三方組件的質(zhì)量、使用受支持的第三方組件、評(píng)估第三方組件中新發(fā)現(xiàn)的漏

洞是否會(huì)對(duì)網(wǎng)絡(luò)造成威脅等。

5.1第三方組件管理策略

第三方組件包括開源軟件、商用組件、商用附贈(zèng)軟件等，是產(chǎn)品的組成部分，并可能被多個(gè)產(chǎn)品使用。公司遵

循法律法規(guī)要求和行業(yè)最佳實(shí)踐，在供應(yīng)鏈管理、產(chǎn)品研發(fā)、交付過程中，不斷積累管理實(shí)踐，對(duì)第三方組件

實(shí)施全生命周期管理。

中興通訊第三方組件安全管理覆蓋組件引入、使用、運(yùn)維和退出各業(yè)務(wù)階段，第三方組件管理要求已融入高效

產(chǎn)品研發(fā)（HPPD）流程。

6.指具有離散結(jié)構(gòu)的對(duì)象，例如程序集、軟件包，其源自外部實(shí)體并合并到網(wǎng)絡(luò)產(chǎn)品中，OfficialDocumentFS.16-NetworkEquipmentSecurity

AssuranceScheme–DevelopmentandLifecycleSecurityRequirement,Version2.1

11

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

引入&入庫(kù)使用運(yùn)維&退出

中興通訊安全管理規(guī)范

供應(yīng)商網(wǎng)絡(luò)安全產(chǎn)品研發(fā)

制造安全管理規(guī)范返修安全管理規(guī)定

認(rèn)證管理規(guī)范安全規(guī)范

第三方組件管理規(guī)范/供應(yīng)鏈安全管理手冊(cè)/材料產(chǎn)品安全管理規(guī)范/供應(yīng)鏈產(chǎn)品安全事件管理規(guī)范/數(shù)據(jù)保護(hù)影響評(píng)估規(guī)范

中興通訊安全措施

樣品認(rèn)定管理權(quán)限管理/分發(fā)管理/配置管理退出管理

第三方組件選型安全測(cè)試安全加固/安全巡檢

版本完整性校驗(yàn)/病毒掃描數(shù)據(jù)遷移銷毀

漏洞管理/事件響應(yīng)

第三方組件管理工具鏈（智能供應(yīng)協(xié)同平臺(tái)/研發(fā)云）

合作方安全措施

供應(yīng)商認(rèn)證/供應(yīng)商安全協(xié)議權(quán)限管理/分發(fā)管理/配置管理報(bào)廢品收購(gòu)商簽訂安全協(xié)議

供應(yīng)商安全審計(jì)

圖5中興通訊第三方組件管理策略

組件引入

第三方組件引入需進(jìn)行選型認(rèn)證，只有通過認(rèn)證的第三方組件才能進(jìn)入公司組件庫(kù)（組件廣場(chǎng)）。選型

認(rèn)證需要對(duì)第三方組件執(zhí)行安全合規(guī)掃描，分析并驗(yàn)證其功能和性能，評(píng)估安全風(fēng)險(xiǎn)，確保達(dá)成出口管制、

數(shù)據(jù)保護(hù)、開源許可等合規(guī)要求；此外，還需要考慮第三方組件的可替代性及生命周期。

完成認(rèn)證的第三方組件需設(shè)置組件守護(hù)人，負(fù)責(zé)組件全生命周期管理。

與商用組件供應(yīng)商簽署安全協(xié)議，確保供應(yīng)商理解并對(duì)所提供的第三方組件產(chǎn)品安全要求做出承諾。中

興通訊定期組織供應(yīng)商賦能活動(dòng)，致力于與供應(yīng)商共同提升生態(tài)安全。

組件使用

產(chǎn)品只允許引用組件廣場(chǎng)中的第三方組件。

在產(chǎn)品的方案設(shè)計(jì)、開發(fā)測(cè)試及發(fā)布的各個(gè)活動(dòng)中，均嵌入第三方組件的安全風(fēng)險(xiǎn)評(píng)估，確保提供恰當(dāng)

的安全解決方案或規(guī)避措施。

產(chǎn)品需通過整機(jī)級(jí)安全測(cè)試，達(dá)到安全標(biāo)準(zhǔn)后才能發(fā)布。

第三方組件作為產(chǎn)品配置項(xiàng)以確保其使用情況可追溯。當(dāng)發(fā)現(xiàn)第三方組件的安全漏洞時(shí)，可通過產(chǎn)品配

置項(xiàng)追蹤漏洞波及范圍。

組件運(yùn)維和退出

當(dāng)?shù)谌浇M件因?yàn)楣δ?、性能、安全問題進(jìn)行版本升級(jí)，或引入了補(bǔ)丁程序，組件守護(hù)人執(zhí)行更新操作，

確保組件庫(kù)中的組件是最新的；當(dāng)?shù)谌浇M件提供方停止維護(hù)、組件生命周期終止時(shí)，組件守護(hù)人執(zhí)行

12

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

停用操作。更新和停用自動(dòng)通知到研發(fā)團(tuán)隊(duì)，以更新產(chǎn)品方案。

在產(chǎn)品交付環(huán)節(jié)，中興通訊產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)（ProductSecurityIncidentResponseTeam,

PSIRT）與供應(yīng)商和安全社區(qū)保持密切協(xié)作，及時(shí)獲取第三方組件漏洞信息，協(xié)同相關(guān)團(tuán)隊(duì)進(jìn)行波及分析、

漏洞修復(fù)方案制定、驗(yàn)證和實(shí)施，確?？焖夙憫?yīng)和消除第三方組件帶來的安全問題及風(fēng)險(xiǎn)。

開源組件管理

在引入時(shí)，優(yōu)選安全、合規(guī)、社區(qū)活躍度高、生態(tài)系統(tǒng)完備、可信度高的開源組件，并建立開源組件成

熟度評(píng)價(jià)模型，作為產(chǎn)品選型及使用的安全評(píng)估參考。

在使用中，使用開源軟件成分分析工具和漏洞掃描工具，評(píng)估開源組件的安全性及許可證合規(guī)情況、識(shí)

別并修復(fù)已知漏洞。

公司將開源組件安全問題和解決方案提交開源社區(qū)，共享成果。

5.2第三方組件管理實(shí)踐

中興通訊組件廣場(chǎng)為第三方組件的引入者、使用者、管理者提供了一個(gè)安全可信的平臺(tái)，是RDCloud的重要

組成部分。組件廣場(chǎng)針對(duì)產(chǎn)品規(guī)劃、開發(fā)、測(cè)試、集成、發(fā)布及運(yùn)維場(chǎng)景，提供同源管理、安全合規(guī)管控、調(diào)

用追蹤、檢索、評(píng)論等功能，使第三方組件可管理、可調(diào)用、可追蹤和可信任。

引入管理使用

組件查詢版本規(guī)劃

組件選型組件入庫(kù)認(rèn)證組件標(biāo)識(shí)

使用管理版本開發(fā)版本發(fā)布局點(diǎn)信息管理

組件引入產(chǎn)品配置項(xiàng)

守護(hù)管理版本測(cè)試

組件評(píng)價(jià)版本集成

漏洞管理

安全事件響應(yīng)

版本管理系統(tǒng)局點(diǎn)管理系統(tǒng)

物料管理系統(tǒng)組件廣場(chǎng)

漏洞管理系統(tǒng)

圖6中興通訊第三方組件管理實(shí)踐

中興通訊依托成熟的產(chǎn)品配置項(xiàng)管理，建立了融合第三方組件的產(chǎn)品全生命期漏洞管理流程。一旦感知到第三

方組件出現(xiàn)的安全漏洞，漏洞管理系統(tǒng)可自動(dòng)定位波及的產(chǎn)品和版本，實(shí)現(xiàn)了從第三方組件漏洞到波及產(chǎn)品、

版本、客戶的追蹤和解決修復(fù)。

13

6

彈性供應(yīng)鏈

相比于傳統(tǒng)行業(yè)，ICT行業(yè)的供應(yīng)鏈更加復(fù)雜，存在安全風(fēng)險(xiǎn)的概率更大。網(wǎng)絡(luò)的復(fù)雜化、模塊化和虛擬化的特征，

使運(yùn)營(yíng)商客戶可以多樣化地選擇供應(yīng)商，而每個(gè)供應(yīng)商的背后又是一整條供應(yīng)鏈，其中任何一個(gè)環(huán)節(jié)出現(xiàn)問題，

都有可能造成一系列后果。

《2023ENISA威脅態(tài)勢(shì)》報(bào)告指出，在過去12個(gè)月，61%的公司中受到軟件供應(yīng)鏈攻擊影響，預(yù)計(jì)到2026年，

這些攻擊對(duì)企業(yè)造成的總成本將較2023年增長(zhǎng)76%。

由此，各國(guó)監(jiān)管和客戶將產(chǎn)品安全的關(guān)注范圍從網(wǎng)絡(luò)設(shè)備供應(yīng)商延伸至其二級(jí)、乃至三級(jí)供應(yīng)商，同時(shí)，從只

關(guān)注網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人隱私保護(hù)，向供應(yīng)安全與業(yè)務(wù)連續(xù)性方面擴(kuò)展。這對(duì)供應(yīng)鏈的安全和彈性提出

了更高的要求。

6.1供應(yīng)鏈安全

對(duì)中興通訊而言，構(gòu)建安全可信的彈性供應(yīng)鏈7，既是保障公司產(chǎn)品安全交付的內(nèi)在需求，也是公司對(duì)客戶的莊

嚴(yán)承諾。公司先后通過了ISO27001信息安全管理體系認(rèn)證、ISO28000供應(yīng)鏈安全管理體系認(rèn)證、和ISO

22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證，還通過了經(jīng)認(rèn)證的經(jīng)營(yíng)者（AEO）高級(jí)認(rèn)證，在全球享有相關(guān)國(guó)家或地區(qū)快

速通關(guān)的便利。

中興通訊擁有完整的供應(yīng)鏈業(yè)務(wù)流程，聚焦客戶的業(yè)務(wù)需求和安全需求，強(qiáng)調(diào)供應(yīng)商管理、材料、生產(chǎn)制造和

物流貨運(yùn)四個(gè)方面的安全治理，支撐供應(yīng)鏈全業(yè)務(wù)流程，依據(jù)供應(yīng)鏈SCOR模型8，將供應(yīng)鏈安全保障范圍擴(kuò)

大到供應(yīng)商的供應(yīng)商及客戶的客戶。

7.6.1、6.2節(jié)描述的供應(yīng)鏈，指設(shè)備供應(yīng)商視角的上游供應(yīng)鏈及自身供應(yīng)鏈業(yè)務(wù)。

8.Supply-ChainOperationsReference-model，由國(guó)際供應(yīng)鏈協(xié)會(huì)Supply-ChainCouncil開發(fā)支持。

14

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

供應(yīng)商安全

分布于全球各地的數(shù)千家供應(yīng)商合作伙伴是中興通訊供應(yīng)鏈的重要組成部分，為中興通訊提供數(shù)以萬(wàn)計(jì)

原材料、半成品、成品或服務(wù)。因此，公司把供應(yīng)商安全管理和材料安全管理作為核心業(yè)務(wù)流程，保障

材料和第三方組件的安全。

選擇安全可靠的供應(yīng)商是保證供應(yīng)鏈安全的第一步。中興通訊重視供應(yīng)商資源的開發(fā)與布局，建立了一

整套從尋源，到資質(zhì)認(rèn)證，再到淘汰退出的供應(yīng)商全生命周期管理機(jī)制。公司要求供應(yīng)商在提供產(chǎn)品或

服務(wù)的過程中必須遵守當(dāng)?shù)氐姆?、法?guī)要求，提升安全管理水平，遵守雙方簽署的產(chǎn)品安全協(xié)議。對(duì)

于新發(fā)現(xiàn)的安全漏洞，供應(yīng)商應(yīng)當(dāng)協(xié)同中興通訊進(jìn)行追蹤和定位，并及時(shí)提供補(bǔ)丁，或者采取升級(jí)、替換、

召回等解決方案。

中興通訊持續(xù)將產(chǎn)品安全、企業(yè)社會(huì)責(zé)任等要求傳遞給供應(yīng)商，并通過年度全球合作伙伴大會(huì)和供應(yīng)商

集訓(xùn)營(yíng)向供應(yīng)商賦能。

材料安全

在材料管理方面，中興通訊實(shí)施品類管理，根據(jù)不同品類材料的特性識(shí)別風(fēng)險(xiǎn)，將材料的產(chǎn)品安全風(fēng)險(xiǎn)

定義為高、中、低三個(gè)等級(jí)。針對(duì)高風(fēng)險(xiǎn)材料，在材料引入環(huán)節(jié)，要求供應(yīng)商提供產(chǎn)品安全檢測(cè)報(bào)告。

對(duì)于中低風(fēng)險(xiǎn)等級(jí)的材料，通過與供應(yīng)商簽署安全協(xié)議，要求供應(yīng)商進(jìn)行自我管理和約束，允許中興通

訊進(jìn)行多種形式的安全審計(jì)。另外，公司建立了產(chǎn)品安全材料檢測(cè)實(shí)驗(yàn)室，對(duì)中高風(fēng)險(xiǎn)材料進(jìn)行抽檢，

對(duì)抽檢中發(fā)現(xiàn)的安全問題實(shí)施閉環(huán)管理。

生產(chǎn)制造安全

中興通訊制定了生產(chǎn)制造安全管理規(guī)范，把生產(chǎn)制造區(qū)域分為三個(gè)等級(jí)的安全管控區(qū)，管控生產(chǎn)制造過

程中的安全風(fēng)險(xiǎn)，包括未經(jīng)授權(quán)的硬件替換、軟件植入或篡改、病毒感染等。針對(duì)不同等級(jí)的安全管控區(qū)，

采取不同的安全管控措施，其中一級(jí)、二級(jí)管控區(qū)是安全風(fēng)險(xiǎn)嚴(yán)管區(qū)域。在這些區(qū)域設(shè)置安全管理員，

負(fù)責(zé)實(shí)施區(qū)域內(nèi)的安全管控和日常安全監(jiān)督。

為了保障生產(chǎn)環(huán)境的網(wǎng)絡(luò)安全，公司建設(shè)了生產(chǎn)專用網(wǎng)絡(luò)，以防止病毒入侵或軟件篡改。同時(shí)，只有授

權(quán)的工程師才能使用專網(wǎng)。

物流貨運(yùn)安全

中興通訊通過倉(cāng)儲(chǔ)管理系統(tǒng)實(shí)現(xiàn)在庫(kù)貨物全程跟蹤，及時(shí)升級(jí)物流倉(cāng)儲(chǔ)IT系統(tǒng)、監(jiān)控設(shè)備和安保設(shè)施，

以避免倉(cāng)儲(chǔ)和貨運(yùn)過程中的成品或核心部件遭受損壞、替換、惡意代碼植入。通過貨運(yùn)中臺(tái)系統(tǒng)實(shí)時(shí)監(jiān)

控貨運(yùn)軌跡，監(jiān)控貨運(yùn)在途情況，并設(shè)有干系人預(yù)警功能。

15

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

6.2供應(yīng)鏈彈性

秉承安全、精準(zhǔn)、智能、可靠、高效的SPIRE供應(yīng)鏈理念，以交付有競(jìng)爭(zhēng)力的產(chǎn)品和服務(wù)為目標(biāo)，中興通訊構(gòu)

建了預(yù)判、免疫和適應(yīng)三大核心能力，通過智慧大腦實(shí)現(xiàn)業(yè)務(wù)監(jiān)測(cè)、預(yù)警、聯(lián)動(dòng)、調(diào)度等功能可視化，打造安

全可信的彈性供應(yīng)鏈。

預(yù)判能力

在計(jì)劃和采購(gòu)階段，分析采購(gòu)需求、供方產(chǎn)能和采購(gòu)周期等基本信息；在生產(chǎn)、交付和逆向階段，關(guān)注

供應(yīng)彈性和關(guān)鍵下階材料。結(jié)合內(nèi)外部環(huán)境，前瞻洞察、平衡供需、動(dòng)態(tài)調(diào)整，構(gòu)建健壯智慧的供應(yīng)鏈

計(jì)劃大腦，提升對(duì)需求波動(dòng)的預(yù)判能力。

免疫能力

在采購(gòu)環(huán)節(jié)，材料規(guī)劃與產(chǎn)品規(guī)劃同步開展，推廣優(yōu)選物料、管控獨(dú)家供應(yīng)和輸出替代方案，規(guī)劃資源儲(chǔ)備。

持續(xù)優(yōu)化長(zhǎng)周期物料管理和多地倉(cāng)儲(chǔ)機(jī)制，與優(yōu)質(zhì)供應(yīng)商開展戰(zhàn)略合作，協(xié)同上下游確保供應(yīng)的連續(xù)和

穩(wěn)定。

在制造環(huán)節(jié)，建立產(chǎn)能風(fēng)險(xiǎn)掃描機(jī)制，通過布局多制造基地共享生產(chǎn)資源、統(tǒng)一調(diào)度、產(chǎn)能互備，保障

生產(chǎn)連續(xù)。公司在深圳、河源、長(zhǎng)沙、南京、西安設(shè)有五大生產(chǎn)基地，配合外協(xié)工廠資源，通過靈活的

產(chǎn)能調(diào)整和彈性生產(chǎn)，滿足產(chǎn)能需求。

在貨運(yùn)環(huán)節(jié)，公司在全球有超5萬(wàn)條運(yùn)輸線路，通過多重貨運(yùn)方案?jìng)浞荩Ｕ衔锪鹘桓兜倪B續(xù)與穩(wěn)定。

借助數(shù)字化的貨運(yùn)風(fēng)險(xiǎn)地圖，實(shí)時(shí)預(yù)警貨運(yùn)風(fēng)險(xiǎn)，監(jiān)控在途風(fēng)險(xiǎn)、常見風(fēng)險(xiǎn)、塞港情況等。

適應(yīng)能力

搭建數(shù)字化平臺(tái)，包括供應(yīng)資源風(fēng)險(xiǎn)地圖、智能制造中心、貨運(yùn)風(fēng)險(xiǎn)地圖等系統(tǒng)，整合核心數(shù)據(jù)，識(shí)別

分析異常點(diǎn)，精準(zhǔn)定位并提效改進(jìn)。實(shí)現(xiàn)采購(gòu)、制造、貨運(yùn)、關(guān)務(wù)各個(gè)業(yè)務(wù)全疆域可視，使業(yè)務(wù)看得見，

看得清，看得準(zhǔn)。

16

7

安全交付

隨著產(chǎn)品交付給客戶，業(yè)務(wù)場(chǎng)景產(chǎn)生變化，新的安全風(fēng)險(xiǎn)也隨之而來，需要采取適當(dāng)?shù)谋Ｗo(hù)措施保證產(chǎn)品和維

保服務(wù)交付的完整性、機(jī)密性和可用性，實(shí)現(xiàn)端到端的安全。

7.1安全交付策略

中興通訊交付領(lǐng)域參考NISTCSF安全風(fēng)險(xiǎn)管理框架、ISO27001等業(yè)界安全標(biāo)準(zhǔn)、最佳實(shí)踐、以及客戶的

網(wǎng)絡(luò)安全訴求，在全球建立了基于風(fēng)險(xiǎn)的交付安全治理體系，將一系列規(guī)范要求融入網(wǎng)絡(luò)規(guī)劃、開通、驗(yàn)收和

運(yùn)維階段，確保交付行為安全可靠、網(wǎng)絡(luò)設(shè)備安全運(yùn)行、客戶網(wǎng)絡(luò)數(shù)據(jù)得到安全保護(hù)。

規(guī)劃&設(shè)計(jì)網(wǎng)絡(luò)開通網(wǎng)絡(luò)驗(yàn)收網(wǎng)絡(luò)運(yùn)維

Testbed站點(diǎn)開通站點(diǎn)網(wǎng)絡(luò)日常網(wǎng)絡(luò)問題

規(guī)劃&設(shè)計(jì)移交

調(diào)測(cè)調(diào)測(cè)驗(yàn)收驗(yàn)收維護(hù)變更處置

網(wǎng)絡(luò)安全方案基線配置安全對(duì)接安全安全賬號(hào)網(wǎng)絡(luò)巡檢安全加固技術(shù)支持

應(yīng)急響應(yīng)預(yù)案安全加固安全上線測(cè)試割接移交風(fēng)險(xiǎn)評(píng)估補(bǔ)丁加載事件響應(yīng)

GCSC/網(wǎng)絡(luò)變更管理系統(tǒng)

智能工程項(xiàng)目管理系統(tǒng)/質(zhì)量云交付中心

iNet/CNIA/RNIA輔助支撐

圖7中興通訊端到端交付安全保障

17

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

7.2安全交付實(shí)踐

中興通訊安全交付涵蓋人員管理、授權(quán)管理、軟件部署、網(wǎng)絡(luò)變更、安全核查、遠(yuǎn)程接入管理、數(shù)據(jù)保護(hù)和事

件響應(yīng)等模塊。中興通訊基于AI、大數(shù)據(jù)等技術(shù)實(shí)現(xiàn)交付全流程指標(biāo)可視化，及時(shí)識(shí)別與跟蹤風(fēng)險(xiǎn)，協(xié)助客戶

網(wǎng)絡(luò)安全、穩(wěn)定地運(yùn)行。

人員管理

中興通訊定期對(duì)工程師進(jìn)行綜合安全評(píng)估、定崗定級(jí)。項(xiàng)目交付中，根據(jù)人員評(píng)估結(jié)果進(jìn)行崗位適配，

按照客戶要求分配操作權(quán)限，并簽署保密協(xié)議（NDA）。結(jié)合開局、運(yùn)維、巡檢、故障處理、安全加固

等日常工作，公司對(duì)交付人員進(jìn)行安全賦能，包括專題課堂、專業(yè)研討、實(shí)戰(zhàn)演練、技能比武等。

授權(quán)管理

在對(duì)客戶的網(wǎng)絡(luò)和數(shù)據(jù)進(jìn)行操作前，如軟件升級(jí)、安全加固、安全巡檢，中興通訊事先獲取客戶授權(quán)，

并在約定的范圍和時(shí)間段完成操作，操作過程記錄在案，具體操作行為可通過日志進(jìn)行追溯。

軟件部署

為確保軟件端到端的安全部署，中興通訊實(shí)施嚴(yán)格的流程和管理制度，僅授權(quán)人員才能從技術(shù)支持網(wǎng)站

（）下載所需版本或補(bǔ)丁，歷史下載均有記錄，且下載的軟件會(huì)在升級(jí)前進(jìn)行完整

性檢查或數(shù)字簽名驗(yàn)證。軟件部署所需的工具和軟件均從指定渠道獲取，并要求接入客戶網(wǎng)絡(luò)的個(gè)人工

作終端做好基本的安全防護(hù)，如安裝系統(tǒng)重要補(bǔ)丁和防病毒軟件，僅安裝授權(quán)的、與業(yè)務(wù)目的有關(guān)且無

信息安全風(fēng)險(xiǎn)的軟件等。

網(wǎng)絡(luò)變更

在獲取客戶網(wǎng)絡(luò)變更的授權(quán)后，中興通訊工程師在網(wǎng)絡(luò)變更管理系統(tǒng)（ZXRDC）提交具體實(shí)施方案，并

在方案通過產(chǎn)品專家評(píng)審后，在規(guī)定的時(shí)間和范圍內(nèi)完成變更操作。為確保網(wǎng)絡(luò)變更后業(yè)務(wù)的穩(wěn)定運(yùn)行，

相關(guān)人員會(huì)進(jìn)行一段時(shí)間的值守，對(duì)特定指標(biāo)進(jìn)行觀察、記錄與分析。接入客戶網(wǎng)絡(luò)的個(gè)人工作終端部

署了智能管控工具，能夠?qū)崟r(shí)攔截高危指令和非預(yù)期動(dòng)作，進(jìn)一步降低網(wǎng)絡(luò)變更的風(fēng)險(xiǎn)。

安全核查

產(chǎn)品在研發(fā)階段已考慮了“開箱即用”的默認(rèn)安全，但隨著內(nèi)外部威脅的變化，產(chǎn)品的安全風(fēng)險(xiǎn)也會(huì)相

應(yīng)變化。中興通訊基于合同要求定期進(jìn)行安全核查，結(jié)合安全態(tài)勢(shì)感知系統(tǒng)，以及客戶的漏洞掃描和滲

透測(cè)試結(jié)果等，對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估和處置。

18

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

遠(yuǎn)程接入管理

為確保高效安全的遠(yuǎn)程技術(shù)支持，中興通訊在遵循所在地法律法規(guī)和客戶授權(quán)的前提下，允許產(chǎn)品專家通

過全球一張網(wǎng)系統(tǒng)（AdvancedOperationsSuite,AOS）和安全隔離區(qū)遠(yuǎn)程訪問客戶網(wǎng)絡(luò)，進(jìn)行問題

排查或業(yè)務(wù)支持等。對(duì)客戶網(wǎng)絡(luò)的所有遠(yuǎn)程操作均可事后審計(jì)。

數(shù)據(jù)保護(hù)

在遵循當(dāng)?shù)胤煞ㄒ?guī)以及客戶要求的前提下，中興通訊執(zhí)行對(duì)重要、敏感的網(wǎng)絡(luò)數(shù)據(jù)的安全保護(hù)操作，如

脫敏、加密存儲(chǔ)與傳輸?shù)取Ｔ趯?shí)施GDPR或類似法規(guī)的國(guó)家和地區(qū)，公司與客戶在合同簽署階段，簽署

數(shù)據(jù)處理協(xié)議和數(shù)據(jù)轉(zhuǎn)移協(xié)議，明確個(gè)人數(shù)據(jù)保護(hù)條款、責(zé)任界面；合同期內(nèi)，工程師按照合同條款執(zhí)行

各項(xiàng)業(yè)務(wù)操作；特殊情況下，如返修的故障板件含有個(gè)人數(shù)據(jù)，工程師會(huì)根據(jù)數(shù)據(jù)保護(hù)的合同要求，進(jìn)行

相應(yīng)操作。

事件響應(yīng)

為有效應(yīng)對(duì)可能發(fā)生的網(wǎng)絡(luò)安全事件，中興通訊根據(jù)項(xiàng)目場(chǎng)景制定安全方案和應(yīng)急響應(yīng)計(jì)劃，項(xiàng)目組定期

與客戶、產(chǎn)品團(tuán)隊(duì)和第三方合作伙伴進(jìn)行跨團(tuán)隊(duì)、跨地域的聯(lián)合應(yīng)急演練。

中興通訊接收到客戶安全事件后，PSIRT會(huì)立即在全球客戶支持中心創(chuàng)建事件單并分發(fā)到對(duì)應(yīng)的產(chǎn)品支

持團(tuán)隊(duì)，確保各嚴(yán)重等級(jí)的安全事件在客戶服務(wù)水平協(xié)議（SLA）約定時(shí)間內(nèi)得到解決。

19

8

安全事件響應(yīng)和漏洞管理

在日趨復(fù)雜的供應(yīng)鏈環(huán)境中，對(duì)安全事件和漏洞的良好管理變得愈發(fā)重要。歐盟《NIS2指令》出臺(tái)重點(diǎn)措施以

增強(qiáng)供應(yīng)鏈安全，包含事件響應(yīng)、漏洞處理和披露。歐盟《網(wǎng)絡(luò)彈性法》要求數(shù)字產(chǎn)品制造商報(bào)告已被主動(dòng)利

用的漏洞。中國(guó)出臺(tái)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，要求網(wǎng)絡(luò)產(chǎn)品提供者履行相關(guān)安全漏洞管理義務(wù)。

安全事件響應(yīng)和漏洞管理有賴于利益相關(guān)方的協(xié)同處理，設(shè)備供應(yīng)商有責(zé)任和義務(wù)協(xié)助客戶處置安全事件、及

時(shí)消減安全漏洞。中興通訊PSIRT負(fù)責(zé)響應(yīng)公司產(chǎn)品安全事件、處置公司產(chǎn)品安全漏洞。中興通訊是事件響應(yīng)

安全團(tuán)隊(duì)論壇（FIRST）成員和CVE編號(hào)頒發(fā)機(jī)構(gòu)（CNA），發(fā)布了安全漏洞獎(jiǎng)勵(lì)計(jì)劃，鼓勵(lì)全球安全從業(yè)

人員和機(jī)構(gòu)反饋中興通訊產(chǎn)品存在的安全漏洞。

8.1安全事件響應(yīng)流程

中興通訊協(xié)助客戶第一時(shí)間響應(yīng)安全事件。在客戶授權(quán)下，PSIRT協(xié)助客戶迅速對(duì)事件進(jìn)行處置，采取必要措

施控制事態(tài)發(fā)展，直到業(yè)務(wù)徹底恢復(fù)。

安全事件響應(yīng)流程包括四個(gè)階段：

1.準(zhǔn)備工作：制定事件響應(yīng)計(jì)劃并定期演練，配備工具和資源；

2.檢測(cè)分析：收集、記錄和分析與事件相關(guān)的數(shù)據(jù)，確定是否發(fā)生入侵并產(chǎn)生后果，分析影響范圍，

包括受影響版本和受影響客戶。如事件由安全漏洞引發(fā)，則啟動(dòng)安全漏洞管理流程；

3.抑制、消除和恢復(fù)：實(shí)施緩解方案，抑制事件影響，防止繼續(xù)擴(kuò)散；提供解決方案，消除事件影響，恢復(fù)正

常業(yè)務(wù)；

4.事后活動(dòng)：組織復(fù)盤，總結(jié)經(jīng)驗(yàn)，持續(xù)提升事件響應(yīng)能力。

20

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

事先準(zhǔn)備檢測(cè)&分析抑制&消除&恢復(fù)事后活動(dòng)

日常運(yùn)維客戶上報(bào)分析受影響版本實(shí)施緩解方案提供解決方案事件復(fù)盤

制定預(yù)案網(wǎng)絡(luò)威脅情報(bào)分析受影響客戶過程改進(jìn)

定期演練安全社區(qū)通告安全漏洞引發(fā)

安全漏洞處理流程

圖8中興通訊安全事件響應(yīng)流程

8.2安全漏洞處理流程

中興通訊重視與安全組織協(xié)作，對(duì)內(nèi)外部發(fā)現(xiàn)的漏洞，秉承公開透明的原則進(jìn)行負(fù)責(zé)任的披露。在客戶實(shí)施解

決方案之后，對(duì)方案的有效性進(jìn)行監(jiān)控，根據(jù)反饋情況進(jìn)行方案迭代，實(shí)現(xiàn)漏洞閉環(huán)管理。

安全漏洞處理流程包括五個(gè)階段：

1.接收：接收來自客戶、供應(yīng)商、開源社區(qū)、安全團(tuán)體和公司內(nèi)安全測(cè)評(píng)發(fā)現(xiàn)的漏洞；

2.分析驗(yàn)證：驗(yàn)證漏洞、分析影響、評(píng)估風(fēng)險(xiǎn)；

3.開發(fā)方案：確認(rèn)產(chǎn)品受漏洞影響后，提供緩解措施和解決方案；

4.披露和修復(fù)：與漏洞報(bào)告方和波及客戶保持溝通、實(shí)時(shí)通報(bào)進(jìn)展，協(xié)助客戶修復(fù)漏洞，完成漏洞協(xié)同披露；

5.復(fù)盤：從管理、技術(shù)等維度總結(jié)改進(jìn)，提升漏洞處理效率和質(zhì)量。

接收分析驗(yàn)證開發(fā)方案披露&修復(fù)復(fù)盤

接收渠道問題定位發(fā)布緩解措施官網(wǎng)公開披露漏洞復(fù)盤

白帽等第三方

PSIRT郵箱影響分析發(fā)布補(bǔ)丁和版本定向披露任務(wù)跟蹤

供應(yīng)商/開源社區(qū)

組件廣場(chǎng)風(fēng)險(xiǎn)評(píng)估客戶現(xiàn)場(chǎng)修復(fù)

內(nèi)部安全測(cè)評(píng)

版本管理系統(tǒng)技術(shù)支持官網(wǎng)任務(wù)跟蹤系統(tǒng)

客戶

全球客戶支持中心

圖9中興通訊安全漏洞處理流程和支撐系統(tǒng)

21

9

信息安全和隱私保護(hù)

9.1信息安全

信息安全管理的目標(biāo)是保護(hù)公司信息資產(chǎn)的機(jī)密性、完整性和可用性，為公司產(chǎn)品研發(fā)、生產(chǎn)、運(yùn)營(yíng)等關(guān)鍵業(yè)

務(wù)提供安全的環(huán)境。中興通訊建立了分級(jí)的、完備的和閉環(huán)的信息安全管理體系，防泄密，防入侵，一旦發(fā)生

信息安全事件能快速響應(yīng)，將損失降到最低，以保障公司戰(zhàn)略目標(biāo)達(dá)成和業(yè)務(wù)活動(dòng)順利進(jìn)行。

總則（方針）

通用（原則）

定管查

組織

信息

信息流人員固定資產(chǎn)介質(zhì)密品事件

基礎(chǔ)設(shè)施

定密

業(yè)務(wù)

物理區(qū)域會(huì)議展會(huì)供方子公司內(nèi)審

連續(xù)性

業(yè)務(wù)（細(xì)則）

圖10中興通訊信息安全管理體系框架

基于ISO27001信息安全管理體系標(biāo)準(zhǔn)架構(gòu)和要求，遵循業(yè)務(wù)所在地法律法規(guī)、遵從行業(yè)標(biāo)準(zhǔn)，公司通過“定、管、

查”對(duì)信息分級(jí)管控、閉環(huán)管理。定，是識(shí)別管理對(duì)象，從而聚焦核心資產(chǎn)，實(shí)現(xiàn)分級(jí)管控，保障安全，兼顧效率；

管，是管控信息流本身，關(guān)注信息流相關(guān)的人、事、物等要素，達(dá)到信息安全管控效果；查，是對(duì)體系符合性

進(jìn)行檢查改進(jìn)，對(duì)信息安全事件進(jìn)行調(diào)查處置。

22

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

中興通訊將生產(chǎn)經(jīng)營(yíng)活動(dòng)中產(chǎn)生、收集和接收的信息，分為絕密、機(jī)密、內(nèi)部使用、對(duì)外公開四個(gè)密級(jí)。業(yè)務(wù)活

動(dòng)中訪問、處理的客戶信息，對(duì)應(yīng)至相應(yīng)的密級(jí)進(jìn)行分級(jí)管理，運(yùn)用存儲(chǔ)和傳輸加密、身份驗(yàn)證等技術(shù)方法，確

保業(yè)務(wù)活動(dòng)中運(yùn)營(yíng)信息和技術(shù)信息得到充分的安全保護(hù)。

2005年，公司成為國(guó)內(nèi)首個(gè)獲得ISO27001:2005信息安全管理體系認(rèn)證的上市公司，截至2023年，公司總

部及全球附屬公司共獲得27份ISO27001認(rèn)證證書。中興通訊不斷學(xué)習(xí)先進(jìn)的管理理念，探索具有企業(yè)自身特

點(diǎn)的信息安全管理模式，以應(yīng)對(duì)全球數(shù)字化帶來的信息安全挑戰(zhàn)。

9.2隱私保護(hù)

中興通訊遵守業(yè)務(wù)所在國(guó)家和地區(qū)隱私保護(hù)法律法規(guī)，將“法律遵從、信任共建、道德履行”作為隱私保護(hù)的

重要基線。中興通訊通過隱私保護(hù)體系建設(shè)、重點(diǎn)場(chǎng)景隱私保護(hù)管控、隱私保護(hù)實(shí)踐探索等方式，踐行“滿足

法律要求、防控業(yè)務(wù)風(fēng)險(xiǎn)、贏得市場(chǎng)信任、共建良好生態(tài)”。

中興通訊以風(fēng)險(xiǎn)為導(dǎo)向，從組織、人員、制度、技術(shù)等維度開展全面的體系建設(shè)，并在體系運(yùn)行過程中，不斷

優(yōu)化迭代，保持隱私保護(hù)體系的適配性、有效性、先進(jìn)性。公司建立了場(chǎng)景化的業(yè)務(wù)流程合規(guī)指引，構(gòu)筑了合

規(guī)稽查、數(shù)據(jù)保護(hù)和業(yè)務(wù)單位三道風(fēng)險(xiǎn)防線，并針對(duì)各類高風(fēng)險(xiǎn)場(chǎng)景構(gòu)建了管控機(jī)制，守護(hù)用戶、客戶及員工

數(shù)據(jù)和隱私安全。公司建立了數(shù)據(jù)泄露響應(yīng)流程、數(shù)據(jù)主體權(quán)利響應(yīng)流程、數(shù)據(jù)跨境傳輸管控流程、供應(yīng)商合

規(guī)管控制度等數(shù)據(jù)保護(hù)合規(guī)機(jī)制。

中興通訊遵循隱私保護(hù)設(shè)計(jì)（PbD）理念，將隱私保護(hù)管控前移至產(chǎn)品和服務(wù)方案的設(shè)計(jì)階段，通過將隱私保

護(hù)需求導(dǎo)入產(chǎn)品和服務(wù)需求中，使數(shù)據(jù)保護(hù)要求默認(rèn)集成至產(chǎn)品和服務(wù)中，確保數(shù)據(jù)處理滿足合法、公平、透

明等原則。

中興通訊秉持開放、透明的數(shù)據(jù)合規(guī)理念，在中興通訊官網(wǎng)上線了隱私中心9，面向全球客戶、合作伙伴、消費(fèi)

者等相關(guān)方展示隱私保護(hù)建設(shè)、提供隱私保護(hù)反饋窗口。

9./china/privacy_center.html

23

10

業(yè)務(wù)連續(xù)性管理

中興通訊持續(xù)構(gòu)建業(yè)務(wù)連續(xù)性管理（BCM）能力，以保障連續(xù)交付產(chǎn)品和提供服務(wù)能力為宗旨，運(yùn)用體系化框

架和方法論，構(gòu)建了應(yīng)急響應(yīng)和復(fù)原能力，并通過了ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證。

中興通訊產(chǎn)品研發(fā)的業(yè)務(wù)連續(xù)性管理面向業(yè)務(wù)解決方案和基礎(chǔ)設(shè)施解決方案，產(chǎn)品設(shè)計(jì)和方案設(shè)計(jì)默認(rèn)考慮設(shè)

備和網(wǎng)絡(luò)的備份方案和容災(zāi)能力；對(duì)于研發(fā)資源布局和研發(fā)云建設(shè)，定期刷新高風(fēng)險(xiǎn)點(diǎn)，針對(duì)獨(dú)家供貨、關(guān)鍵

IT系統(tǒng)、核心實(shí)驗(yàn)室、病毒攻擊等高風(fēng)險(xiǎn)場(chǎng)景開展治理。中興通訊各地研究所具備快速部署遠(yuǎn)程辦公能力，保

障核心業(yè)務(wù)開展。

供應(yīng)鏈的業(yè)務(wù)連續(xù)性管理面向采購(gòu)、制造和貨運(yùn)業(yè)務(wù)流程，運(yùn)用智能供應(yīng)管理系統(tǒng)實(shí)現(xiàn)全業(yè)務(wù)的監(jiān)測(cè)、預(yù)警、

聯(lián)動(dòng)和調(diào)度，保證采購(gòu)供應(yīng)、生產(chǎn)制造和物流交付的連續(xù)性和穩(wěn)定性。

交付的業(yè)務(wù)連續(xù)性管理包括工程交付及網(wǎng)絡(luò)服務(wù)兩個(gè)方面，為了保障全球客戶在建及運(yùn)維網(wǎng)絡(luò)的業(yè)務(wù)，公司形

成了一套從預(yù)警預(yù)防、預(yù)案演練到事件處置及復(fù)盤的管理流程。

24

11

開放合作融入

11.1網(wǎng)絡(luò)安全實(shí)驗(yàn)室

為了讓客戶、監(jiān)管機(jī)構(gòu)和利益相關(guān)方能夠便捷、有效、透明地對(duì)中興通訊產(chǎn)品和服務(wù)進(jìn)行獨(dú)立安全測(cè)評(píng)，公司在中國(guó)南京、

意大利羅馬和德國(guó)杜塞爾多夫設(shè)立了三個(gè)網(wǎng)絡(luò)安全實(shí)驗(yàn)室，在比利時(shí)和土耳其設(shè)立了兩個(gè)網(wǎng)絡(luò)安全透明中心。

網(wǎng)絡(luò)安全實(shí)驗(yàn)室是客戶評(píng)估和驗(yàn)證中興通訊產(chǎn)品、服務(wù)、過程安全性的平臺(tái)。實(shí)驗(yàn)室能夠支撐包括源代碼查閱、核心

文檔查閱、黑盒測(cè)試、滲透測(cè)試、技術(shù)交流和分享等活動(dòng)。自成立以來，實(shí)驗(yàn)室多次接待國(guó)內(nèi)外重要客戶和機(jī)構(gòu)開展

技術(shù)交流和安全審計(jì)。以意大利網(wǎng)絡(luò)安全實(shí)驗(yàn)室為例，我們的客戶借助實(shí)驗(yàn)室對(duì)多個(gè)產(chǎn)品進(jìn)行了滲透測(cè)試和源代碼審計(jì)，

包括5G、家庭終端和手機(jī)等產(chǎn)品，其中一部分是在意大利國(guó)家高校電信聯(lián)盟（CNIT）10的獨(dú)立監(jiān)督下進(jìn)行的。中興

通訊還參與意大利及歐洲安全組織舉辦的活動(dòng)，與本地安全社區(qū)共享交流，共同提升網(wǎng)絡(luò)安全水平。

區(qū)別于網(wǎng)絡(luò)安全實(shí)驗(yàn)室，網(wǎng)絡(luò)安全透明中心在縮小規(guī)模的基礎(chǔ)上可滿足源代碼查閱和文檔查閱的要求，便于客戶、監(jiān)

管機(jī)構(gòu)和利益相關(guān)方檢驗(yàn)中興通訊產(chǎn)品的安全性。

11.2測(cè)評(píng)和認(rèn)證合作

中興通訊持續(xù)對(duì)標(biāo)行業(yè)安全標(biāo)準(zhǔn)，積極獲取行業(yè)認(rèn)證。

2022年6月，中興通訊5GNR和5GC系列產(chǎn)品通過了GSMANESAS2.1版本的“供應(yīng)商開發(fā)和產(chǎn)品生命周期

流程的安全評(píng)估”，成為全球首家通過GSMANESAS2.1的移動(dòng)網(wǎng)絡(luò)設(shè)備供應(yīng)商。

2023年1月，中興通訊5GNRgNodeB產(chǎn)品獲得由德國(guó)聯(lián)邦信息安全辦公室（BSI）頒發(fā)的“網(wǎng)絡(luò)設(shè)備安全保障

方案網(wǎng)絡(luò)安全認(rèn)證計(jì)劃-德國(guó)實(shí)施”（NESASCCS-GI）認(rèn)證證書。中興通訊作為首家獲得NESASCCS-GI證

書的5G設(shè)備供應(yīng)商，在認(rèn)證過程中完全符合流程要求和安全規(guī)范。通過本次認(rèn)證，中興通訊既充分證明了其產(chǎn)品安

全治理和5GNR產(chǎn)品滿足德國(guó)嚴(yán)格的安全標(biāo)準(zhǔn)，也為德國(guó)NESASCCS-GI認(rèn)證的發(fā)展做出貢獻(xiàn)。

10.非盈利組織，由37所意大利公立大學(xué)參與組成。

25

中興通訊網(wǎng)絡(luò)安全保障實(shí)踐

中興通訊持有一系列安全相關(guān)的ISO認(rèn)證，包括信息安全、供應(yīng)鏈安全、業(yè)務(wù)連續(xù)性、隱私保護(hù)等。中興通訊還持有

中國(guó)網(wǎng)絡(luò)安全