中兴通讯首席安全官钟宏谈安全保障

发布时间:2019-03-22 作者:钟宏 中兴通讯 阅读量 :

中兴通讯将客户的安全价值置于商业利益之上,遵从网络安全的相关法律法规,保证端到端地交付安全可信的产品和服务。

网络安全是中兴通讯产品研发和交付的最高优先级之一,中兴通讯将根据公司发展战略规划,参考国际标准和法律法规,建立健全的产品安全治理结构,培养全员安全意识,强调全流程安全。

中兴通讯将安全策略和安全控制融入到产品生命周期的每个阶段,建立覆盖产品研发、供应链与制造、工程服务、安全事件管理和验证审计等领域的产品全生命周期的产品安全保障机制,以实现产品和服务的端到端安全地交付,并为此构筑三道防线安全治理结构,实现产品安全的基线化、流程化和闭环化。

在组织架构方面,中兴通讯采纳了三道安全防线治理模型,从多角度审视产品及服务的安全性。业务单位作为第一道防线实现产品安全性的自我管控;公司安全实验室作为第二道防线实施独立的安全测评和监督;外部专业机构及客户作为第三道防线评估与审计第一、第二道防线的有效性。

中兴通讯产品安全事件响应团队(PSIRT)负责识别和分析安全事件,跟踪事件处理过程,与内外部各相关方密切沟通,及时披露安全漏洞,以减轻安全事件带来的不利影响。作为事件响应和安全团队论坛(FIRST)成员和CVE编号颁发成员(CNA),中兴通讯正以更加公开的方式与客户及相关方进行协同。

2005年,中兴通讯首次获得ISO 27001信息安全管理体系证书,并每年持续更新,2017年通过ISO 28000供应链安全管理体系认证。

安全测评方面,中兴通讯拥有具备CISSP、CISA、CCIE、CISAW、CCSK等安全各领域的国际认证专家,具备成熟的代码审计、漏洞扫描、渗透测试等多维度安全测评能力。

5G时代已开启,云计算、物联网、大数据、人工智能等技术正在引发新一轮的产业变革,在这样的背景下,抵御不断演进的网络安全威胁,是全世界面临的更大挑战,作为全球通信设备和方案提供商,中兴通讯对于网络安全保障采取什么立场?

中兴通讯认为,客户的安全价值大于商业利益,产品的安全特性是第一位的。网络安全威胁是客户与我们共同面临的威胁,客户最关心的问题是我们有足够的安全措施去保障他们的设备和服务安全运行。中兴通讯这几年持续进行网络安全治理,通过一整套网络安全保障体系,为客户提供端到端的安全保障,使产品和服务具备抵抗网络攻击的能力。

中兴通讯愿以开放、透明的方式与运营商、监管机构、合作伙伴和其他利益相关方进行沟通和合作,遵守相关法律法规、尊重客户和最终用户的合法权益,不断改善管理和技术实践,最终以安全可信的产品回馈客户,共同建立和维护良好的网络空间安全秩序。

最近有部分国家政府提出了安全的担忧,从您的观点出发,对于全球的客户,中兴通讯怎么能够保护他们的网络安全,保护他们信息的机密性?或者说,如何帮助客户实现共同抵御网络安全威胁的目标,如何打消客户对于网络安全的担忧?

这个问题从两个角度看,一是自身视角,网络安全保障我们该做什么,如何做;另一个是客户视角,我们的举措如何取得客户认可和信任。

首先,我认为安全性是产品的内在属性,因此我们将提升产品的安全性摆在第一重要的位置。其次,一方面我们必须充分理解客户的安全需求,另一方面要让客户相信我们的产品是安全的。中兴通讯正在运行一个长期持续进行的网络安全保障计划,这个计划在公司内部称为“网络安全治理”,其愿景是“安全融入血脉,透明赢得信任”,最终目标是为客户提供可信赖的、端到端全生命期的网络安全保障。

战略层面,网络安全是产品研发和交付的最高优先级之一。也就是说,在研发和工程服务过程中关键决策节点,当需要我们做出选择的时刻,我们会优先选择保障产品的安全性。比如,在产品研发过程中,我们设置了发布关卡,如果安全测试不通过,版本不允许发布;在工程服务过程中,运用技术和管理的手段保障客户网络操作的安全性,比如,账户管理运用最小需知和最小权限原则;所有涉及访问客户网络和数据的操作,都必须事先获得客户授权。

组织层面,中兴通讯采纳了业界认可的三道安全防线组织结构,基于权责分离的原则,从一线自我管控、二线独立测评、三线审计监督的多个角度审视产品的安全性。在产品研发过程中,通过部署多层安全验证机制,确保安全性从多角度得到审视。在工程服务一线,按照区域、国家和项目维度,中兴通讯组建了多级产品安全管理团队,建立了网络安全监控和安全事件响应机制;二线和三线对工服实行现场检查和审计,确保在网产品和运维安全可靠。

战术层面,网络安全保障计划坚持六点方针:有规范、严执行、能追溯、强监督、全透明、可信赖。

有规范——制定的安全策略和流程规范渗透进每个产品和过程环节,我们对照业界的成熟度模型定期审核安全规范,并且确保这些规范可执行且行之有效。

严执行——各业务部门的日常工作均按照规范严格执行,公司内部发布了“产品安全红线”,画出了对客户网络操作和个人数据处理不可逾越的安全底线,对组织和个人都有强制约束力。

能追溯——产品的组件、产品的局点分布,以及执行过程记录组成产品全图,帮助我们对产品进行可视化管理,在安全事件发生时能回溯和复盘。

强监督——通过内部和第三方安全审计,检查各环节按规范执行的有效性,审计报告向审计委员会汇报,严格执行整改并复查。

全透明——网络安全保障举措应当对客户透明,我们部署了一系列举措实现过程透明化。2017年,公司成为CVE颁发机构,通过正规的漏洞披露政策让相关方知晓我司处理产品漏洞的过程。2019年,我们预计在第一季度发布新版《网络安全白皮书》,让关注者了解中兴通讯对安全的认识、态度和举措;同时,公司已经开始筹建海外安全透明实验室,可以让客户在线审查我们的产品;此外,我们正在谋求与第三方建立战略合作关系,获取业界领先的技术和服务,运用于安全实验室筹建、独立测评和安全审计。

可信赖——赢得客户信赖的前提是尊重和理解客户的价值观,途径是做到过程透明和有监管。中兴通讯自2005年开始获得信息安全管理体系ISO 27001认证并每年更新证书,2017年通过ISO 28000供应链安全管理认证,自2011年开始累积十多款产品通过了CC(通用准则,既ISO15408标准)安全认证。在过去的两年中,中兴通讯与客户、第三方和海外监管机构紧密合作,持续开展源代码审计、安全设计评审、供应商审计等活动。

人员培养方面,我们认为网络安全保障计划的成功与否,很大程度上取决于人员和安全意识,我们建设安全团队、培养安全专家,过去的一年内新增了持有CISSP(注册信息系统安全师)、CISA(注册信息系统审计师)、CISAW(信息安全保障人员认证)和CCSK(云安全知识证书)证书的安全专家27人次,组织了多种层面的学习、培训、研讨、实践和考试,以育人的方式培养安全人员600多人。但最重要的,安全意识培养首先要从管理层开始,产品安全委员会(CSC)由CEO担任主任,CTO担任常务副主任,CSO担任副主任,代表供应链、系统产品、工程服务领域的最高负责人担任常委,网络安全保障的组织部署已贯穿管理层。

请介绍一下中兴通讯安全实验室筹建和发布计划。

正在筹建的网络安全实验室是一个“1+N”的运行模式,核心实验室设在国内,国内外部署多个远程接入点。

安全实验室预设三个功能:一,在安全的环境中查看和评估中兴通讯产品的源代码;二,提供对中兴通讯产品和服务重要技术文档的访问服务;三,可通过手动和自动化工具对中兴通讯产品和服务进行安全测试。

建设计划:2019年在海外建设两个安全透明实验室,分别在比利时和意大利。后续根据客户需求及业务开展,规划设立新的安全实验室。

近期,外界传播着一种对国家安全的担忧,中国通信设备厂商的可信度遭到国外政府和企业的质疑,有观点认为中国通信厂商为政府情报工作提供合作,您对这个问题有怎样的看法?
中兴通讯从未收到过相关机构让我们在产品中设置后门的要求,我们产品的源代码可以通过安全实验室开放给客户及专业机构进行安全审计。