中兴通讯PSIRT

中兴通讯PSIRT(Product Security Incident Response Team)事件响应团队负责接收、处理和披露中兴通讯产品和解决方案相关的安全漏洞,是中兴通讯披露漏洞信息的出口。其职责还包括制定公司安全事件管理策略及处理方案,分析系统软件提供商和专业安全厂商发布的漏洞及补丁、响应和处理客户、安全组织或个人公布的的安全事件。

中兴通讯鼓励全球安全从业人员、业界组织主动提交中兴通讯产品存在的安全漏洞,中兴通讯PSIRT将遵循ISO/IEC 30111、ISO/IEC 29147等行业标准处理提交的安全漏洞。

联系方式:中兴通讯PSIRT邮箱 psirt@zte.com.cn

  • 漏洞提交

  • 漏洞响应流程

  • 安全通告

  • 中兴通讯安全奖励计划

  • 中兴通讯漏洞奖励公告

漏洞提交

中兴通讯鼓励全球安全从业人员、业界组织主动提交您发现的中兴通讯产品的安全漏洞,帮助我们一起持续提升和完善中兴通讯产品及服务的安全性。如您有发现我们的安全漏洞,欢迎您及时提交。提交途径:psirt@zte.com.cn.

提交范围:中兴通讯服务范围内的产品(不包含停止服务和支持产品),如提交产品在中兴通讯奖励计划范围内可获得相应奖励。

我们将对收到的安全漏洞,予以第一时间回复,通常情况下:

1个工作日内收到邮件回复确认;

7个工作日内收到漏洞验证结论;

漏洞处理过程中我们也会知会您最新处理进展。

为提高处理效率,请您遵循如下指引提供漏洞报告:

1、使用模板完整、准确填写。

2、由于安全漏洞属于敏感信息,为确保其机密性,强烈建议您使用中兴通讯的PGP公钥(key ID:FF095577)进行加密。

3、邮件主题:【产品名称-漏洞简述】

4、确保提交的报告不涉及知识产权问题,不包含法律或宗教所禁止的内容。

此外,在中兴通讯主动公开之前,希望您承担对此漏洞信息保密的义务,同时,中兴通讯承诺在漏洞修复和发布安全公告之前,为客户保密漏洞相关的敏感信息。

非安全漏洞相关问题请您咨询全球技术支持

漏洞响应流程

中兴通讯以“安全融入血脉,透明增进信任”为安全愿景,向客户交付安全可信的产品和服务。我们的安全治理覆盖供应链、研发、交付、事件响应和各支撑领域,形成了贯穿全生命周期的产品安全保障体系,中兴通讯PSIRT遵照法律法规、行业标准以及客户需求制定中兴通讯漏洞响应流程。

中兴通讯重视产品全生命周期的漏洞管理,遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞响应流程,确保安全漏洞有效、迅速地处理,降低安全风险。

安全漏洞响应流程包括五个阶段:

安全漏洞响应流程

1、漏洞接收:接收各相关方提交的安全漏洞。

中兴通讯鼓励全球安全从业人员、业界组织提交中兴通讯产品的安全漏洞。同时,中兴通讯PSIRT主动获取业界发布的威胁情报,甄别有效的漏洞信息。

2、分析验证:验证漏洞、分析影响、评估风险。

PSIRT对安全漏洞进行分析、验证,遵循CVSS标准对产品的安全漏洞进行分级和打分,相关安全专家进行评估结果审核确认,以确定最终评估结果。对于中兴通讯奖励计划范围内的安全漏洞予以奖励。

3、开发方案:确认产品受漏洞影响后,提供缓解措施和解决方案。

对于确认存在的安全漏洞,中兴通讯PSIRT联合产品团队一起制定、开发并提供漏洞修复方案(包括缓解措施、解决方案),有效应对和解决安全风险,保障客户数据和系统的安全与稳定。

4、披露和修复:与漏洞报告方和波及客户保持沟通、协助客户修复漏洞,完成漏洞协同披露。

在整个漏洞响应的过程中,中兴通讯与客户及相关方保持沟通、同步处理进展,协助客户尽早修复漏洞,完成漏洞协同披露。

5、复盘:从管理、技术等维度总结改进,提升漏洞处理效率和质量。

对于安全漏洞的发生,中兴通讯都将对其进行管理、技术根因分析,总结经验教训,持续优化漏洞响应流程、提升产品自身安全性,向客户交付安全可信的产品和服务。

漏洞披露策略

中兴通讯通过以下三种形式对外进行漏洞信息及修复方案的披露:

安全通告:安全通告包含漏洞严重等级、受影响产品和版本范围、业务影响以及修复方案等信息。通常用于对中兴通讯产品的严重、高危安全漏洞的信息及修复方案进行披露,以便客户获悉漏洞信息,评估风险;中兴通讯保留发布和持续更新漏洞通告的权利。

安全声明:安全声明包含漏洞描述、安全话题简述、最新处理进展等信息。用于对社会广泛关注和讨论的安全话题(含安全漏洞和非安全漏洞相关话题)进行披露,以便相关方及时了解中兴通讯的处理进展。

版本发布说明书:版本发布说明书包含已修复的漏洞信息。用于对研发过程中已修复的安全漏洞进行披露,以便客户了解产品的安全状况。

其他说明

1、中兴通讯PSIRT在处理漏洞时会严格控制漏洞信息的范围,仅在处理漏洞的相关人员之间传递。

2、中兴通讯PSIRT对以上策略具有最终解释权。

附录:

名称 定义
ISO/IEC 29147 国际标准化组织制定的披露潜在漏洞准则
ISO/IEC 30111 国际标准化组织制定的漏洞管理流程
CVSS Common Vulnerability Scoring System,通用漏洞评分系统
EOS End of Service & Support,停止提供产品服务和支持的日期。包括软件维护版本或缺陷修复、硬件维修及备件更换,和针对该产品的所有支持服务(包括服务热线和远程/现场支持)。

中兴通讯安全奖励计划
中兴通讯安全奖励计划

中兴通讯致力于持续改善产品及服务的安全性,帮助广大用户获得安全可信的业务体验,特此设立漏洞奖励计划,欢迎全球安全从业人员/机构向我们反馈产品和服务的安全问题。我们承诺,您所报告的安全问题会及时跟进与反馈。

中兴通讯也在和GSMA CVD紧密合作,标准类相关的漏洞也可考虑提交GSMA Coordinated Vulnerability Disclosure (CVD) programme

中兴通讯web应用系统安全奖励计划 > 中兴通讯产品安全奖励计划 >
安全通告
安全通告

中兴通讯秉承公开透明的原则,确保潜在的产品漏洞信息及时披露给客户,并提供最终解决方案。

中兴通讯作为事件响应和安全团队论坛 (FIRST) 成员和CVE编号颁发机构 (CNA),我们将以更加公开的方式与客户及相关方进行协同披露。相关的披露信息可在CVE和我们公司网站上查询到。

请点击访问“公告信息”-安全通告栏目获取详细的公告信息。

三大业务
消费者业务
运营商业务
政企业务
合作伙伴
供应商
IPARTNER
中兴e学
中兴认证
查询与举报
ECCN查询
禁止合作名单
监督举报
隐私中心
投资者
公告
定期报告
中国投资者网
快速入口
SDN/NFV专题
服务器与存储专题
人才招聘专题
公司介绍 联系我们 监督举报 法律声明 隐私政策 全球销售网点
© 2025 中兴通讯股份有限公司 版权所有
粤ICP备11108162号
icon
粤公网安备 44030502000445号
icon