中興通訊將客戶的安全價(jià)值置于商業(yè)利益之上，遵從網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)，保證端到端地交付安全可信的產(chǎn)品和服務(wù)。

　　網(wǎng)絡(luò)安全是中興通訊產(chǎn)品研發(fā)和交付的最高優(yōu)先級(jí)之一，中興通訊將根據(jù)公司發(fā)展戰(zhàn)略規(guī)劃，參考國(guó)際標(biāo)準(zhǔn)和法律法規(guī)，建立健全的產(chǎn)品安全治理結(jié)構(gòu)，培養(yǎng)全員安全意識(shí)，強(qiáng)調(diào)全流程安全。

　　中興通訊將安全策略和安全控制融入到產(chǎn)品生命周期的每個(gè)階段，建立覆蓋產(chǎn)品研發(fā)、供應(yīng)鏈與制造、工程服務(wù)、安全事件管理和驗(yàn)證審計(jì)等領(lǐng)域的產(chǎn)品全生命周期的產(chǎn)品安全保障機(jī)制，以實(shí)現(xiàn)產(chǎn)品和服務(wù)的端到端安全地交付，并為此構(gòu)筑三道防線安全治理結(jié)構(gòu)，實(shí)現(xiàn)產(chǎn)品安全的基線化、流程化和閉環(huán)化。

　　在組織架構(gòu)方面，中興通訊采納了三道安全防線治理模型，從多角度審視產(chǎn)品及服務(wù)的安全性。業(yè)務(wù)單位作為第一道防線實(shí)現(xiàn)產(chǎn)品安全性的自我管控；公司安全實(shí)驗(yàn)室作為第二道防線實(shí)施獨(dú)立的安全測(cè)評(píng)和監(jiān)督；外部專業(yè)機(jī)構(gòu)及客戶作為第三道防線評(píng)估與審計(jì)第一、第二道防線的有效性。

　　中興通訊產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)（PSIRT）負(fù)責(zé)識(shí)別和分析安全事件，跟蹤事件處理過程，與內(nèi)外部各相關(guān)方密切溝通，及時(shí)披露安全漏洞，以減輕安全事件帶來的不利影響。作為事件響應(yīng)和安全團(tuán)隊(duì)論壇（FIRST）成員和CVE編號(hào)頒發(fā)成員（CNA），中興通訊正以更加公開的方式與客戶及相關(guān)方進(jìn)行協(xié)同。

　　2005年，中興通訊首次獲得ISO 27001信息安全管理體系證書，并每年持續(xù)更新，2017年通過ISO 28000 供應(yīng)鏈安全管理體系認(rèn)證。

　　安全測(cè)評(píng)方面，擁有具備CISSP、CISA、CCIE、CISAW、CCSK等安全各領(lǐng)域的國(guó)際認(rèn)證專家，具備成熟的代碼審計(jì)、漏洞掃描、滲透測(cè)試等多維度安全測(cè)評(píng)能力。

　　回答：中興通訊認(rèn)為，客戶的安全價(jià)值大于商業(yè)利益，產(chǎn)品的安全特性是第一位的。網(wǎng)絡(luò)安全威脅是客戶與我們共同面臨的威脅，客戶最關(guān)心的問題是我們有足夠的安全措施去保障他們的設(shè)備和服務(wù)安全運(yùn)行。中興這幾年持續(xù)進(jìn)行的網(wǎng)絡(luò)安全治理，通過一整套網(wǎng)絡(luò)安全保障體系，為客戶提供端到端的安全保障，使產(chǎn)品和服務(wù)具備抵抗網(wǎng)絡(luò)攻擊的能力。

　　中興通訊愿以開放、透明的方式與運(yùn)營(yíng)商、監(jiān)管機(jī)構(gòu)、合作伙伴和其他利益相關(guān)方進(jìn)行溝通和合作，遵守相關(guān)法律法規(guī)、尊重客戶和最終用戶的合法權(quán)益，不斷改善管理和技術(shù)實(shí)踐，最終以安全可信的產(chǎn)品回饋客戶，共同建立和維護(hù)良好的網(wǎng)絡(luò)空間安全秩序。

　　回答：這個(gè)問題從兩個(gè)角度看，一是自身視角，網(wǎng)絡(luò)安全保障我們?cè)撟鍪裁矗�如何做；另一個(gè)是客戶視角，我們的舉措如何取得客戶認(rèn)可和信任。

　　首先，我認(rèn)為安全性是產(chǎn)品的內(nèi)在屬性，因此我們將提升產(chǎn)品的安全性擺在第一重要的位置。其次，一方面我們必須充分理解客戶的安全需求，另一方面要讓客戶相信我們的產(chǎn)品是安全的。中興通訊正在運(yùn)行一個(gè)長(zhǎng)期持續(xù)進(jìn)行的網(wǎng)絡(luò)安全保障計(jì)劃，這個(gè)計(jì)劃在公司內(nèi)部稱為“網(wǎng)絡(luò)安全治理”，其愿景是“安全融入血脈，透明贏得信任”，最終目標(biāo)是為客戶提供可信賴的、端到端全生命期的網(wǎng)絡(luò)安全保障。

　　戰(zhàn)略層面，網(wǎng)絡(luò)安全是產(chǎn)品研發(fā)和交付的最高優(yōu)先級(jí)之一。也就是說，在研發(fā)和工程服務(wù)過程中關(guān)鍵決策節(jié)點(diǎn)，當(dāng)需要我們做出選擇的時(shí)刻，我們會(huì)優(yōu)先選擇保障產(chǎn)品的安全性。比如，在產(chǎn)品研發(fā)過程中，我們?cè)O(shè)置了發(fā)布關(guān)卡，如果安全測(cè)試不通過，版本不允許發(fā)布；在工程服務(wù)過程中，運(yùn)用技術(shù)和管理的手段保障客戶網(wǎng)絡(luò)操作的安全性，比如，賬戶管理運(yùn)用最小需知和最小權(quán)限原則；所有涉及訪問客戶網(wǎng)絡(luò)和數(shù)據(jù)的操作，都必須事先獲得客戶授權(quán)。

　　組織層面，中興通訊采納了業(yè)界認(rèn)可的三道安全防線組織結(jié)構(gòu)，基于權(quán)責(zé)分離的原則，從一線自我管控、二線獨(dú)立測(cè)評(píng)、三線審計(jì)監(jiān)督的多個(gè)角度審視產(chǎn)品的安全性。在產(chǎn)品研發(fā)過程中，通過部署多層安全驗(yàn)證機(jī)制，確保安全性從多角度得到審視。在工程服務(wù)一線，按照區(qū)域、國(guó)家和項(xiàng)目維度，公司組建了多級(jí)產(chǎn)品安全管理團(tuán)隊(duì)，建立了網(wǎng)絡(luò)安全監(jiān)控和安全事件響應(yīng)機(jī)制；二線和三線對(duì)工服實(shí)行現(xiàn)場(chǎng)檢查和審計(jì)，確保在網(wǎng)產(chǎn)品和運(yùn)維安全可靠。

　　戰(zhàn)術(shù)層面，網(wǎng)絡(luò)安全保障計(jì)劃堅(jiān)持六點(diǎn)方針：有規(guī)范、嚴(yán)執(zhí)行、能追溯、強(qiáng)監(jiān)督、全透明、可信賴。

　　1.有規(guī)范——制定的安全策略和流程規(guī)范滲透進(jìn)每個(gè)產(chǎn)品和過程環(huán)節(jié)，我們對(duì)照業(yè)界的成熟度模型定期審核安全規(guī)范，并且確保這些規(guī)范可執(zhí)行且行之有效；

　　2.嚴(yán)執(zhí)行——各業(yè)務(wù)部門的日常工作均按照規(guī)范嚴(yán)格執(zhí)行，公司內(nèi)部發(fā)布了“產(chǎn)品安全紅線”，畫出了對(duì)客戶網(wǎng)絡(luò)操作和個(gè)人數(shù)據(jù)處理不可逾越的安全底線，對(duì)組織和個(gè)人都有強(qiáng)制約束力；

　　3.能追溯——產(chǎn)品的組件、產(chǎn)品的局點(diǎn)分布、以及執(zhí)行過程記錄組成產(chǎn)品全圖，幫助我們對(duì)產(chǎn)品進(jìn)行可視化管理，在安全事件發(fā)生時(shí)能回溯和復(fù)盤；

　　4.強(qiáng)監(jiān)督——通過內(nèi)部和第三方安全審計(jì)，檢查各環(huán)節(jié)按規(guī)范執(zhí)行的有效性，審計(jì)報(bào)告向?qū)徲?jì)委員會(huì)匯報(bào)，嚴(yán)格執(zhí)行整改并復(fù)查；

　　5.全透明——網(wǎng)絡(luò)安全保障舉措應(yīng)當(dāng)對(duì)客戶透明，我們部署了一系列舉措實(shí)現(xiàn)過程透明化。2017年，公司成為CVE頒發(fā)機(jī)構(gòu)，通過正規(guī)的漏洞披露政策讓相關(guān)方知曉我司處理產(chǎn)品漏洞的過程。今年（2019），我們預(yù)計(jì)在第一季度發(fā)布新版《網(wǎng)絡(luò)安全白皮書》，讓關(guān)注者了解中興通訊對(duì)安全的認(rèn)識(shí)、態(tài)度和舉措；同時(shí)，公司已經(jīng)開始籌建海外安全透明實(shí)驗(yàn)室，可以讓客戶在線審查我們的產(chǎn)品；此外，我們正在謀求與第三方建立戰(zhàn)略合作關(guān)系，獲取業(yè)界領(lǐng)先的技術(shù)和服務(wù)，運(yùn)用于安全實(shí)驗(yàn)室籌建、獨(dú)立測(cè)評(píng)和安全審計(jì)；

　　6.可信賴——贏得客戶信賴的前提是尊重和理解客戶的價(jià)值觀，途徑是做到過程透明和有監(jiān)管。中興通訊自2005年開始獲得信息安全管理體系ISO 27001認(rèn)證并每年更新證書，2017年通過ISO 28000供應(yīng)鏈安全管理認(rèn)證，自2011年開始累積十多款產(chǎn)品通過了CC（通用準(zhǔn)則，既ISO15408標(biāo)準(zhǔn)）安全認(rèn)證。在過去的2年中，中興通訊與客戶、第三方和海外監(jiān)管機(jī)構(gòu)緊密合作，持續(xù)開展源代碼審計(jì)、安全設(shè)計(jì)評(píng)審、供應(yīng)商審計(jì)等活動(dòng)。

　　人員培養(yǎng)方面，我們認(rèn)為網(wǎng)絡(luò)安全保障計(jì)劃的成功與否，很大程度上取決于人員和安全意識(shí)，我們建設(shè)安全團(tuán)隊(duì)、培養(yǎng)安全專家，過去的一年內(nèi)新增了持有CISSP（注冊(cè)信息系統(tǒng)安全師）、CISA（注冊(cè)信息系統(tǒng)審計(jì)師）、CISAW（信息安全保障人員認(rèn)證）和CCSK（云安全知識(shí)證書）證書的安全專家27人次，組織了多種層面的學(xué)習(xí)、培訓(xùn)、研討、實(shí)踐和考試，以育人的方式培養(yǎng)安全人員600多人。但最重要的，安全意識(shí)培養(yǎng)首先要從管理層開始，產(chǎn)品安全委員會(huì)（CSC）由CEO擔(dān)任主任，CTO擔(dān)任常務(wù)副主任，CSO擔(dān)任副主任，代表供應(yīng)鏈、系統(tǒng)產(chǎn)品、工程服務(wù)領(lǐng)域的最高負(fù)責(zé)人擔(dān)任常委，網(wǎng)絡(luò)安全保障的組織部署已貫穿管理層。

　　回答：正在籌建的網(wǎng)絡(luò)安全實(shí)驗(yàn)室是一個(gè)“1+N”的運(yùn)行模式，核心實(shí)驗(yàn)室設(shè)在國(guó)內(nèi)，國(guó)內(nèi)外部署多個(gè)遠(yuǎn)程接入點(diǎn)。

　　安全實(shí)驗(yàn)室預(yù)設(shè)三個(gè)功能：1.在安全的環(huán)境中查看和評(píng)估ZTE產(chǎn)品的源代碼；2.提供對(duì)ZTE產(chǎn)品和服務(wù)重要技術(shù)文檔的訪問服務(wù)；3.可通過手動(dòng)和自動(dòng)化工具對(duì)ZTE產(chǎn)品和服務(wù)進(jìn)行安全測(cè)試。

　　建設(shè)計(jì)劃：2019年在海外建設(shè)兩個(gè)安全透明實(shí)驗(yàn)室，分別在比利時(shí)和意大利。后續(xù)根據(jù)客戶需求及業(yè)務(wù)開展，規(guī)劃設(shè)立新的安全實(shí)驗(yàn)室。

　　回答：中興通訊從未收到過相關(guān)機(jī)構(gòu)讓我們?cè)诋a(chǎn)品中設(shè)置后門的要求；我們產(chǎn)品的源代碼可以通過安全實(shí)驗(yàn)室開放給客戶及專業(yè)機(jī)構(gòu)進(jìn)行安全審計(jì)。