欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當(dāng)前的位置是:  首頁(yè) > 新聞 > 國(guó)內(nèi) >
 首頁(yè) > 新聞 > 國(guó)內(nèi) >

中興通訊首席安全官鐘宏談安全保障

2019-02-19 10:57:16   作者:   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:



中興通訊股份有限公司首席安
全官 鐘宏
  中興通訊將客戶的安全價(jià)值置于商業(yè)利益之上,遵從網(wǎng)絡(luò)安全的相關(guān)法律法規(guī),保證端到端地交付安全可信的產(chǎn)品和服務(wù)。
  網(wǎng)絡(luò)安全是中興通訊產(chǎn)品研發(fā)和交付的最高優(yōu)先級(jí)之一,中興通訊將根據(jù)公司發(fā)展戰(zhàn)略規(guī)劃,參考國(guó)際標(biāo)準(zhǔn)和法律法規(guī),建立健全的產(chǎn)品安全治理結(jié)構(gòu),培養(yǎng)全員安全意識(shí),強(qiáng)調(diào)全流程安全。
  中興通訊將安全策略和安全控制融入到產(chǎn)品生命周期的每個(gè)階段,建立覆蓋產(chǎn)品研發(fā)、供應(yīng)鏈與制造、工程服務(wù)、安全事件管理和驗(yàn)證審計(jì)等領(lǐng)域的產(chǎn)品全生命周期的產(chǎn)品安全保障機(jī)制,以實(shí)現(xiàn)產(chǎn)品和服務(wù)的端到端安全地交付,并為此構(gòu)筑三道防線安全治理結(jié)構(gòu),實(shí)現(xiàn)產(chǎn)品安全的基線化、流程化和閉環(huán)化。
  在組織架構(gòu)方面,中興通訊采納了三道安全防線治理模型,從多角度審視產(chǎn)品及服務(wù)的安全性。業(yè)務(wù)單位作為第一道防線實(shí)現(xiàn)產(chǎn)品安全性的自我管控;公司安全實(shí)驗(yàn)室作為第二道防線實(shí)施獨(dú)立的安全測(cè)評(píng)和監(jiān)督;外部專業(yè)機(jī)構(gòu)及客戶作為第三道防線評(píng)估與審計(jì)第一、第二道防線的有效性。
  中興通訊產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)(PSIRT)負(fù)責(zé)識(shí)別和分析安全事件,跟蹤事件處理過程,與內(nèi)外部各相關(guān)方密切溝通,及時(shí)披露安全漏洞,以減輕安全事件帶來的不利影響。作為事件響應(yīng)和安全團(tuán)隊(duì)論壇(FIRST)成員和CVE編號(hào)頒發(fā)成員(CNA),中興通訊正以更加公開的方式與客戶及相關(guān)方進(jìn)行協(xié)同。
  2005年,中興通訊首次獲得ISO 27001信息安全管理體系證書,并每年持續(xù)更新,2017年通過ISO 28000 供應(yīng)鏈安全管理體系認(rèn)證。
  安全測(cè)評(píng)方面,擁有具備CISSP、CISA、CCIE、CISAW、CCSK等安全各領(lǐng)域的國(guó)際認(rèn)證專家,具備成熟的代碼審計(jì)、漏洞掃描、滲透測(cè)試等多維度安全測(cè)評(píng)能力。
  問題一: 5G時(shí)代已開啟,云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)正在引發(fā)新一輪的產(chǎn)業(yè)變革,在這樣的背景下,抵御不斷演進(jìn)的網(wǎng)絡(luò)安全威脅,是通訊世界面臨的更大挑戰(zhàn),作為全球通訊設(shè)備和方案提供商,中興通訊對(duì)于網(wǎng)絡(luò)安全保障采取什么立場(chǎng)?
  回答:中興通訊認(rèn)為,客戶的安全價(jià)值大于商業(yè)利益,產(chǎn)品的安全特性是第一位的。網(wǎng)絡(luò)安全威脅是客戶與我們共同面臨的威脅,客戶最關(guān)心的問題是我們有足夠的安全措施去保障他們的設(shè)備和服務(wù)安全運(yùn)行。中興這幾年持續(xù)進(jìn)行的網(wǎng)絡(luò)安全治理,通過一整套網(wǎng)絡(luò)安全保障體系,為客戶提供端到端的安全保障,使產(chǎn)品和服務(wù)具備抵抗網(wǎng)絡(luò)攻擊的能力。
  中興通訊愿以開放、透明的方式與運(yùn)營(yíng)商、監(jiān)管機(jī)構(gòu)、合作伙伴和其他利益相關(guān)方進(jìn)行溝通和合作,遵守相關(guān)法律法規(guī)、尊重客戶和最終用戶的合法權(quán)益,不斷改善管理和技術(shù)實(shí)踐,最終以安全可信的產(chǎn)品回饋客戶,共同建立和維護(hù)良好的網(wǎng)絡(luò)空間安全秩序。
  問題二:最近有部分的國(guó)家政府提出了安全的擔(dān)憂,從您的觀點(diǎn)出發(fā),對(duì)于全球的客戶,中興怎么能夠保護(hù)他們的網(wǎng)絡(luò)安全,保護(hù)他們信息的機(jī)密性?或者說,如何幫助客戶實(shí)現(xiàn)共同抵御網(wǎng)絡(luò)安全威脅的目標(biāo),如何打消客戶對(duì)于網(wǎng)絡(luò)安全的擔(dān)憂?
  回答:這個(gè)問題從兩個(gè)角度看,一是自身視角,網(wǎng)絡(luò)安全保障我們?cè)撟鍪裁矗绾巫;另一個(gè)是客戶視角,我們的舉措如何取得客戶認(rèn)可和信任。
  首先,我認(rèn)為安全性是產(chǎn)品的內(nèi)在屬性,因此我們將提升產(chǎn)品的安全性擺在第一重要的位置。其次,一方面我們必須充分理解客戶的安全需求,另一方面要讓客戶相信我們的產(chǎn)品是安全的。中興通訊正在運(yùn)行一個(gè)長(zhǎng)期持續(xù)進(jìn)行的網(wǎng)絡(luò)安全保障計(jì)劃,這個(gè)計(jì)劃在公司內(nèi)部稱為“網(wǎng)絡(luò)安全治理”,其愿景是“安全融入血脈,透明贏得信任”,最終目標(biāo)是為客戶提供可信賴的、端到端全生命期的網(wǎng)絡(luò)安全保障。
  戰(zhàn)略層面,網(wǎng)絡(luò)安全是產(chǎn)品研發(fā)和交付的最高優(yōu)先級(jí)之一。也就是說,在研發(fā)和工程服務(wù)過程中關(guān)鍵決策節(jié)點(diǎn),當(dāng)需要我們做出選擇的時(shí)刻,我們會(huì)優(yōu)先選擇保障產(chǎn)品的安全性。比如,在產(chǎn)品研發(fā)過程中,我們?cè)O(shè)置了發(fā)布關(guān)卡,如果安全測(cè)試不通過,版本不允許發(fā)布;在工程服務(wù)過程中,運(yùn)用技術(shù)和管理的手段保障客戶網(wǎng)絡(luò)操作的安全性,比如,賬戶管理運(yùn)用最小需知和最小權(quán)限原則;所有涉及訪問客戶網(wǎng)絡(luò)和數(shù)據(jù)的操作,都必須事先獲得客戶授權(quán)。
  組織層面,中興通訊采納了業(yè)界認(rèn)可的三道安全防線組織結(jié)構(gòu),基于權(quán)責(zé)分離的原則,從一線自我管控、二線獨(dú)立測(cè)評(píng)、三線審計(jì)監(jiān)督的多個(gè)角度審視產(chǎn)品的安全性。在產(chǎn)品研發(fā)過程中,通過部署多層安全驗(yàn)證機(jī)制,確保安全性從多角度得到審視。在工程服務(wù)一線,按照區(qū)域、國(guó)家和項(xiàng)目維度,公司組建了多級(jí)產(chǎn)品安全管理團(tuán)隊(duì),建立了網(wǎng)絡(luò)安全監(jiān)控和安全事件響應(yīng)機(jī)制;二線和三線對(duì)工服實(shí)行現(xiàn)場(chǎng)檢查和審計(jì),確保在網(wǎng)產(chǎn)品和運(yùn)維安全可靠。
  戰(zhàn)術(shù)層面,網(wǎng)絡(luò)安全保障計(jì)劃堅(jiān)持六點(diǎn)方針:有規(guī)范、嚴(yán)執(zhí)行、能追溯、強(qiáng)監(jiān)督、全透明、可信賴。
  1.有規(guī)范——制定的安全策略和流程規(guī)范滲透進(jìn)每個(gè)產(chǎn)品和過程環(huán)節(jié),我們對(duì)照業(yè)界的成熟度模型定期審核安全規(guī)范,并且確保這些規(guī)范可執(zhí)行且行之有效;
  2.嚴(yán)執(zhí)行——各業(yè)務(wù)部門的日常工作均按照規(guī)范嚴(yán)格執(zhí)行,公司內(nèi)部發(fā)布了“產(chǎn)品安全紅線”,畫出了對(duì)客戶網(wǎng)絡(luò)操作和個(gè)人數(shù)據(jù)處理不可逾越的安全底線,對(duì)組織和個(gè)人都有強(qiáng)制約束力;
  3.能追溯——產(chǎn)品的組件、產(chǎn)品的局點(diǎn)分布、以及執(zhí)行過程記錄組成產(chǎn)品全圖,幫助我們對(duì)產(chǎn)品進(jìn)行可視化管理,在安全事件發(fā)生時(shí)能回溯和復(fù)盤;
  4.強(qiáng)監(jiān)督——通過內(nèi)部和第三方安全審計(jì),檢查各環(huán)節(jié)按規(guī)范執(zhí)行的有效性,審計(jì)報(bào)告向?qū)徲?jì)委員會(huì)匯報(bào),嚴(yán)格執(zhí)行整改并復(fù)查;
  5.全透明——網(wǎng)絡(luò)安全保障舉措應(yīng)當(dāng)對(duì)客戶透明,我們部署了一系列舉措實(shí)現(xiàn)過程透明化。2017年,公司成為CVE頒發(fā)機(jī)構(gòu),通過正規(guī)的漏洞披露政策讓相關(guān)方知曉我司處理產(chǎn)品漏洞的過程。今年(2019),我們預(yù)計(jì)在第一季度發(fā)布新版《網(wǎng)絡(luò)安全白皮書》,讓關(guān)注者了解中興通訊對(duì)安全的認(rèn)識(shí)、態(tài)度和舉措;同時(shí),公司已經(jīng)開始籌建海外安全透明實(shí)驗(yàn)室,可以讓客戶在線審查我們的產(chǎn)品;此外,我們正在謀求與第三方建立戰(zhàn)略合作關(guān)系,獲取業(yè)界領(lǐng)先的技術(shù)和服務(wù),運(yùn)用于安全實(shí)驗(yàn)室籌建、獨(dú)立測(cè)評(píng)和安全審計(jì);
  6.可信賴——贏得客戶信賴的前提是尊重和理解客戶的價(jià)值觀,途徑是做到過程透明和有監(jiān)管。中興通訊自2005年開始獲得信息安全管理體系ISO 27001認(rèn)證并每年更新證書,2017年通過ISO 28000供應(yīng)鏈安全管理認(rèn)證,自2011年開始累積十多款產(chǎn)品通過了CC(通用準(zhǔn)則,既ISO15408標(biāo)準(zhǔn))安全認(rèn)證。在過去的2年中,中興通訊與客戶、第三方和海外監(jiān)管機(jī)構(gòu)緊密合作,持續(xù)開展源代碼審計(jì)、安全設(shè)計(jì)評(píng)審、供應(yīng)商審計(jì)等活動(dòng)。
  人員培養(yǎng)方面,我們認(rèn)為網(wǎng)絡(luò)安全保障計(jì)劃的成功與否,很大程度上取決于人員和安全意識(shí),我們建設(shè)安全團(tuán)隊(duì)、培養(yǎng)安全專家,過去的一年內(nèi)新增了持有CISSP(注冊(cè)信息系統(tǒng)安全師)、CISA(注冊(cè)信息系統(tǒng)審計(jì)師)、CISAW(信息安全保障人員認(rèn)證)和CCSK(云安全知識(shí)證書)證書的安全專家27人次,組織了多種層面的學(xué)習(xí)、培訓(xùn)、研討、實(shí)踐和考試,以育人的方式培養(yǎng)安全人員600多人。但最重要的,安全意識(shí)培養(yǎng)首先要從管理層開始,產(chǎn)品安全委員會(huì)(CSC)由CEO擔(dān)任主任,CTO擔(dān)任常務(wù)副主任,CSO擔(dān)任副主任,代表供應(yīng)鏈、系統(tǒng)產(chǎn)品、工程服務(wù)領(lǐng)域的最高負(fù)責(zé)人擔(dān)任常委,網(wǎng)絡(luò)安全保障的組織部署已貫穿管理層。
  問題三:請(qǐng)介紹一下中興通訊安全實(shí)驗(yàn)室籌建和發(fā)布計(jì)劃
  回答:正在籌建的網(wǎng)絡(luò)安全實(shí)驗(yàn)室是一個(gè)“1+N”的運(yùn)行模式,核心實(shí)驗(yàn)室設(shè)在國(guó)內(nèi),國(guó)內(nèi)外部署多個(gè)遠(yuǎn)程接入點(diǎn)。
  安全實(shí)驗(yàn)室預(yù)設(shè)三個(gè)功能:1.在安全的環(huán)境中查看和評(píng)估ZTE產(chǎn)品的源代碼;2.提供對(duì)ZTE產(chǎn)品和服務(wù)重要技術(shù)文檔的訪問服務(wù);3.可通過手動(dòng)和自動(dòng)化工具對(duì)ZTE產(chǎn)品和服務(wù)進(jìn)行安全測(cè)試。
  建設(shè)計(jì)劃:2019年在海外建設(shè)兩個(gè)安全透明實(shí)驗(yàn)室,分別在比利時(shí)和意大利。后續(xù)根據(jù)客戶需求及業(yè)務(wù)開展,規(guī)劃設(shè)立新的安全實(shí)驗(yàn)室。
  問題四:近期,外界傳播著一種對(duì)國(guó)家安全的擔(dān)憂,中國(guó)通訊設(shè)備廠商的可信度遭到國(guó)外政府和企業(yè)的質(zhì)疑,有觀點(diǎn)認(rèn)為中國(guó)通信廠商為政府情報(bào)工作提供合作,您對(duì)這個(gè)問題抱有怎樣的看法?
  回答:中興通訊從未收到過相關(guān)機(jī)構(gòu)讓我們?cè)诋a(chǎn)品中設(shè)置后門的要求;我們產(chǎn)品的源代碼可以通過安全實(shí)驗(yàn)室開放給客戶及專業(yè)機(jī)構(gòu)進(jìn)行安全審計(jì)。
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專題

CTI論壇會(huì)員企業(yè)