1、中兴通讯股份有限公司2023 年 12 月治理 遵从 开放 透明中 兴 通 讯 网 络 安 全 保 障 实 践安全融入血脉，透明增进信任作 者本白皮书由中兴通讯各领域安全专家共同完成，诚挚感谢每位编写人：同时鸣谢本白皮书的每位贡献者：曹鲲鹏 丁 沛 何 英 蒋 璐 孔 韬 李 星 梁 平 刘佳宁 刘 磊 平 立 汤可可 唐 蕾 汪冬敏 王义华 韦银星 游世林 章乐怡 赵 波 周 杨 曹 琦 戴 恒 韩殿罡 华国红 黄智敏 蒋国兵 李双全 刘 晖 刘俊颜 娄爱珍 罗永红 马 伟 马致原 田 力 王华刚 王 霞 王玉忠 王 智 徐 敏 晏文德 杨桂荣 杨宇鑫 俞 婷 张金鑫 张永毅 张祥军 郑 均

2、 周天才 朱林林 中兴通讯首席安全官 钟 宏目 录1.2.2.1 2.2 2.33.3.13.2 4.5.5.15.26.6.1 6.201 0202 05 06070708 10111113141416序言安全保障实践框架三线架构确保有效治理安全融入产品全生命周期数字化支撑系统实现设计安全和默认安全安全设计过程安全设计实践安全开发和测试第三方组件管理第三方组件管理策略第三方组件管理实践弹性供应链供应链安全供应链弹性7.7.1 7.2 8.8.18.29.9.19.210.11.11.111.211.31717 18 202021222223242525252627安全交付安全交付策略安全交付

3、实践安全事件响应和漏洞管理安全事件响应流程安全漏洞处理流程信息安全和隐私保护信息安全隐私保护业务连续性管理开放、合作、融入网络安全实验室 测评和认证合作安全标准贡献附录：中兴通讯网络安全大事记5G in Context,Q1 2023:https:/ of IoT 2023:Number of connected IoT devices growing 16%to 16.7 billion globally https:/iot- Threat Landscape 2023:https:/www.enisa.europa.eu/publications/enisa-threat-landsca

4、pe-2023011.2.3.随着数字技术的发展，数字化基础设施对促进社会发展和经济增长发挥着至关重要的作用。根据全球移动通信系统协会（GSMA）预测1，到 2023 年底，全球 5G 连接将达到 15 亿，到 2030 年将达到 53 亿；到 2023 年底，全球联网 IoT 设备数量将增长 16%，达到 167 亿台2。数字化的不断发展增加了网络安全风险，根据欧盟网络安全局（ENISA）2023 ENISA 威胁态势3，网络攻击数量在全球范围持续增加，在报告观察期内，2023 年全球安全事件数量是 2022 年的两倍。通信网络作为关键的数字基础设施，其安全性得到了前所未有的关注。从行业标准

5、的制定和遵循，漏洞响应和协同披露，到生产厂商的全面安全保障措施，整个行业及利益相关者都在共同努力迎接挑战。各国政府加强了网络安全立法，促进通信及各行业的网络安全水平提升，以保护关键的基础设施。中国在网络安全法以及数据保护法等法律的基础上，出台了如关键信息基础设施保护条例、网络产品安全漏洞管理规定等细化的管理规范。欧盟网络安全法鼓励在设计和开发的最早阶段实施安全措施，并强调通过不断优化的治理来确保 ICT 产品、服务和流程全生命周期的安全性。欧盟网络弹性法强调产品安全的重要性，要求制造商在产品的整个生命周期实施安全管理，包括产品的设计安全、默认安全和漏洞处理，以防止易受攻击的产品进入市场。同时，

6、行业网络安全标准也在不断演进，包括持续迭代的 GSMA 网络设备安全保障计划（NESAS）、即将出台的欧盟网络安全认证计划 EUCC 和 EU5G 等，中国也通过关键基础设施认证来推进安全标准化。中兴通讯作为全球综合通信与信息技术解决方案提供商，有义务、有责任遵守法律法规、遵循行业标准，最大程度地保障通信网络设备安全性，通过向客户提供安全可信的产品和服务，使全球用户享受安全可靠的网络连接和数字生活。序 言102此白皮书描述了中兴通讯安全治理架构和安全保障体系，着重强调了行之有效的治理方法和实践，即在产品全生命周期安全管控基础上，聚焦于纵深改进，包括设计安全和默认安全、第三方组件管理、事件响应和