中興通訊將客戶(hù)的安全價(jià)值置于商業(yè)利益之上，遵從網(wǎng)絡(luò )安全的相關(guān)法律法規，保證端到端地交付安全可信的產(chǎn)品和服務(wù)。

　　網(wǎng)絡(luò )安全是中興通訊產(chǎn)品研發(fā)和交付的最高優(yōu)先級之一，中興通訊將根據公司發(fā)展戰略規劃，參考國際標準和法律法規，建立健全的產(chǎn)品安全治理結構，培養全員安全意識，強調全流程安全。

　　中興通訊將安全策略和安全控制融入到產(chǎn)品生命周期的每個(gè)階段，建立覆蓋產(chǎn)品研發(fā)、供應鏈與制造、工程服務(wù)、安全事件管理和驗證審計等領(lǐng)域的產(chǎn)品全生命周期的產(chǎn)品安全保障機制，以實(shí)現產(chǎn)品和服務(wù)的端到端安全地交付，并為此構筑三道防線(xiàn)安全治理結構，實(shí)現產(chǎn)品安全的基線(xiàn)化、流程化和閉環(huán)化。

　　在組織架構方面，中興通訊采納了三道安全防線(xiàn)治理模型，從多角度審視產(chǎn)品及服務(wù)的安全性。業(yè)務(wù)單位作為第一道防線(xiàn)實(shí)現產(chǎn)品安全性的自我管控；公司安全實(shí)驗室作為第二道防線(xiàn)實(shí)施獨立的安全測評和監督；外部專(zhuān)業(yè)機構及客戶(hù)作為第三道防線(xiàn)評估與審計第一、第二道防線(xiàn)的有效性。

　　中興通訊產(chǎn)品安全事件響應團隊（PSIRT）負責識別和分析安全事件，跟蹤事件處理過(guò)程，與內外部各相關(guān)方密切溝通，及時(shí)披露安全漏洞，以減輕安全事件帶來(lái)的不利影響。作為事件響應和安全團隊論壇（FIRST）成員和CVE編號頒發(fā)成員（CNA），中興通訊正以更加公開(kāi)的方式與客戶(hù)及相關(guān)方進(jìn)行協(xié)同。

　　2005年，中興通訊首次獲得ISO 27001信息安全管理體系證書(shū)，并每年持續更新，2017年通過(guò)ISO 28000 供應鏈安全管理體系認證。

　　安全測評方面，擁有具備CISSP、CISA、CCIE、CISAW、CCSK等安全各領(lǐng)域的國際認證專(zhuān)家，具備成熟的代碼審計、漏洞掃描、滲透測試等多維度安全測評能力。

　　回答：中興通訊認為，客戶(hù)的安全價(jià)值大于商業(yè)利益，產(chǎn)品的安全特性是第一位的。網(wǎng)絡(luò )安全威脅是客戶(hù)與我們共同面臨的威脅，客戶(hù)最關(guān)心的問(wèn)題是我們有足夠的安全措施去保障他們的設備和服務(wù)安全運行。中興這幾年持續進(jìn)行的網(wǎng)絡(luò )安全治理，通過(guò)一整套網(wǎng)絡(luò )安全保障體系，為客戶(hù)提供端到端的安全保障，使產(chǎn)品和服務(wù)具備抵抗網(wǎng)絡(luò )攻擊的能力。

　　中興通訊愿以開(kāi)放、透明的方式與運營(yíng)商、監管機構、合作伙伴和其他利益相關(guān)方進(jìn)行溝通和合作，遵守相關(guān)法律法規、尊重客戶(hù)和最終用戶(hù)的合法權益，不斷改善管理和技術(shù)實(shí)踐，最終以安全可信的產(chǎn)品回饋客戶(hù)，共同建立和維護良好的網(wǎng)絡(luò )空間安全秩序。

　　回答：這個(gè)問(wèn)題從兩個(gè)角度看，一是自身視角，網(wǎng)絡(luò )安全保障我們該做什么，如何做；另一個(gè)是客戶(hù)視角，我們的舉措如何取得客戶(hù)認可和信任。

　　首先，我認為安全性是產(chǎn)品的內在屬性，因此我們將提升產(chǎn)品的安全性擺在第一重要的位置。其次，一方面我們必須充分理解客戶(hù)的安全需求，另一方面要讓客戶(hù)相信我們的產(chǎn)品是安全的。中興通訊正在運行一個(gè)長(cháng)期持續進(jìn)行的網(wǎng)絡(luò )安全保障計劃，這個(gè)計劃在公司內部稱(chēng)為“網(wǎng)絡(luò )安全治理”，其愿景是“安全融入血脈，透明贏(yíng)得信任”，最終目標是為客戶(hù)提供可信賴(lài)的、端到端全生命期的網(wǎng)絡(luò )安全保障。

　　戰略層面，網(wǎng)絡(luò )安全是產(chǎn)品研發(fā)和交付的最高優(yōu)先級之一。也就是說(shuō)，在研發(fā)和工程服務(wù)過(guò)程中關(guān)鍵決策節點(diǎn)，當需要我們做出選擇的時(shí)刻，我們會(huì )優(yōu)先選擇保障產(chǎn)品的安全性。比如，在產(chǎn)品研發(fā)過(guò)程中，我們設置了發(fā)布關(guān)卡，如果安全測試不通過(guò)，版本不允許發(fā)布；在工程服務(wù)過(guò)程中，運用技術(shù)和管理的手段保障客戶(hù)網(wǎng)絡(luò )操作的安全性，比如，賬戶(hù)管理運用最小需知和最小權限原則；所有涉及訪(fǎng)問(wèn)客戶(hù)網(wǎng)絡(luò )和數據的操作，都必須事先獲得客戶(hù)授權。

　　組織層面，中興通訊采納了業(yè)界認可的三道安全防線(xiàn)組織結構，基于權責分離的原則，從一線(xiàn)自我管控、二線(xiàn)獨立測評、三線(xiàn)審計監督的多個(gè)角度審視產(chǎn)品的安全性。在產(chǎn)品研發(fā)過(guò)程中，通過(guò)部署多層安全驗證機制，確保安全性從多角度得到審視。在工程服務(wù)一線(xiàn)，按照區域、國家和項目維度，公司組建了多級產(chǎn)品安全管理團隊，建立了網(wǎng)絡(luò )安全監控和安全事件響應機制；二線(xiàn)和三線(xiàn)對工服實(shí)行現場(chǎng)檢查和審計，確保在網(wǎng)產(chǎn)品和運維安全可靠。

　　戰術(shù)層面，網(wǎng)絡(luò )安全保障計劃堅持六點(diǎn)方針：有規范、嚴執行、能追溯、強監督、全透明、可信賴(lài)。

　　1.有規范——制定的安全策略和流程規范滲透進(jìn)每個(gè)產(chǎn)品和過(guò)程環(huán)節，我們對照業(yè)界的成熟度模型定期審核安全規范，并且確保這些規范可執行且行之有效；

　　2.嚴執行——各業(yè)務(wù)部門(mén)的日常工作均按照規范嚴格執行，公司內部發(fā)布了“產(chǎn)品安全紅線(xiàn)”，畫(huà)出了對客戶(hù)網(wǎng)絡(luò )操作和個(gè)人數據處理不可逾越的安全底線(xiàn)，對組織和個(gè)人都有強制約束力；

　　3.能追溯——產(chǎn)品的組件、產(chǎn)品的局點(diǎn)分布、以及執行過(guò)程記錄組成產(chǎn)品全圖，幫助我們對產(chǎn)品進(jìn)行可視化管理，在安全事件發(fā)生時(shí)能回溯和復盤(pán)；

　　4.強監督——通過(guò)內部和第三方安全審計，檢查各環(huán)節按規范執行的有效性，審計報告向審計委員會(huì )匯報，嚴格執行整改并復查；

　　5.全透明——網(wǎng)絡(luò )安全保障舉措應當對客戶(hù)透明，我們部署了一系列舉措實(shí)現過(guò)程透明化。2017年，公司成為CVE頒發(fā)機構，通過(guò)正規的漏洞披露政策讓相關(guān)方知曉我司處理產(chǎn)品漏洞的過(guò)程。今年（2019），我們預計在第一季度發(fā)布新版《網(wǎng)絡(luò )安全白皮書(shū)》，讓關(guān)注者了解中興通訊對安全的認識、態(tài)度和舉措；同時(shí)，公司已經(jīng)開(kāi)始籌建海外安全透明實(shí)驗室，可以讓客戶(hù)在線(xiàn)審查我們的產(chǎn)品；此外，我們正在謀求與第三方建立戰略合作關(guān)系，獲取業(yè)界領(lǐng)先的技術(shù)和服務(wù)，運用于安全實(shí)驗室籌建、獨立測評和安全審計；

　　6.可信賴(lài)——贏(yíng)得客戶(hù)信賴(lài)的前提是尊重和理解客戶(hù)的價(jià)值觀(guān)，途徑是做到過(guò)程透明和有監管。中興通訊自2005年開(kāi)始獲得信息安全管理體系ISO 27001認證并每年更新證書(shū)，2017年通過(guò)ISO 28000供應鏈安全管理認證，自2011年開(kāi)始累積十多款產(chǎn)品通過(guò)了CC（通用準則，既ISO15408標準）安全認證。在過(guò)去的2年中，中興通訊與客戶(hù)、第三方和海外監管機構緊密合作，持續開(kāi)展源代碼審計、安全設計評審、供應商審計等活動(dòng)。

　　人員培養方面，我們認為網(wǎng)絡(luò )安全保障計劃的成功與否，很大程度上取決于人員和安全意識，我們建設安全團隊、培養安全專(zhuān)家，過(guò)去的一年內新增了持有CISSP（注冊信息系統安全師）、CISA（注冊信息系統審計師）、CISAW（信息安全保障人員認證）和CCSK（云安全知識證書(shū)）證書(shū)的安全專(zhuān)家27人次，組織了多種層面的學(xué)習、培訓、研討、實(shí)踐和考試，以育人的方式培養安全人員600多人。但最重要的，安全意識培養首先要從管理層開(kāi)始，產(chǎn)品安全委員會(huì )（CSC）由CEO擔任主任，CTO擔任常務(wù)副主任，CSO擔任副主任，代表供應鏈、系統產(chǎn)品、工程服務(wù)領(lǐng)域的最高負責人擔任常委，網(wǎng)絡(luò )安全保障的組織部署已貫穿管理層。

　　回答：正在籌建的網(wǎng)絡(luò )安全實(shí)驗室是一個(gè)“1+N”的運行模式，核心實(shí)驗室設在國內，國內外部署多個(gè)遠程接入點(diǎn)。

　　安全實(shí)驗室預設三個(gè)功能：1.在安全的環(huán)境中查看和評估ZTE產(chǎn)品的源代碼；2.提供對ZTE產(chǎn)品和服務(wù)重要技術(shù)文檔的訪(fǎng)問(wèn)服務(wù)；3.可通過(guò)手動(dòng)和自動(dòng)化工具對ZTE產(chǎn)品和服務(wù)進(jìn)行安全測試。

　　建設計劃：2019年在海外建設兩個(gè)安全透明實(shí)驗室，分別在比利時(shí)和意大利。后續根據客戶(hù)需求及業(yè)務(wù)開(kāi)展，規劃設立新的安全實(shí)驗室。

　　回答：中興通訊從未收到過(guò)相關(guān)機構讓我們在產(chǎn)品中設置后門(mén)的要求；我們產(chǎn)品的源代碼可以通過(guò)安全實(shí)驗室開(kāi)放給客戶(hù)及專(zhuān)業(yè)機構進(jìn)行安全審計。