《中興：2023中興通訊網絡安全白皮書：治理、遵從、開放、透明（32頁）.pdf》由會員分享，可在線閱讀，更多相關《中興：2023中興通訊網絡安全白皮書：治理、遵從、開放、透明（32頁）.pdf（32頁珍藏版）》請在三個皮匠報告上搜索。

1、中興通訊股份有限公司2023 年 12 月治理 遵從 開放 透明中 興 通 訊 網 絡 安 全 保 障 實 踐安全融入血脈，透明增進信任作 者本白皮書由中興通訊各領域安全專家共同完成，誠摯感謝每位編寫人：同時鳴謝本白皮書的每位貢獻者：曹鯤鵬 丁 沛 何 英 蔣 璐 孔 韜 李 星 梁 平 劉佳寧 劉 磊 平 立 湯可可 唐 蕾 汪冬敏 王義華 韋銀星 游世林 章樂怡 趙 波 周 楊 曹 琦 戴 恒 韓殿罡 華國紅 黃智敏 蔣國兵 李雙全 劉 暉 劉俊顏 婁愛珍 羅永紅 馬 偉 馬致原 田 力 王華剛 王 霞 王玉忠 王 智 徐 敏 晏文德 楊桂榮 楊宇鑫 俞 婷 張金鑫 張永毅 張祥軍 鄭 均

2、 周天才 朱林林 中興通訊首席安全官 鐘 宏目 錄1.2.2.1 2.2 2.33.3.13.2 4.5.5.15.26.6.1 6.201 0202 05 06070708 10111113141416序言安全保障實踐框架三線架構確保有效治理安全融入產品全生命周期數字化支撐系統實現設計安全和默認安全安全設計過程安全設計實踐安全開發和測試第三方組件管理第三方組件管理策略第三方組件管理實踐彈性供應鏈供應鏈安全供應鏈彈性7.7.1 7.2 8.8.18.29.9.19.210.11.11.111.211.31717 18 202021222223242525252627安全交付安全交付策略安全交付

3、實踐安全事件響應和漏洞管理安全事件響應流程安全漏洞處理流程信息安全和隱私保護信息安全隱私保護業務連續性管理開放、合作、融入網絡安全實驗室 測評和認證合作安全標準貢獻附錄：中興通訊網絡安全大事記5G in Context,Q1 2023:https:/ of IoT 2023:Number of connected IoT devices growing 16%to 16.7 billion globally https:/iot- Threat Landscape 2023:https:/www.enisa.europa.eu/publications/enisa-threat-landsca

4、pe-2023011.2.3.隨著數字技術的發展，數字化基礎設施對促進社會發展和經濟增長發揮著至關重要的作用。根據全球移動通信系統協會（GSMA）預測1，到 2023 年底，全球 5G 連接將達到 15 億，到 2030 年將達到 53 億；到 2023 年底，全球聯網 IoT 設備數量將增長 16%，達到 167 億臺2。數字化的不斷發展增加了網絡安全風險，根據歐盟網絡安全局（ENISA）2023 ENISA 威脅態勢3，網絡攻擊數量在全球范圍持續增加，在報告觀察期內，2023 年全球安全事件數量是 2022 年的兩倍。通信網絡作為關鍵的數字基礎設施，其安全性得到了前所未有的關注。從行業標準

5、的制定和遵循，漏洞響應和協同披露，到生產廠商的全面安全保障措施，整個行業及利益相關者都在共同努力迎接挑戰。各國政府加強了網絡安全立法，促進通信及各行業的網絡安全水平提升，以保護關鍵的基礎設施。中國在網絡安全法以及數據保護法等法律的基礎上，出臺了如關鍵信息基礎設施保護條例、網絡產品安全漏洞管理規定等細化的管理規范。歐盟網絡安全法鼓勵在設計和開發的最早階段實施安全措施，并強調通過不斷優化的治理來確保 ICT 產品、服務和流程全生命周期的安全性。歐盟網絡彈性法強調產品安全的重要性，要求制造商在產品的整個生命周期實施安全管理，包括產品的設計安全、默認安全和漏洞處理，以防止易受攻擊的產品進入市場。同時，

6、行業網絡安全標準也在不斷演進，包括持續迭代的 GSMA 網絡設備安全保障計劃（NESAS）、即將出臺的歐盟網絡安全認證計劃 EUCC 和 EU5G 等，中國也通過關鍵基礎設施認證來推進安全標準化。中興通訊作為全球綜合通信與信息技術解決方案提供商，有義務、有責任遵守法律法規、遵循行業標準，最大程度地保障通信網絡設備安全性，通過向客戶提供安全可信的產品和服務，使全球用戶享受安全可靠的網絡連接和數字生活。序 言102此白皮書描述了中興通訊安全治理架構和安全保障體系，著重強調了行之有效的治理方法和實踐，即在產品全生命周期安全管控基礎上，聚焦于縱深改進，包括設計安全和默認安全、第三方組件管理、事件響應和

7、漏洞管理等。這些安全管理貫穿供應鏈、研發和交付業務流，并通過數字化支撐系統的不斷完善實現有效落地和持續改進。網絡安全沒有止境，持續改進沒有終點。中興通訊秉持開放透明，歡迎外部獨立安全驗證，愿與運營商、監管機構、合作伙伴和其他利益相關方密切溝通合作，不斷改善管理和技術實踐，共同建立安全可信的網絡環境、保障數字世界安全。中興通訊網絡安全保障實踐03企業和組織需要通過成熟的治理架構來進行高效的風險管理。國際內部審計師協會（IIA)發布的三線模型4幫助企業和組織確定最有助于實現目標的管理架構和流程，明確利益相關方的角色定位和職責，從而更有效地管理風險。中興通訊采用基于三線模型的治理架構進行產品安全治理

8、工作，建立了獨立于一線業務單位的安全組織，從機制上避免利益沖突。通過一線業務單位的執行和檢查、二線的獨立安全測評、三線的獨立安全審計，從多個角度和多個層次保障產品和服務的安全性。THE IIAS THREE LINES MODEL:https:/www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-english.pdf4.圖 1 中興通訊網絡安全愿

9、景和使命安全融入血脈，透明增進信任建設一流的產品安全治理體系，為客戶提供端到端的安全保障提供可信賴的端到端的、全生命周期的產品安全保障能力安全作為產品研發和服務交付活動中的最高優先級有規范、嚴執行、能追溯、強監管、全透明、可信賴方 針戰 略目 標愿 景使 命中興通訊以基于風險的方式建立了覆蓋產品全生命周期的安全治理體系，始終將安全作為產品研發和交付的最高優先級。中興通訊遵守法律法規，遵照行業標準，尊重客戶需求，以“安全融入血脈，透明增進信任”為安全愿景，向客戶交付安全可信的產品和服務，致力于實現“讓溝通與信任無處不在”的美好未來。三線架構確保有效治理2.1 安全保障實踐框架204董事會/審計委

10、員會產品安全委員會（CSC）一線（業務單位)二線（產品安全部）指導監督投資負責報告溝通協作董事會/審計委員會：董事會監督和指導產品安全委員會（CSC）開展產品安全治理工作，內控審計定期向董事會/審計委員會匯報安全審計情況。產品安全委員會：作為公司產品安全工作的決策機構，制定公司產品安全戰略并保障資源，確定公司產品安全工作戰略方向和目標，審議產品安全規劃，決策產品安全相關重大議題。公司高層作為產品安全委員會常委，參與產品安全治理工作。一線：業務單位是產品安全治理的第一線。各業務單位通過產品安全的自我規劃、自我執行、自我檢測和自我改進，實現產品安全的自我控制。在研發環節，產品基于設計安全并通過規范

11、化流程確保產品研發過程安全可控；在供應鏈環節，強調供應商、材料和生產制造安全可信，保證供應的持續性和彈性；在交付環節，遵守規范化的操作，保障產品和服務安全交付。二線：產品安全部是產品安全治理的第二線，采用獨立安全測評機制對一線安全實踐進行評估和監督。公司設立了多個網絡安全實驗室，實施獨立的安全測評。采用過程審計來評估一線安全治理執行過程的符合度和有效性；采用產品安全測試來評估產品的安全性，安全測試包括漏洞掃描、安全編碼審查、協議健圖 2 中興通訊網絡安全治理三線模型安全規劃安全執行安全檢查安全改進安全策略規程安全風險管理安全測評監督安全培訓教育三線（內控審計）圖例說明內部審計中興通訊網絡安全保

12、障實踐05壯性測試及滲透測試。同時，公司積極與第三方機構開展安全合作，對產品和流程進行安全評估，如過程審計、源代碼審計、安全設計審查和滲透測試。中興通訊重視人員安全意識和能力的培養，持續開展多層面分領域的安全意識和專業技能培訓，如全員安全意識培訓、安全設計培訓、滲透測試培訓等，公司員工目前持有 230+國際安全認證證書。三線：內控審計是產品安全治理的第三線。內控審計負責獨立審計一線和二線的工作，對公司產品安全保障體系的健全性、合理性和有效性進行獨立評價。一線執行、二線監督、三線審計，確保產品安全治理體系健全有效。覆蓋產品全生命周期的安全治理和管控是產品安全的基本要求。2019 年，歐盟頒布網絡

13、安全法，要求通過不斷發展的設計和開發流程來確保 ICT 產品和服務全生命周期的安全性。GSMA NESAS 對產品開發和全生命周期提出了安全要求，成為通信設備安全融入全流程的最佳實踐。中興通訊基于風險的安全治理覆蓋供應鏈、研發、交付、事件響應和各支撐領域，形成了貫穿全生命周期的產品安全保障體系，并持續對標行業最新標準和最佳實踐。中興通訊研發流程（高效產品開發 HPPD）通過了 GSMA NESAS 過程評估和德國 BSI NESAS CCS-GI 過程評估。在研發環節，將安全控制嵌入研發流程的各個階段，例如：將安全要求嵌入研發需求、設計、驗證和發布流程，如設計安全、隱私保護設計（Privacy

14、 by Design,PbD）；對產品進行滲透測試，定期實施安全回歸測試；對第三方組件（含開源）的安全漏洞持續跟蹤、分析并解決；在項目技術評審及版本發布過程中評估安全風險并給予管控。在供應鏈環節，將安全要求嵌入到驗證供應商、新引入材料和生產過程中，例如：通過供應商安全協議將產品安全要求傳遞給供應商，并定期對供應商進行審核；設立產品安全材料檢測實驗室對中高風險材料進行抽檢；在生產環境中建立專用網絡用以隔離安全隱患。安全融入產品全生命周期2.2 中興通訊網絡安全保障實踐06在交付環節，采用技術和管理雙重手段持續提升網絡的安全性和彈性，確保始終交付安全的產品與服務。例如：對接觸客戶網絡關鍵設備的關鍵

15、崗位人員進行安全管控和培訓；網絡變更操作必須獲得客戶授權，操作有記錄，行為可稽查；定期進行安全事件響應應急演練，持續提升事件響應能力。一些端到端的業務流，如第三方組件管理、漏洞管理，在 DevSecOps 工具鏈的支持下，打通供應鏈、研發、交付的端到端安全管理，快速響應安全事件和漏洞。中興通訊網絡安全保障實踐中興通訊安全治理已融入產品全生命周期各業務流程，實現了貫穿一線業務領域的產品安全數字化支撐系統。公司建立了智能供應協同平臺（ISCP）、產品研發云（RD Cloud）、全球客戶支持中心（GCSC）等數字化系統，實現彈性供應、持續規劃、協作開發、集成測試、發布部署、問題解決等業務環節的高效運

16、作。配置管理系統和漏洞管理系統實現了產品安全問題的跟蹤和追溯。產品安全運用 DevSecOps 工具鏈實現各環節的安全管控。在材料安全測試、第三方軟件安全掃描、代碼掃描、漏洞掃描、版本保護、安全加固等關鍵安全活動中，利用安全工具自動檢查產品和服務是否滿足安全要求。數字化支撐系統2.3 IT 基礎設施業務管理DevSecOps 工具鏈 配置管理系統/漏洞管理系統智能工程項目管理系統全球客戶支持中心研發安全管理系統研發云材料安全管理系統智能供應和協同平臺圖 3 中興通訊產品全生命周期數字化支撐系統材料庫安全知識庫安全標準庫安全工具庫制品庫安全補丁庫組件庫彈性供應，持續規劃，協作開發，持續測試，發布

17、部署，問題解決交付產品研發供應鏈07GSMA NESAS開發和生命周期安全要求5明確提出設計安全的要求，網絡產品應在整個開發和產品生命周期中通過設計實現安全性?？紤]了設計安全的產品能夠合理防止惡意網絡攻擊，如非法訪問網絡設備、數據，以及連接的基礎設施。網絡設備制造商應進行風險評估，以識別和列舉關鍵系統普遍存在的網絡威脅，將保護措施納入產品藍圖中。歐盟網絡安全法要求企業應以更高級別的安全性設計其 ICT 產品、服務或流程，讓用戶獲得最佳安全默認配置的產品和服務?？紤]了默認安全的產品在交付時已經做了安全保護，用戶可以“開箱即用”，幾乎不需要額外配置。設計安全和默認安全不僅有利于用戶，也有利于制造商

18、，能減少漏洞數量和修復漏洞的成本。中興通訊提倡透明和問責制，認為提供設計安全和默認安全的產品是制造商的責任。公司強調在產品開發生命周期中盡早引入安全設計原則，在產品設計階段進行威脅分析和風險評估，建立并優化產品安全保護準則及基線。安全設計原則包括但不限于：減少攻擊面、設置安全默認值、隱私保護、最小權限、縱深防御、失效安全、職責分離等。實現設計安全和默認安全3Official Document FS.16-Network Equipment Security Assurance Scheme Development and Lifecycle Security Requirement,Versi

19、on 2.1https:/ 產品安全技術要求庫產品安全知識庫08DevSecOps 工具鏈 業界安全規范、安全技術標準、市場安全要求、安全競品分析安全需求風險處置方案開箱即用&產品默認安全極簡運維&安全可管可控 面向產品的威脅建模業界威脅信息庫+安全設計原則中興通訊網絡安全保障實踐圖 4 中興通訊產品研發過程中的安全設計安全需求安全設計安全實現安全交付安全開發安全測試中興通訊持續構建具有自身特色、具備業界領先水平的安全設計過程。公司對標業界規范、技術標準、市場要求，建設“產品安全知識庫”實施面向產品的威脅建模，創建“產品安全技術要求庫”實施安全設計對標規劃、進行風險接受決策，輸出產品安全方案設

20、計。依托 DevSecOps 工具鏈，實現了平臺化的安全設計過程線上開發，建立了閉環度量改進機制并持續優化。中興通訊安全設計最佳實踐包括：產品安全知識庫、產品安全技術要求庫和威脅建模平臺。產品安全知識庫持續積累產品安全知識經驗，持續提升安全設計專業性和有效性；產品安全技術要求庫對標業界安全標準規范，為安全設計提供基線化要求；威脅建模平臺支持線上化、自動化和可視化的協同操作。安全設計實踐3.2產品安全知識庫產品安全知識庫吸納了行業規范和最佳實踐，如業界通用威脅和漏洞信息（CAPEC、ATT&CK、CWE、CVE 等）、行業安全技術標準規范（3GPP SCAS 規范、IETF RFC 標準等）、以

21、及中興通訊自身的產品安安全要求基線對標風險接受決策安全方案設計安全需求管理&跟蹤安全漏洞庫威脅建模平臺安全編碼庫安全要求庫&對標平臺安全測試用例庫09中興通訊網絡安全保障實踐全實踐經驗。產品安全知識庫遵循結構化威脅信息表達式（STIX）規范，包含了資產、威脅、風險準則、控制措施、攻擊模式、濫用案例等關鍵要素。產品安全技術要求庫產品安全技術要求庫包括了產品安全技術棧目錄全景圖和產品安全設計技術標準族。技術棧目錄全景圖按照“架構分層、技術分域”的原則，對產品涉及的安全技術棧進行統一分類。針對關鍵的安全技術棧編寫了一系列的產品安全設計技術指導書，作為企業技術標準發布。中興通訊將所有已發布的安全技術要

22、求錄入研發云（RD Cloud）的安全技術要求庫和對標平臺中，并在產品研發流程中嵌入安全技術要求基線對標控制點。威脅建模平臺中興通訊通過構建威脅建模平臺，實現了資產識別、威脅分析、風險評估及處置、控制措施優選、安全追蹤矩陣輸出等關鍵威脅建?；顒拥臄底只ば?，實現了過程的標準化、規范化、自動化、層次化和可視化，威脅建模平臺已集成到 DevSecOps 工具鏈，可支持跨團隊的協同研發，靈活開展威脅建模實踐。10中興通訊將安全作為研發的最高優先級，“安全性”必須作為產品的一項基本屬性融入到產品開發過程中。公司產品開發和測試的安全要求對標行業標準和最佳實踐，參考軟件安全構建成熟度模型（BSIMM）、網

23、絡設備安全保障計劃（NESAS）、能力成熟度模型集成（CMMI），制定了產品安全成熟度模型和相應規范，定期進行組織和項目評估，發現差距，不斷改進。公司安全編碼標準參考業界通用指南，如計算機安全應急響應小組（CERT）系列安全編碼規范、開放式 Web應用程序安全項目（OWASP）開發指南、通用缺陷列表（CWE）、安全技術實施指南（STIG）。在開發階段，源代碼掃描是關鍵控制點，需通過靜態檢查和自動化掃描，衡量代碼的質量和安全性，對工具掃描出的缺陷進行看板化閉環管理。公司注重提升開發人員的安全編碼能力，通過定期評估持續提升其能力水平。各產品項目制定安全測試規程和測試方案，在測試階段對產品進行代碼掃

24、描、漏洞掃描、協議健壯性測試、病毒掃描等安全測試，充分驗證安全需求的實現并修復缺陷。公司成立了專業的滲透測試團隊，進行更深層次的漏洞挖掘。在發布階段，公司要求產品必須經過安全測試和安全風險評估。產品發布時，必須配備安全加固手冊和工具。發布過程采用證書授權中心（CA）驗證，確保傳輸過程的一致性和可追溯性。在版本維護階段，公司定期執行回歸測試，以識別新增漏洞是否影響已有版本。研發團隊及時更新安全補丁、制定安全加固方案，以便用戶進行產品安全風險消除或控制。安全開發和測試411隨著 ICT 產業的不斷發展，ICT 產品中包含了越來越多的第三方組件6，這些組件帶來了新的安全威脅，例如被發現有新的漏洞、停

25、止支持等。管理好第三方組件對安全至關重要。監管和行業紛紛出臺要求和指導，以提升第三方組件管理水平，使可能產生的風險降到最低。比如，GSMA NESAS 在 2.0 版本中新增了“第三方組件采購”，要求設備供應商制定適當的流程來確保產品生命周期內第三方組件的質量、使用受支持的第三方組件、評估第三方組件中新發現的漏洞是否會對網絡造成威脅等。第三方組件包括開源軟件、商用組件、商用附贈軟件等，是產品的組成部分，并可能被多個產品使用。公司遵循法律法規要求和行業最佳實踐，在供應鏈管理、產品研發、交付過程中，不斷積累管理實踐，對第三方組件實施全生命周期管理。中興通訊第三方組件安全管理覆蓋組件引入、使用、運維

26、和退出各業務階段，第三方組件管理要求已融入高效產品研發（HPPD）流程。第三方組件管理策略5.1第三方組件管理5指具有離散結構的對象，例如程序集、軟件包，其源自外部實體并合并到網絡產品中，Official Document FS.16-Network Equipment Security Assurance Scheme Development and Lifecycle Security Requirement,Version 2.16.12中興通訊網絡安全保障實踐中興通訊安全管理規范中興通訊安全措施合作方安全措施制造安全管理規范第三方組件管理規范/供應鏈安全管理手冊/材料產品安全管理規范/

27、供應鏈產品安全事件管理規范/數據保護影響評估規范漏洞管理/事件響應第三方組件管理工具鏈（智能供應協同平臺/研發云）供應商安全審計樣品認定管理退出管理權限管理/分發管理/配置管理供應商認證/供應商安全協議報廢品收購商簽訂安全協議權限管理/分發管理/配置管理數據遷移銷毀版本完整性校驗/病毒掃描第三方組件選型安全測試安全加固/安全巡檢返修安全管理規定圖 5 中興通訊第三方組件管理策略引入&入庫運維&退出使用組件引入第三方組件引入需進行選型認證，只有通過認證的第三方組件才能進入公司組件庫（組件廣場）。選型認證需要對第三方組件執行安全合規掃描，分析并驗證其功能和性能，評估安全風險，確保達成出口管制、數據

28、保護、開源許可等合規要求；此外，還需要考慮第三方組件的可替代性及生命周期。完成認證的第三方組件需設置組件守護人，負責組件全生命周期管理。與商用組件供應商簽署安全協議，確保供應商理解并對所提供的第三方組件產品安全要求做出承諾。中興通訊定期組織供應商賦能活動，致力于與供應商共同提升生態安全。組件使用產品只允許引用組件廣場中的第三方組件。在產品的方案設計、開發測試及發布的各個活動中，均嵌入第三方組件的安全風險評估，確保提供恰當的安全解決方案或規避措施。產品需通過整機級安全測試，達到安全標準后才能發布。第三方組件作為產品配置項以確保其使用情況可追溯。當發現第三方組件的安全漏洞時，可通過產品配置項追蹤漏

29、洞波及范圍。組件運維和退出 當第三方組件因為功能、性能、安全問題進行版本升級，或引入了補丁程序，組件守護人執行更新操作，確保組件庫中的組件是最新的；當第三方組件提供方停止維護、組件生命周期終止時，組件守護人執行供應商網絡安全認證管理規范產品研發安全規范13停用操作。更新和停用自動通知到研發團隊，以更新產品方案。在產品交付環節，中興通訊產品安全事件響應團隊（Product Security Incident Response Team,PSIRT）與供應商和安全社區保持密切協作，及時獲取第三方組件漏洞信息，協同相關團隊進行波及分析、漏洞修復方案制定、驗證和實施，確?？焖夙憫拖谌浇M件帶來的

30、安全問題及風險。開源組件管理在引入時，優選安全、合規、社區活躍度高、生態系統完備、可信度高的開源組件，并建立開源組件成熟度評價模型，作為產品選型及使用的安全評估參考。在使用中，使用開源軟件成分分析工具和漏洞掃描工具，評估開源組件的安全性及許可證合規情況、識別并修復已知漏洞。公司將開源組件安全問題和解決方案提交開源社區，共享成果。中興通訊網絡安全保障實踐中興通訊組件廣場為第三方組件的引入者、使用者、管理者提供了一個安全可信的平臺，是 RD Cloud 的重要組成部分。組件廣場針對產品規劃、開發、測試、集成、發布及運維場景，提供同源管理、安全合規管控、調用追蹤、檢索、評論等功能，使第三方組件可管理

31、、可調用、可追蹤和可信任。第三方組件管理實踐5.2圖 6 中興通訊第三方組件管理實踐引 入管 理使 用組件入庫認證組件標識產品配置項中興通訊依托成熟的產品配置項管理，建立了融合第三方組件的產品全生命期漏洞管理流程。一旦感知到第三方組件出現的安全漏洞，漏洞管理系統可自動定位波及的產品和版本，實現了從第三方組件漏洞到波及產品、版本、客戶的追蹤和解決修復。物料管理系統組件廣場版本管理系統漏洞管理系統局點管理系統組件查詢版本規劃守護管理版本測試使用管理漏洞管理安全事件響應組件評價版本集成組件選型組件引入版本開發版本發布局點信息管理14相比于傳統行業，ICT行業的供應鏈更加復雜，存在安全風險的概率更大。

32、網絡的復雜化、模塊化和虛擬化的特征，使運營商客戶可以多樣化地選擇供應商，而每個供應商的背后又是一整條供應鏈，其中任何一個環節出現問題，都有可能造成一系列后果。2023 ENISA威脅態勢 報告指出，在過去12個月，61%的公司中受到軟件供應鏈攻擊影響，預計到2026年，這些攻擊對企業造成的總成本將較 2023 年增長 76%。由此，各國監管和客戶將產品安全的關注范圍從網絡設備供應商延伸至其二級、乃至三級供應商，同時，從只關注網絡安全、數據安全、個人隱私保護，向供應安全與業務連續性方面擴展。這對供應鏈的安全和彈性提出了更高的要求。對中興通訊而言，構建安全可信的彈性供應鏈7，既是保障公司產品安全交

33、付的內在需求，也是公司對客戶的莊嚴承諾。公司先后通過了 ISO 27001 信息安全管理體系認證、ISO 28000 供應鏈安全管理體系認證、和 ISO 22301 業務連續性管理體系認證，還通過了經認證的經營者（AEO）高級認證，在全球享有相關國家或地區快速通關的便利。中興通訊擁有完整的供應鏈業務流程，聚焦客戶的業務需求和安全需求，強調供應商管理、材料、生產制造和物流貨運四個方面的安全治理，支撐供應鏈全業務流程，依據供應鏈 SCOR 模型8，將供應鏈安全保障范圍擴大到供應商的供應商及客戶的客戶。供應鏈安全6.1彈性供應鏈66.1、6.2 節描述的供應鏈，指設備供應商視角的上游供應鏈及自身供應

34、鏈業務。Supply-Chain Operations Reference-model，由國際供應鏈協會 Supply-Chain Council 開發支持。7.8.15供應商安全分布于全球各地的數千家供應商合作伙伴是中興通訊供應鏈的重要組成部分，為中興通訊提供數以萬計原材料、半成品、成品或服務。因此，公司把供應商安全管理和材料安全管理作為核心業務流程，保障材料和第三方組件的安全。選擇安全可靠的供應商是保證供應鏈安全的第一步。中興通訊重視供應商資源的開發與布局，建立了一整套從尋源，到資質認證，再到淘汰退出的供應商全生命周期管理機制。公司要求供應商在提供產品或服務的過程中必須遵守當地的法律、法規

35、要求，提升安全管理水平，遵守雙方簽署的產品安全協議。對于新發現的安全漏洞，供應商應當協同中興通訊進行追蹤和定位，并及時提供補丁，或者采取升級、替換、召回等解決方案。中興通訊持續將產品安全、企業社會責任等要求傳遞給供應商，并通過年度全球合作伙伴大會和供應商集訓營向供應商賦能。材料安全 在材料管理方面，中興通訊實施品類管理，根據不同品類材料的特性識別風險，將材料的產品安全風險定義為高、中、低三個等級。針對高風險材料，在材料引入環節，要求供應商提供產品安全檢測報告。對于中低風險等級的材料，通過與供應商簽署安全協議，要求供應商進行自我管理和約束，允許中興通訊進行多種形式的安全審計。另外，公司建立了產品

36、安全材料檢測實驗室，對中高風險材料進行抽檢，對抽檢中發現的安全問題實施閉環管理。生產制造安全中興通訊制定了生產制造安全管理規范，把生產制造區域分為三個等級的安全管控區，管控生產制造過程中的安全風險，包括未經授權的硬件替換、軟件植入或篡改、病毒感染等。針對不同等級的安全管控區，采取不同的安全管控措施，其中一級、二級管控區是安全風險嚴管區域。在這些區域設置安全管理員，負責實施區域內的安全管控和日常安全監督。為了保障生產環境的網絡安全，公司建設了生產專用網絡，以防止病毒入侵或軟件篡改。同時，只有授權的工程師才能使用專網。物流貨運安全中興通訊通過倉儲管理系統實現在庫貨物全程跟蹤，及時升級物流倉儲 IT

37、 系統、監控設備和安保設施，以避免倉儲和貨運過程中的成品或核心部件遭受損壞、替換、惡意代碼植入。通過貨運中臺系統實時監控貨運軌跡，監控貨運在途情況，并設有干系人預警功能。中興通訊網絡安全保障實踐16中興通訊網絡安全保障實踐秉承安全、精準、智能、可靠、高效的 SPIRE 供應鏈理念，以交付有競爭力的產品和服務為目標，中興通訊構建了預判、免疫和適應三大核心能力，通過智慧大腦實現業務監測、預警、聯動、調度等功能可視化，打造安全可信的彈性供應鏈。供應鏈彈性6.2預判能力在計劃和采購階段，分析采購需求、供方產能和采購周期等基本信息；在生產、交付和逆向階段，關注供應彈性和關鍵下階材料。結合內外部環境，前瞻

38、洞察、平衡供需、動態調整，構建健壯智慧的供應鏈計劃大腦，提升對需求波動的預判能力。免疫能力 在采購環節，材料規劃與產品規劃同步開展，推廣優選物料、管控獨家供應和輸出替代方案，規劃資源儲備。持續優化長周期物料管理和多地倉儲機制，與優質供應商開展戰略合作，協同上下游確保供應的連續和穩定。在制造環節，建立產能風險掃描機制，通過布局多制造基地共享生產資源、統一調度、產能互備，保障生產連續。公司在深圳、河源、長沙、南京、西安設有五大生產基地，配合外協工廠資源，通過靈活的產能調整和彈性生產，滿足產能需求。在貨運環節，公司在全球有超 5 萬條運輸線路，通過多重貨運方案備份，保障物流交付的連續與穩定。借助數字

39、化的貨運風險地圖，實時預警貨運風險，監控在途風險、常見風險、塞港情況等。適應能力搭建數字化平臺，包括供應資源風險地圖、智能制造中心、貨運風險地圖等系統，整合核心數據，識別分析異常點，精準定位并提效改進。實現采購、制造、貨運、關務各個業務全疆域可視，使業務看得見，看得清，看得準。17隨著產品交付給客戶，業務場景產生變化，新的安全風險也隨之而來，需要采取適當的保護措施保證產品和維保服務交付的完整性、機密性和可用性，實現端到端的安全。中興通訊交付領域參考 NIST CSF 安全風險管理框架、ISO 27001 等業界安全標準、最佳實踐、以及客戶的網絡安全訴求，在全球建立了基于風險的交付安全治理體系，

40、將一系列規范要求融入網絡規劃、開通、驗收和運維階段，確保交付行為安全可靠、網絡設備安全運行、客戶網絡數據得到安全保護。安全交付策略7.1圖 7 中興通訊端到端交付安全保障規劃&設計網絡開通網絡驗收網絡運維規劃&設計Testbed調測日常維護網絡變更問題處置站點開通調測網絡安全方案應急響應預案基線配置安全加固網絡巡檢風險評估安全加固補丁加載技術支持事件響應安全對接安全上線站點驗收網絡驗收移交安全測試安全割接賬號移交安全交付7智能工程項目管理系統/質量云交付中心GCSC/網絡變更管理系統iNet/CNIA/RNIA 輔助支撐18中興通訊安全交付涵蓋人員管理、授權管理、軟件部署、網絡變更、安全核查、

41、遠程接入管理、數據保護和事件響應等模塊。中興通訊基于 AI、大數據等技術實現交付全流程指標可視化，及時識別與跟蹤風險，協助客戶網絡安全、穩定地運行。安全交付實踐7.2人員管理中興通訊定期對工程師進行綜合安全評估、定崗定級。項目交付中，根據人員評估結果進行崗位適配，按照客戶要求分配操作權限，并簽署保密協議（NDA）。結合開局、運維、巡檢、故障處理、安全加固等日常工作，公司對交付人員進行安全賦能，包括專題課堂、專業研討、實戰演練、技能比武等。授權管理 在對客戶的網絡和數據進行操作前，如軟件升級、安全加固、安全巡檢，中興通訊事先獲取客戶授權，并在約定的范圍和時間段完成操作，操作過程記錄在案，具體操作

42、行為可通過日志進行追溯。軟件部署為確保軟件端到端的安全部署，中興通訊實施嚴格的流程和管理制度，僅授權人員才能從技術支持網站（）下載所需版本或補丁，歷史下載均有記錄，且下載的軟件會在升級前進行完整性檢查或數字簽名驗證。軟件部署所需的工具和軟件均從指定渠道獲取，并要求接入客戶網絡的個人工作終端做好基本的安全防護，如安裝系統重要補丁和防病毒軟件，僅安裝授權的、與業務目的有關且無信息安全風險的軟件等。網絡變更在獲取客戶網絡變更的授權后，中興通訊工程師在網絡變更管理系統（ZXRDC）提交具體實施方案，并在方案通過產品專家評審后，在規定的時間和范圍內完成變更操作。為確保網絡變更后業務的穩定運行，相關人員會

43、進行一段時間的值守，對特定指標進行觀察、記錄與分析。接入客戶網絡的個人工作終端部署了智能管控工具，能夠實時攔截高危指令和非預期動作，進一步降低網絡變更的風險。安全核查產品在研發階段已考慮了“開箱即用”的默認安全，但隨著內外部威脅的變化，產品的安全風險也會相應變化。中興通訊基于合同要求定期進行安全核查，結合安全態勢感知系統，以及客戶的漏洞掃描和滲透測試結果等，對風險進行識別、評估和處置。中興通訊網絡安全保障實踐19遠程接入管理為確保高效安全的遠程技術支持，中興通訊在遵循所在地法律法規和客戶授權的前提下，允許產品專家通過全球一張網系統（Advanced Operations Suite,AOS）和

44、安全隔離區遠程訪問客戶網絡，進行問題排查或業務支持等。對客戶網絡的所有遠程操作均可事后審計。數據保護在遵循當地法律法規以及客戶要求的前提下，中興通訊執行對重要、敏感的網絡數據的安全保護操作，如脫敏、加密存儲與傳輸等。在實施 GDPR 或類似法規的國家和地區，公司與客戶在合同簽署階段，簽署數據處理協議和數據轉移協議，明確個人數據保護條款、責任界面；合同期內，工程師按照合同條款執行各項業務操作；特殊情況下，如返修的故障板件含有個人數據，工程師會根據數據保護的合同要求，進行相應操作。事件響應為有效應對可能發生的網絡安全事件，中興通訊根據項目場景制定安全方案和應急響應計劃，項目組定期與客戶、產品團隊和

45、第三方合作伙伴進行跨團隊、跨地域的聯合應急演練。中興通訊接收到客戶安全事件后，PSIRT 會立即在全球客戶支持中心創建事件單并分發到對應的產品支持團隊，確保各嚴重等級的安全事件在客戶服務水平協議（SLA）約定時間內得到解決。中興通訊網絡安全保障實踐20在日趨復雜的供應鏈環境中，對安全事件和漏洞的良好管理變得愈發重要。歐盟NIS2 指令出臺重點措施以增強供應鏈安全，包含事件響應、漏洞處理和披露。歐盟網絡彈性法要求數字產品制造商報告已被主動利用的漏洞。中國出臺了網絡產品安全漏洞管理規定，要求網絡產品提供者履行相關安全漏洞管理義務。安全事件響應和漏洞管理有賴于利益相關方的協同處理，設備供應商有責任和

46、義務協助客戶處置安全事件、及時消減安全漏洞。中興通訊 PSIRT 負責響應公司產品安全事件、處置公司產品安全漏洞。中興通訊是事件響應安全團隊論壇（FIRST）成員和 CVE 編號頒發機構（CNA），發布了安全漏洞獎勵計劃，鼓勵全球安全從業人員和機構反饋中興通訊產品存在的安全漏洞。中興通訊協助客戶第一時間響應安全事件。在客戶授權下，PSIRT 協助客戶迅速對事件進行處置，采取必要措施控制事態發展，直到業務徹底恢復。安全事件響應流程包括四個階段：制定事件響應計劃并定期演練，配備工具和資源；收集、記錄和分析與事件相關的數據，確定是否發生入侵并產生后果，分析影響范圍，包括受影響版本和受影響客戶。如事件

47、由安全漏洞引發，則啟動安全漏洞管理流程；實施緩解方案，抑制事件影響，防止繼續擴散；提供解決方案，消除事件影響，恢復正常業務；組織復盤，總結經驗，持續提升事件響應能力。安全事件響應流程8.11.2.3.4.準備工作：檢測分析：抑制、消除和恢復：事后活動：安全事件響應和漏洞管理821圖 8 中興通訊安全事件響應流程中興通訊重視與安全組織協作，對內外部發現的漏洞，秉承公開透明的原則進行負責任的披露。在客戶實施解決方案之后，對方案的有效性進行監控，根據反饋情況進行方案迭代，實現漏洞閉環管理。安全漏洞處理流程包括五個階段：接收來自客戶、供應商、開源社區、安全團體和公司內安全測評發現的漏洞；驗證漏洞、分析

48、影響、評估風險；確認產品受漏洞影響后，提供緩解措施和解決方案；與漏洞報告方和波及客戶保持溝通、實時通報進展，協助客戶修復漏洞，完成漏洞協同披露；從管理、技術等維度總結改進，提升漏洞處理效率和質量。安全漏洞處理流程8.21.接收：2.分析驗證：3.開發方案：4.披露和修復：5.復盤：事先準備事后活動分析受影響版本實施緩解方案提供解決方案事件復盤客戶上報日常運維分析受影響客戶過程改進網絡威脅情報制定預案安全社區通告定期演練安全漏洞引發安全漏洞處理流程中興通訊網絡安全保障實踐圖 9 中興通訊安全漏洞處理流程和支撐系統分析驗證開發方案披露&修復復 盤接 收問題定位發布緩解措施官網公開披露漏洞復盤版本管

49、理系統影響分析發布補丁和版本定向披露任務跟蹤風險評估客戶現場修復白帽等第三方接收渠道供應商/開源社區內部安全測評客戶技術支持官網全球客戶支持中心任務跟蹤系統PSIRT 郵箱組件廣場檢測&分析抑制&消除&恢復22信息安全管理的目標是保護公司信息資產的機密性、完整性和可用性，為公司產品研發、生產、運營等關鍵業務提供安全的環境。中興通訊建立了分級的、完備的和閉環的信息安全管理體系，防泄密，防入侵，一旦發生信息安全事件能快速響應，將損失降到最低，以保障公司戰略目標達成和業務活動順利進行?；贗SO 27001信息安全管理體系標準架構和要求，遵循業務所在地法律法規、遵從行業標準，公司通過“定、管、查”對

50、信息分級管控、閉環管理。定，是識別管理對象，從而聚焦核心資產，實現分級管控，保障安全，兼顧效率；管，是管控信息流本身，關注信息流相關的人、事、物等要素，達到信息安全管控效果；查，是對體系符合性進行檢查改進，對信息安全事件進行調查處置。信息安全9.1圖 10 中興通訊信息安全管理體系框架業務（細則）通用（原則）組織總則（方針）定管查業務連續性信息基礎設施密品人員介質信息流定密固定資產事件內審子公司供方會議展會物理區域信息安全和隱私保護923中興通訊將生產經營活動中產生、收集和接收的信息，分為絕密、機密、內部使用、對外公開四個密級。業務活動中訪問、處理的客戶信息，對應至相應的密級進行分級管理，運用

51、存儲和傳輸加密、身份驗證等技術方法，確保業務活動中運營信息和技術信息得到充分的安全保護。2005 年，公司成為國內首個獲得 ISO 27001:2005 信息安全管理體系認證的上市公司，截至 2023 年，公司總部及全球附屬公司共獲得 27 份 ISO 27001 認證證書。中興通訊不斷學習先進的管理理念，探索具有企業自身特點的信息安全管理模式，以應對全球數字化帶來的信息安全挑戰。中興通訊遵守業務所在國家和地區隱私保護法律法規，將“法律遵從、信任共建、道德履行”作為隱私保護的重要基線。中興通訊通過隱私保護體系建設、重點場景隱私保護管控、隱私保護實踐探索等方式，踐行“滿足法律要求、防控業務風險、

52、贏得市場信任、共建良好生態”。中興通訊以風險為導向，從組織、人員、制度、技術等維度開展全面的體系建設，并在體系運行過程中，不斷優化迭代，保持隱私保護體系的適配性、有效性、先進性。公司建立了場景化的業務流程合規指引，構筑了合規稽查、數據保護和業務單位三道風險防線，并針對各類高風險場景構建了管控機制，守護用戶、客戶及員工數據和隱私安全。公司建立了數據泄露響應流程、數據主體權利響應流程、數據跨境傳輸管控流程、供應商合規管控制度等數據保護合規機制。中興通訊遵循隱私保護設計（PbD）理念，將隱私保護管控前移至產品和服務方案的設計階段，通過將隱私保護需求導入產品和服務需求中，使數據保護要求默認集成至產品和

53、服務中，確保數據處理滿足合法、公平、透明等原則。中興通訊秉持開放、透明的數據合規理念，在中興通訊官網上線了隱私中心9，面向全球客戶、合作伙伴、消費者等相關方展示隱私保護建設、提供隱私保護反饋窗口。隱私保護9.2中興通訊網絡安全保障實踐https:/ ISO 22301 業務連續性管理體系認證。中興通訊產品研發的業務連續性管理面向業務解決方案和基礎設施解決方案，產品設計和方案設計默認考慮設備和網絡的備份方案和容災能力；對于研發資源布局和研發云建設，定期刷新高風險點，針對獨家供貨、關鍵IT 系統、核心實驗室、病毒攻擊等高風險場景開展治理。中興通訊各地研究所具備快速部署遠程辦公能力，保障核心業務開展

54、。供應鏈的業務連續性管理面向采購、制造和貨運業務流程，運用智能供應管理系統實現全業務的監測、預警、聯動和調度，保證采購供應、生產制造和物流交付的連續性和穩定性。交付的業務連續性管理包括工程交付及網絡服務兩個方面，為了保障全球客戶在建及運維網絡的業務，公司形成了一套從預警預防、預案演練到事件處置及復盤的管理流程。業務連續性管理1025為了讓客戶、監管機構和利益相關方能夠便捷、有效、透明地對中興通訊產品和服務進行獨立安全測評，公司在中國南京、意大利羅馬和德國杜塞爾多夫設立了三個網絡安全實驗室，在比利時和土耳其設立了兩個網絡安全透明中心。網絡安全實驗室是客戶評估和驗證中興通訊產品、服務、過程安全性的

55、平臺。實驗室能夠支撐包括源代碼查閱、核心文檔查閱、黑盒測試、滲透測試、技術交流和分享等活動。自成立以來，實驗室多次接待國內外重要客戶和機構開展技術交流和安全審計。以意大利網絡安全實驗室為例，我們的客戶借助實驗室對多個產品進行了滲透測試和源代碼審計，包括 5G、家庭終端和手機等產品，其中一部分是在意大利國家高校電信聯盟（CNIT）10的獨立監督下進行的。中興通訊還參與意大利及歐洲安全組織舉辦的活動，與本地安全社區共享交流，共同提升網絡安全水平。區別于網絡安全實驗室，網絡安全透明中心在縮小規模的基礎上可滿足源代碼查閱和文檔查閱的要求，便于客戶、監管機構和利益相關方檢驗中興通訊產品的安全性。中興通訊

56、持續對標行業安全標準，積極獲取行業認證。2022 年 6 月，中興通訊 5G NR 和 5GC 系列產品通過了 GSMA NESAS 2.1 版本的“供應商開發和產品生命周期流程的安全評估”，成為全球首家通過 GSMA NESAS 2.1 的移動網絡設備供應商。2023 年 1 月，中興通訊 5G NR gNodeB 產品獲得由德國聯邦信息安全辦公室（BSI）頒發的“網絡設備安全保障方案網絡安全認證計劃-德國實施”（NESAS CCS-GI）認證證書。中興通訊作為首家獲得 NESAS CCS-GI 證書的 5G 設備供應商，在認證過程中完全符合流程要求和安全規范。通過本次認證，中興通訊既充分證

57、明了其產品安全治理和 5G NR 產品滿足德國嚴格的安全標準，也為德國 NESAS CCS-GI 認證的發展做出貢獻。網絡安全實驗室測評和認證合作11.111.2開放 合作 融入11非盈利組織，由 37 所意大利公立大學參與組成。10.26中興通訊持有一系列安全相關的 ISO 認證，包括信息安全、供應鏈安全、業務連續性、隱私保護等。中興通訊還持有中國網絡安全審查技術與認證中心（CCRC）信息安全風險評估一級、CCRC 信息系統安全集成服務一級、中國國家漏洞數據庫（CNNVD）一級技術支撐單位等資質。同時，公司承載 OTN 全系列產品通過 CC EAL3+認證，數字能源通過IEC62443工控網

58、絡安全認證，終端通過ePrivacy隱私保護認證，云服務通過國家信息技術服務標準（ITSS）認證、固網終端產品通過 Wi-Fi EasyMeshTM R3 認證、公司研發云獲得 SaaS 安全能力檢驗證書。中興通訊不斷提升產品安全，以開放透明的態度迎接客戶和機構的安全評估。中興通訊網絡安全保障實踐網絡安全標準化是實現網絡高速、安全發展的基礎，是實現通信網絡互操作性和開放性的前提。相較于以前的通信網絡，5G 網絡對網絡安全提出了更高的要求。從 5G 安全標準的制定和實行，到跨地域、跨行業的協調漏洞披露和修復，其貢獻者來自全球各地。標準組織聯合通信網絡運營商和制造商共同將 5G 安全設計到標準中去

59、。因此，開放是保障5G 安全的必要前提。只有遵循開放的標準和統一的安全保障要求，我們才能在整個移動網絡中獲得足夠的安全性。多年來，中興通訊積極參與標準化制定工作并在多個標準組織中擔任各項職務。在中國通信標準化協會（CCSA）的網絡與數據安全標準技術工作委員會中，中興通訊擔任網絡安全組組長，并在安全基礎及產業支撐組、新興技術和業務安全組和網絡關鍵設備子組等工作組擔任副組長，圍繞信息通信網絡與數據安全、融合新興技術和業務安全，深度參與多項通信行業標準及國家標準的制定；另外，在工業互聯網標準技術工作委員會中，中興通訊擔任副主席，并在包括安全工作組在內的多個工作組擔任副組長，積極參與工業互聯網的安全框

60、架與管理體系、工業互聯網數據相關安全要求和工業互聯網安全保障平臺要求等標準制定，促進工業互聯網標準與產業的協調發展。同時，中興通訊在全國信息安全標準化技術委員會 TC260 牽頭的鑒別與授權、通信安全、信息安全評估、信息安全管理和大數據安全等國家標準制定中做出積極貢獻。中興通訊廣泛參與 3GPP、ITU-T、ETSI、GTI、GSMA 等國際主流的標準組織。在 3GPP 中，中興通訊擔任3GPP RAN3 工作組主席和 CT4 工作組副主席，在 3GPP SA3 安全標準工作組中擔任 5G 應用安全項目 AKMA_GBA_DTLS 的項目報告人。該項目主要面向未來物聯網、5G 消息等 5G 應

61、用業務，將進一步降低未來 5G 應用和終端 UE 之間的端到端認證和密鑰獲取的配置的復雜度，促進 5G 應用的商用部署。在 ITU-T 中，中興通訊擔任FG-ML5G 及 FG-AN 網絡架構組主席，在 SG17 網絡安全工作組中牽頭并參與多項標準的制定。此外，中興通訊在 ETSI 產品安全標準、GTITD-LTE 技術安全標準、GSMA 安全認證相關標準的制定中也發揮了重要作用，為推動網絡安全標準做出積極貢獻。安全標準貢獻11.327中興通訊通過 ISO 27001 信息安全管理體系認證。截至 2023 年，公司總部及全球附屬公司共獲得 27 份 ISO 27001 認證證書。中興通訊 ZX

62、R10 3900 通過信息技術安全評估通用標準 CC EAL3 級認證。中興通訊 11 類產品通過 CC 認證，涉及核心網、接入網、光傳輸、網管、路由器、基站控制器等主流產品和設備。中興通訊發布企業標準產品安全要求總則并定期更新，確立公司級產品安全策略，提供產品安全治理的頂層要求。中興通訊成立產品安全委員會（CSC），2019 年再次調整，由公司高層組成的 CSC 提供產品安全最高決策，安全保障的組織部署貫穿各業務管理層。中興通訊獲得 ISO 28000 供應鏈安全管理體系認證，覆蓋 35 大類電信產品的采購、制造及物流業務。中興通訊獲得海關 AEO 貿易安全認證。中興通訊發布中興通訊產品安全

63、白皮書，表明公司開放透明的網絡安全立場。中興通訊獲得中國網絡安全審查技術與認證中心（CCRC）認證的安全集成服務資質，達到信息安全服務規范的一級要求。中興通訊獲得 ISO 22301 業務連續性管理認證。中興通訊人力資源管理和多個產品（5G NR、UME、核心網、數字技術產品、終端產品）獲得 ISO 27701 隱私信息管理體系認證。200520112012 20172014 起2015201720172019201920202020 2021中興通訊網絡安全大事記附錄28中興通訊的 5G NR 和 5GC 融合核心網系列產品通過 GSMA NESAS“供應商開發和產品生命周期流程的安全評估”

64、。中興通訊獲得 CCRC 認證的信息安全風險評估服務一級資質。中興通訊持續發布企業標準產品安全規范 安全設計指導書系列文檔，明確公司產品安全設計應遵循的規范和技術要求。中興通訊5G NR、5GC和Flexhaul產品高分完成BSIMM評估，軟件成熟度全球領先。中興通訊的 5G RAN 解決方案獲得 CC EAL3+認證，成為業內首家以 5G RAN 系列產品整套系統作為保護輪廓通過 CC EAL3+認證的供應商。中興通訊的 5G NR 和 7 個 5GC 網絡設備成功通過 GSMA NESAS 網絡設備產品安全評估。中興通訊成為全球首家通過 GSMA NESAS 2.1 過程評估的移動網絡設備

65、供應商。中興通訊獲得了歐洲 ePrivacy 和美國 TRUSTe 兩大國際權威隱私保護認證。中興通訊 5G NR 產品獲得由德國 BSI 頒發的 NESAS CCS-GI 認證證書。中興通訊是首家獲得該證書的 5G 設備供應商。中興通訊承載 OTN 全系列產品通過 CC EAL3+認證，獲得認證的產品包括 ZXONE 9700/19700 系列、ZXMP M721 系列和 ZXONE 7000 系列等 10 款主流設備。數字能源網管產品通過 IEC62443 工業互聯網安全認證。202020202020 起20212021202120222022202320232023中興通訊網絡安全保障實踐地址：深圳市高新科技產業園科技南路中興通訊大廈 郵政編碼：518057電話：+86-755-26770000 傳真：+86-755-26771999 網址：