新思科技為中興通訊構(gòu)建5G時(shí)代自主創(chuàng)新核心競(jìng)爭(zhēng)力提供安全支持

從中國(guó)走向全球

中興通訊股份有限公司(以下簡(jiǎn)稱(chēng)中興通訊)是一家綜合通信信息解決方案提供商，為全球電信運(yùn)營(yíng)商、政企客戶和消費(fèi)者提供創(chuàng)新的技術(shù)與產(chǎn)品解決方案。公司成立于1985年，在香港和深圳兩地上市，業(yè)務(wù)覆蓋160多個(gè)國(guó)家和地區(qū)。中興通訊是全球5G規(guī)模商用設(shè)備商，同時(shí)也是5G技術(shù)研究和標(biāo)準(zhǔn)制定的主要參與者和貢獻(xiàn)者，致力于構(gòu)建5G時(shí)代自主創(chuàng)新核心競(jìng)爭(zhēng)力，并憑借5G端到端全系列產(chǎn)品與解決方案，加速推進(jìn)全球5G發(fā)展，目前已在全球40多個(gè)國(guó)家開(kāi)展5G商用部署。

安全對(duì)于任何構(gòu)建和使用軟件的企業(yè)和個(gè)人來(lái)說(shuō)都至關(guān)重要， 中興通訊采取積極主動(dòng)的安全舉措，包括采用新思科技(Synopsys)的Coverity 靜態(tài)應(yīng)用安全測(cè)試、Defensics 模糊測(cè)試、Black Duck 軟件組成分析以及軟件安全構(gòu)建成熟度模型(BSIMM)評(píng)估等。

目標(biāo)：產(chǎn)品安全研發(fā)和交付能力進(jìn)入業(yè)界第一梯隊(duì)

5G是新一代信息基礎(chǔ)設(shè)施之一，不僅是國(guó)家經(jīng)濟(jì)高質(zhì)量發(fā)展的重要引擎，也和普通大眾息息相關(guān)。5G可以將當(dāng)下很多前沿技術(shù)結(jié)合起來(lái)，包括云計(jì)算、大數(shù)據(jù)、人工智能等等，在高度連接的時(shí)代，安全挑戰(zhàn)難度也在增加。在5G時(shí)代，聯(lián)網(wǎng)設(shè)備越來(lái)越多，也越來(lái)越復(fù)雜，軟件漏洞的數(shù)量也會(huì)隨之增加。一旦關(guān)鍵設(shè)備被攻擊，可能會(huì)牽連數(shù)以萬(wàn)計(jì)的聯(lián)網(wǎng)設(shè)備，后果不堪設(shè)想。

2011年起，中興通訊就開(kāi)始加強(qiáng)軟件安全舉措，自上而下進(jìn)行軟件開(kāi)發(fā)流程的改進(jìn)。尤其到了2016年，中興通訊成立了5G產(chǎn)品線，在默認(rèn)安全(Secure by Default)的原則下，軟件安全成為重中之重。

中興通訊無(wú)線經(jīng)營(yíng)部產(chǎn)品安全總監(jiān)楊鐵建指出，中興通訊將產(chǎn)品安全視為產(chǎn)品研發(fā)和交付第一優(yōu)先級(jí)。為滿足日新月異的市場(chǎng)需求，產(chǎn)品開(kāi)發(fā)人員需快速進(jìn)行產(chǎn)品開(kāi)發(fā)，但是中興通訊不會(huì)犧牲安全來(lái)?yè)Q取交付速度。我們引入業(yè)界安全治理框架、最佳實(shí)踐，融入公司HPPD流程中，并進(jìn)行持續(xù)改進(jìn)，提升整體軟件開(kāi)發(fā)安全成熟度，從流程、制度上保障交付的產(chǎn)品和服務(wù)的安全性。

同時(shí)，楊鐵建也表示：“我們采用了大量先進(jìn)的安全產(chǎn)品、技術(shù)和方法，同時(shí)我們也以更開(kāi)放的心態(tài)，希望與業(yè)界加強(qiáng)溝通，了解自己在行業(yè)中所處的位置，并不斷識(shí)別差距和改進(jìn)點(diǎn)。中興通訊無(wú)線經(jīng)營(yíng)部希望尋求一種系統(tǒng)的安全評(píng)估方案，以判斷我們的5G產(chǎn)品安全研發(fā)和交付能力是否已經(jīng)進(jìn)入業(yè)界第一梯隊(duì)，力證公司有實(shí)力幫助客戶應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)?！?

新思科技為中興通訊進(jìn)行軟件安全構(gòu)建成熟度模型(BSIMM)評(píng)估

新思科技已經(jīng)連續(xù)多年在 Gartner 魔力象限應(yīng)用安全測(cè)試中被評(píng)為領(lǐng)導(dǎo)者，中興通訊對(duì)新思科技的能力和專(zhuān)業(yè)十分認(rèn)可，并部署過(guò)Coverity 靜態(tài)應(yīng)用安全測(cè)試、Defensics 模糊測(cè)試、Black Duck 軟件組成分析等安全工具。2017年，中興通訊開(kāi)始借鑒BSIMM模型逐步完善軟件安全計(jì)劃，將BSIMM定義的軟件安全活動(dòng)嵌入到HPPD研發(fā)流程中。無(wú)線經(jīng)營(yíng)部又進(jìn)一步采用BSIMM，在南京、上海、西安、深圳和海外局點(diǎn)開(kāi)展安全性評(píng)估，覆蓋無(wú)線主要網(wǎng)絡(luò)產(chǎn)品。

自2008年起，新思科技每年都會(huì)分析不同企業(yè)的實(shí)際軟件安全實(shí)踐的定量數(shù)據(jù)，并匯總成為年度BSIMM報(bào)告，幫助企業(yè)規(guī)劃、執(zhí)行、評(píng)估和完善其軟件安全計(jì)劃(SSI)。BSIMM是企業(yè)衡量軟件安全的標(biāo)尺，中興通訊可以參考對(duì)比業(yè)界優(yōu)秀的實(shí)踐活動(dòng)，以便更加有針對(duì)性地改善自身軟件安全成熟度。

目前為止，新思科技已經(jīng)為中興通訊提供了2次BSIMM評(píng)估服務(wù)：

·? 客觀分析現(xiàn)有的SSI

?· 剖析不同行業(yè)垂直領(lǐng)域出色的安全實(shí)踐

·? 基于公司目前的安全現(xiàn)狀，分享其它有關(guān)公司成功和失敗的案例，并介紹業(yè)界應(yīng)對(duì)安全問(wèn)題的新舉措

2019年，新思科技對(duì)中興通訊B8200和8120D兩款5G平臺(tái)設(shè)備進(jìn)行了評(píng)估，包括為期一個(gè)月的代碼安全性評(píng)估、一周的安全設(shè)計(jì)文檔評(píng)估及三天的BSIMM訪談。訪談期間對(duì)與軟件安全相關(guān)的主要負(fù)責(zé)人進(jìn)行三輪訪談和多輪溝通會(huì)議。評(píng)估報(bào)告中總結(jié)了中興通訊產(chǎn)品安全狀態(tài)、業(yè)界位置，并根據(jù)實(shí)際情況提供了實(shí)用的改進(jìn)建議。

2021年，新思科技為中興通訊無(wú)線經(jīng)營(yíng)部5G RAN(包括BBU、AAU/RRU和統(tǒng)一管理專(zhuān)家UME)和5GC(包括核心網(wǎng)、5G編排管理、5G云)等產(chǎn)品的研發(fā)過(guò)程進(jìn)行為期三天的評(píng)估，之后詳細(xì)解讀評(píng)估報(bào)告，并和2019年兩款產(chǎn)品的評(píng)估結(jié)果進(jìn)行比較，更新改進(jìn)建議。中興通訊此次高分完成評(píng)估，在絕大多數(shù)領(lǐng)域遠(yuǎn)超平均分，總體上達(dá)到業(yè)界領(lǐng)先的水平。對(duì)比19年的評(píng)估結(jié)果，可以看出中興通訊在軟件安全管控上取得了長(zhǎng)足的進(jìn)步。

新思科技軟件質(zhì)量與安全部門(mén)高級(jí)安全架構(gòu)師楊國(guó)梁介紹道：“這些采訪中涉及的主題與BSIMM軟件安全框架中的121項(xiàng)活動(dòng)一致，如軟件安全政策、供應(yīng)商管理和風(fēng)險(xiǎn)評(píng)級(jí)等等。評(píng)估結(jié)果在報(bào)告中呈現(xiàn)。BSIMM記分卡提供了精準(zhǔn)、簡(jiǎn)練的概況和詳細(xì)的分?jǐn)?shù)比較，概述了中興通訊與同類(lèi)公司執(zhí)行的安全方案之間的對(duì)比?！?

借助BSIMM，中興通訊制定了SSI增強(qiáng)方案，持續(xù)優(yōu)化軟件安全實(shí)踐。

成果：安全能力系統(tǒng)性地改進(jìn)

經(jīng)過(guò)三年多對(duì)標(biāo)BSIMM框架以及BSIMM評(píng)估，中興通訊無(wú)線經(jīng)營(yíng)部項(xiàng)目安全能力得到系統(tǒng)性的改進(jìn)，在安全培訓(xùn)、需求、設(shè)計(jì)、編碼、測(cè)試、交付領(lǐng)域都得到了提升。

楊鐵建表示：“全面進(jìn)入5G市場(chǎng)面臨許多挑戰(zhàn)，其中，安全性和數(shù)據(jù)保護(hù)尤為重要。新思科技評(píng)估團(tuán)隊(duì)專(zhuān)業(yè)、敬業(yè)，對(duì)我們的需求能夠快速精準(zhǔn)地響應(yīng)。BSIMM評(píng)估模型的評(píng)估方式與評(píng)估條目緊貼行業(yè)和市場(chǎng)的新動(dòng)向和新標(biāo)準(zhǔn)，不斷迭代升級(jí)，這與中興通訊加速推進(jìn)全球5G商用規(guī)模部署的戰(zhàn)略不謀而合。與新思科技的合作，是中興通訊致力于為全球客戶提供安全、可靠的5G全系列產(chǎn)品與解決方案的良好實(shí)踐?！?

楊國(guó)梁總結(jié)道：“發(fā)展5G為整個(gè)產(chǎn)業(yè)鏈帶來(lái)巨大的機(jī)遇，同時(shí)，業(yè)界也特別強(qiáng)調(diào)5G網(wǎng)絡(luò)建設(shè)的安全保障。5G 安全需要考慮多個(gè)層面，比如5G 網(wǎng)絡(luò)本身的通信安全以及 5G 網(wǎng)絡(luò)承載的上層應(yīng)用安全。但總的來(lái)說(shuō)，通信設(shè)備提供商應(yīng)該在產(chǎn)品設(shè)計(jì)之初，就必須充分考慮可靠性和安全性。新思科技會(huì)繼續(xù)為中興通訊提供測(cè)試工具和評(píng)估服務(wù)等，為構(gòu)建5G時(shí)代自主創(chuàng)新核心競(jìng)爭(zhēng)力提供持續(xù)的安全支持?！?