新思科技為中興通訊構建5G時代自主創(chuàng)新核心競爭力提供安全支持

從中國走向全球

中興通訊股份有限公司(以下簡稱中興通訊)是一家綜合通信信息解決方案提供商，為全球電信運營商、政企客戶和消費者提供創(chuàng)新的技術與產品解決方案。公司成立于1985年，在香港和深圳兩地上市，業(yè)務覆蓋160多個國家和地區(qū)。中興通訊是全球5G規(guī)模商用設備商，同時也是5G技術研究和標準制定的主要參與者和貢獻者，致力于構建5G時代自主創(chuàng)新核心競爭力，并憑借5G端到端全系列產品與解決方案，加速推進全球5G發(fā)展，目前已在全球40多個國家開展5G商用部署。

安全對于任何構建和使用軟件的企業(yè)和個人來說都至關重要， 中興通訊采取積極主動的安全舉措，包括采用新思科技(Synopsys)的Coverity 靜態(tài)應用安全測試、Defensics 模糊測試、Black Duck 軟件組成分析以及軟件安全構建成熟度模型(BSIMM)評估等。

目標：產品安全研發(fā)和交付能力進入業(yè)界第一梯隊

5G是新一代信息基礎設施之一，不僅是國家經濟高質量發(fā)展的重要引擎，也和普通大眾息息相關。5G可以將當下很多前沿技術結合起來，包括云計算、大數(shù)據、人工智能等等，在高度連接的時代，安全挑戰(zhàn)難度也在增加。在5G時代，聯(lián)網設備越來越多，也越來越復雜，軟件漏洞的數(shù)量也會隨之增加。一旦關鍵設備被攻擊，可能會牽連數(shù)以萬計的聯(lián)網設備，后果不堪設想。

2011年起，中興通訊就開始加強軟件安全舉措，自上而下進行軟件開發(fā)流程的改進。尤其到了2016年，中興通訊成立了5G產品線，在默認安全(Secure by Default)的原則下，軟件安全成為重中之重。

中興通訊無線經營部產品安全總監(jiān)楊鐵建指出，中興通訊將產品安全視為產品研發(fā)和交付第一優(yōu)先級。為滿足日新月異的市場需求，產品開發(fā)人員需快速進行產品開發(fā)，但是中興通訊不會犧牲安全來換取交付速度。我們引入業(yè)界安全治理框架、最佳實踐，融入公司HPPD流程中，并進行持續(xù)改進，提升整體軟件開發(fā)安全成熟度，從流程、制度上保障交付的產品和服務的安全性。

同時，楊鐵建也表示：“我們采用了大量先進的安全產品、技術和方法，同時我們也以更開放的心態(tài)，希望與業(yè)界加強溝通，了解自己在行業(yè)中所處的位置，并不斷識別差距和改進點。中興通訊無線經營部希望尋求一種系統(tǒng)的安全評估方案，以判斷我們的5G產品安全研發(fā)和交付能力是否已經進入業(yè)界第一梯隊，力證公司有實力幫助客戶應對網絡安全挑戰(zhàn)?！?

新思科技為中興通訊進行軟件安全構建成熟度模型(BSIMM)評估

新思科技已經連續(xù)多年在 Gartner 魔力象限應用安全測試中被評為領導者，中興通訊對新思科技的能力和專業(yè)十分認可，并部署過Coverity 靜態(tài)應用安全測試、Defensics 模糊測試、Black Duck 軟件組成分析等安全工具。2017年，中興通訊開始借鑒BSIMM模型逐步完善軟件安全計劃，將BSIMM定義的軟件安全活動嵌入到HPPD研發(fā)流程中。無線經營部又進一步采用BSIMM，在南京、上海、西安、深圳和海外局點開展安全性評估，覆蓋無線主要網絡產品。

自2008年起，新思科技每年都會分析不同企業(yè)的實際軟件安全實踐的定量數(shù)據，并匯總成為年度BSIMM報告，幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI)。BSIMM是企業(yè)衡量軟件安全的標尺，中興通訊可以參考對比業(yè)界優(yōu)秀的實踐活動，以便更加有針對性地改善自身軟件安全成熟度。

目前為止，新思科技已經為中興通訊提供了2次BSIMM評估服務：

·? 客觀分析現(xiàn)有的SSI

?· 剖析不同行業(yè)垂直領域出色的安全實踐

·? 基于公司目前的安全現(xiàn)狀，分享其它有關公司成功和失敗的案例，并介紹業(yè)界應對安全問題的新舉措

2019年，新思科技對中興通訊B8200和8120D兩款5G平臺設備進行了評估，包括為期一個月的代碼安全性評估、一周的安全設計文檔評估及三天的BSIMM訪談。訪談期間對與軟件安全相關的主要負責人進行三輪訪談和多輪溝通會議。評估報告中總結了中興通訊產品安全狀態(tài)、業(yè)界位置，并根據實際情況提供了實用的改進建議。

2021年，新思科技為中興通訊無線經營部5G RAN(包括BBU、AAU/RRU和統(tǒng)一管理專家UME)和5GC(包括核心網、5G編排管理、5G云)等產品的研發(fā)過程進行為期三天的評估，之后詳細解讀評估報告，并和2019年兩款產品的評估結果進行比較，更新改進建議。中興通訊此次高分完成評估，在絕大多數(shù)領域遠超平均分，總體上達到業(yè)界領先的水平。對比19年的評估結果，可以看出中興通訊在軟件安全管控上取得了長足的進步。

新思科技軟件質量與安全部門高級安全架構師楊國梁介紹道：“這些采訪中涉及的主題與BSIMM軟件安全框架中的121項活動一致，如軟件安全政策、供應商管理和風險評級等等。評估結果在報告中呈現(xiàn)。BSIMM記分卡提供了精準、簡練的概況和詳細的分數(shù)比較，概述了中興通訊與同類公司執(zhí)行的安全方案之間的對比?！?

借助BSIMM，中興通訊制定了SSI增強方案，持續(xù)優(yōu)化軟件安全實踐。

成果：安全能力系統(tǒng)性地改進

經過三年多對標BSIMM框架以及BSIMM評估，中興通訊無線經營部項目安全能力得到系統(tǒng)性的改進，在安全培訓、需求、設計、編碼、測試、交付領域都得到了提升。

楊鐵建表示：“全面進入5G市場面臨許多挑戰(zhàn)，其中，安全性和數(shù)據保護尤為重要。新思科技評估團隊專業(yè)、敬業(yè)，對我們的需求能夠快速精準地響應。BSIMM評估模型的評估方式與評估條目緊貼行業(yè)和市場的新動向和新標準，不斷迭代升級，這與中興通訊加速推進全球5G商用規(guī)模部署的戰(zhàn)略不謀而合。與新思科技的合作，是中興通訊致力于為全球客戶提供安全、可靠的5G全系列產品與解決方案的良好實踐。”

楊國梁總結道：“發(fā)展5G為整個產業(yè)鏈帶來巨大的機遇，同時，業(yè)界也特別強調5G網絡建設的安全保障。5G 安全需要考慮多個層面，比如5G 網絡本身的通信安全以及 5G 網絡承載的上層應用安全。但總的來說，通信設備提供商應該在產品設計之初，就必須充分考慮可靠性和安全性。新思科技會繼續(xù)為中興通訊提供測試工具和評估服務等，為構建5G時代自主創(chuàng)新核心競爭力提供持續(xù)的安全支持。”