中興通訊將客戶的安全價值置于商業(yè)利益之上，遵從網(wǎng)絡安全的相關法律法規(guī)，保證端到端地交付安全可信的產(chǎn)品和服務。

　　網(wǎng)絡安全是中興通訊產(chǎn)品研發(fā)和交付的最高優(yōu)先級之一，中興通訊將根據(jù)公司發(fā)展戰(zhàn)略規(guī)劃，參考國際標準和法律法規(guī)，建立健全的產(chǎn)品安全治理結構，培養(yǎng)全員安全意識，強調(diào)全流程安全。

　　中興通訊將安全策略和安全控制融入到產(chǎn)品生命周期的每個階段，建立覆蓋產(chǎn)品研發(fā)、供應鏈與制造、工程服務、安全事件管理和驗證審計等領域的產(chǎn)品全生命周期的產(chǎn)品安全保障機制，以實現(xiàn)產(chǎn)品和服務的端到端安全地交付，并為此構筑三道防線安全治理結構，實現(xiàn)產(chǎn)品安全的基線化、流程化和閉環(huán)化。

　　在組織架構方面，中興通訊采納了三道安全防線治理模型，從多角度審視產(chǎn)品及服務的安全性。業(yè)務單位作為第一道防線實現(xiàn)產(chǎn)品安全性的自我管控；公司安全實驗室作為第二道防線實施獨立的安全測評和監(jiān)督；外部專業(yè)機構及客戶作為第三道防線評估與審計第一、第二道防線的有效性。

　　中興通訊產(chǎn)品安全事件響應團隊（PSIRT）負責識別和分析安全事件，跟蹤事件處理過程，與內(nèi)外部各相關方密切溝通，及時披露安全漏洞，以減輕安全事件帶來的不利影響。作為事件響應和安全團隊論壇（FIRST）成員和CVE編號頒發(fā)成員（CNA），中興通訊正以更加公開的方式與客戶及相關方進行協(xié)同。

　　2005年，中興通訊首次獲得ISO 27001信息安全管理體系證書，并每年持續(xù)更新，2017年通過ISO 28000 供應鏈安全管理體系認證。

　　安全測評方面，擁有具備CISSP、CISA、CCIE、CISAW、CCSK等安全各領域的國際認證專家，具備成熟的代碼審計、漏洞掃描、滲透測試等多維度安全測評能力。

　　回答：中興通訊認為，客戶的安全價值大于商業(yè)利益，產(chǎn)品的安全特性是第一位的。網(wǎng)絡安全威脅是客戶與我們共同面臨的威脅，客戶最關心的問題是我們有足夠的安全措施去保障他們的設備和服務安全運行。中興這幾年持續(xù)進行的網(wǎng)絡安全治理，通過一整套網(wǎng)絡安全保障體系，為客戶提供端到端的安全保障，使產(chǎn)品和服務具備抵抗網(wǎng)絡攻擊的能力。

　　中興通訊愿以開放、透明的方式與運營商、監(jiān)管機構、合作伙伴和其他利益相關方進行溝通和合作，遵守相關法律法規(guī)、尊重客戶和最終用戶的合法權益，不斷改善管理和技術實踐，最終以安全可信的產(chǎn)品回饋客戶，共同建立和維護良好的網(wǎng)絡空間安全秩序。

　　回答：這個問題從兩個角度看，一是自身視角，網(wǎng)絡安全保障我們該做什么，如何做；另一個是客戶視角，我們的舉措如何取得客戶認可和信任。

　　首先，我認為安全性是產(chǎn)品的內(nèi)在屬性，因此我們將提升產(chǎn)品的安全性擺在第一重要的位置。其次，一方面我們必須充分理解客戶的安全需求，另一方面要讓客戶相信我們的產(chǎn)品是安全的。中興通訊正在運行一個長期持續(xù)進行的網(wǎng)絡安全保障計劃，這個計劃在公司內(nèi)部稱為“網(wǎng)絡安全治理”，其愿景是“安全融入血脈，透明贏得信任”，最終目標是為客戶提供可信賴的、端到端全生命期的網(wǎng)絡安全保障。

　　戰(zhàn)略層面，網(wǎng)絡安全是產(chǎn)品研發(fā)和交付的最高優(yōu)先級之一。也就是說，在研發(fā)和工程服務過程中關鍵決策節(jié)點，當需要我們做出選擇的時刻，我們會優(yōu)先選擇保障產(chǎn)品的安全性。比如，在產(chǎn)品研發(fā)過程中，我們設置了發(fā)布關卡，如果安全測試不通過，版本不允許發(fā)布；在工程服務過程中，運用技術和管理的手段保障客戶網(wǎng)絡操作的安全性，比如，賬戶管理運用最小需知和最小權限原則；所有涉及訪問客戶網(wǎng)絡和數(shù)據(jù)的操作，都必須事先獲得客戶授權。

　　組織層面，中興通訊采納了業(yè)界認可的三道安全防線組織結構，基于權責分離的原則，從一線自我管控、二線獨立測評、三線審計監(jiān)督的多個角度審視產(chǎn)品的安全性。在產(chǎn)品研發(fā)過程中，通過部署多層安全驗證機制，確保安全性從多角度得到審視。在工程服務一線，按照區(qū)域、國家和項目維度，公司組建了多級產(chǎn)品安全管理團隊，建立了網(wǎng)絡安全監(jiān)控和安全事件響應機制；二線和三線對工服實行現(xiàn)場檢查和審計，確保在網(wǎng)產(chǎn)品和運維安全可靠。

　　戰(zhàn)術層面，網(wǎng)絡安全保障計劃堅持六點方針：有規(guī)范、嚴執(zhí)行、能追溯、強監(jiān)督、全透明、可信賴。

　　1.有規(guī)范——制定的安全策略和流程規(guī)范滲透進每個產(chǎn)品和過程環(huán)節(jié)，我們對照業(yè)界的成熟度模型定期審核安全規(guī)范，并且確保這些規(guī)范可執(zhí)行且行之有效；

　　2.嚴執(zhí)行——各業(yè)務部門的日常工作均按照規(guī)范嚴格執(zhí)行，公司內(nèi)部發(fā)布了“產(chǎn)品安全紅線”，畫出了對客戶網(wǎng)絡操作和個人數(shù)據(jù)處理不可逾越的安全底線，對組織和個人都有強制約束力；

　　3.能追溯——產(chǎn)品的組件、產(chǎn)品的局點分布、以及執(zhí)行過程記錄組成產(chǎn)品全圖，幫助我們對產(chǎn)品進行可視化管理，在安全事件發(fā)生時能回溯和復盤；

　　4.強監(jiān)督——通過內(nèi)部和第三方安全審計，檢查各環(huán)節(jié)按規(guī)范執(zhí)行的有效性，審計報告向?qū)徲嬑瘑T會匯報，嚴格執(zhí)行整改并復查；

　　5.全透明——網(wǎng)絡安全保障舉措應當對客戶透明，我們部署了一系列舉措實現(xiàn)過程透明化。2017年，公司成為CVE頒發(fā)機構，通過正規(guī)的漏洞披露政策讓相關方知曉我司處理產(chǎn)品漏洞的過程。今年（2019），我們預計在第一季度發(fā)布新版《網(wǎng)絡安全白皮書》，讓關注者了解中興通訊對安全的認識、態(tài)度和舉措；同時，公司已經(jīng)開始籌建海外安全透明實驗室，可以讓客戶在線審查我們的產(chǎn)品；此外，我們正在謀求與第三方建立戰(zhàn)略合作關系，獲取業(yè)界領先的技術和服務，運用于安全實驗室籌建、獨立測評和安全審計；

　　6.可信賴——贏得客戶信賴的前提是尊重和理解客戶的價值觀，途徑是做到過程透明和有監(jiān)管。中興通訊自2005年開始獲得信息安全管理體系ISO 27001認證并每年更新證書，2017年通過ISO 28000供應鏈安全管理認證，自2011年開始累積十多款產(chǎn)品通過了CC（通用準則，既ISO15408標準）安全認證。在過去的2年中，中興通訊與客戶、第三方和海外監(jiān)管機構緊密合作，持續(xù)開展源代碼審計、安全設計評審、供應商審計等活動。

　　人員培養(yǎng)方面，我們認為網(wǎng)絡安全保障計劃的成功與否，很大程度上取決于人員和安全意識，我們建設安全團隊、培養(yǎng)安全專家，過去的一年內(nèi)新增了持有CISSP（注冊信息系統(tǒng)安全師）、CISA（注冊信息系統(tǒng)審計師）、CISAW（信息安全保障人員認證）和CCSK（云安全知識證書）證書的安全專家27人次，組織了多種層面的學習、培訓、研討、實踐和考試，以育人的方式培養(yǎng)安全人員600多人。但最重要的，安全意識培養(yǎng)首先要從管理層開始，產(chǎn)品安全委員會（CSC）由CEO擔任主任，CTO擔任常務副主任，CSO擔任副主任，代表供應鏈、系統(tǒng)產(chǎn)品、工程服務領域的最高負責人擔任常委，網(wǎng)絡安全保障的組織部署已貫穿管理層。

　　回答：正在籌建的網(wǎng)絡安全實驗室是一個“1+N”的運行模式，核心實驗室設在國內(nèi)，國內(nèi)外部署多個遠程接入點。

　　安全實驗室預設三個功能：1.在安全的環(huán)境中查看和評估ZTE產(chǎn)品的源代碼；2.提供對ZTE產(chǎn)品和服務重要技術文檔的訪問服務；3.可通過手動和自動化工具對ZTE產(chǎn)品和服務進行安全測試。

　　建設計劃：2019年在海外建設兩個安全透明實驗室，分別在比利時和意大利。后續(xù)根據(jù)客戶需求及業(yè)務開展，規(guī)劃設立新的安全實驗室。

　　回答：中興通訊從未收到過相關機構讓我們在產(chǎn)品中設置后門的要求；我們產(chǎn)品的源代碼可以通過安全實驗室開放給客戶及專業(yè)機構進行安全審計。