從中國走向全球
中興通訊股份有限公司(以下簡稱中興通訊)是一家綜合通訊資訊解決方案提供商,為全球電信運營商、政企客戶和消費者提供創新的技術與產品解決方案。公司成立於1985年,在香港和深圳兩地上市,業務覆蓋160多個國家和地區。中興通訊是全球5G規模商用裝置商,同時也是5G技術研究和標準制定的主要參與者和貢獻者,致力於構建5G時代自主創新核心競爭力,並憑藉5G端到端全系列產品與解決方案,加速推進全球5G發展,目前已在全球40多個國家開展5G商用部署。
安全對於任何構建和使用軟體的企業和個人來說都至關重要, 中興通訊採取積極主動的安全舉措,包括採用新思科技(Synopsys)的Coverity 靜態應用安全測試、Defensics 模糊測試、Black Duck 軟體組成分析以及軟體安全構建成熟度模型(BSIMM)評估等。
目標:產品安全研發和交付能力進入業界第一梯隊
5G是新一代資訊基礎設施之一,不僅是國家經濟高質量發展的重要引擎,也和普通大眾息息相關。5G可以將當下很多前沿技術結合起來,包括雲計算、大資料、人工智慧等等,在高度連線的時代,安全挑戰難度也在增加。在5G時代,聯網裝置越來越多,也越來越複雜,軟體漏洞的數量也會隨之增加。一旦關鍵裝置被攻擊,可能會牽連數以萬計的聯網裝置,後果不堪設想。
2011年起,中興通訊就開始加強軟體安全舉措,自上而下進行軟體開發流程的改進。尤其到了2016年,中興通訊成立了5G產品線,在預設安全(Secure by Default)的原則下,軟體安全成為重中之重。
中興通訊無線經營部產品安全總監楊鐵建指出,中興通訊將產品安全視為產品研發和交付第一優先順序。為滿足日新月異的市場需求,產品開發人員需快速進行產品開發,但是中興通訊不會犧牲安全來換取交付速度。我們引入業界安全治理框架、最佳實踐,融入公司HPPD流程中,並進行持續改進,提升整體軟體開發安全成熟度,從流程、制度上保障交付的產品和服務的安全性。
同時,楊鐵建也表示:“我們採用了大量先進的安全產品、技術和方法,同時我們也以更開放的心態,希望與業界加強溝通,瞭解自己在行業中所處的位置,並不斷識別差距和改進點。中興通訊無線經營部希望尋求一種系統的安全評估方案,以判斷我們的5G產品安全研發和交付能力是否已經進入業界第一梯隊,力證公司有實力幫助客戶應對網路安全挑戰。”
新思科技為中興通訊進行軟體安全構建成熟度模型(BSIMM)評估
新思科技已經連續多年在 Gartner 魔力象限應用安全測試中被評為領導者,中興通訊對新思科技的能力和專業十分認可,並部署過Coverity 靜態應用安全測試、Defensics 模糊測試、Black Duck 軟體組成分析等安全工具。2017年,中興通訊開始借鑑BSIMM模型逐步完善軟體安全計劃,將BSIMM定義的軟體安全活動嵌入到HPPD研發流程中。無線經營部又進一步採用BSIMM,在南京、上海、西安、深圳和海外局點開展安全性評估,覆蓋無線主要網路產品。
自2008年起,新思科技每年都會分析不同企業的實際軟體安全實踐的定量資料,並彙總成為年度BSIMM報告,幫助企業規劃、執行、評估和完善其軟體安全計劃(SSI)。BSIMM是企業衡量軟體安全的標尺,中興通訊可以參考對比業界優秀的實踐活動,以便更加有針對性地改善自身軟體安全成熟度。
目前為止,新思科技已經為中興通訊提供了2次BSIMM評估服務:
客觀分析現有的SSI剖析不同行業垂直領域出色的安全實踐基於公司目前的安全現狀,分享其它有關公司成功和失敗的案例,並介紹業界應對安全問題的新舉措2019年,新思科技對中興通訊B8200和8120D兩款5G平臺裝置進行了評估,包括為期一個月的程式碼安全性評估、一週的安全設計文件評估及三天的BSIMM訪談。訪談期間對與軟體安全相關的主要負責人進行三輪訪談和多輪溝通會議。評估報告中總結了中興通訊產品安全狀態、業界位置,並根據實際情況提供了實用的改進建議。
2021年,新思科技為中興通訊無線經營部5G RAN(包括BBU、AAU/RRU和統一管理專家UME)和5GC(包括核心網、5G編排管理、5G雲)等產品的研發過程進行為期三天的評估,之後詳細解讀評估報告,並和2019年兩款產品的評估結果進行比較,更新改進建議。中興通訊此次高分完成評估,在絕大多數領域遠超平均分,總體上達到業界領先的水平。對比19年的評估結果,可以看出中興通訊在軟體安全管控上取得了長足的進步。
新思科技軟體質量與安全部門高階安全架構師楊國樑介紹道:“這些採訪中涉及的主題與BSIMM軟體安全框架中的121項活動一致,如軟體安全政策、供應商管理和風險評級等等。評估結果在報告中呈現。BSIMM記分卡提供了精準、簡練的概況和詳細的分數比較,概述了中興通訊與同類公司執行的安全方案之間的對比。”
新思科技軟體質量與安全部門高階安全架構師楊國樑
藉助BSIMM,中興通訊制定了SSI增強方案,持續最佳化軟體安全實踐。
成果:安全能力系統性地改進
經過三年多對標BSIMM框架以及BSIMM評估,中興通訊無線經營部專案安全能力得到系統性的改進,在安全培訓、需求、設計、編碼、測試、交付領域都得到了提升。
楊鐵建表示:“全面進入5G市場面臨許多挑戰,其中,安全性和資料保護尤為重要。新思科技評估團隊專業、敬業,對我們的需求能夠快速精準地響應。BSIMM評估模型的評估方式與評估條目緊貼行業和市場的新動向和新標準,不斷迭代升級,這與中興通訊加速推進全球5G商用規模部署的戰略不謀而合。與新思科技的合作,是中興通訊致力於為全球客戶提供安全、可靠的5G全系列產品與解決方案的良好實踐。”
楊國樑總結道:“發展5G為整個產業鏈帶來巨大的機遇,同時,業界也特別強調5G網路建設的安全保障。5G 安全需要考慮多個層面,比如5G 網路本身的通訊安全以及 5G 網路承載的上層應用安全。但總的來說,通訊裝置提供商應該在產品設計之初,就必須充分考慮可靠性和安全性。新思科技會繼續為中興通訊提供測試工具和評估服務等,為構建5G時代自主創新核心競爭力提供持續的安全支援。”