中兴通讯首席安全官钟宏:中兴通讯期待与客户共建安全可信的5G网络
钟宏
中兴通讯股份有限公司首席安全官
4G改变生活,5G改变社会,社会的数字化转型驱动着网络的迭代与更新,5G灵活的网络架构为承载工业互联网提供了可能,5G也将连接能源、交通、医疗等社会核心资产。因此,5G网络的安全会更加重要,5G时代,网络安全得到更广泛的关注。
●5G网络安全要求逐渐清晰
在安全生态圈里,一些积极的事情正在发生,从监管、标准、到评估、认证,各方都在积极应对,为如何保障电信网络安全指出方向。
2020年1月底,欧盟发布了针对5G网络安全的欧盟风险缓解措施工具箱 (EU Toolbox),根据其之前发布的5G网络安全风险评估报告,从战略和技术角度提出安全风险缓解措施及支撑行动,并提供实施层面的风险缓解计划;与此同时, 英国NCSC发文阐述英国安全风险管理框架和实践,包括电信安全需求框架在内的一系列措施,将对5G网络起到至关重要的安全风险管控作用。
中兴通讯对可操作的5G网络安全评估方法表示欢迎和赞赏,我们相信这将带来更透明和基于证据的安全评估和认证。
●欧盟工具箱的启示
工具箱为保障电信网络的安全性提出了更加清晰的要求和可操作的方法,对电信运营商和设备提供商的安全实践具有直接和间接的指导价值,从供应商角度出发,监管力、标准遵从和供应商安全保障这三方面尤为相关。
我们注意到,工具箱的多个风险缓解方法里,都将监管力视为有高效预期的短期举措,中兴通讯非常认同监管力的重要地位,这符合我们的安全战略。我们将建立更多渠道,在欧盟和欧洲国家层面了解、沟通监管要求,这些活动对明确安全目标很有帮助。在实施层面,我们结合独立的安全评估和审计,验证和检查安全策略和控制是否按监管要求得以落实。
对于标准遵从,工具箱建议供应商确保实现已有5G标准里的安全措施。我们知道, 5G网络从设计之初就考虑了安全性,如空口用户面完整性保护、完善的密钥派生体系等等,所以5G网络从标准和设计上看,安全性相对3G、4G网络有很大提升,所以,遵从标准,可让产品拥有与生俱来的安全性。中兴通讯在产品研发和交付过程中对标安全标准和最佳实践,确保产品的设计安全和默认安全。
对于供应商安全保障,我们认为基于人员、流程、技术三个角度,对交付的产品和服务进行安全审视,是非常重要的。此外,供应商还需确保自身上游供应链的安全性,中兴通讯安全保障体系考虑了这一点,对供应商、物料及生产制造进行安全管控,向客户提供产品全生命周期的安全保障。
●中兴通讯的安全态度和举措
网络安全是中兴通讯产品研发和服务交付的最高优先级。我们把安全嵌入所有业务领域,建立包含安全设计、安全编码、安全测评、供应链安全、安全交付和运维等产品全生命周期的安全保障体系,定期评估并持续提升安全实践成熟度水平,确保具备持续的安全交付能力。
依托中兴通讯网络安全实验室,客户、监管实体和其他利益相关方可对我们的设备进行独立的安全评估和审计。通过独立的源代码审查、文档审阅、黑盒测试和渗透测试,我们的客户能够验证中兴通讯产品、服务和流程的安全性。
我们在网络安全上持续投入,以继续履行承诺,发挥积极作用,协助客户加强要求、制定标准、实施并评估安全措施,获取客户和监管机构要求的安全认证,以确保产品全生命周期的风险管控。
在网络安全价值链里,中兴通讯始终与运营商客户一起共同面对挑战,帮助客户构建安全可信的网络。
●安全是征程
实现安全目标是一段征程,我们仍然有一段很长的路要走。在清晰的目标之下,中兴通讯已准备迎接新的挑战和机会。
我们将运用基于风险的方式管理全生命周期的产品安全性,遵从监管要求、紧跟技术标准,对接客户和监管的安全评估和认证要求,协助供应商风险轮廓评估。
中兴通讯期待与运营商客户及利益相关方共建安全可信的5G网络,为更好的数字化时代贡献力量。