摘要:大家知道,安全對于任何構(gòu)建和使用軟件的企業(yè)和個(gè)人來說都至關(guān)重要,比如中興通訊采取積極主動(dòng)的安全舉措,包括采用新思科技的Coverity 靜態(tài)應(yīng)用安全測試、Defensics 模糊測試、Black Duck 軟件組成分析以及軟件安全構(gòu)建成熟度模型(BSIMM)評估等。
中興通訊無線經(jīng)營部產(chǎn)品安全總監(jiān)楊鐵建指出,中興通訊將產(chǎn)品安全視為產(chǎn)品研發(fā)和交付第一優(yōu)先級。為滿足日新月異的市場需求,產(chǎn)品開發(fā)人員需快速進(jìn)行產(chǎn)品開發(fā),但是中興通訊不會(huì)犧牲安全來換取交付速度。我們引入業(yè)界安全治理框架、最佳實(shí)踐,融入公司HPPD流程中,并進(jìn)行持續(xù)改進(jìn),提升整體軟件開發(fā)安全成熟度,從流程、制度上保障交付的產(chǎn)品和服務(wù)的安全性。
同時(shí),楊鐵建也表示:“我們采用了大量先進(jìn)的安全產(chǎn)品、技術(shù)和方法,同時(shí)我們也以更開放的心態(tài),希望與業(yè)界加強(qiáng)溝通,了解自己在行業(yè)中所處的位置,并不斷識別差距和改進(jìn)點(diǎn)。中興通訊無線經(jīng)營部希望尋求一種系統(tǒng)的安全評估方案,以判斷我們的5G產(chǎn)品安全研發(fā)和交付能力是否已經(jīng)進(jìn)入業(yè)界第一梯隊(duì),力證公司有實(shí)力幫助客戶應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)。”
什么是BSIMM?
首先它是一個(gè)觀察、評估和描述企業(yè)的SSI真實(shí)狀態(tài)的一個(gè)工具。什么是SSI,就是Software Security Initiative,軟件安全方案的一個(gè)真實(shí)狀態(tài)。而所謂這個(gè)軟件安全方案,大家可以看一下蛛網(wǎng)圖,上面有12項(xiàng)practice(實(shí)踐),而這12項(xiàng)實(shí)踐又對應(yīng)到了4個(gè)domains(領(lǐng)域)。
可以看到右上角針對的是比較高h(yuǎn)igh level的一些戰(zhàn)略和指標(biāo),合規(guī)政策、培訓(xùn)、流程等等;右下角會(huì)涉及到一些具體的情報(bào)的收集,功能的設(shè)計(jì),標(biāo)準(zhǔn)的制定;左下角會(huì)有一些安全類的測試、滲透測試或者對于代碼的審查;左上角是你在運(yùn)維部署的過程中,對于你的環(huán)境、漏洞的管理等等,有沒有一些很好的考量。
自2008年起,新思科技每年都會(huì)分析不同企業(yè)的實(shí)際軟件安全實(shí)踐的定量數(shù)據(jù),并匯總成為年度BSIMM報(bào)告,幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計(jì)劃(SSI)。BSIMM是企業(yè)衡量軟件安全的標(biāo)尺,中興通訊可以參考對比業(yè)界優(yōu)秀的實(shí)踐活動(dòng),以便更加有針對性地改善自身軟件安全成熟度。
為什么需要進(jìn)行BSIMM評估?
自2008年以來,新思科技共對200多家企業(yè)開展了約500次測評,對此BSIMM優(yōu)勢可以說明幾點(diǎn):1、掌握SSI的現(xiàn)狀,提供可視性;2、衡量新的軟件安全方法;3、評估企業(yè)自身的軟件安全方案策略;4、建立一個(gè)衡量軟件安全方案進(jìn)展方法;5、展示軟件安全狀態(tài);6、收集具體細(xì)節(jié),以向公司高層或董事會(huì)說明安全方案如何發(fā)揮作用。
2017年,中興通訊開始借鑒BSIMM模型逐步完善軟件安全計(jì)劃,將BSIMM定義的軟件安全活動(dòng)嵌入到HPPD研發(fā)流程中。無線經(jīng)營部又進(jìn)一步采用BSIMM,在南京、上海、西安、深圳和海外局點(diǎn)開展安全性評估,覆蓋無線主要網(wǎng)絡(luò)產(chǎn)品。目前為止,新思科技對中興通訊B8200和8120D兩款5G平臺設(shè)備進(jìn)行了評估服務(wù),主要有:
A 客觀分析現(xiàn)有的SSI
B 剖析不同行業(yè)垂直領(lǐng)域出色的安全實(shí)踐
C 基于公司目前的安全現(xiàn)狀,分享其它有關(guān)公司成功和失敗的案例,并介紹業(yè)界應(yīng)對安全問題的新舉措
另外,包括為期一個(gè)月的代碼安全性評估、一周的安全設(shè)計(jì)文檔評估及三天的BSIMM訪談。訪談期間對與軟件安全相關(guān)的主要負(fù)責(zé)人進(jìn)行三輪訪談和多輪溝通會(huì)議。評估報(bào)告中總結(jié)了中興通訊產(chǎn)品安全狀態(tài)、業(yè)界位置,并根據(jù)實(shí)際情況提供了實(shí)用的改進(jìn)建議。
2021年,新思科技為中興通訊無線經(jīng)營部5G RAN(包括BBU、AAU/RRU和統(tǒng)一管理專家UME)和5GC(包括核心網(wǎng)、5G編排管理、5G云)等產(chǎn)品的研發(fā)過程進(jìn)行為期三天的評估,之后詳細(xì)解讀評估報(bào)告,并和2019年兩款產(chǎn)品的評估結(jié)果進(jìn)行比較,更新改進(jìn)建議。中興通訊此次高分完成評估,在絕大多數(shù)領(lǐng)域遠(yuǎn)超平均分,總體上達(dá)到業(yè)界領(lǐng)先的水平。對比19年的評估結(jié)果,可以看出中興通訊在軟件安全管控上取得了長足的進(jìn)步。
新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁介紹道:“這些采訪中涉及的主題與BSIMM軟件安全框架中的121項(xiàng)活動(dòng)一致,如軟件安全政策、供應(yīng)商管理和風(fēng)險(xiǎn)評級等等。評估結(jié)果在報(bào)告中呈現(xiàn)。BSIMM記分卡提供了精準(zhǔn)、簡練的概況和詳細(xì)的分?jǐn)?shù)比較,概述了中興通訊與同類公司執(zhí)行的安全方案之間的對比。”
BSIMM成果:助力安全能力系統(tǒng)性地改進(jìn)
經(jīng)過三年多對標(biāo)BSIMM框架以及BSIMM評估,中興通訊無線經(jīng)營部項(xiàng)目安全能力得到系統(tǒng)性的改進(jìn),在安全培訓(xùn)、需求、設(shè)計(jì)、編碼、測試、交付領(lǐng)域都得到了提升。
楊鐵建表示:“全面進(jìn)入5G市場面臨許多挑戰(zhàn),其中,安全性和數(shù)據(jù)保護(hù)尤為重要。新思科技評估團(tuán)隊(duì)專業(yè)、敬業(yè),對我們的需求能夠快速精準(zhǔn)地響應(yīng)。BSIMM評估模型的評估方式與評估條目緊貼行業(yè)和市場的新動(dòng)向和新標(biāo)準(zhǔn),不斷迭代升級,這與中興通訊加速推進(jìn)全球5G商用規(guī)模部署的戰(zhàn)略不謀而合。與新思科技的合作,是中興通訊致力于為全球客戶提供安全、可靠的5G全系列產(chǎn)品與解決方案的良好實(shí)踐。”
楊國梁總結(jié)道:“發(fā)展5G為整個(gè)產(chǎn)業(yè)鏈帶來巨大的機(jī)遇,同時(shí),業(yè)界也特別強(qiáng)調(diào)5G網(wǎng)絡(luò)建設(shè)的安全保障。5G 安全需要考慮多個(gè)層面,比如5G 網(wǎng)絡(luò)本身的通信安全以及 5G 網(wǎng)絡(luò)承載的上層應(yīng)用安全。但總的來說,通信設(shè)備提供商應(yīng)該在產(chǎn)品設(shè)計(jì)之初,就必須充分考慮可靠性和安全性。新思科技會(huì)繼續(xù)為中興通訊提供測試工具和評估服務(wù)等,為構(gòu)建5G時(shí)代自主創(chuàng)新核心競爭力提供持續(xù)的安全支持。”
小結(jié):中興通訊在安全能力的系統(tǒng)性里面得到很好的改進(jìn)。本次評估,他們也高分完成了評估,在絕大多數(shù)領(lǐng)域其實(shí)是高于平均水平,總體上已經(jīng)進(jìn)入了第一梯隊(duì)。而這里所謂的第一梯隊(duì)是根據(jù)BSIMM得分一個(gè)自然的劃分,羅列出來的幾檔,不難發(fā)現(xiàn)中興已經(jīng)處于最高水位第一梯隊(duì)的那一檔。
-
中興通訊
+關(guān)注
關(guān)注
7文章
1994瀏覽量
55121 -
新思科技
+關(guān)注
關(guān)注
5文章
796瀏覽量
50334 -
軟件安全
+關(guān)注
關(guān)注
0文章
23瀏覽量
9199 -
BSIMM
+關(guān)注
關(guān)注
0文章
4瀏覽量
4936
發(fā)布評論請先 登錄
相關(guān)推薦
評論