區(qū)域/語(yǔ)言
漏洞處理流程

烽火通信致力于提升烽火通信產(chǎn)品的安全性,為客戶提供及時(shí)的信息、指導(dǎo)和緩解選項(xiàng),以便更大限度地降低與安全漏洞相關(guān)的風(fēng)險(xiǎn)。烽火通信重視產(chǎn)品的漏洞管理,并遵循ISO/IEC29147:2018原則處理烽火通信產(chǎn)品安全漏洞。

   
           

在整個(gè)漏洞處理的過(guò)程中,烽火通信PSIRT會(huì)嚴(yán)格控制漏洞信息的范圍,將之限制在僅處理漏洞的相關(guān)人員之間傳遞;同時(shí)也要求漏洞上報(bào)者對(duì)此漏洞進(jìn)行保密,直到烽火通信對(duì)外公開(kāi)公告。

漏洞嚴(yán)重等級(jí)評(píng)估

烽火通信采用業(yè)界通用標(biāo)準(zhǔn)對(duì)產(chǎn)品中的疑似漏洞進(jìn)行嚴(yán)重等級(jí)評(píng)估;以CVSS(Common Vulnerability Scoring System,通用漏洞評(píng)分系統(tǒng))為例,該模型包括三個(gè)指標(biāo)組:基礎(chǔ)指標(biāo)組、時(shí)間指標(biāo)組和環(huán)境指標(biāo)組。烽火將提供基礎(chǔ)漏洞評(píng)分,在某些情況下,將提供時(shí)間漏洞評(píng)分和典型場(chǎng)景下的環(huán)境漏洞評(píng)分。烽火鼓勵(lì)最終用戶根據(jù)其網(wǎng)絡(luò)實(shí)際情況評(píng)估環(huán)境漏洞評(píng)分,作為此漏洞在用戶特定環(huán)境最終漏洞評(píng)分,支撐用戶漏洞消減方案部署決策。

烽火通信使用安全嚴(yán)重等級(jí)(SSR:Security Severity Rating)作為更簡(jiǎn)單的分級(jí)方法,SSR基于漏洞嚴(yán)重等級(jí)評(píng)估綜合得分進(jìn)行等級(jí)分類,將漏洞分為嚴(yán)重(Critical)、高(High)、中(Medium)、低(Low)以及信息類(Informational)共五個(gè)級(jí)別。

漏洞信息發(fā)布

通常,我們會(huì)通過(guò)烽火通信安全通告向客戶傳達(dá)補(bǔ)救措施,包括如下兩種形式:

安全公告(Security Notice,簡(jiǎn)稱SN):提供安全主題相關(guān)的信息,當(dāng)外界發(fā)現(xiàn)并關(guān)注烽火產(chǎn)品漏洞信息,但烽火通信尚未確認(rèn)任何技術(shù)信息;

安全預(yù)警(Security Advisory,簡(jiǎn)稱SA):提供經(jīng)確認(rèn)的相關(guān)技術(shù)信息,包括但不限于規(guī)避方案、解決方案。

免責(zé)&保留權(quán)限

本文如有多個(gè)語(yǔ)種的版本,不同語(yǔ)種如有差異,以“中文”版本為準(zhǔn)。本文的策略描述不構(gòu)成保證或承諾,也不能構(gòu)成任何合同的一部分,烽火通信可酌情對(duì)上述策略進(jìn)行調(diào)整。

烽火通信保留隨時(shí)更改或更新本文檔的權(quán)利。



更新時(shí)間2023年12月12日