區(qū)域/語言
漏洞處理流程

烽火通信致力于提升烽火通信產(chǎn)品的安全性,為客戶提供及時的信息、指導和緩解選項,以便更大限度地降低與安全漏洞相關的風險。烽火通信重視產(chǎn)品的漏洞管理,并遵循ISO/IEC29147:2018原則處理烽火通信產(chǎn)品安全漏洞。

   
           

在整個漏洞處理的過程中,烽火通信PSIRT會嚴格控制漏洞信息的范圍,將之限制在僅處理漏洞的相關人員之間傳遞;同時也要求漏洞上報者對此漏洞進行保密,直到烽火通信對外公開公告。

漏洞嚴重等級評估

烽火通信采用業(yè)界通用標準對產(chǎn)品中的疑似漏洞進行嚴重等級評估;以CVSS(Common Vulnerability Scoring System,通用漏洞評分系統(tǒng))為例,該模型包括三個指標組:基礎指標組、時間指標組和環(huán)境指標組。烽火將提供基礎漏洞評分,在某些情況下,將提供時間漏洞評分和典型場景下的環(huán)境漏洞評分。烽火鼓勵最終用戶根據(jù)其網(wǎng)絡實際情況評估環(huán)境漏洞評分,作為此漏洞在用戶特定環(huán)境最終漏洞評分,支撐用戶漏洞消減方案部署決策。

烽火通信使用安全嚴重等級(SSR:Security Severity Rating)作為更簡單的分級方法,SSR基于漏洞嚴重等級評估綜合得分進行等級分類,將漏洞分為嚴重(Critical)、高(High)、中(Medium)、低(Low)以及信息類(Informational)共五個級別。

漏洞信息發(fā)布

通常,我們會通過烽火通信安全通告向客戶傳達補救措施,包括如下兩種形式:

安全公告(Security Notice,簡稱SN):提供安全主題相關的信息,當外界發(fā)現(xiàn)并關注烽火產(chǎn)品漏洞信息,但烽火通信尚未確認任何技術信息;

安全預警(Security Advisory,簡稱SA):提供經(jīng)確認的相關技術信息,包括但不限于規(guī)避方案、解決方案。

免責&保留權限

本文如有多個語種的版本,不同語種如有差異,以“中文”版本為準。本文的策略描述不構成保證或承諾,也不能構成任何合同的一部分,烽火通信可酌情對上述策略進行調整。

烽火通信保留隨時更改或更新本文檔的權利。



更新時間2023年12月12日