区域/语言
漏洞处理流程

烽火通信致力于提升烽火通信产品的安全性,为客户提供及时的信息、指导和缓解选项,以便更大限度地降低与安全漏洞相关的风险。烽火通信重视产品的漏洞管理,并遵循ISO/IEC29147:2018原则处理烽火通信产品安全漏洞。

   
           

在整个漏洞处理的过程中,烽火通信PSIRT会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递;同时也要求漏洞上报者对此漏洞进行保密,直到烽火通信对外公开公告。

漏洞严重等级评估

烽火通信采用业界通用标准对产品中的疑似漏洞进行严重等级评估;以CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)为例,该模型包括三个指标组:基础指标组、时间指标组和环境指标组。烽火将提供基础漏洞评分,在某些情况下,将提供时间漏洞评分和典型场景下的环境漏洞评分。烽火鼓励最终用户根据其网络实际情况评估环境漏洞评分,作为此漏洞在用户特定环境最终漏洞评分,支撑用户漏洞消减方案部署决策。

烽火通信使用安全严重等级(SSR:Security Severity Rating)作为更简单的分级方法,SSR基于漏洞严重等级评估综合得分进行等级分类,将漏洞分为严重(Critical)、高(High)、中(Medium)、低(Low)以及信息类(Informational)共五个级别。

漏洞信息发布

通常,我们会通过烽火通信安全通告向客户传达补救措施,包括如下两种形式:

安全公告(Security Notice,简称SN):提供安全主题相关的信息,当外界发现并关注烽火产品漏洞信息,但烽火通信尚未确认任何技术信息;

安全预警(Security Advisory,简称SA):提供经确认的相关技术信息,包括但不限于规避方案、解决方案。

免责&保留权限

本文如有多个语种的版本,不同语种如有差异,以“中文”版本为准。本文的策略描述不构成保证或承诺,也不能构成任何合同的一部分,烽火通信可酌情对上述策略进行调整。

烽火通信保留随时更改或更新本文档的权利。



更新时间2023年12月12日