區(qū)域/語言
漏洞處理流程

烽火通信致力于提升烽火通信產(chǎn)品的安全性,為客戶提供及時(shí)的信息、指導(dǎo)和緩解選項(xiàng),以便更大限度地降低與安全漏洞相關(guān)的風(fēng)險(xiǎn)。烽火通信重視產(chǎn)品的漏洞管理,并遵循ISO/IEC29147:2018原則處理烽火通信產(chǎn)品安全漏洞。

   
           

在整個漏洞處理的過程中,烽火通信PSIRT會嚴(yán)格控制漏洞信息的范圍,將之限制在僅處理漏洞的相關(guān)人員之間傳遞;同時(shí)也要求漏洞上報(bào)者對此漏洞進(jìn)行保密,直到烽火通信對外公開公告。

漏洞嚴(yán)重等級評估

烽火通信采用業(yè)界通用標(biāo)準(zhǔn)對產(chǎn)品中的疑似漏洞進(jìn)行嚴(yán)重等級評估;以CVSS(Common Vulnerability Scoring System,通用漏洞評分系統(tǒng))為例,該模型包括三個指標(biāo)組:基礎(chǔ)指標(biāo)組、時(shí)間指標(biāo)組和環(huán)境指標(biāo)組。烽火將提供基礎(chǔ)漏洞評分,在某些情況下,將提供時(shí)間漏洞評分和典型場景下的環(huán)境漏洞評分。烽火鼓勵最終用戶根據(jù)其網(wǎng)絡(luò)實(shí)際情況評估環(huán)境漏洞評分,作為此漏洞在用戶特定環(huán)境最終漏洞評分,支撐用戶漏洞消減方案部署決策。

烽火通信使用安全嚴(yán)重等級(SSR:Security Severity Rating)作為更簡單的分級方法,SSR基于漏洞嚴(yán)重等級評估綜合得分進(jìn)行等級分類,將漏洞分為嚴(yán)重(Critical)、高(High)、中(Medium)、低(Low)以及信息類(Informational)共五個級別。

漏洞信息發(fā)布

通常,我們會通過烽火通信安全通告向客戶傳達(dá)補(bǔ)救措施,包括如下兩種形式:

安全公告(Security Notice,簡稱SN):提供安全主題相關(guān)的信息,當(dāng)外界發(fā)現(xiàn)并關(guān)注烽火產(chǎn)品漏洞信息,但烽火通信尚未確認(rèn)任何技術(shù)信息;

安全預(yù)警(Security Advisory,簡稱SA):提供經(jīng)確認(rèn)的相關(guān)技術(shù)信息,包括但不限于規(guī)避方案、解決方案。

免責(zé)&保留權(quán)限

本文如有多個語種的版本,不同語種如有差異,以“中文”版本為準(zhǔn)。本文的策略描述不構(gòu)成保證或承諾,也不能構(gòu)成任何合同的一部分,烽火通信可酌情對上述策略進(jìn)行調(diào)整。

烽火通信保留隨時(shí)更改或更新本文檔的權(quán)利。



更新時(shí)間2023年12月12日

富川| 桓台县| 鹤山市| 阿勒泰市| 赤峰市| 东源县| 湖南省| 平舆县| 南投县| 客服| 平陆县| 广州市| 米脂县| 宁河县| 武汉市| 山丹县| 曲麻莱县| 九寨沟县| 铜川市| 永德县| 蓬安县| 耒阳市| 新巴尔虎左旗| 桑植县| 三门县| 两当县| 洛阳市| 白山市| 邓州市| 孝义市| 宜州市| 河北省| 道孚县| 满洲里市| 红原县| 双江| 天峻县| 佳木斯市| 温泉县| 镇巴县| 攀枝花市|