漏洞处理(lǐ)流程-烽火通信

PSIRT

漏洞处理(lǐ)流程

漏洞上报

安全通告

安全公告

漏洞处理(lǐ)流程

烽火通信致力于提升烽火通信产品的安全性，為(wèi)客户提供及时的信息、指导和缓解选项，以便更大限度地降低与安全漏洞相关的风险。烽火通信重视产品的漏洞管理(lǐ)，并遵循ISO/IEC29147:2018原则处理(lǐ)烽火通信产品安全漏洞。

01漏洞接收：

接收烽火通信产品的疑似漏洞信息；

02漏洞确认：

烽火通信PSIRT团队确认疑似漏洞是否存在，并确定漏洞的影响范围；

03漏洞修复：

制定计划修复漏洞；

04漏洞披露：

面向用(yòng)户发布漏洞补丁信息；

05闭环改进：

结合用(yòng)户意见和实践持续改进。

在整个漏洞处理(lǐ)的过程中，烽火通信PSIRT会严格控制漏洞信息的范围，将之限制在仅处理(lǐ)漏洞的相关人员之间传递；同时也要求漏洞上报者对此漏洞进行保密，直到烽火通信对外公开公告。

漏洞严重等级评估

烽火通信采用(yòng)业界通用(yòng)标准对产品中的疑似漏洞进行严重等级评估；以CVSS（Common Vulnerability Scoring System，通用(yòng)漏洞评分(fēn)系统）為(wèi)例，该模型包括三个指标组：基础指标组、时间指标组和环境指标组。烽火将提供基础漏洞评分(fēn)，在某些情况下，将提供时间漏洞评分(fēn)和典型场景下的环境漏洞评分(fēn)。烽火鼓励最终用(yòng)户根据其网络实际情况评估环境漏洞评分(fēn)，作為(wèi)此漏洞在用(yòng)户特定环境最终漏洞评分(fēn)，支撑用(yòng)户漏洞消减方案部署决策。

烽火通信使用(yòng)安全严重等级（SSR：Security Severity Rating）作為(wèi)更简单的分(fēn)级方法，SSR基于漏洞严重等级评估综合得分(fēn)进行等级分(fēn)类，将漏洞分(fēn)為(wèi)严重（Critical）、高（High）、中（Medium）、低（Low）以及信息类（Informational）共五个级别。

漏洞信息发布

通常，我们会通过烽火通信安全通告向客户传达补救措施，包括如下两种形式：

安全公告（Security Notice，简称SN）：提供安全主题相关的信息，当外界发现并关注烽火产品漏洞信息，但烽火通信尚未确认任何技术信息；

安全预警（Security Advisory，简称SA）：提供经确认的相关技术信息，包括但不限于规避方案、解决方案。

免责&保留权限

本文(wén)如有(yǒu)多(duō)个语种的版本，不同语种如有(yǒu)差异，以“中文(wén)”版本為(wèi)准。本文(wén)的策略描述不构成保证或承诺，也不能(néng)构成任何合同的一部分(fēn)，烽火通信可(kě)酌情对上述策略进行调整。

烽火通信保留随时更改或更新(xīn)本文(wén)档的权利。

更新(xīn)时间2023年12月12日