漏洞管理的原則
北京永洪商智科技有限公司一直致力于保護(hù)廣大客戶的信息安全���,并將網(wǎng)絡(luò)安全作為公司的重要發(fā)展戰(zhàn)略之一���,從政策�、組織��、流程��、管理�、技術(shù)和規(guī)范等方面建立漏洞管理體系�����,以開(kāi)放的方式與客戶一起��,共同應(yīng)對(duì)網(wǎng)絡(luò)安全漏洞的挑戰(zhàn)。
永洪遵循行業(yè)ISO/IEC 29147、ISO/IEC 30111和國(guó)家GB/T 30276-2020等標(biāo)準(zhǔn),建立完整的漏洞響應(yīng)流程���,確保安全漏洞有效、迅速地處理��,降低安全風(fēng)險(xiǎn)����。
安全漏洞響應(yīng)流程包括六個(gè)階段:
1. 漏洞收集
永洪PSIRT主動(dòng)對(duì)知名公開(kāi)漏洞庫(kù)、開(kāi)源社區(qū)�、安全網(wǎng)站等信息源進(jìn)行監(jiān)測(cè)��,及時(shí)感知永洪產(chǎn)品相關(guān)的威脅情報(bào),甄別有效的漏洞信息��。同時(shí)���,永洪鼓勵(lì)安全從業(yè)人員���、業(yè)界組織和各相關(guān)方提交永洪產(chǎn)品的安全漏洞至PSIRT@yonghongtech.com�����。
2. 漏洞分析
永洪PSIRT在收到產(chǎn)品的安全漏洞后,對(duì)其影響進(jìn)行分析�,并遵循CVSS標(biāo)準(zhǔn)對(duì)其進(jìn)行分級(jí)和打分��,評(píng)估風(fēng)險(xiǎn)。
3. 漏洞預(yù)警
永洪與客戶及相關(guān)方保持溝通��,及時(shí)發(fā)布漏洞預(yù)警�����,提供緩解措施����,協(xié)助客戶盡早進(jìn)行應(yīng)急處置����,完成漏洞協(xié)同處理。
4. 漏洞修復(fù)
對(duì)于確認(rèn)存在的產(chǎn)品安全漏洞�����,永洪PSIRT聯(lián)合產(chǎn)品安全團(tuán)隊(duì)一起制定、開(kāi)發(fā)并提供漏洞修復(fù)方案(包括臨時(shí)緩解措施和長(zhǎng)期解決方案),有效應(yīng)對(duì)和解決安全風(fēng)險(xiǎn)�����,保障客戶數(shù)據(jù)和系統(tǒng)的安全���。
5. 漏洞測(cè)試
安全測(cè)試工程師對(duì)修復(fù)方案進(jìn)行安全分析��,并對(duì)所有涉及漏洞的修復(fù)版本進(jìn)行補(bǔ)丁測(cè)試�����。
6. 補(bǔ)丁發(fā)布
將漏洞修復(fù)的長(zhǎng)期解決方案合入產(chǎn)品版本�����,測(cè)試通過(guò)后進(jìn)行補(bǔ)丁發(fā)布���。
對(duì)于歷史發(fā)生的安全漏洞���,永洪都將對(duì)其進(jìn)行管理����、技術(shù)根因分析�����,總結(jié)經(jīng)驗(yàn)教訓(xùn)��,持續(xù)優(yōu)化漏洞響應(yīng)流程、提升產(chǎn)品自身安全性����,向客戶交付安全可信的產(chǎn)品和服務(wù)���。
漏洞響應(yīng)SLA
|
CVSS Base Score
|
響應(yīng)時(shí)間
|
臨時(shí)方案提供時(shí)間(可選)
|
提供補(bǔ)丁/新版本時(shí)間
|
|
7.0 – 10.0
|
≤24小時(shí)
|
≤7工作日
|
≤30日
|
|
4.0 - 6.9
|
≤48小時(shí)
|
≤14工作日
|
≤60日
|
|
0.1 – 3.9
|
≤48小時(shí)
|
≤30工作日
|
≤180日
|
漏洞披露策略
永洪通過(guò)以下兩種形式對(duì)外進(jìn)行漏洞信息及修復(fù)方案的披露:
1. 安全通告
安全通告包含漏洞嚴(yán)重等級(jí)���、受影響產(chǎn)品和版本范圍��、業(yè)務(wù)影響以及修復(fù)方案等信息。通常用于對(duì)永洪產(chǎn)品的嚴(yán)重���、高危安全漏洞的信息及修復(fù)方案進(jìn)行披露�,以便客戶獲悉漏洞信息,評(píng)估風(fēng)險(xiǎn);永洪保留發(fā)布和持續(xù)更新漏洞通告的權(quán)利����。
安全通告渠道如下:
a). https://online.yonghongtech.com的通知公告欄
b). http://m.gdxinbaolong.com/zc/fuwugonggao/anquangonggao/
2. 版本發(fā)布說(shuō)明
版本發(fā)布說(shuō)明包含已修復(fù)的漏洞信息����。用于對(duì)研發(fā)過(guò)程中已修復(fù)的安全漏洞進(jìn)行披露���,以便客戶了解產(chǎn)品的安全狀況��。
定義
本流程中使用了如下定義:
|
名稱
|
定義
|
|
ISO/IEC 29147
|
國(guó)際標(biāo)準(zhǔn)化組織制定的漏洞披露準(zhǔn)則
|
|
ISO/IEC 30111
|
國(guó)際標(biāo)準(zhǔn)化組織制定的漏洞管理流程
|
|
GB/T 30276-2020
|
信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范
|
|
PSIRT
|
Product Security Incident Response Team����,產(chǎn)品安全事件應(yīng)急團(tuán)隊(duì)
|
|
CVSS
|
Common Vulnerability Scoring System�����,通用漏洞評(píng)分系統(tǒng)
|
|
SLA
|
Service Level Agreement服務(wù)等級(jí)協(xié)議
|
其他說(shuō)明
1. 永洪PSIRT在處理漏洞時(shí)會(huì)嚴(yán)格控制漏洞信息的范圍����,僅在處理漏洞的相關(guān)人員之間傳遞��。
2. 永洪PSIRT對(duì)以上流程具有最終解釋權(quán)�。
