本站點使用cookies,繼續瀏覽表示您同意我們使用cookies。Cookies和隱私政策
華為公司一直將構築並全面實施“端到端的全球網絡安全保障體系”作為公司的重要發展戰略之一,並從政策、組織、流程、管理、技術和規範等方面建立可持續、可信賴的漏洞管理體系,以開放的方式,與外部利益相關方一起,共同應對漏洞的挑戰。
為明確華為公司對漏洞的基本立場和主張,華為公司對漏洞管理提出五項最基本的原則︰
減少或消除華為產品、服務漏洞給客戶帶來的傷害,降低漏洞給客戶/用戶帶來的潛在安全風險,既是我們漏洞管理的願景,也是我們在漏洞處置&漏洞披露時所遵循的價值指引。
盡管業界共識漏洞是不可避免的,但我們仍將努力︰1)采取措施減少產品和服務中的漏洞;2)一旦發現產品和服務中的漏洞,及時向客戶/用戶提供風險消減方案。
漏洞問題需要供應鏈上下游通力合作來解決,我們將主動識別自身在漏洞管理的責任和厘清管轄邊界要求,包括業務運營適用的法規要求、合同要求、適用的公開標準要求等,構建管理系統,主動管理。
網絡安全是持續演進的動態過程,伴隨威脅的演進,防守方也需要持續創新。我們將持續優化漏洞管理相關的工作流程和規範,不斷借鑒行業標準和業界優秀實踐,提升自身對漏洞管理的成熟度。
我們將秉持開放合作的態度,加強供應鏈和外部安全生態的連接,包括供應鏈上下游、安全研究者、安全公司、安全監管機構等;並在漏洞相關的工作中加強與利益相關方的協同,構築可信賴的合作關系。
依據以上原則,遵循行業標準ISO/IEC 30111、ISO/IEC 29147、ISO/SAE 21434,華為公司建立了完善的漏洞管理流程。華為公司始終秉承負責任的態度,致力于以最大程度保護客戶,降低漏洞被利用的風險。
華為公司致力于提升華為產品的安全性,全力支持客戶網絡和業務的安全運營。華為公司重視產品開發和維護的漏洞管理,並遵循ISO/IEC 30111、ISO/IEC 29147等標準建立完整的漏洞處理流程,以提升產品安全性,確保在發現漏洞時及時響應。
第一時間感知到漏洞,是及時響應的重要前提。一方面,華為公司鼓勵安全研究人員、行業組織、客戶和供應商等主動向華為PSIRT上報疑似漏洞,並約束上游供應商,及時將交付件中的漏洞報告給華為公司。另一方面,華為公司主動對知名公開漏洞庫、開源社區、安全網站等信息源進行監測,及時感知華為產品相關的漏洞信息。華為公司會對感知到的疑似漏洞進行管理,核查所有未EOS(End of Service & Support)產品版本的受影響情況。基于業界最佳實踐,華為強烈推薦客戶定期審視其產品是否仍可獲取支持,以便享有最新的軟件更新。
對于任何上報給華為PSIRT的疑似漏洞,PSIRT將與產品團隊一起分析/驗證漏洞,結合漏洞對產品實際影響進行漏洞嚴重等級評估,以確定修補優先級並開發漏洞修補方案(包括緩解措施、補丁/版本等客戶可執行的風險消減方案)。華為公司基于減少傷害和降低風險的原則,向利益相關者發布漏洞信息,支撐客戶評估漏洞對其網絡的實際風險。
如果在產品開發、交付、部署過程中,華為公司發現供應商的產品或服務中的漏洞,將主動向供應商傳遞修補要求。對于開源軟件漏洞,華為公司將遵從開源社區的漏洞管理策略,將疑似漏洞提交開源社區,推動其及時發布修補方案,並會在開源社區中積極貢獻漏洞修補方案。
華為PSIRT將與漏洞上報者協調處理,作為協調者或通過第三方協調中心,將漏洞報給其他廠商、標準組織等,推動漏洞解決。如漏洞涉及標準協議等,建議上報者提交給華為PSIRT的同時,也同步知會行業組織。例如︰與3GPP通訊協議相關的漏洞,可同步提交給GSMA協調漏洞披露計劃(CVD)。
基于持續優化的原則,華為公司將在提升產品安全性、漏洞處理流程等方面持續改進。
在整個漏洞處理的過程中,華為PSIRT會嚴格控制漏洞信息的範圍,僅在處理漏洞的相關人員之間傳遞;同時也請求上報者在我們的客戶獲得完整的解決方案前,對此漏洞信息進行保密。
華為公司將基于法律合規要求對所獲取的數據采取必要、合理的保護措施。除非受影響客戶明確提出要求或法律規定,華為不會主動向其他方共享或披露上述數據。
華為公司采用業界通用標準對產品中的疑似漏洞進行嚴重等級評估。以CVSS(Common Vulnerability Scoring System,通用漏洞評分系統)為例,該模型包括三個指標組︰基礎指標組、時間指標組和環境指標組。華為公司將提供基礎漏洞評分,在某些情況下,將提供時間漏洞評分和典型場景下的環境漏洞評分。華為公司鼓勵最終用戶根據其網絡實際情況評估環境漏洞評分,作為此漏洞在用戶特定環境最終漏洞評分,支撐用戶漏洞消減方案部署決策。
對于華為雲業務,華為公司會結合漏洞在華為雲中被利用的風險評估結果決定處理優先等級;對于華為智能汽車業務,產品漏洞會參考ISO/SAE 21434標準,結合漏洞對產品的實際影響進行漏洞嚴重等級評估,以確定漏洞修補優先級。
因為不同產業遵循不同標準,華為公司使用安全嚴重等級(SSR︰Security Severity Rating)作為更簡單的分級方法,SSR基于漏洞嚴重等級評估綜合得分進行等級分類,將漏洞分為嚴重(Critical)、高(High)、中(Medium)、低(Low)以及信息類(Informational)共五個級別。
由于華為產品集成第三方軟件/組件的方式和場景的多樣性,華為公司會根據產品的具體場景對第三方軟件/組件的漏洞評分進行相應的調整,以反映漏洞的真實影響。如︰某第三方軟件/組件受影響的模塊沒有被調用,則認為該漏洞“無法被利用,不受影響”。如現有評估體系無法覆蓋評估的維度時,華為公司負責對評估結果進行解釋。
如果同時滿足以下三條標準,華為公司將此漏洞標識“High Profile”︰
對于“High profile”的第三方漏洞,華為公司將核查所有未EOS的產品版本,並在確認為“High profile”漏洞後,24小時內發布SN(安全通知)以向相關客戶通知華為公司對此漏洞處理的情況,當有漏洞修補方案後,華為公司會通過SA(安全通告)為相關受影響客戶提供風險決策和消減支持。對于未歸類到“High profile”的第三方漏洞,華為公司在版本/補丁說明書中說明。
華為公司對外發布漏洞信息及修補方案采用如下三種形式︰
華為公司發布安全通告(SA)和安全公告(SN),支撐相關客戶獲取漏洞修補信息。版本/補丁說明書(RN)作為產品版本/補丁發布的配套交付件的一部分,客戶可通過產品版本/補丁的獲取渠道獲取。
滿足下面一個或多個條件時,華為公司將發布SN或SA,為客戶提供現網風險決策支持。
為了更好的支持客戶部署補丁計劃的制定和風險評估工作,華為公司會例行(周三)發布SA。同時,華為公司會在發布計劃之外發布SA,以下情況(不完全枚舉)可能會導致計劃之外的SA發布︰
備注︰對于華為雲場景,華為公司會參考《華為雲安全白皮書》信息及修補方案。對于終端場景,華為公司通常會在例行公告中發布信息及修補方案。
漏洞管理基于產品/軟件版本的生命周期里程碑進行管理,華為PSIRT將對停止服務與支持(EOS)前所有產品版本的漏洞進行管理。漏洞修補將在EOFS(停止全面支持)前提供,EOFS後酌情修補SSR中嚴重(Critical)或高(High)的漏洞。產品團隊可能存在定義本策略外的里程碑點,針對此類漏洞修補情況,應查閱具體產品文檔,以了解提供的修復支持。
客戶可以依據合同升級到新的產品/軟件版本或安裝最新補丁消減漏洞風險。 客戶只能獲取和使用已購買有效許可(現行的已激活許可)的軟件版本,修補漏洞的產品/版本不賦予客戶獲得新軟件許可、其他軟件功能/特性或主要版本升級的權利。 客戶可以聯系華為服務工程師或者TAC獲取版本/補丁︰
如您是華為運營商客戶,可以訪問這里。
如您是華為企業客戶,可以訪問這里。
如您是華為終端客戶,您可以使用在線升級或訪問這里。
如您是華為雲客戶,您可以訪問這里。
如您是上海海思客戶,可以訪問這里。
華為企業客戶請參見企業業務產品生命周期終止政策(https://support.huawei.com/enterprise/zh/warranty-policy),了解產品生命周期內漏洞修補的詳細內容。具體產品/軟件版本的漏洞修補能力請參見產品生命周期公告(https://support.huawei.com/enterprise/zh/bulletins-product)。
本文如有多個語種的版本,不同語種如有差異,以“中文”版本為準。本文的策略描述不構成保證或承諾,也不能構成任何合同的一部分,華為可酌情對上述策略進行調整。
華為公司保留隨時更改或更新本文檔的權利,我們會在必要時更新本策略說明以增加透明度或更加積極地響應,例如︰
在發布本策略聲明的更改時,我們將修訂本策略底部的“更新日期”。
本策略中使用了如下定義︰
更新日期 2022.1.18
