本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策

漏洞处理流程

华为对漏洞管理的原则

华为公司一直将构筑并全面实施“端到端的全球网络安全保障体系”作为公司的重要发展战略之一,并从政策、组织、流程、管理、技术和规范等方面建立可持续、可信赖的漏洞管理体系,以开放的方式,与外部利益相关方一起,共同应对漏洞的挑战。

为明确华为公司对漏洞的基本立场和主张,华为公司对漏洞管理提出五项最基本的原则:

1、减少伤害和降低风险

减少或消除华为产品、服务漏洞给客户带来的伤害,降低漏洞给客户/用户带来的潜在安全风险,既是我们漏洞管理的愿景,也是我们在漏洞处置&漏洞披露时所遵循的价值指引。

2、减少和消减漏洞

尽管业界共识漏洞是不可避免的,但我们仍将努力:1)采取措施减少产品和服务中的漏洞;2)一旦发现产品和服务中的漏洞,及时向客户/用户提供风险消减方案。

3、主动管理

漏洞问题需要供应链上下游通力合作来解决,我们将主动识别自身在漏洞管理的责任和厘清管辖边界要求,包括业务运营适用的法规要求、合同要求、适用的公开标准要求等,构建管理系统,主动管理。

4、持续优化

网络安全是持续演进的动态过程,伴随威胁的演进,防守方也需要持续创新。我们将持续优化漏洞管理相关的工作流程和规范,不断借鉴行业标准和业界优秀实践,提升自身对漏洞管理的成熟度。

5、开放协同

我们将秉持开放合作的态度,加强供应链和外部安全生态的连接,包括供应链上下游、安全研究者、安全公司、安全监管机构等;并在漏洞相关的工作中加强与利益相关方的协同,构筑可信赖的合作关系。

依据以上原则,遵循行业标准ISO/IEC 30111、ISO/IEC 29147、ISO/SAE 21434,华为公司建立了完善的漏洞管理流程。华为公司始终秉承负责任的态度,致力于以最大程度保护客户,降低漏洞被利用的风险。

漏洞处理流程

华为公司致力于提升华为产品的安全性,全力支持客户网络和业务的安全运营。华为公司重视产品开发和维护的漏洞管理,并遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞处理流程,以提升产品安全性,确保在发现漏洞时及时响应。

  1. 漏洞感知:接受和收集产品的疑似漏洞;
  2. 验证&评估:确认疑似漏洞的有效性和影响范围;
  3. 漏洞修补:制定并落实漏洞修补方案;
  4. 漏洞修补信息发布:面向客户发布漏洞修补信息;
  5. 闭环改进:结合客户意见和实践持续改进。

第一时间感知到漏洞,是及时响应的重要前提。一方面,华为公司鼓励安全研究人员、行业组织、客户和供应商等主动向华为PSIRT上报疑似漏洞,并约束上游供应商,及时将交付件中的漏洞报告给华为公司。另一方面,华为公司主动对知名公开漏洞库、开源社区、安全网站等信息源进行监测,及时感知华为产品相关的漏洞信息。华为公司会对感知到的疑似漏洞进行管理,核查所有未EOS(End of Service & Support)产品版本的受影响情况。基于业界最佳实践,华为强烈推荐客户定期审视其产品是否仍可获取支持,以便享有最新的软件更新。

对于任何上报给华为PSIRT的疑似漏洞,PSIRT将与产品团队一起分析/验证漏洞,结合漏洞对产品实际影响进行漏洞严重等级评估,以确定修补优先级并开发漏洞修补方案(包括缓解措施、补丁/版本等客户可执行的风险消减方案)。华为公司基于减少伤害和降低风险的原则,向利益相关者发布漏洞信息,支撑客户评估漏洞对其网络的实际风险。

如果在产品开发、交付、部署过程中,华为公司发现供应商的产品或服务中的漏洞,将主动向供应商传递修补要求。对于开源软件漏洞,华为公司将遵从开源社区的漏洞管理策略,将疑似漏洞提交开源社区,推动其及时发布修补方案,并会在开源社区中积极贡献漏洞修补方案。

华为PSIRT将与漏洞上报者协调处理,作为协调者或通过第三方协调中心,将漏洞报给其他厂商、标准组织等,推动漏洞解决。如漏洞涉及标准协议等,建议上报者提交给华为PSIRT的同时,也同步知会行业组织。例如:与3GPP通讯协议相关的漏洞,可同步提交给GSMA协调漏洞披露计划(CVD)

基于持续优化的原则,华为公司将在提升产品安全性、漏洞处理流程等方面持续改进。

在整个漏洞处理的过程中,华为PSIRT会严格控制漏洞信息的范围,仅在处理漏洞的相关人员之间传递;同时也请求上报者在我们的客户获得完整的解决方案前,对此漏洞信息进行保密。

华为公司将基于法律合规要求对所获取的数据采取必要、合理的保护措施。除非受影响客户明确提出要求或法律规定,华为不会主动向其他方共享或披露上述数据。

漏洞严重等级评估

华为公司采用业界通用标准对产品中的疑似漏洞进行严重等级评估。以CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)为例,该模型包括三个指标组:基础指标组、时间指标组和环境指标组。华为公司将提供基础漏洞评分,在某些情况下,将提供时间漏洞评分和典型场景下的环境漏洞评分。华为公司鼓励最终用户根据其网络实际情况评估环境漏洞评分,作为此漏洞在用户特定环境最终漏洞评分,支撑用户漏洞消减方案部署决策。

对于华为云业务,华为公司会结合漏洞在华为云中被利用的风险评估结果决定处理优先等级;对于华为智能汽车业务,产品漏洞会参考ISO/SAE 21434标准,结合漏洞对产品的实际影响进行漏洞严重等级评估,以确定漏洞修补优先级。

因为不同产业遵循不同标准,华为公司使用安全严重等级(SSR:Security Severity Rating)作为更简单的分级方法,SSR基于漏洞严重等级评估综合得分进行等级分类,将漏洞分为严重(Critical)、高(High)、中(Medium)、低(Low)以及信息类(Informational)共五个级别。

第三方软件漏洞

由于华为产品集成第三方软件/组件的方式和场景的多样性,华为公司会根据产品的具体场景对第三方软件/组件的漏洞评分进行相应的调整,以反映漏洞的真实影响。如:某第三方软件/组件受影响的模块没有被调用,则认为该漏洞“无法被利用,不受影响”。如现有评估体系无法覆盖评估的维度时,华为公司负责对评估结果进行解释。

如果同时满足以下三条标准,华为公司将此漏洞标识“High Profile”:

  • CVSS 分数为4.0及以上。
  • 该漏洞引起了公众的广泛关注。
  • 该漏洞很可能或已经有可用的Exploit(漏洞利用程序),可能或正在被活跃利用。

对于“High profile”的第三方漏洞,华为公司将核查所有未EOS的产品版本,并在确认为“High profile”漏洞后,24小时内发布SN(安全通知)以向相关客户通知华为公司对此漏洞处理的情况,当有漏洞修补方案后,华为公司会通过SA(安全通告)为相关受影响客户提供风险决策和消减支持。对于未归类到“High profile”的第三方漏洞,华为公司在版本/补丁说明书中说明。

发布漏洞信息公告

公告形式

华为公司对外发布漏洞信息及修补方案采用如下三种形式:

  • 安全通告:SA(Security Advisory),安全通告包含漏洞严重等级、业务影响和修补方案等信息,用以传递漏洞修补方案。安全通告(SA)用于发布华为产品直接相关的严重(Critical)和高(High)等级的漏洞信息及修补方案。安全通告(SA)提供下载通用漏洞报告框架(CVRF)内容的选项,旨在以机器可读格式(XML文件)描述漏洞信息,以支持受影响客户的工具使用。
  • 安全公告:SN(Security Notice),安全公告包含对产品公开安全话题的回应(含漏洞和非漏洞相关话题)。安全公告(SN)用于发布SSR评估为信息类(Informational)的问题相关信息,如公共论坛(如博客或讨论列表)中讨论的信息。同时,对有可能引起公众对华为产品版本中漏洞的广泛关注或华为公司已经观察到漏洞活跃利用等特殊场景下,安全公告(SN)也作为一种回应方式,以便相关客户了解华为公司对此漏洞的响应进展。
  • 版本/补丁说明书:RN(Release Note),版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分,用于说明SSR评估为中(Medium)和低(Low)等级的漏洞。为方便客户从版本/补丁视角,综合评估版本/补丁的漏洞风险,版本/补丁说明书(RN)中也包含通过安全通告(SA)发布的漏洞信息及修补方案。对于私有云场景,华为公司在云服务产品的版本文档包含。对于终端场景,华为公司在例行补丁公告中包含。

公告渠道

华为公司发布安全通告(SA)和安全公告(SN),支撑相关客户获取漏洞修补信息。版本/补丁说明书(RN)作为产品版本/补丁发布的配套交付件的一部分,客户可通过产品版本/补丁的获取渠道获取。

公告计划

满足下面一个或多个条件时,华为公司将发布SN或SA,为客户提供现网风险决策支持。

  • 安全严重等级(SSR)被定义为“严重(Critical)”或“高(High)”的漏洞,华为公司完成漏洞响应流程,可以提供漏洞修补方案支持客户进行现网风险消减。
  • 可能引起公众对华为产品版本中漏洞的广泛关注或华为公司已经观察到漏洞被活跃利用,该漏洞可能导致华为客户面临的风险增加时,华为公司会加速响应过程,会在认定上述满足条件的24小时内向客户通知并持续更新漏洞响应进展。
  • 为最大化的消减全球网络风险,在与第三方协调披露时,华为公司遵从协同的漏洞披露策略(CVD)确定公告计划。

公告节奏

为了更好的支持客户部署补丁计划的制定和风险评估工作,华为公司会例行(周三)发布SA。同时,华为公司会在发布计划之外发布SA,以下情况(不完全枚举)可能会导致计划之外的SA发布:

  • 华为公司已经观察到漏洞的活跃利用。
  • 华为公司发现公众对华为产品中漏洞广泛关注。
  • 华为公司与第三方协同披露漏洞。

备注:对于华为云场景,华为公司会参考《华为云安全白皮书》信息及修补方案。对于终端场景,华为公司通常会在例行公告中发布信息及修补方案。

软件更新的获取说明

漏洞管理基于产品/软件版本的生命周期里程碑进行管理,华为PSIRT将对停止服务与支持(EOS)前所有产品版本的漏洞进行管理。漏洞修补将在EOFS(停止全面支持)前提供,EOFS后酌情修补SSR中严重(Critical)或高(High)的漏洞。产品团队可能存在定义本策略外的里程碑点,针对此类漏洞修补情况,应查阅具体产品文档,以了解提供的修复支持。

客户可以依据合同升级到新的产品/软件版本或安装最新补丁消减漏洞风险。 客户只能获取和使用已购买有效许可(现行的已激活许可)的软件版本,修补漏洞的产品/版本不赋予客户获得新软件许可、其他软件功能/特性或主要版本升级的权利。 客户可以联系华为服务工程师或者TAC获取版本/补丁:

如您是华为运营商客户,可以访问这里

如您是华为企业客户,可以访问这里

如您是华为终端客户,您可以使用在线升级或访问这里

如您是华为云客户,您可以访问这里

如您是上海海思客户,可以访问这里

华为企业客户请参见企业业务产品生命周期终止政策(https://support.huawei.com/enterprise/zh/warranty-policy),了解产品生命周期内漏洞修补的详细内容。具体产品/软件版本的漏洞修补能力请参见产品生命周期公告(https://support.huawei.com/enterprise/zh/bulletins-product)。

免责&保留权限

本文如有多个语种的版本,不同语种如有差异,以“中文”版本为准。本文的策略描述不构成保证或承诺,也不能构成任何合同的一部分,华为可酌情对上述策略进行调整。

华为公司保留随时更改或更新本文档的权利,我们会在必要时更新本策略说明以增加透明度或更加积极地响应,例如:

  • 客户、监管机构、行业或其他利益相关方的反馈。
  • 整体策略的变更。
  • 最佳实践的引入等。

在发布本策略声明的更改时,我们将修订本策略底部的“更新日期”。

定义

本策略中使用了如下定义:

名称

定义

PGP

Pretty Good Privacy,优良保密协议

TAC

Huawei Technical Assistance Center,华为技术支持中心

ISO/IEC 29147

国际标准化组织制定的披露潜在漏洞准则

ISO/IEC 30111

国际标准化组织制定的漏洞管理流程

ISO/SAE 21434

国际标准化组织制定的道路汽车网络安全工程标准

CVSS

Common Vulnerability Scoring System,通用漏洞评分系统

GSMA CVD

GSMA Coordinated Vulnerability Disclosure,GSMA协同漏洞披露

SSR

Security Severity Rating,安全严重等级

EOFS

End of Full Support,停止全面支持。对版本新发现的缺陷停止修复,不再提供新的补丁版本,已发现的缺陷将继续进行技术分析和修复;

EOS

End of Service & Support,停止服务与支持。不再提供任何技术服务支持,包含新问题的定位和缺陷修复。




更新日期 2022.1.18