海辰储能产品网络安全漏洞管理程序
海辰储能根据IEC 62443-4-1标准,制定了网络安全漏洞管理程序,程序执行流程如下所示:
n 网络安全信息接收:PSIRT在接收到外部传递、提交的网络安全信息后,将在两个工作日内联系提交人,并进行问题确认。
n 事态评估、影响分析:PSIRT将对网络安全信息所涉及的内容进行分类,并进行事态的评估和影响分析,以初步确认其影响是否应开始进行应急响应。
n 漏洞分析与研究:PSIRT 将与产品开发团队协作,评估漏洞产生的根因以及其发生可能性,并评估其危害性,定义漏洞等级,并探索减轻风险、修复漏洞的解决方案。在此阶段,PSIRT会与报告人保持积极沟通。
n 漏洞处置:PSIRT 将与产品开发团队协作,开发软件/固件修复补丁,或确定风险缓解措施。同时,PSIRT 将持续关注相关漏洞的信息以正确评估漏洞的严重性。如果漏洞风险等级较高,且补丁开发所需的时间较长,会在最终修复方案完成前,先向客户提供应急缓解措施。
n 漏洞披露:当漏洞得以修复后,PSIRT 将在海辰储能网站的“网络安全公告”页面发布网络安全漏洞的处置结果。其内容包括:漏洞说明、可能受影响的产品和版本、缓解措施、修复计划等。
海辰储能PSIRT团队以及研发团队,将根据通用漏洞评分系统(CVSS),以及海辰储能网络安全漏洞管理程序中定义的可能性、影响等要素,进行漏洞分析、评估,并得出漏洞风险值,根据漏洞风险值定义来确定处置时间。在漏洞处置期间,必要时PSIRT将与漏洞报告人进一步沟通,以进行漏洞分析、方案探讨、意见参考等。
关于产品网络安全公告的更新与发布,请参阅“网络安全公告”页面。由于储能产品的特殊性以及安全性要求,暂不支持用户自行进行软件/固件更新操作,关于漏洞补丁及更新的获取与安装指导,请联系海辰储能售后服务工程师。
产品网络安全漏洞报告通道
如果您发现海辰产品中存在潜在漏洞,请立即通过加密邮件联系我们,及时报告是降低风险的关键。
请提供以下信息以便快速处理:
1.产品型号与软件/固件版本
2.漏洞复现环境与步骤(附日志或截图)
3.概念验证代码(如适用)
4.漏洞利用场景描述
5.网络抓包数据(如Wireshark记录)
6.其他相关技术细节
海辰储能网络安全联系邮箱:IACS-CyberSecurity@Hithium.com
免责声明
本漏洞管理原则可能因实际情况调整,海辰储能不承诺对所有问题均提供响应。用户需自行承担使用本文档或相关链接内容的风险。我们保留随时修改本原则的权利,更新后的版本将发布于官网(http://www.hithium.com)
