安全警告
阿尔卡特朗讯企业产品安全事件响应小组(ALE PSIRT)专门负责管理请求, 调查并报告影响我们产品和解决方案的漏洞或技术问题.
We underst和 how important secure products 和 solutions are to our customers. 我们的目标是确保阿尔卡特朗讯企业产品的开发以所有适当的安全原则为基础. We follow a comprehensive security program that combines:
- Secure software development best practices, processes 和 tools
- Rigorous product security requirements
- Periodic validation 和 quality of security testing before release
Despite these security principles 和 related actions, vulnerabilities can be discovered in the product software components which, 当利用, 一旦产品部署到客户的网络中,是否会对产品的安全级别产生影响.
Product security incident response process summary
- The ALE PSIRT receives a security alert or, a reporter (Business Partner, customer, …) sends a potential vulnerability described in a Vulnerability Summary Report (VSR)至ALE PSIRT (PSIRT@chinaqinyu.com).
- The ALE PSIRT acknowledges receipt of the VSR to the reporter.
- ALE PSIRT根据ALE产品是否存在风险来分析ALE上下文中漏洞的相关性. A Vulnerability Analysis Report (VAR) is created within the internal Vulnerabilities Management SharePoint. VAR将作为ALE PSIRT在整个过程中跟踪分析的参考. The criticality of the vulnerability is reassessed following the Common Vulnerability Scoring System Version 3.1计算器.
- ALE PSIRT通知漏洞分析小组(PSP和PSS)关于VAR.
- The Product 安全 Prime completes the VAR, indicating the vulnerability status regarding the product. 可能需要多个步骤来提供解决问题的临时步骤(通过配置), 施加限制, 或者找到一个变通方法), before a final resolution is found.
- 记者将被定期告知正在进行的漏洞调查. 最值得注意的是,ALE PSIRT将把分析结论传达给记者.
- If any impacts are confirmed, 和 when t在这里 is a remediation, the ALE PSIRT will coordinate a fix 和 impact assessment, 和定义, together with the product line team, the resolution delivery timeframe, notification plans 和 disclosure to public organisations such as mitre.org 和 CERT organisations. When t在这里 is sufficient information to communicate, the 安全警告 Committee will request the creation or update of a 安全咨询 (SA).
- The ALE PSIRT will publish the SA on ALE PSIRT web site, to inform external ALE concerned parties such as 合作伙伴 和 customers.
- ALE PSIRT邮件列表订阅者将收到关于已发布SA的通知. Anyone can subscribe to the mailing list from the ALE PSIRT web site.
- 任何有兴趣的人都可以访问ALE PSIRT网站并阅读安全公告.
How to report a suspected security vulnerability
我们强烈建议遇到ALE产品或解决方案的技术安全问题的个人或组织通过以下步骤ContactALE PSIRT报告问题:
- 完成 Vulnerability Summary Report (VSR).
- Send the completed report to the email address: PSIRT@chinaqinyu.com
- For confidentiality reason, please consider using the ALE PGP public key
在与记者保持讨论的同时,将遵循ALE PSIRT程序. 在漏洞解决过程中,与所有相关方的沟通是一项关键活动.
阿尔卡特朗讯企业客户也可以通过他们通常的支持渠道报告可疑的安全漏洞. Depending on the customer maintenance contract, 这些联络点将能够在更一般的情况下提供协助,例如:
- Technical assistance to determine if a security problem exists
- Configuring an ALE product for a specific security-related function
- Answers about an announced security problem with an ALE product
- Implementation of any workarounds to avoid a vulnerability
Confidentiality - ALE PSIRT PGP public key:
ALE PSIRT流程确保未经授权的ALE员工和外部用户都无法访问事件报告人员提供的信息. ALE also guarantees that on request, 事件报告人的姓名将不会在公开通信中披露,也不会用于进一步的外部分发. 类似的, ALE PSIRT要求事件报告者严格保密,直到完整的解决方案提供给客户,并由ALE PSIRT通过适当的协调披露在ALE网站上公布. 确保报告的保密性以及与ALE PSIRT沟通的后续步骤, 我们鼓励使用ALE PGP公钥发送加密消息,并返回事件报告方的公共PGP密钥.
- 电子邮件: PSIRT@chinaqinyu.com
- The public key can be found on http://keyserver.pgp.com
请注意,不应该ContactALE PSIRT来报告或获得在部署的网络和解决方案中“实时”发生的安全事件的支持. 此类事件只能通过通常的客户支持渠道报告.
Third-party software vulnerabilities
ALE PSIRT works with third-party coordination centres such as CERT-IST, NVD 和 us - cert 管理ALE产品和解决方案中嵌入或使用的第三方软件报告的漏洞通知. 这些报告使用唯一的通用漏洞和暴露(Common Vulnerabilities 和 Exposures, CVE)编号来引用. 每个发布的CVE都由ALE团队进行分析,以提供一个调整后的风险评分,反映对我们产品的有效影响.
严重程度评估
When the vulnerability is discovered, 内部或外部, 通过穿透测试, 证书报告, 或者从田野里, 在ALE产品的上下文中限定漏洞是很重要的.
为了帮助这一资格认证过程,ALE使用了FIRST组织开发的工具 CVSS版本3.1计算器.
通过回答一些问题,为漏洞建立一个新的分数.
The requalified score is called the ALE Vulnerability Scoring System (AVSS).
评级 | CVSS / AVSS得分 |
不影响 | 0.0 |
低 | 0.1 - 3.9 |
媒介 | 4.0 - 6.9 |
高 | 7.0 - 8.9 |
至关重要的 | 9.0 - 10.0 |
安全 advisory disclosure
如果存在以下一种或多种情况,ALE将公开披露安全公告:
- 事件响应流程已完成,并已确定存在足够的软件补丁或变通方法来解决该漏洞, 或者计划随后公开披露代码修复,以解决高到严重级别的漏洞.
- 已观察到有人积极利用该漏洞,这可能会增加我们客户的风险. 在发布可用补丁或更正之前,可能会发布早期安全公告,以告知客户潜在风险.
- 有关漏洞的公开信息可能会使我们的客户面临潜在的增加风险. 在发布可用补丁或更正之前,可能会发布早期安全公告,以告知客户潜在风险.
ALE保留在例外情况下偏离此政策的权利,以确保软件补丁的可用性和我们客户的安全.