流程
简而言之,目前尚未完全符合,但我们正投入大量资源,以实现对 IEC 62443-4-1 标准的合规。当前工作重点是扩展和完善现有流程(该流程已用于保障产品质量),使其同时满足 IEC 62443-4-1 标准的特定要求。
我们目前重点满足以下法律法规及标准的要求:
- 网络弹性法案(CRA)
- IEC 62443
- IEC 29147
- IEC 30111
- IEC 27036
- 加利福尼亚州密码法(2020 年加利福尼亚州参议院法案 SB-327)
穆尔电子已建立主动覆盖所有业务环节的流程,项目执行时将采用这些标准流程,并根据需求进行定制调整。此成熟度对应 CMMI 的 3 级(“已定义级”)。
是。2024 年及之后开发的所有新产品,其开发流程均包含 “构建相关威胁模型” 环节,以此纳入网络安全考量。
是。2024 年及之后开发的所有新产品,其开发流程均包含 “制定深度防御理念” 环节,以应对威胁模型中识别出的所有风险。
是。对于 2024 年及之后开发的产品,安全测试与验证是我们全面测试验证流程中的标准环节。
是。我们已制定编码标准,并会持续更新以贴合最新要求(包括基于网络安全考量的相关要求)。
是。新产品开发的概念设计阶段已包含 “明确安全要求” 环节,并形成相应文档。
我们正落实 IEC 62443-4-1 标准(SM-9 和 SM-10 条款)及 IEC 27036 标准的要求。当前工作重点是制定管理流程,并获取支持该工作的必要工具。
产品
我们推荐以下几个步骤,但无法用简短回答覆盖所有场景与产品。需重点参考以下资料:
- 产品文档中的 “网络安全” 章节(该章节已成为新产品文档的标准组成部分)
- 通用网络安全指南,详见以下文档:
该信息可在对应产品文档的 “网络安全” 中查询。对于 2024 年及之后开发的新产品,该章节已成为文档的标准组成部分。
该信息可在对应产品文档的 “网络安全” 中查询。对于 2024 年及之后开发的新产品,该章节已成为文档的标准组成部分。
PSIRT
联系穆尔电子 PSIRT 最直接的方式是发送邮件至: psirt@murrelektronik.de
漏洞上报来源包括:外部渠道,以及由内部相关方(研发、测试等部门)开展的持续内部监控、或由代表穆尔电子的外部测试服务机构提交的漏洞。
确认接收漏洞报告,并开展初步评估;PSIRT 将作为内外部协调方,维持与所有相关方的沟通。
漏洞经验证与分析后,PSIRT 将协调所有相关方制定补救方案。
如需详细流程说明,可查阅 《漏洞处理流程》文档。
您可在 CERT@VDE 平台订阅更新(我们所有公告均在此发布), 订阅此处.
发布的公告通常包含以下全部或大部分内容:
- 公告编号(Advisory ID)
- 首次发布日期与时间,及公告更新后的修订历史
- 标题:包含足够信息(如受影响产品),方便读者快速判断公告相关性
- 概述:漏洞的简要说明
- 受影响产品:包括产品名称、受影响的硬件及固件版本;若适用,还将提供安全检测漏洞是否存在的方法
- 详细描述:包含足够信息帮助用户评估风险,但不会增加漏洞被利用的可能性;描述中可能包含漏洞类别及通用漏洞评分系统(CVSS)评分
- 影响范围:说明漏洞被利用后可能产生的后果,及可能引发的攻击场景
- 严重程度:基于通用漏洞评分系统(CVSS)对漏洞的等级划分
- 补救措施:用户可采取的降低 / 防止漏洞被利用的临时措施(规避方案),及彻底消除漏洞的步骤(如安装软件补丁或更新)
- 相关参考:如关联公告、通用漏洞披露(CVE)等相关信息链接
- 漏洞报告致谢:若适用,将致谢漏洞报告方
- 穆尔电子 PSIRT 联系方式
- 使用条款:版权及再分发相关条款
穆尔电子发布的安全公告可通过以下渠道查询:
- 官网:PSIRT 专题页面列出了最新且有效的安全公告,并提供所有已发布公告的存档链接。
- CERT@VDE 平台: 我们已将公告上传至 CERT@VDE 数据库。
是。我们提供 CSAF 格式的安全公告。下载时,您可选择 “人类可读的 PDF 文件” 或 “机器可读的 CSAF 文件”。
您可在我们的在 线商城中,进入对应产品的 “下载” 专区,查询该产品的最新固件或软件版本。
已发布的安全公告中,也包含所有安全更新或补丁的安装链接及操作说明。
