网络安全声明
发布时间:2025-12-12
浏览次数:317
版本:V25.12 生效日期:立即生效 语言:CN
本声明旨在明确GOTECH在网络安全与数据保护方面的核心承诺、管理框架及责任义务,确保向客户、合作伙伴及利益相关方透明披露我司对网络设备全生命周期的安全保障措施。我们致力于构建可信赖的数字基础设施,防范、检测并响应网络安全威胁,保障用户数据安全与业务连续性。
本声明适用于我司设计、生产、销售及提供技术支持的以下终端设备(Customer Premises Equipment, CPE):
- 光网络单元(ONU)与光网络终端(ONT)
- 用于固定无线接入(FWA - Fixed Wireless Access)的路由器或调制解调器
- 用于卫星固定宽带接入的路由器或调制解调器
本声明覆盖设备全生命周期:从产品设计、开发测试、生产制造、市场销售到退役支持阶段。适用于所有购买、使用我司产品的个人消费者、企业客户及渠道合作伙伴。
本声明构成我司与客户之间服务协议不可分割的组成部分,受中华人民共和国《网络安全法》《数据安全法》《个人信息保护法》及相关行业监管规定约束。
我们设立独立的网络安全与产品安全响应中心(PSRC),配备专职安全架构师、漏洞分析师与应急响应工程师,为客户提供7×24小时安全技术支撑。每位企业级客户均享有专属技术顾问,提供一对一售后安全服务。
我们承诺建立分级响应机制,确保所有已验证的安全漏洞得到及时处置:
|
漏洞等级 |
首次响应时间 |
提供修复方案时间 |
补丁发布时间 |
|
严重(Critical) |
1个工作日内 |
3个工作日内 |
7个工作日内 |
|
高危(High) |
1个工作日内 |
5个工作日内 |
14个工作日内 |
|
中危(Medium) |
3个工作日内 |
10个工作日内 |
下一个定期更新周期 |
|
低危(Low) |
3个工作日内 |
15个工作日内 |
视情况纳入后续版本 |
注:上述时限自收到完整漏洞报告或内部发现问题确认之日起计算。所有安全更新在设备保修期内免费提供,保修期外对于严重与高危漏洞仍提供免费修复。
我们遵循“安全左移”理念,在产品设计阶段即融入威胁建模与风险评估,坚持最小权限原则、纵深防御原则与默认安全配置原则。所有设备出厂前须通过静态代码分析、动态渗透测试及供应链安全审查。
我们每年至少进行一次全面的安全管理体系评审,每季度发布安全态势报告,持续跟踪CVE/CNVD漏洞库,主动推送威胁情报与防护建议至客户门户。
我们设立专属漏洞通报通道,严格与常规技术支持工单分离:
a) 专用联系方式:
- 官方电话:+86-756-6801600
- 安全邮箱:Telecom.info@gotechcn.cn
- 在线表单: https://www.gotechcn.com/cn/contact/message.html
b) 通报信息要求:
为高效处理,请提供以下内容:
- 漏洞唯一标识(如您自定的编号)
- 受影响产品型号、固件版本及硬件版本
- 漏洞类型(如:缓冲区溢出、命令注入、权限提升等)与CVE分类
- 技术细节:攻击向量、复现步骤、概念验证代码(PoC)或崩溃日志
- 潜在影响评估(机密性/完整性/可用性影响)
- 发现日期与发现者信息(姓名、机构、联系方式,可匿名)
- 是否已公开或报告给其他方
c) 通报者期望管理:
- 48小时内:自动回复确认收到,分配漏洞跟踪编号(格式:`MKFB-AAAA-XXXX,AAAA为年份,xxxx为工单序号,如:MKFB-2025-0001`)
- 5个工作日内:完成初步技术验证,确认漏洞有效性及影响范围
- 定期更新:每7个工作日提供修复进展状态更新,直至补丁发布
- 发布通知:补丁发布后24小时内通知通报者,预留30天观察期
- 致谢机制:在官方网站发布安全公告,对符合披露要求的发现者予以公开致谢(可匿名)
d) 范围与限制指引:
属于本流程范围:
- 我司设备固件中的安全缺陷
- 云端管理平台的身份认证与授权漏洞
- 移动APP与设备通信过程中的加密弱点
不属于本流程范围:
- 已停止支持超过5年的产品(参见产品生命周期终止公告)
- 社会工程学攻击或物理访问导致的威胁
- 客户网络配置不当引发的安全问题
- 第三方组件已知漏洞(已公开CVE且未修复除外)
本声明所有条款的最终解释权归GOTECH公司所有。如本声明的中文版本与其他语言版本存在任何不一致之处,以中文版本为准
官方公众号
(扫一扫关注我们)
