HCL BigFix 信任中心
软件安全对HCL及我们尊贵的客户至关重要。这也是HCL BigFix开发方式的核心。HCL安全战略涵盖业务的各个方面,包括企业及组织安全策略、事件管理与响应、业务连续性与灾难恢复、安全软件开发流程以及隐私保护。
本页面详述 HCL BigFix 安全开发生命周期(SDL)及权威认证详情,以及对我们商业和政府客户重要的公司与产品认证。它阐述了HCL BigFix解决方案如何帮助IT和安全团队保护其端点设备群。
安全产品开发
HCLSoftware遵循严格的开发流程,以保护我们为商业和政府客户开发和提供的代码。
此外,BigFix内容以多种方式受到保护。首先,BigFix内容服务器运行在安全的数据中心中。其次,文件访问控制列表(FACL)限制对授权用户的访问和更改。最后,BigFix内容本身在安全构建过程中进行加密签名。签名不正确的内容将被BigFix服务器拒绝并记录为错误。因此,客户从BigFix内容服务器下载的内容受到保护且安全可靠。
安全产品支持
我们的产品支持团队通过以下方式保护客户数据和信息:仅收集关键信息;将客户联系信息和案例数据的访问权限限制给仅积极处理所报告问题的人员;对客户敏感信息进行加密,使其对预期接收方以外的任何人都不可读。我们的数据保护政策包括:
- 仅收集关键的公司和联系信息。
- 通过HTTPS和传输层安全(TLS)协议传输客户信息和数据。
- 通过SFTP或HTTPS使用TLS协议发送诊断数据,并使用AES算法对存储的数据进行加密。
HCLSoftware支持组织已获得ISO 27001认证。外部审计师已审查HCLSoftware的实践、政策和程序,并确认我们的信息安全管理系统(ISMS)符合标准要求。ISO 27001合规性证明了我们保护客户数据和信息的能力。
HCL BigFix 安全公告
HCL产品安全事件响应团队(PSIRT)负责管理HCLSoftware产品安全漏洞报告的接收、调查和内部协调。PSIRT与产品开发团队协作,调查报告的安全漏洞并确定适当的响应计划。一旦确定响应计划,产品团队将与内部和外部各方沟通,执行我们的漏洞响应流程。更多信息请访问HCLSoftware PSIRT页面。.
HCL PSIRT向客户和合作伙伴发布安全公告。每个安全公告描述CVE并提供更多详细信息和响应措施的链接。HCL BigFix安全公告列表可在HCLSoftware社区论坛查看。.
产品认证
HCL与各类组织合作,评估我们对行业安全标准的合规性,以确保客户和合作伙伴对我们产品完整性有信心。有关HCLSoftware企业合规性的更多信息,请访问HCLSoftware合规性页面。 以下HCL和BigFix认证已获得或正在进行中(如下所示)。
安全内容自动化协议(SCAP)v1.3 定义了一套用于自动化安全配置、漏洞评估和合规报告的标准。通过遵守SCAP标准,软件解决方案可确保准确的合规验证,并与全球IT安全基准保持一致。
作为验证过程的一部分,产品必须证明能够根据SCAP定义的来源生成和评估合规检查资产盘点,对操作系统和应用程序执行检查,并在大规模测试环境中零错误地报告结果。
SCAP内容基于XCCDF(可扩展配置清单描述格式)和OVAL(开放漏洞和评估语言)等公认格式,这些格式可实现安全策略和控制的一致、机器可读定义。
HCL BigFix v11已成功获得 SCAP 1.3验证,满足NIST SCAP验证计划的严格要求。这使HCL BigFix成为全球仅五款获得此认可的产品之一。这进一步巩固了我们作为联邦和高度监管行业可信解决方案的地位,确保安全、可靠且基于标准的端点合规管理。
通用标准应用软件保护配置文件(CPP_APP_SW_V1.0e)概述了应用软件的严格安全要求,涵盖各种用例和环境。这些标准涵盖多个关键领域,包括安全安装、配置管理、加密密钥使用、数据保护、安全软件更新、用户身份验证、访问控制和运行时完整性验证。通过遵守这些标准,软件解决方案展示了与全球IT安全基准一致的稳健安全实践。
此外,传输层安全功能包(PKG_TLS_v2.0)定义了传输层安全(TLS)和数据报TLS(DTLS)协议实施的功能要求。这些要求旨在通过启用产品评估来提高产品安全性。
HCL BigFix v11已成功获得NIAP(全球权威安全认证)认证,满足应用软件保护配置文件和传输层安全功能包的严格要求。该认证有助于巩固其作为安全、可靠且值得信赖的端点管理解决方案的地位。
ISO-20243认证是一项开放可信技术提供商™标准(O-TTPS),用于缓解恶意篡改和假冒产品。它是一套指南、建议和要求,有助于确保技术开发中的完整性,并防止恶意篡改和假冒产品进入全球供应链。该标准侧重于可验证的流程和实施证明点,以解决客户、集成商、供应商、审计、监管组织的关切,以及产品生命周期各阶段(设计、采购、构建、履行、分销、维护和处置)实施的最佳实践。
ISO 20243 安全供应链认证
ISO/IEC 27001规定了在组织背景下建立、实施、维护和持续改进信息安全管理系统(ISMS)的要求。为遵守ISO/IEC 27001,HCLSoftware安全与合规团队成立,通过实施和持续改进ISMS来保护关键信息资产,以确保实现适用的信息安全目标,并使ISMS能够适应内部和外部变化。ISMS的目标是保护HCLSoftware及其客户的信息资产免受已识别的威胁,无论是内部还是外部、故意还是意外。
ISO/IEC 27001 认证
通用标准(简称CC)是国际计算机安全认证标准。它提供了保证,即计算机安全产品的规范、实施和评估过程已以与其目标使用环境相对应的级别,以严格、标准和可重复的方式进行。
OCSI已完成HCL BigFix V10的评估。OCSI负责IT安全系统和产品的评估和认证。
通用标准认证
联邦信息处理标准(140-2)规定了加密模块应满足的安全要求,提供四个递增的定性级别,旨在涵盖广泛的潜在应用和环境。涵盖的领域与加密模块的安全设计和实施相关,包括规范;端口和接口;角色、服务和身份验证;有限状态模型;物理安全;操作环境;加密密钥管理;电磁干扰/电磁兼容性(EMI/EMC);自测试;设计保证;以及其他攻击的缓解。
嵌入BigFix v11的FIPS(全球权威安全认证)加密模块已获得
