关于我们

萤石安全响应中心(Ys7 Security Response Center,以下简称YSRC)是一个负责接受、处理和公开披露萤石产品和解决方案相关的安全漏洞的平台。萤石非常重视自身安全,也一直致力于保障用户安全,我们也希望通过此平台加强与业界的合作和交流。

联系方式

您可以通过发送邮件至security.sp7@hikvision.com来报告您所发现的漏洞,您所报告的安全漏洞,我们会第一时间跟进与反馈。为了保护用户与企业的安全,希望您在漏洞未修复之前不要公开或传播。YSRC会按照“萤石安全漏洞评价标准”回馈广大热心用户。

最新公告

<2015-07-28> 萤石安全漏洞奖励计划V1.0

萤石安全响应中心(Ys7 Security Response Center,以下简称YSRC)是一个负责接受、处理和公开披露萤石产品和解决方案相关的安全漏洞的平台。萤石非常重视自身安全,也一直致力于保障用户安全,我们也希望通过此平台加强与业界的合作和交流。

查看全文> >

萤石安全漏洞奖励计划V1.0
2015-07-28
萤石安全报告处理流程V1.0发布通知
2014-10-23

萤石安全报告处理流程V1.0发布通知

公告编号:YSRC-2014-10

公告来源:萤石安全应急响应中心

发布日期:2014-10-20

公告内容:

一、萤石非常重视自身产品和业务的安全问题,我们承诺,对每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。

二、萤石支持负责任的漏洞披露和处理过程,我们承诺,对于每位保护用户利益,帮助萤石提升安全质量的用户,我们将给予感谢和回馈。

三、萤石反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、非授权获取系统(业务)数据、窃取用户数据、恶意传播漏洞或数据等。

四、萤石认为每个安全漏洞的处理与整个安全行业的进步,都离不开各方的共同合作。萤石希望加强与业界企业、安全公司、安全研究者的合作,共同维护行业信息安全。

有关奖励以及漏洞反馈的说明详见文档:【萤石外部安全报告处理流程】

欢迎社会各界向我们反馈萤石的安全问题,您可以通过如下方式反馈:

发送邮件到漏洞接收专用邮箱:security.sp7@hikvision.com

萤石安全漏洞奖励计划V1.0

公告编号:YSRC-2015-07

公告来源:萤石安全应急响应中心

发布日期:2015-07-28

公告内容:

1,基本原则

萤石安全响应中心(Ys7 Security Response Center,以下简称YSRC)是一个负责接受、处理和公开披露萤石产品和解决方案相关的安全漏洞的平台。萤石非常重视自身安全,也一直致力于保障用户安全,我们也希望通过此平台加强与业界的合作和交流。

2,奖励标准

对于每一个漏洞,我们会根据漏洞利用的技术难度、漏洞造成的影响等进行综合考虑,分成不同的层次,并给予响应的奖励。具体漏洞评价标准参考《萤石安全报告处理流程V1.0》

高危:现金奖励2000元人民币

中危:萤石C2 mini互联网摄像机一台

低危:YSRC积分10分。(可以通过积分换取萤石商城的智能设备)

3,漏洞评分通用原则

1) 评估标准仅针对萤石产品和业务。域名包括ys7.com下的主域名和子域名,产品为萤石发布的产品或解决方案。与萤石业务完全无关的漏洞,无奖励。

2) 以上评估标准仅做技术层面的参考,最终危害将以技术面危害和实际业务的影响作为判定标准。

3) 确认为非生产环境(比如测试平台、体验平台)的漏洞危害等级将降一等级。

4) 提交网上已公开的漏洞无奖励。

5) 同一漏洞最早提交者有奖励。

6) 由同一个漏洞源产生的多个漏洞计漏洞数量为一个,例如;服务器某一配置、应用框架某一全局功能、同一文件或模板、泛域名解析等引起的多个问题。

7) 以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将无奖励,同时萤石保留采取进一步法律行动的权利。

8) 通过其他渠道已经获知的漏洞做忽略处理。

送邮件至security.sp7@hikvision.com来报告您所发现的安全漏洞。

一个工作日内,萤石安全应急响应中心(Ys7 Security Response Center,以下简称YSRC)工作人员会确认收到漏洞报告并跟进开始评估问题。三个工作日内,YSRC工作人员处理问题、给出结论。必要时会与报告者沟通确认,请报告者予以协助。

业务部门修复漏洞,修复时间根据问题的严重程度及修复难度而定,严重和高风险漏洞24小时内,中危风险三个工作日内,低危风险七个工作日内。部分漏洞受版本发布限制,修复时间根据实际情况确定。严重或重大影响漏洞会单独发布紧急安全公告。

从2014年5月到现在,有多位安全专家通过第三方在线漏洞提交平台提交了多个漏洞。我们也已按奖励计划进行了奖励(点击查看详情)。

YSRC特向以下安全专家致谢:

排名昵称漏洞平台奖励金额
1gamehackerFreebuf漏洞盒子6600
2he1_ba1Freebuf漏洞盒子5200
3radiowarFreebuf漏洞盒子3800
4masterwuguiFreebuf漏洞盒子800
5TitansFreebuf漏洞盒子300
6leesecFreebuf漏洞盒子300
7L29xM2Freebuf漏洞盒子200
8chopperFreebuf漏洞盒子100

以上安全专家长期关注萤石安全,帮助YSRC提高萤石产品安全水平,保障了萤石用户的安全在线生活。

实验室介绍

嵌入式设备网络安全联合实验室(以下简称实验室)成立于2015年4月,是浙江省公安厅、浙江省通信管理局、国家计算机网络应急技术处理协调中心浙江分中心、杭州安恒信息技术有限公司和杭州海康威视数字技术有限公司联合建设。实验室依托单位为杭州海康威视数字技术有限公司。

实验室是探索政府职能机构、技术需求企业、技术提供企业联合研究新技术的创新模式,实验室联建各方秉承“立足当前,着眼长远,项目带动,注重实效,创新机制,合作共赢”的原则,着眼于嵌入式设备、互联网、信息安全等领域的科研工作,加快推进嵌入式设备安全信息设施的标准制定,技术研究,产品创新及人才培养。

实验室各方将重点围绕嵌入式设备网络安全为基础的科研合作,浙江省公安厅、浙江省通信管理局将在政府资源要素保障、政策落地、合理合规等方面给予监督及引导;国家计算机网络应急技术处理协调中心浙江分中心为实验室的建设提供互联网相关信息安全事件的预防、发现、预警和协调处置等技术支撑及服务,杭州海康威视数字技术股份有限公司及杭州安恒信息技术有限公司将负责基础研究、应用开发、产品创新等相关工作;共同推进实验室的建设与发展,提升浙江乃至全国嵌入式设备网络安全的研究及应用水平。

挑战赛介绍

为了唤起业界对嵌入式设备安全的重视,降低潜在的安全风险,为用户创造最大价值;构建可信的嵌入式设备信息安全生态圈,立足各自优势,拓宽合作领域,完善合作机制,提升合作效应,提高嵌入式设备领域的安全水平,嵌入式设备网络安全联合实验室特组办了本次挑战赛。本次挑战赛的相关说明如下:

比赛方式:

设备邮寄测试

参与方式:

本次大会采用邀请制,主办方会给各参赛受邀团队寄送邀请函,收到邀请函者方可参与本次大赛。

参赛手续办理:

确认有参与比赛意向后,受邀请的队伍将收到《参赛报名表》、《大赛规则》、《保密协议》。参赛队伍需将参赛报名表、保密协议(扫描件)填写完整和签名后通过邮件的方式发送给主办方(security.sp7@hikvision.com),主办方确认报名信息后邮寄大赛文化衫、测试设备,请收到大赛文化衫后团队穿着文化衫合影,并将合影通过邮件的方式发送给主办方。

漏洞提交:

参赛团队按照《嵌入式设备漏洞挖掘挑战赛》模板填写对应的漏洞信息,通过“漏洞提交”的要求步骤提交漏洞。

漏洞奖励:

“高危漏洞”奖金金额:奖励范围 ¥10,000--¥100,000;

“中危漏洞”奖金金额:奖励范围 ¥2000--¥10,000;

“低危漏洞”奖金金额:奖励范围 ¥500--¥2000。

注:主办方保留最终解释权。

团队奖励:

除漏洞奖励外,团队将额外获得全部提交漏洞奖金总额30% 的奖励。

奖金发放:

所有奖金将在比赛结束后在颁奖仪式现场颁发。

注意事项:

挑战赛时间为2015年7月27日0:00-9月9日24:00,逾期提交将无法参与本次大赛。

挑战赛只接受参赛队伍负责人提交的漏洞,其他的一律不收。

挑战赛一个人只能参与一个参赛队伍,不可重复参与。

挑战赛测试设备由实验室邮寄至参赛队伍,测试完成后,参赛队伍需寄回实验室。

挑战赛均需以无害方式进行测试,严禁DDOS行为,否则取消全队比赛资格。

挑战赛中提交漏洞若出现重复现象,以第一个提交的为准,第二个或之后提交不重复发放奖金。

挑战赛危害等级以及奖金由实验室专家共同商定。

挑战赛中发现的漏洞均需提交至实验室,不可将结果提交至其他平台或公开,否则取消全队奖励与比赛资格,并按照《保密协定》的相关条款执行。

本次挑战赛实验室保留最终解释权。

免责条款约束与责任

1. 挑战赛认可获胜选手个人的安全技术能力,但不认为活动结果和获胜选手所属机构的安全技术能力存在对应关系。

2. 我们不认为活动结果能直接反映相关智能设备的安全性水平。

3. 我们严格保证对厂商负责任的信息披露。我们会配合获胜选手共同在活动现场将详细的技术信息提供给厂商代表;如未有厂商代表在场,我们将在活动结束后以邮件形式将详细的技术信息提供给厂商。我们和获胜选手承诺在厂商修补相关问题之前不对任何第三方泄露相关信息。

4. 我们保证对选手个人隐私的保护。在未经选手同意的情况下,我们不会将选手个人信息透露给第三方,也不会利用选手个人信息及隐私从事任何商业活动。

大赛日程
启动时间:
2015 年 7 月 26 日
活动时间:
2015 年 7 月 27 日 0:00 至 9 月 9 日 24:00
颁奖时间:
(待定)