形象頁 - 尚茂智能科技股份有限公司

資安公告

尚茂智能科技股份有限公司資訊安全公告

資安政策說明

本政策旨在建立一套完整的流程，以有效管理從發現產品漏洞到最終修補的各項作業，確保本公司產品、系統、業務及數據的安全性。當前環境下，隨著技術的迅速發展，安全漏洞的風險日益增加，這要求我們有一個清晰且高效的應對機制。

本政策適用於本公司的產品或系統，涵蓋設計、製造及銷售等各個階段，確保在整個產品生命週期中，及時發現並處理任何安全漏洞。漏洞的定義包括在產品過程中出現的缺陷或不足，可能導致對消費者或用戶的損害，並影響產品的性能、品質或安全標準。

為了確保有效的漏洞管理，產品經理、研發及品保部門需在接收到漏洞通知後，將立即啟動修補、驗證及監控作業。此外，採購部門也需在購買前要求供應商提供聲明書，以降低潛在的安全風險。

我們鼓勵內部與外部人員及用戶負責任地報告任何安全漏洞。透過下載並撰寫專用的漏洞報告表單，報告者可使用電子郵件提交有關漏洞的詳細信息。在此過程中，報告者應遵守法律規範，並在漏洞修復完成前，不得公開具體細節，以避免進一步的安全威脅。

一旦收到漏洞報告，相關部門將對其進行評估和確認，包括漏洞的類型、影響範圍及真實性驗證。隨後，根據風險優先排序，將進行漏洞修復或矯正措施。修復後，必須進行驗證測試以確保修補成功，並避免引入新的問題。

修復完成後，內部通告及必要的外部公告將確保所有相關方了解情況。此外，後續的監控與改進工作將持續進行，以總結經驗，避免類似問題再次發生。

透過這一系列流程，我們致力於保護產品及用戶的安全，確保公司的長期穩定營運。

關於安全機制

設備保護
• 安全韌體更新
更新設備軟體（韌體）時，系統會自動檢查更新檔是否為正版且來自可信來源。只能安裝經過驗證的檔，防止駭客注入惡意代碼。
• 啟動時安全啟動
每次設備開機時，都會檢查核心系統軟體是否被更改。這可確保設備僅運行授權韌體。
• UART 埠在使用者模式下禁用
工程師用於測試的特殊埠在發貨前會自動禁用。這可以防止通過物理連接進行未經授權的訪問。
• 防篡改硬體設計
該設備的物理設計難以打開或拆卸，使攻擊者難以訪問內部元件。

用戶保護
• 強密碼要求
密碼長度必須為8到32個字元，包含大小寫字母，並至少包含一個特殊符號。這使得它們更難猜測或破解。
• 安全密碼存儲
您的密碼永遠不會以純文本形式存儲。相反，它被轉換為安全雜湊值並保存在無法直接訪問的安全硬體晶片中。
• 加密數據傳輸
設備和其他系統之間發送的所有數據都使用 HTTPS 1.1 和 TLS 1.3 協定進行加密。這可以防止在傳輸過程中被竊聽或篡改。

韌體保護
• 安全代碼管理
所有韌體代碼都存儲在 GitLab 中，這是一個業界使用的安全平臺。它保留所有更改的完整記錄，並受到防火牆和防毒工具的保護。
• 自動安全掃描
使用漏洞評估工具定期掃描韌體和原始程式碼。任何弱點都會被識別出來，按風險級別進行評級，並在發佈前進行修復。
• 韌體完整性保護
在構建過程中，最終韌體使用數位簽名、加密和安全證書進行保護。這確保沒有人可以秘密修改它。

資安通報

目前無資安通報。

3.1 已知的第三方漏洞：無

3.2 安全性更新與補丁：無

3.3 韌體更新與修補程式：

N7-590 Firmware更新 (update_1_0_29.swu)

N7-590 WebGUI憑證 (rootCA.crt)

N7-590 WebGUI憑證安裝教學

檔案下載位置：

https://drive.google.com/file/d/1E5rjzpy-_pQZ4SZ6b28M1UYBBeSmhEn2/view

N7-590 WebGUI certificate installation tutorial

https://drive.google.com/file/d/1pMbsXZrbqXWcJPl01zx7lmeyF8KcsNcd/view?usp=sharing