国家信息安全漏洞库CNNVD技术支撑单位计划

启明星辰成为CNNVD一级技术支撑单位文章来源： 傲轮卡盟从“斯诺登”事件到国家.CN顶级域名系统被攻击，从超级网银授权支付欺骗到由于使用Struts2导致国内多家网站被远程控制，从CSDN等国内知名网站账户密码泄露到酒店住客信息泄露，频频发生的信息安全事件对国家安全、社会稳定、人民生产生活造成了严重威胁和影响。

所有这些信息安全事件，都与信息安全漏洞密切相关。

信息安全漏洞是信息安全事件的本质所在，是信息安全事件发生的主要原因，因此从国家层面对信息安全漏洞进行管控，是当前解决信息安全问题的重要抓手。

中国国家信息安全漏洞库(CNNVD)由中国信息安全测评中心组建，并于2009年正式投入运行，这一国家级公益服务平台旨在为我国信息安全保障提供基础服务，截至2013年12月共收集漏洞信息63132条、补丁信息17005条，发布安全新闻2201条。

到目前为止，CNNVD已形成以漏洞数据资源为核心，涵盖补丁、受影响产品、安全事件等多元素的漏洞资源服务平台，支撑信息系统产品测评、漏洞分析、隐患分析、风险评估等多项业务，有效提高了我国信息安全威胁应对与风险管理的能力和水平。

但同时我们也应意识到，面对影响波及全球的“斯诺登事件”和新的安全形势，加强国家漏洞库建设的任务依然严峻，汇聚社会力量以提高安全保障的水平同样势在必行。

12月8日，在京召开的第六届漏洞分析与风险评估大会上，中国信息安全测评中心举行了CNNVD技术支撑单位的授牌仪式与特聘专家证书颁发仪式，14家CNNVD技术支撑单位的领导和专家出席。

据悉，CNNVD计划与第一批14家技术支撑单位以及14位业内顶级信息安全专家合作，共同开展与漏洞分析相关的技术研究工作，以提升信息安全专业化服务能力和水平，带动信息产业和信息安全服务业的发展，为基础信息网络、重要信息系统和社会公众提供更加有力的保障，努力将CNNVD打造成为国际知名、有实际成效的国家级信息安全漏洞共享、互助和服务平台。

近日，中国信息安全测评中心、中国国家信息安全漏洞库(CNNVD)发布公告，国内专业的工控安全解决方案供应商威努特成功入围中国国家信息安全漏洞库(CNNVD)二级支撑单位，这标志着威努特在工控安全和漏洞挖掘领域的技术实力和表现得到了权威机构的认可。

2016年期间威努特公司及联合合作伙伴共同提交多个工控安全高危漏洞，积极支持并参与了国家漏洞库的建设，为有效提高我国工控信息安全威胁应对与风险管理的能力和水平发挥应有的作用！中国国家信息安全漏洞库(CNNVD)于2009年正式投入运行，是中国信息安全测评中心履行漏洞分析和风险评估职能的重要平台，旨在为国家信息安全保障提供基础服务。

近年来，CNNVD在信息安全漏洞搜集、重大漏洞信息同步、高危漏洞安全消控等方面发挥了重要作用，为我国重要行业和关键基础设施安全保障工作提供了重要的技术支撑和数据支持。

随着近年来国际、国内信息安全格局的不断演变升级，针对关键信息基础设施的攻击越来越多，传统的IT安全方案已经无法应对更加复杂多变的新型攻击手段。

威努特从成立伊始一直致力于在工控安全领域深耕细作，获得政府部门和众多客户的高度认可，是国家工控安全实验室理事单位，工控安全相关国家标准制定的重要参与者和推动者。

2016年被公安部授予工控安全技术支撑单位，应邀保障2016杭州G20峰会网络安全工作。

CNNVD迫切需要威努特这样的有生力量加入，为平台的漏洞收集、隐患挖掘和数据库建设贡献新的力量。

2015年威努特发布的天鉴系统（工控安全综合检测平台）是国内首款针对工业控制设备的安全性和通信健壮性进行检测的一体化检测系统。

产品通过先进的 Fuzzing 测试技术，全面发现设备存在的未知漏洞和安全风险。

天鉴系统支持支持 TCP/IP 协议栈（IP，ARP，ICMP，IGMP，UDP，TCP）、各类工控协议（ModbusTCP、SIEMENS S7、OPC、GOOSE、MMS、DNP3、IEC104、Profinet）的全面漏洞挖掘。

等保测评技术要求一、服务内容依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对互联网医院环境进行三级等保测评服务，并出具《测评报告》。

二、服务要求（一）等保测评依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对互联网医院环境进行三级等保测评服务，并出具《测评报告》。

若首次测评后被测信息系统需要进行整改，在约定的整改期限内提供复测服务。

服务时间：7*24服务方式：现场和远程交付成果：测评报告。

（二）定级备案协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料，组织开展专家评审会，完成定级备案等相关服务工作。

服务时间：7*24服务方式：现场交付成果：备案证明。

（三）测评服务范围依据《信息安全技术网络安全等级保护基本要求》，测评内容包括但不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个层面开展测评工作。

(1)安全物理环境测评内容：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

(2)安全通信网络测评内容：网络架构、通信传输、可信验证。

(3)安全区域边界测评内容：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

(4)安全计算环境测评内容：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

(5)安全管理中心测评内容：系统管理、审计管理、安全管理、集中管控。

(6)安全管理制度测评内容：安全策略、管理制度、制定和发布、评审和修订。

(7)安全管理机构测评内容：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员测评内容：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（9）安全建设管理测评内容：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

国家标准《信息安全技术网络安全漏洞分类分级规范》（草案）编制说明一、工作简况1.1 任务来源根据国家标准化委员会于2018年下达的国家标准修订计划，《信息安全技术网络安全漏洞分类分级指南》由中国信息安全测评中心作为承担单位。

该标准由全国信息安全标准化技术委员会归口管理。

1.2 主要起草单位和工作组成员本标准由中国信息安全测评中心（以下简称“国测”）牵头，国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院等多家单位共同参与编制。

1.3 主要工作过程(1)2018年5月，组织参与本标准编写的相关单位召开项目启动会，成立规范编制小组，确立各自分工，进行初步设计，并听取各协作单位的相关意见。

(2)2018年6月，编制组通过问卷调查的方式，向安全公司、专家收集关于分类分级国标的修订意见，整理相关意见形成了《信息安全漏洞分类分级修订建议调查情况》。

编制组同时对国内外漏洞分类分级的现状做了调研，整理出《信息安全漏洞分类分级修订相关情况调研与分析》报告，进一步佐证了标准修订的必要性以及提供了标准修订的依据。

(3)2018年7月，编制组结合充分的调研结果，参考CWE、CVSS等国际通用漏洞分类分级方法，提出详细的标准修订计划，形成标准草案第一稿。

(4)2018年8月，编制组召开组内研讨会，基于前期成果，经多次内部讨论研究，组织完善草案内容，形成草案第二稿。

(5)2018年9月，编制组继续研究讨论，并与国内其他漏洞平台运营单位进行交流，吸收各位专家的意见，反复修订完善草案，形成草案第三稿。

(6)2018年10月8日，编制组召开针对草案第三稿的讨论会，会上各参与单位的代表对漏洞分类分级的具体内容进行了深入讨论。

根据讨论结果，编制组对草案进行进一步修改，形成草案第四稿。

(7)2018年10月15日，安标委组织WG5组相关专家召开评审会，对项目进行评审，审阅了标准草案文本、编制说明、意见汇总表等项目相关文档，质询了有关问题，提出增加网络安全漏洞分类分级概述说明、细化编制说明、增加实验验证和使用情况说明、简化分级评价指标等意见。

国家信息安全漏洞库（CNVD）一级贡献奖评选条件随着信息技术的不断发展，信息安全问题备受关注。

国家信息安全漏洞库（CNVD）一级贡献奖评选活动旨在鼓励和表彰在信息安全领域取得杰出成就和作出突出贡献的个人和团队。

为了确保评选的公平、公正和客观性，评选条件和标准需明确规定。

以下是国家信息安全漏洞库一级贡献奖评选条件：一、技术贡献1. 提交漏洞数量：个人或团队在一定时期内提交的漏洞数量达到一定标准；2. 漏洞重要性：提交的漏洞在实际应用中具有较高的危害性，或对特定领域的安全影响较大；3. 漏洞复现率：提交的漏洞能够被CNVD验证并成功复现，提供有效的漏洞详细信息和利用方法；4. 漏洞影响范围：提交的漏洞影响范围广泛，或者是新型漏洞、0day 漏洞。

二、安全研究1. 安全论文：参与国内外重要安全会议或学术期刊发表的安全论文数量和质量；2. 安全专利：取得的与信息安全领域相关的专利数量和质量；3. 安全产品：独立研发并成功上线的信息安全产品。

三、安全社区贡献1. 信息共享：积极共享有关安全漏洞、攻防技术和安全事件的信息，对他人的安全意识和技术水平提升有重要意义；2. 漏洞公益活动：积极参与或组织安全技术讲座、研讨会、CTF比赛等活动，为信息安全社区做出突出贡献；3. 安全教育：编写和发布安全教育资料，对学生、初学者进行安全知识普及和技术指导。

四、其他贡献1. 安全行业影响：在安全领域具有一定的影响力，包括媒体报道、社会影响等；2. 安全行业认可度：获得行业内安全领域的大奖或证书，或被知名安全机构聘为顾问。

以上评选条件旨在全面评价个人或团队在信息安全领域的技术水平、学术贡献和社会影响，确保评选结果真实可靠。

评选委员会将从参与评选者中选取资深专家和行业领袖，通过专业的评审和公正的决策，最终确定获奖者。

希望所有参与评选的个人和团队都能以积极的态度和专业的技术，共同推动信息安全领域的健康发展。

国家信息安全漏洞库（CNVD）一级贡献奖评选条件旨在鼓励和表彰在信息安全领域取得杰出成就和作出突出贡献的个人和团队。

中国国家信息安全漏洞库（CNNVD）特别技术论坛召开佚名
【期刊名称】《中国信息安全》
【年(卷),期】2014(000)006
【摘要】5月21日，由中国信息安全测评中心主办的CNNVD（中国国家信息安全漏洞库）特别技术论坛（CSEF旌北京隆重举行。

本桶论坛围绕“后XP时代”Windows系统的安全问题、漏洞分析及补丁研制、分发与验证等问题展开技术研讨。

参会的专家和代表来自政府部门、重要行业和科研机构等单位和国内信息安全从业人员等500余人。

本届论坛继续秉承近年来CNNVD特别技术论坛（CSEF）“承担国家使命、汇聚社会力量、专注网络售息安全、铸造和平网络空间”的主旨，为国内信息安全产学研及相关领域的专业人士提供一个深入沟通和探讨的平台。

【总页数】1页(P21-21)
【正文语种】中文
【相关文献】
1.走进国家信息安全漏洞库 [J], 张涛
2.2018（第13届）水处理行业热点技术论坛特别报道——2018（第13届）水处理行业热点技术论坛于北京召开 [J], 无;
3.科来成为中国国家信息安全漏洞库第三批技术支撑单位 [J],
4.国家信息安全漏洞库新增15家技术支撑单位 [J],
5.网御星云入选CNNVD技术支撑单位,助力国家漏洞库建设 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

国家信息安全漏洞库（CNNVD）技术支撑单位计划指南版本：V4.1中国信息安全测评中心目录一、计划介绍 (1)二、计划内容 (1)三、申请流程 (3)四、证书维持与年度评价 (4)附件1：技术支撑单位考察评估阶段贡献指标 (6)附件2：技术支撑单位年度支撑指标 (7)一、计划介绍国家信息安全漏洞库（China National Vulnerability Database of Information Security，以下简称“CNNVD”），是中国信息安全测评中心（以下简称“测评中心”）为切实履行漏洞分析和风险评估职能，负责建设运维的国家级信息安全漏洞数据管理平台，旨在为我国信息安全保障提供服务。

经过几年的建设与运营，CNNVD在信息安全漏洞搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用，为我国重要行业和关键信息基础设施安全保障工作提供了重要的技术支撑和数据支持。

CNNVD技术支撑单位计划主要面向信息安全厂商、软硬件厂商与互联网公司等，以平等自愿的原则，通过签约合作的方式与这些单位开展合作。

本计划通过整合业内资源，联合技术支撑单位，提高重大漏洞的发现、分析、处置能力，进一步助力信息安全漏洞研究、事件解读，形成漏洞的收集、分析、处置、披露的良性机制，从而提高我国信息安全漏洞的研究水平和预警能力。

CNNVD不对技术支撑单位收取申请、评审等相关服务费用。

CNNVD与技术支撑单位合作过程所产生的费用由各自自行承担。

二、计划内容本计划主要面向信息安全厂商、软硬件厂商与互联网公司等，通过共享资源和服务，逐步形成优势互补、协同发展的技术支撑单位合作体系。

技术支撑单位需要具有专业的信息安全研发团队和较强的漏洞分析能力，了解并认同CNNVD的业务和职能，致力于和CNNVD 保持积极向上的技术业务合作关系。

CNNVD技术支撑单位共设置三种级别,分别是一级、二级和三级（一级为最高级别），依据技术支撑单位的公司规模、技术研究能力、贡献程度等，以确定其支撑级别及其对应的年度贡献指标。