国家信息安全漏洞共享平台支撑单位
首页 - 产品分类 - 安全服务 - 国家信息安全漏洞共享平台支撑单位

简介

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联网应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。
    建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。

二、证书类别

CNVD支撑单位按照技术研究和应急处置协作能力,分为技术组用户组支撑单位。

CNVD技术组支撑单位是CNVD开展漏洞收录、漏洞分析、漏洞挖掘以及漏洞全局监测、应急响应工作的核心成员。

CNVD用户组支撑单位是CNVD开展漏洞应急处置,防范政府和重要部门、行业单位用户、大规模用户安全风险的重要组成部分。

同时,CNVD积极建立与其他漏洞平台、漏洞应急组织的协作关系(另设为合作方)

三、认证价值

CNVD技术组支撑单位将优先获得如下权益:

(1)CNVD公开发布的漏洞的全量共享接口;

(2)CNVD漏洞报送证明、原创漏洞证明以及出具相关贡献情况证明;

(3)CNVD对漏洞安全相关产品的兼容性证明;

(4)第一时间获得漏洞信息验证、补丁验证、用户侧巡检发现、漏洞攻击威胁监测等方面的信息共享和技术支持;

(5)获得CNVD漏洞协作突出贡献单位表彰资格。

CNVD用户组支撑单位将优先获得如下权益:

(1)针对本单位软硬件产品、信息系统漏洞验证和处置情况的CNVD官方声明和核查情况背书;

(2)按照《漏洞信息披露和处置自律公约》,对信息披露和处置争议事项优先协调权;

(3)涉及本单位软硬件产品漏洞和用户安全风险的由支撑单位提供的境内外处置体系协作;

(4)获得CNVD漏洞协作突出贡献单位表彰资格。

四、证书有效期

证书有效期为1年。

五、申报条件

CNVD技术组支撑单位能力要求:

CNVD技术组支撑单位是CNVD开展漏洞收录、漏洞分析、漏洞挖掘以及漏洞全局监测、应急响应工作的核心成员,具体支撑作用体现在漏洞收录、挖掘、验证、威胁评价等技术研究方面以及在产品的漏洞应急响应、补丁的发布测试等应急处置方面。

技术组支撑单位的能力要求如下(满足一项或多项):

(1)能积极跟踪国内外公开漏洞信息发布源,能持续定期批量向CNVD提交本单位收录的已公开漏洞信息,并按CNVD格式要求进行规范化整理。能力评估参照:每年报送数公开漏洞数量超过1500个。

(2)具备接收原创漏洞报送或自主实施漏洞奖励计划的工作平台,并与CNVD开展漏洞信息共享和处置协作。能力评估参照:具备规范的漏洞信息披露和处置流程,每年推送信息超过1000个。

(3)具备漏洞挖掘的技术能力,并向CNVD积极提交原创漏洞信息(需经过有效性和原创性比对)。能力评估参照:通用软硬件漏洞数量不设最低限,需由CNVD秘书处综合评估核心技术能力、产出数量能力,对于事件型漏洞数量>600个/半年。

(4)具备漏洞相关的自主知识产权产品(如:漏洞检测引擎、漏洞威胁风险大数据等),与CNVD开展产品能力调用(如:引擎调用)、全局响应能力输出(如:共享漏洞威胁检测数据)。能力评估参照:需提供相关产品知识产权证明或通过CNVD同类产品无先例、产品无OEM核查,能持续提供引擎类调用接口或协商技术对接应用。

(5)具备开展漏洞检测、监测的技术能力,能独立开展软硬件产品应用识别和漏洞攻击检测分析。能力评估参照:每年提供应用识别特征覆盖超过100种类产品包括操作系统、数据库、WEB软件、中间件等(不包括同一软硬件产品不同版本情形,并与CNVD已有特征库进行查重比对),或每年分析漏洞攻击报文监测特征(限最近两年漏洞,与CNVD已有特征库进行查重比对)超过200条。

(6)具备漏洞全局处置能力,并已建立行业领域内有效的漏洞处置工作机制,协助CNVD处置本行业单位漏洞完成率超过95%。

(7)具备上述项未涉及的其他独有漏洞安全研究技术能力或产品、数据输出能力。

CNVD用户组支撑单位能力要求:

CNVD用户组支撑单位是CNVD开展漏洞应急处置,防范政府和重要部门、行业单位用户、大规模用户安全风险的重要组成部分,用户组成员需认同并贯彻漏洞处置用户侧主动响应原则,具备基本的漏洞修复技术服务能力、良好的漏洞处置协作能力,与CNVD开展漏洞大规模威胁处置协作,向CNVD积极报备自身产品、信息系统相关漏洞风险。根据应用规模和应用领域划分,能力要求如下:

(1)软硬件产品用户涉及国内大规模用户单位,信息系统产品安全风险有可能影响大规模个人用户。数量参照:软硬件产品涉及超过100个党政机关或重要行业单位用户;自主管理的信息系统涉及个人用户数量达百万级;归口管理的信息系统或下属机构数量超过百个。

(2)主体单位归属以下类别工作组:政府高校、基础电信、增值电信、网络设备、工业控制、电子邮件、电子政务等,CNVD根据主体情况可新设工作组

六、发证机关

由国家计算机网络应急技术处理协调中心颁发

七、证书模板



关于可龙

公司简介 文化理念 最新资讯 联系我们

产品分类

评估服务 安全服务 体系服务 安全产品 建筑资质 其他软件服务

核心技术

资识汇 资质管家

服务支持

资质汇编 政策导读 战略伙伴

咨询热线

关先生:18675864349 岑小姐:13760908589

地址

广州市海珠区南边路38号之二十七231室

关注可龙

Copyright © 2022 广东可龙信息技术服务有限公司 All rights reserved