CNVD

CNVD

1、产品概述

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。

2、产品架构

3、产品功能

主要底层功能包含如下:

  • 主要提供信息安全漏洞信息共享知识库,漏洞信息收录与共享发布平台,包括:热点关注、漏洞列表、补丁信息、安全公告、统计查询、研究报告等栏目信息;
  • 主要开展集漏洞收录、发布与处置机制平台,包括:漏洞收录、任务下发、漏洞分析、漏洞验证、漏洞信息发布、应急处置等功能,面向政府部门、重要信息系统用户、基础电信运营商、安全企业以及互联网终端用户,建立不同的漏洞信息处置途径,跟踪漏洞修复,力求打造网络安全绿色环境。
  • 可信漏洞报送激励平台,鼓励白帽子通用性漏洞和事件型等漏洞报送,并根据漏洞原创性、影响范围、威胁程度进行积分奖励,并能进行礼品兑换,提供了乌云解散后漏洞统一归口问题。

主要界面功能包括如下:

4、产品特点/优势

平台特点

  • 遵循共建共享原则,厂商、用户和安全机构共同参与;
  • 侧重处置影响国内政府、行业和个人用户的重要漏洞;
  • 依托CNCERT应急工作平台,定向推送重要漏洞信息CNVD机构;
  • 工作委员会:负责CNVD漏洞平台运行工作的具体执行;
  • 技术合作组:在漏洞挖掘、验证、威胁评价等技术研究方面提供支撑,在软件开发的安全管理、产品的漏洞应急响应、软件补丁的发布测试等方面提供应急处置支撑;
  • 用户支持组:通过CNVD及时获知所使用产品的最新漏洞信息和技术防范支持;同时向CNCERT报告可能与漏洞有关的信息系统错误和攻击行为;

CNVD原则

  • 坚持开放性、中立性和非营利性。安全厂商、软件厂商、科研院校、个人等均可以参与CNVD漏洞发现、收集、发布、验证等工作,不带有功利性目的。
  • 坚持以我为主、预防为主的原则。现阶段CNVD主要服务于我国国内信息化建设,关注我国广泛使用的软件产生的安全漏洞问题。漏洞信息利用以预警预防为主。