CNNVD是中国国家信息安全漏洞库(China National Vulnerability Database of Information Security)的简称:
一、成立背景与目的
CNNVD由中国信息安全测评中心负责建设运维,旨在切实履行漏洞分析和风险评估的职能。
它面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。
二、功能与职责
CNNVD通过自主挖掘、社会提交、协作共享、网络搜集以及技术检测等方式,联合政府部门、行业用户、安全厂商、高校和科研机构等社会力量,对涉及国内外主流应用软件、操作系统和网络设备等软硬件系统的信息安全漏洞开展采集收录、分析验证、通报通报和修复消控工作。
它建立了规范的漏洞研判处置流程、通畅的信息共享通报机制以及完善的技术协作体系,处置漏洞涉及国内外各大厂商上千家,涵盖政府、金融、交通、工控、卫生医疗等多个行业。
三、技术支撑与服务
CNNVD提供信息安全漏洞定向通报服务,面向各级政府机关及企事业单位,及时、准确推送涵盖以漏洞信息为核心的各类数据及应用服务。
它还定期向委托方提供与委托方相关的高危信息安全漏洞的分析及整改方案等,通过定期的信息安全漏洞信息通报、态势分析报告、研究报告及技术培训与咨询等途径,帮助委托方及时发现并排除自身的信息安全隐患。
四CNNVD技术支撑单位的认证申请流程
1、了解计划内容
阅读《CNNVD技术支撑单位计划指南》,了解计划目标、申请单位的工作职责和要求等相关内容。
2、提交申请
在线填写《CNNVD技术支撑单位申请书》,并提交电子版。申请书内容主要包括申请单位基本情况、组织结构、人员情况、技术能力、与CNNVD和测评中心的合作情况和针对支撑要求的工作规划等。
电子版申请书通过后,将纸质版申请书进行彩印、盖章(包括骑缝章),并将盖章后的文件刻录至光盘中。
3、考察评估
设定6个月的贡献考察期,申请单位可在此期间向CNNVD提交原创漏洞、漏洞预警等,由CNNVD对申请单位进行综合评估。
申请单位需接受CNNVD对其具体情况的现场审核。
4、准备答辩
根据答辩PPT模板准备答辩材料。
等待答辩通知,CNNVD会召开“技术支撑单位审核评定会”,组织专家对申请单位进行资格审核和级别认定。
申请单位需按照PPT模板,准备答辩材料,详细介绍单位情况、人员情况等,并重点阐述技术能力和支撑计划。
5、签署合作协议
答辩通过后,与CNNVD商讨合作细则,并签订合作协议。
6、接受授牌及证书
签署合作协议后,接受CNNVD授牌及证书,证书有效期为一年。
7、年度工作总结与续期
技术支撑单位需根据每年支撑情况提交年度工作总结报告。
在证书有效期结束之前,向CNNVD提交续期申请,续期依据技术支撑单位的支撑情况办理。
8、注意事项
申请单位若需要技术支撑单位资质进行宣传,需在签署合作协议、获得技术支撑单位申请书、正式成为CNNVD技术支撑单位之后进行。
获得技术支撑单位资质满一年及以上的单位,CNNVD会进行统一的总结评价,并根据评价结果对技术支撑单位进行相应奖惩。