国家信息安全漏洞库CNNVD技术支撑单位计划指引.PDFVIP

国家信息安全漏洞库 （CNNVD ） 技术支撑单位计划指南 版本：V3.5 中国信息安全测评中心 本指南可通过CNNVD 官方网站下载：/ 目录 第1 章 计划介绍 1 第2 章 计划内容 1 2.1 合作方式2 2.2 申请流程4 2.3 总结评价5 第4 章 证书续期 6 国家信息安全漏洞库(CNNVD)技术支撑单位计划指南 第1章 计划介绍 国家信息安全漏洞库（China National Vulnerability Database of Information Security，以下简称“CNNVD”），是中国信息安全测 评中心（以下简称“测评中心”）为切实履行漏洞分析和风险评估职能， 负责建设运维的国家级信息安全漏洞数据管理平台，旨在为我国信息 安全保障提供服务。经过几年的建设与运营，CNNVD 在信息安全漏洞 搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用， 为我国重要行业和关键基础设施安全保障工作提供了重要的技术支 撑和数据支持。 CNNVD 技术支撑单位计划主要面向信息安全厂商、软硬件厂商与 互联网公司等，以平等自愿的原则，通过签约合作的方式与这些单位 开展合作。本计划通过整合业内资源，联合技术支撑单位，提高重大 漏洞和重要安全事件的发现、分析、处置能力，进一步助力信息安全 漏洞研究、事件解读，形成漏洞/事件的收集、分析、处置、披露的 良性机制，从而提高我国信息安全漏洞/事件的研究水平和预警能力。 第2章 计划内容 本计划主要面向信息安全厂商、软硬件厂商与互联网公司，通过 共享双方的信息、资源和服务，逐步形成优势互补、协同发展的技术 支撑单位合作体系。 技术支撑单位可向CNNVD 提供多种支撑，如提交漏洞/事件信息、 共享分析报告、协助安全事件应急处置、参与可信补丁分发、协办会 1 国家信息安全漏洞库(CNNVD)技术支撑单位计划指南 议研讨、组织培训竞赛、参与宣传推广等。 CNNVD 可向技术支撑单位共享漏洞/事件信息、提供兼容性认证 服务、对突出贡献的单位进行表彰和公示、提供CNNVD 的平台和资源 等。 2.1 合作内容 技术支撑单位需要具有专业的信息安全研发团队和较强的漏洞/ 事件分析能力，了解并认同CNNVD 的业务和职能，致力于和CNNVD 保 持积极向上的技术业务合作关系。 CNNVD 对技术支撑单位设置三种级别,分别是三级、二级和一级 （其中一级是最高级别），并依据技术支撑单位与CNNVD 合作中的参 与贡献程度、信息安全研究能力和投入情况等，来决定技术支撑单位 具备的支撑级别以及需要满足的条件和履行的义务。同时，伴随技术 支撑单位级别的变化，对技术支撑单位的要求和义务以及向技术支撑 单位提供的权益也会相应的发生变化，从而使参与各方获得更广泛的 共赢。 技术支撑单位的可从如下方面向CNNVD 提供支撑： (1) 安全漏洞——按照CNNVD 漏洞提交规范向CNNVD 提交未公 开漏洞信息，信息需要具备真实性、有效性、非重复等特点。 (2) 安全事件——按照CNNVD 安全事件提交规范向CNNVD 提交 信息安全事件分析报告，报告需具备及时性、真实性、以及 持续性。 2 国家信息安全漏洞库(CNNVD)技术支撑单位计划指南 (3) 安全预警——对重大信息安全漏洞和安全事件做出及时响 应，积极主动向CNNVD 提供相关信息并协助CNNVD 完成预警 和消控工作。 CNNVD 将从如下方面向技术支撑单位提供服务： (1) 对技术支撑单位的突出贡献进行公示和致谢。 (2) 邀请技术支撑单位参与重要会议和活动的组织交流。 (3) 为技术支撑单位提供交流推广的平台和渠道。 3