技术支撑单位计划指南
版本:V 4. 1
中国信息安全测评中心
目录
一、 计划介绍 ................................................. 1
二、 计划内容 ................................................. 1
三、 申请流程 ................................................. 3
四、 证书维持与年度评价 ....................................... 4
附件1: 技术支撑单位考察评估阶段贡献指标 ........................... 6
附件2: 技术支撑单位年度支撑指标 ................................... 7
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
1
一、 计划介绍
国家信息安全漏洞库(China National Vulnerability Database of Information Security,以下简称“CNNVD”),是中国信息安全测评中心(以下简称“测评中心”)为切实履行漏洞分析和风险评估职能,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。经过几年的建设与运营,CNNVD在信息安全漏洞搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用,为我国重要行业和关键信息基础设施安全保障工作提供了重要的技术支撑和数据支持。
CNNVD技术支撑单位计划主要面向信息安全厂商、软硬件厂商与互联网公司等,以平等自愿的原则,通过签约合作的方式与这些单位开展合作。本计划通过整合业内资源,联合技术支撑单位,提高重大漏洞的发现、分析、处置能力,进一步助力信息安全漏洞研究、事件解读,形成漏洞的收集、分析、处置、披露的良性机制,从而提高我国信息安全漏洞的研究水平和预警能力。
CNNVD不对技术支撑单位收取申请、评审等相关服务费用。CNNVD与技术支撑单位合作过程所产生的费用由各自自行承担。
二、 计划内容
本计划主要面向信息安全厂商、软硬件厂商与互联网公司等,通过共享资源和服务,逐步形成优势互补、协同发展的技术支撑单位合作体系。
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
2
技术支撑单位需要具有专业的信息安全研发团队和较强的漏洞分析能力,了解并认同CNNVD的业务和职能,致力于和CNNVD保持积极向上的技术业务合作关系。
CNNVD技术支撑单位共设置三种级别,分别是一级、二级和三级(一级为最高级别),依据技术支撑单位的公司规模、技术研究能力、贡献程度等,以确定其支撑级别及其对应的年度贡献指标。同时,伴随技术支撑单位贡献程度的变化,相应的级别等方面也会有相应的调整。CNNVD技术支撑单位的年度贡献包括如下几方面(具体要求见附件一):
(1) 原创漏洞支撑
按照CNNVD漏洞提交规范向CNNVD提交原创漏洞信息,信息需要具备真实性、有效性等特点。
(2) 漏洞预警支撑
对重大信息安全漏洞做出及时响应,积极主动向CNNVD提供相关信息并协助CNNVD完成预警工作。
(3) 其他支撑
与CNNVD开展与与漏洞技术相关的验证研判、技术研讨、事件性漏洞报送、数据分析等合作。
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
3
三、 申请流程
开始
形式化审查
考察评估
告知评审结果
结束
了解计划内容
提交申请书
《CNNVD技术支撑单位
计划指南》
《CNNVD技术支撑单位申请
书》
提交贡献
• 原创漏洞
• 漏洞预警
专家评审
签署协议
• 《CNNVD与技术支撑单位合作协
议》
颁发证书
通过
通过
不通过
通过
不通过
通知
提交
《CNNVD技术支撑单位
考察期贡献总结表》
不通过
《CNNVD与技术支撑单
位合作协议》
申请单位CNNVD
图1 技术支撑单位申请流程
(1) 申请阶段:申请单位阅读《国家信息安全漏洞库(CNNVD)
技术支撑单位计划指南》,提交《国家信息安全漏洞库
(CNNVD)技术支撑单位申请书》,由CNNVD 对其进行
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
4
审核,初审通过后,申请单位进入考察评估阶段。
(2) 考察评估阶段:该阶段设定6个月的贡献考察期,申请单位可在此期间向CNNVD提交原创漏洞、漏洞预警等,由CNNVD对申请单位进行综合评估。
(3) 专家评审阶段:CNNVD召开技术支撑单位申请专家评审会,通过对申请单位提交的申请材料、考察期贡献内容、与CNNVD沟通配合情况等内容进行综合评估和级别判定。
(4) 协议签订阶段:CNNVD将评审结果通知申请单位,与通过评审的申请单位签订《国家信息安全漏洞库(CNNVD)与技术支撑单位合作协议》。
(5) 证书颁发阶段:CNNVD向技术支撑单位颁发证书,有效期一年。
四、 证书维持与年度评价
(一)证书维持
技术支撑单位证书有效期为一年。CNNVD在支撑单位有效期结束之前20个工作日对其进行年度贡献审核,根据其证书有效期内贡献情况,如满足各级别续期要求则办理证书续期。
证书续期规则如下:
1、 若年度支撑贡献满足该级别的要求,等级维持不变。
2、 “二级”或“三级”支撑单位,若年度支撑贡献达到上一级对应
的要求,可申请升级一个级别,经审批通过后可办理升级。对于贡献
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
5
特别突出的单位,经批准可酌情提前予以升级一个级别。
3、 年度支撑贡献不满足该级别的要求,则降低一个支撑等级
直至取消资格(如:“一级”降为“二级”,“三级”取消资格)。
4、 如支撑单位在证书有效期间,有违反国家法律法规及双方
作协议的情况,CNNVD将有权取消技术支撑单位资格并撤回证书。
技术支撑单位的单位名称及注册地址发生变化时,可向CNNVD提交《技术支撑单位信息变更申请表》,经CNNVD审核通过实施证书信息变更。证书信息变更内容不包含统一社会信用代码。
(二) 年度评价
CNNVD每年度根据技术支撑单位贡献情况进行综合评价,对贡献突出的支撑单位给予荣誉奖励。各技术支撑单位应积极配合CNNVD贡献统计及年度评价工作。
注:本指南自发布之日起实施,最终解释权归中国信息安全测评中心所有。
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
6
附件1:技术支撑单位考察评估阶段贡献指标 考察项目考察项目 考察指标考察指标
基本信息
基本信息
技术支撑单位申请材料内容填写完整、
技术支撑单位申请材料内容填写完整、真实真实准确。准确。
负责安全业务、
负责安全业务、
漏洞
漏洞团队能力团队能力
1) 单位主营业务为信息安全行业,相关安单位主营业务为信息安全行业,相关安全业务与漏洞分析全业务与漏洞分析挖掘密切相关挖掘密切相关,具备一定,具备一定安全漏洞研究安全漏洞研究能力、安全应急响能力、安全应急响应能力;应能力;
2) 漏洞团队漏洞团队要求:要求:
一级:
一级:人数人数达到达到2020人以上人以上,,团队研究方向与获得成绩非常团队研究方向与获得成绩非常突出;突出;
二级:
二级:人数人数达到达到1010人以上人以上,,团队研究方向与获得成绩比较团队研究方向与获得成绩比较突出;突出;
三级:
三级:人数人数达到达到55人以上人以上,,团队研究方向与获得成绩符合要团队研究方向与获得成绩符合要求。求。
技术能力
技术能力
具备在信息安全领域的科研、工程和服务能力。
具备在信息安全领域的科研、工程和服务能力。
原创漏洞
原创漏洞支撑支撑
向
向CNNVDCNNVD提交原创漏洞:提交原创漏洞:
一级:通用型漏洞不少于
一级:通用型漏洞不少于2020个,其中高危及以上漏洞不个,其中高危及以上漏洞不少于少于33个;个;
二级:通用型漏洞不少于
二级:通用型漏洞不少于1155个,其中个,其中高高危及以上漏洞不危及以上漏洞不少于少于11个;个;
三级:通用型漏洞不
三级:通用型漏洞不少于少于33个。个。
漏洞预警漏洞预警支撑支撑
向
向CNNCNNVDVD提交漏洞提交漏洞预警预警报告:报告:
一级:重要预警数量不少于
一级:重要预警数量不少于55份;份;
二级:一般及以上预警数量不少于
二级:一般及以上预警数量不少于55份;份;
三级:一般及以上预警数量不少于
三级:一般及以上预警数量不少于33份。份。
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
7
附件2: 技术支撑单位年度支撑指标技术支撑单位年度支撑指标 评价项目评价项目 评价指标评价指标
资料合规性
资料合规性
《
《CNNVDCNNVD技术支撑单位年度工作总结》内容填写真实完整,技术支撑单位年度工作总结》内容填写真实完整,符合要求。符合要求。
业务配合度
业务配合度
与
与CNNVDCNNVD沟通配合顺畅,态度积极,从未出现接口人联系不沟通配合顺畅,态度积极,从未出现接口人联系不上或通知邮件回复不及时的情况。上或通知邮件回复不及时的情况。
原创漏洞
原创漏洞支撑支撑
向
向CNNVDCNNVD提交原创漏洞提交原创漏洞::
一级:通用型漏洞不少于
一级:通用型漏洞不少于3535个,其中高危漏洞不少于个,其中高危漏洞不少于55个;个;
二级:通用型漏洞不少于
二级:通用型漏洞不少于2525个,其中高个,其中高危漏洞不少于危漏洞不少于11个;个;
三级:通用型漏洞不少于
三级:通用型漏洞不少于55个。个。
漏洞预警
漏洞预警支撑支撑
向
向CNNVDCNNVD提交漏洞预警提交漏洞预警报告报告::
一级:重要预警不少于
一级:重要预警不少于1010份;份;
二级:一般及以上预警数量不少于
二级:一般及以上预警数量不少于1100份;份;
三级:一般及以上预警数量不少于
三级:一般及以上预警数量不少于55份。份。
其他支撑
其他支撑
根据
根据CNNVDCNNVD的需求,积极响应由的需求,积极响应由CNNVDCNNVD发起的关于漏洞技发起的关于漏洞技术的验证研判、技术研讨、数据分析专项支撑、事件型漏洞专术的验证研判、技术研讨、数据分析专项支撑、事件型漏洞专项支撑等。项支撑等。