国家信息安全漏洞库(CNNVD)技术支撑单位计划指南

最新推荐文章于 2024-08-25 10:00:00 发布
最新推荐文章于 2024-08-25 10:00:00 发布
阅读量1.9w 收藏 7
点赞数 4
文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33295410/article/details/135926916
版权

技术支撑单位计划指南
版本:V 4. 1
中国信息安全测评中心

目录
一、 计划介绍 ................................................. 1
二、 计划内容 ................................................. 1
三、 申请流程 ................................................. 3
四、 证书维持与年度评价 ....................................... 4
附件1: 技术支撑单位考察评估阶段贡献指标 ........................... 6
附件2: 技术支撑单位年度支撑指标 ................................... 7
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
1
一、 计划介绍
国家信息安全漏洞库(China National Vulnerability Database of Information Security,以下简称“CNNVD”),是中国信息安全测评中心(以下简称“测评中心”)为切实履行漏洞分析和风险评估职能,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。经过几年的建设与运营,CNNVD在信息安全漏洞搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用,为我国重要行业和关键信息基础设施安全保障工作提供了重要的技术支撑和数据支持。
CNNVD技术支撑单位计划主要面向信息安全厂商、软硬件厂商与互联网公司等,以平等自愿的原则,通过签约合作的方式与这些单位开展合作。本计划通过整合业内资源,联合技术支撑单位,提高重大漏洞的发现、分析、处置能力,进一步助力信息安全漏洞研究、事件解读,形成漏洞的收集、分析、处置、披露的良性机制,从而提高我国信息安全漏洞的研究水平和预警能力。
CNNVD不对技术支撑单位收取申请、评审等相关服务费用。CNNVD与技术支撑单位合作过程所产生的费用由各自自行承担。
二、 计划内容
本计划主要面向信息安全厂商、软硬件厂商与互联网公司等,通过共享资源和服务,逐步形成优势互补、协同发展的技术支撑单位合作体系。
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
2
技术支撑单位需要具有专业的信息安全研发团队和较强的漏洞分析能力,了解并认同CNNVD的业务和职能,致力于和CNNVD保持积极向上的技术业务合作关系。
CNNVD技术支撑单位共设置三种级别,分别是一级、二级和三级(一级为最高级别),依据技术支撑单位的公司规模、技术研究能力、贡献程度等,以确定其支撑级别及其对应的年度贡献指标。同时,伴随技术支撑单位贡献程度的变化,相应的级别等方面也会有相应的调整。CNNVD技术支撑单位的年度贡献包括如下几方面(具体要求见附件一):
(1) 原创漏洞支撑
按照CNNVD漏洞提交规范向CNNVD提交原创漏洞信息,信息需要具备真实性、有效性等特点。
(2) 漏洞预警支撑
对重大信息安全漏洞做出及时响应,积极主动向CNNVD提供相关信息并协助CNNVD完成预警工作。
(3) 其他支撑
与CNNVD开展与与漏洞技术相关的验证研判、技术研讨、事件性漏洞报送、数据分析等合作。
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
3
三、 申请流程
开始
形式化审查
考察评估
告知评审结果
结束
了解计划内容
提交申请书
《CNNVD技术支撑单位
计划指南》
《CNNVD技术支撑单位申请
书》
提交贡献
• 原创漏洞
• 漏洞预警
专家评审
签署协议
• 《CNNVD与技术支撑单位合作协
议》
颁发证书
通过
通过
不通过
通过
不通过
通知
提交
《CNNVD技术支撑单位
考察期贡献总结表》
不通过
《CNNVD与技术支撑单
位合作协议》
申请单位CNNVD
图1 技术支撑单位申请流程
(1) 申请阶段:申请单位阅读《国家信息安全漏洞库(CNNVD)
技术支撑单位计划指南》,提交《国家信息安全漏洞库
(CNNVD)技术支撑单位申请书》,由CNNVD 对其进行
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
4
审核,初审通过后,申请单位进入考察评估阶段。
(2) 考察评估阶段:该阶段设定6个月的贡献考察期,申请单位可在此期间向CNNVD提交原创漏洞、漏洞预警等,由CNNVD对申请单位进行综合评估。
(3) 专家评审阶段:CNNVD召开技术支撑单位申请专家评审会,通过对申请单位提交的申请材料、考察期贡献内容、与CNNVD沟通配合情况等内容进行综合评估和级别判定。
(4) 协议签订阶段:CNNVD将评审结果通知申请单位,与通过评审的申请单位签订《国家信息安全漏洞库(CNNVD)与技术支撑单位合作协议》。
(5) 证书颁发阶段:CNNVD向技术支撑单位颁发证书,有效期一年。
四、 证书维持与年度评价
(一)证书维持
技术支撑单位证书有效期为一年。CNNVD在支撑单位有效期结束之前20个工作日对其进行年度贡献审核,根据其证书有效期内贡献情况,如满足各级别续期要求则办理证书续期。
证书续期规则如下:
1、 若年度支撑贡献满足该级别的要求,等级维持不变。
2、 “二级”或“三级”支撑单位,若年度支撑贡献达到上一级对应
的要求,可申请升级一个级别,经审批通过后可办理升级。对于贡献
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
5
特别突出的单位,经批准可酌情提前予以升级一个级别。
3、 年度支撑贡献不满足该级别的要求,则降低一个支撑等级
直至取消资格(如:“一级”降为“二级”,“三级”取消资格)。
4、 如支撑单位在证书有效期间,有违反国家法律法规及双方
作协议的情况,CNNVD将有权取消技术支撑单位资格并撤回证书。
技术支撑单位的单位名称及注册地址发生变化时,可向CNNVD提交《技术支撑单位信息变更申请表》,经CNNVD审核通过实施证书信息变更。证书信息变更内容不包含统一社会信用代码。
(二) 年度评价
CNNVD每年度根据技术支撑单位贡献情况进行综合评价,对贡献突出的支撑单位给予荣誉奖励。各技术支撑单位应积极配合CNNVD贡献统计及年度评价工作。
注:本指南自发布之日起实施,最终解释权归中国信息安全测评中心所有。
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
6
附件1:技术支撑单位考察评估阶段贡献指标 考察项目考察项目 考察指标考察指标
基本信息
基本信息
技术支撑单位申请材料内容填写完整、
技术支撑单位申请材料内容填写完整、真实真实准确。准确。
负责安全业务、
负责安全业务、
漏洞
漏洞团队能力团队能力
1) 单位主营业务为信息安全行业,相关安单位主营业务为信息安全行业,相关安全业务与漏洞分析全业务与漏洞分析挖掘密切相关挖掘密切相关,具备一定,具备一定安全漏洞研究安全漏洞研究能力、安全应急响能力、安全应急响应能力;应能力;
2) 漏洞团队漏洞团队要求:要求:
一级:
一级:人数人数达到达到2020人以上人以上,,团队研究方向与获得成绩非常团队研究方向与获得成绩非常突出;突出;
二级:
二级:人数人数达到达到1010人以上人以上,,团队研究方向与获得成绩比较团队研究方向与获得成绩比较突出;突出;
三级:
三级:人数人数达到达到55人以上人以上,,团队研究方向与获得成绩符合要团队研究方向与获得成绩符合要求。求。
技术能力
技术能力
具备在信息安全领域的科研、工程和服务能力。
具备在信息安全领域的科研、工程和服务能力。
原创漏洞
原创漏洞支撑支撑

向CNNVDCNNVD提交原创漏洞:提交原创漏洞:
一级:通用型漏洞不少于
一级:通用型漏洞不少于2020个,其中高危及以上漏洞不个,其中高危及以上漏洞不少于少于33个;个;
二级:通用型漏洞不少于
二级:通用型漏洞不少于1155个,其中个,其中高高危及以上漏洞不危及以上漏洞不少于少于11个;个;
三级:通用型漏洞不
三级:通用型漏洞不少于少于33个。个。
漏洞预警漏洞预警支撑支撑

向CNNCNNVDVD提交漏洞提交漏洞预警预警报告:报告:
一级:重要预警数量不少于
一级:重要预警数量不少于55份;份;
二级:一般及以上预警数量不少于
二级:一般及以上预警数量不少于55份;份;
三级:一般及以上预警数量不少于
三级:一般及以上预警数量不少于33份。份。
国家信息安全漏洞库(CNNVD)技术支撑单位计划指南
7
附件2: 技术支撑单位年度支撑指标技术支撑单位年度支撑指标 评价项目评价项目 评价指标评价指标
资料合规性
资料合规性

《CNNVDCNNVD技术支撑单位年度工作总结》内容填写真实完整,技术支撑单位年度工作总结》内容填写真实完整,符合要求。符合要求。
业务配合度
业务配合度

与CNNVDCNNVD沟通配合顺畅,态度积极,从未出现接口人联系不沟通配合顺畅,态度积极,从未出现接口人联系不上或通知邮件回复不及时的情况。上或通知邮件回复不及时的情况。
原创漏洞
原创漏洞支撑支撑

向CNNVDCNNVD提交原创漏洞提交原创漏洞::
一级:通用型漏洞不少于
一级:通用型漏洞不少于3535个,其中高危漏洞不少于个,其中高危漏洞不少于55个;个;
二级:通用型漏洞不少于
二级:通用型漏洞不少于2525个,其中高个,其中高危漏洞不少于危漏洞不少于11个;个;
三级:通用型漏洞不少于
三级:通用型漏洞不少于55个。个。
漏洞预警
漏洞预警支撑支撑

向CNNVDCNNVD提交漏洞预警提交漏洞预警报告报告::
一级:重要预警不少于
一级:重要预警不少于1010份;份;
二级:一般及以上预警数量不少于
二级:一般及以上预警数量不少于1100份;份;
三级:一般及以上预警数量不少于
三级:一般及以上预警数量不少于55份。份。
其他支撑
其他支撑
根据
根据CNNVDCNNVD的需求,积极响应由的需求,积极响应由CNNVDCNNVD发起的关于漏洞技发起的关于漏洞技术的验证研判、技术研讨、数据分析专项支撑、事件型漏洞专术的验证研判、技术研讨、数据分析专项支撑、事件型漏洞专项支撑等。项支撑等。

M1r4n
关注
计算机三级信息安全技术知识点总结(7)
weixin_50956890的博客
11-14 4345
TCG使用了可信平台模块,而中国的可信平台以可信密码模块为核心。 漏洞利用的核心,是利用程序漏洞去执行shellcode以便劫持进程的控制权。 恶意影响计算机操作系统,应用程序和数据的完整性、可用性、可控性和保密性的计算机程序是恶意程序。 根据加壳原理的不同,软件加壳技术包括压缩保护壳和加密保护壳。 处于未公开状态的漏洞是0day漏洞。 国家信息安全漏洞共享平台是CNCERT联合国内重要信息系统单位建立的信息安全漏洞共享知识,它的英文缩写是CNVD。 电子签名需要第三方认证,是由依法设立的电子
安全漏洞分类之CNNVD漏洞分类指南
明光札记
11-30 6222
凡是被国家信息安全漏洞CNNVD)收录的漏洞,均适用此分类规范,包括采集的公开漏洞以及收录的未公开漏洞,通用型漏洞及事件型漏洞。CNNVD信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。
cnnvddatabase.rar
07-19
包含截至到2019-7-18日的cnnvd漏洞漏洞信息,同时包含python3代码一份 运行时修改两个参数即可,自己写的代码,比较垃圾,单个程序爬取速度大概半小时1万条,可以多开
网络安全|填志愿选学校,选哪个学校更出洞?——漏洞
logic1001的博客
08-25 1553
这篇只讲国内漏洞挖掘这一点,在出洞数量上遥遥领先的一般是安全厂商的队伍,但是其中不乏高校、个人的身影。
阿里巴巴集团成为国家信息安全漏洞(CNNVD)技术支撑单位
weixin_34343308的博客
12-22 675
阿里巴巴集团成为国家信息安全漏洞(CNNVD)技术支撑单位 阿里聚安全根据《国家信息安全漏洞CNNVD技术支撑单位计划指南》相关规定,向国家信息安全漏洞CNNVD)运行管理中心,提交“阿里巴巴(中国)网络技术有限公司”为主体申请成为“CNNVD技术支撑单位”的公司。 国家信息安全漏洞CNNVD)运行管理中心在2016年6月...
阿里巴巴成为国家信息安全漏洞(CNNVD)支撑单位
weixin_34133829的博客
12-21 206
近日,阿里聚安全根据《国家信息安全漏洞CNNVD技术支撑单位计划指南》相关规定,向国家信息安全漏洞CNNVD)运行管理中心,提交“阿里巴巴(中国)网络技术有限公司”为主体申请成为“CNNVD技术支撑单位”的公司。国家信息安全漏洞CNNVD)运行管理中心在2016年6月至11月期间通过阿里聚安全对阿里安全进行了支撑能力考查,并于11月18日举行了现场答辩,经专家组评议,并与相关单位沟通...
CNVDCNNVD
2301_78006725的博客
11-18 866
国家信息安全漏洞(China National Vulnerability Database of Information Security):是中国信息安全测评中心(中文简称:国测,英文简称:CNITSEC,China Information Technology Security Evaluation Center)为切实履行 漏洞分析 和 风险评估 的职能,负责建设运维的国家信息安全漏洞,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。
CNNVD发布微软多个安全漏洞,涉高危及以上等级漏洞56个
m0_50579386的博客
08-18 490
CNNVD发布微软多个安全漏洞,涉高危及以上等级漏洞56个。
CNNVD技术支撑单位申请书模板与指南
最新发布
10-08
内容概要:本文档为国家信息安全漏洞CNNVD)的技术支撑单位申请书模板及指南,包含了详细的申请流程介绍、基本信息填写、组织结构与人员状况介绍、支持能力详情及其发展蓝图部分的内容。旨在帮助申请成为CNNVC...
CNNVD漏洞资源文件
01-04
CNNVD(China National Vulnerability Database)是中国国家信息安全漏洞,它是我国网络安全的重要组成部分,负责收集、分析、评估和发布关于各类软件和硬件的安全漏洞信息。这个"CNNVD漏洞资源文件"很可能是一个...
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
cnnvd爬虫,仅供学习参考。
07-16
# -*- coding:utf-8 -*- import sys #print (u'系统默认编码为',sys.getdefaultencoding()) default_encoding = 'utf-8' #重新设置编码方式为uft-8 if sys.getdefaultencoding() != default_encoding: reload(sys) sys.setdefaultencoding(default_encoding) #print (u'系统默认编码为',sys.getdefaultencoding()) import requests from bs4 import BeautifulSoup import traceback import re import xlwt def getURLDATA(url): #url = 'http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-1014' header={ 'user-agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.80 Safari/537.36', 'Connection': 'keep-alive',} r=requests.get(url,headers=header,timeout=30) #r.raise_for_status()抛出异常 html = BeautifulSoup(r.content.decode(),'html.parser') link=html.find(class_='detail_xq w770')#漏洞信息详情 link_introduce=html.find(class_='d_ldjj')#漏洞简介 link_others=html.find_all(class_='d_ldjj m_t_20')#其他 #print(len(link_introduce)) try: #print ("危害等级:"+link.contents[3].contents[3].find('a').text.lstrip().rstrip())#危害等级 list4.append(str(link.contents[3].contents[3].find('a').text.lstrip().rstrip())) except: #print("危害等级:is empty") list4.append("") try: #print ("CVE编号:"+link.contents[3].contents[5].find('a').text.lstrip().rstrip())#CVE编号 list5.append(str(link.contents[3].contents[5].find('a').text.lstrip().rstrip())) except: #print("CVE编号:is empty") list5.append("") try: #print ("漏洞类型:"+link.contents[3].contents[7].find('a').text.lstrip().rstrip())#漏洞类型 list6.append(str(link.contents[3].contents[7].find('a').text.lstrip().rstrip())) except : #print("漏洞类型:is empty") list6.append("") try: #print ("发布时间:"+link.contents[3].contents[9].find('a').text.lstrip().rstrip())#发布时间 list7.append(str(link.contents[3].contents[9].find('a').text.lstrip().rstrip())) except : #print("发布时间:is empty") list7.append("") try: #print ("威胁类型:"+link.contents[3].contents[11].find('a').text.lstrip().rstrip())#威胁类型 list8.append(str(link.contents[3].contents[11].find('a').text.lstrip().rstrip())) except : #print("威胁类型:is empty") list8.append("") try: #print ("更新时间:"+link.contents[3].contents[13].find('a').text.lstrip().rstrip())#更新时间 list9.append(str(link.contents[3].contents[13].find('a').text.lstrip().rstrip())) except : #print("更新时间:is empty") list9.append("") try: #print ("厂商:"+link.contents[3].contents[15].find('a').text.lstrip().rstrip())#厂商 list10.append(str(link.contents[3].contents[15].find('a').text.lstrip().rstrip())) except: #print("厂商:is empty") list10.append("") #link_introduce=html.find(class_='d_ldjj')#漏洞简介 try: link_introduce_data=BeautifulSoup(link_introduce.decode(),'html.parser').find_all(name='p') s="" for i in range(0,len(link_introduce_data)): ##print (link_introduce_data[i].text.lstrip().rstrip()) s=s+str(link_introduce_data[i].text.lstrip().rstrip()) #print(s) list11.append(s) except : list11.append("") if(len(link_others)!=0): #link_others=html.find_all(class_='d_ldjj m_t_20') #print(len(link_others)) try: #漏洞公告 link_others_data1=BeautifulSoup(link_others[0].decode(),'html.parser').find_all(name='p') s="" for i in range(0,len(link_others_data1)): ##print (link_others_data1[i].text.lstrip().rstrip()) s=s+str(link_others_data1[i].text.lstrip().rstrip()) #print(s) list12.append(s) except: list12.append("") try: #参考网址 link_others_data2=BeautifulSoup(link_others[1].decode(),'html.parser').find_all(name='p') s="" for i in range(0,len(link_others_data2)): ##print (link_others_data2[i].text.lstrip().rstrip()) s=s+str(link_others_data2[i].text.lstrip().rstrip()) #print(s) list13.append(s) except: list13.append("") try: #受影响实体 link_others_data3=BeautifulSoup(link_others[2].decode(),'html.parser').find_all('a',attrs={'class':'a_title2'}) s="" for i in range(0,len(link_others_data3)): ##print (link_others_data3[i].text.lstrip().rstrip()) s=s+str(link_others_data3[i].text.lstrip().rstrip()) #print(s) list14.append(s) except: list14.append("") try: #补丁 link_others_data3=BeautifulSoup(link_others[3].decode(),'html.parser').find_all('a',attrs={'class':'a_title2'}) s="" for i in range(0,len(link_others_data3)): ##print (link_others_data3[i].t
NVDCNNVD数据集.7z
04-12
1.CNNVD是中国国家信息安全漏洞数据 2.软件漏洞数据包括2002年-2017年的漏洞数据 3.漏洞数据存储格式为xml,供软件安全研究人员使用 1.NVD是美国国家通用漏洞数据 2.漏洞数据包括2000年-2017年的漏洞数据 3漏洞数据存储格式为xml,供软件安全研究人员使用。
网络安全(黑客技术)—2024自学手册
TDJYGC的博客
04-24 872
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
漏洞:爬取CNNVD-国家信息安全漏洞
KEY0NE的个人博客
11-13 3442
CNNVD相对CNVD的爬取更简单一点,当前并未遇到明显的爬虫限制机制初步分析首先,还是使用我钟爱的爬虫框架——pyspider,选取first page作为起始页http://www.cnnvd.org.cn/web/vulnerability/querylist.tagCNNVD的页面只需要提交get请求即可递归访问到下一页下面进入到漏洞详情页,抓取需要的信息...
国家信息安全漏洞CNNVD技术支撑单位等级证书
zhidaxinye的博客
04-18 1595
CNNVD技术支撑单位共设置三种级别,分别是一级、二级和三级,其中一级为最高级别。这些级别依据技术支撑单位的公司规模、技术研究能力、贡献程度等因素来确定。
信息安全术语-cvss、cve、cnvdcnnvd、cpe、cwe、nvd
-
05-09 3841
cvss、cve、cnvdcnnvd、cpe、cwe、nvd
美创科技荣获国家信息安全漏洞CNNVD技术支撑单位
美创科技的博客
10-31 603
近日,美创科技经过多层审核评定,荣获中国信息安全测评中心颁发的“国家信息安全漏洞(CNNVD)技术支撑单位等级(三级)”证书,成为CNNVD技术支撑单位之一。
国家信息安全漏洞CNNVD技术支撑单位
longyurenzheng的博客
11-07 2145
CNNVD技术支撑单位计划主要面向信息安全厂商、软硬件厂商与互联网公司等, 以平等自愿的原则,通过签约合作的方式与这些单位开展合作。本计划通过整合业内资源, 联合技术支撑单位,提高重大漏洞和重要安全事件的发现、分析、处置能力, 进一步助力信息安全漏洞研究、事件解读,形成漏洞/事件的收集、分析、处置、披露的良性机制, 从而提高我国信息安全漏洞/事件的研究水平和通报能力。►►►级别划分CNNVD 技术支撑单位共设置三种级别,分别是一级、二级和三级(一级为最高级别),依据技术支撑单位的公司规模、技术研究能力、贡献
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M1r4n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值