1、国家信息安全漏洞库(CNNVD)技术支撑单位计划指南版本:V3.5中国信息安全测评中心本指南可通过CNNV官方网站下载:l目录第1章计划介绍1第2章计划内容12.1合作方式22.2申请流程42.3总结评价5第4章证书续期6国家信息安全漏洞库(CNNVD)技术支撑单位计划指南第1章计划介绍国家信息安全漏洞库(ChinaNationalVulnerabilityDatabaseofInformationSecurity,以下简称CNNVD,是中国信息安全测评中心(以下简称测评中心”为切实履行漏洞分析和风险评估职能,负责建设运维的国家级信息安全漏
2、洞数据管理平台,旨在为我国信息安全保障提供服务。经过几年的建设与运营,CNNV在信息安全漏洞搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用,为我国重要行业和关键基础设施安全保障工作提供了重要的技术支撑和数据支持。CNNV技术支撑单位计划主要面向信息安全厂商、软硬件厂商与互联网公司等,以平等自愿的原则,通过签约合作的方式与这些单位开展合作。本计划通过整合业内资源,联合技术支撑单位,提高重大漏洞和重要安全事件的发现、分析、处置能力,进一步助力信息安全漏洞研究、事件解读,形成漏洞/事件的收集、分析、处置、披露的良性机制,从而提高我国信息安全漏洞/事件的研究水平和预警
3、能力。第2章计划内容本计划主要面向信息安全厂商、软硬件厂商与互联网公司,通过共享双方的信息、资源和服务,逐步形成优势互补、协同发展的技术支撑单位合作体系。技术支撑单位可向CNNV提供多种支撑,如提交漏洞/事件信息、共享分析报告、协助安全事件应急处置、参与可信补丁分发、协办会议研讨、组织培训竞赛、参与宣传推广等。CNNVD可向技术支撑单位共享漏洞/事件信息、提供兼容性认证服务、对突出贡献的单位进行表彰和公示、提供CNNV的平台和资源等。2.1合作内容技术支撑单位需要具有专业的信息安全研发团队和较强的漏洞/事件分析能力,了解并认同CNNVI的业务和职能,致力于和CNNV保持积
4、极向上的技术业务合作关系。CNNVD寸技术支撑单位设置三种级别,分别是三级、二级和一级(其中一级是最高级别),并依据技术支撑单位与CNNV合作中的参与贡献程度、信息安全研究能力和投入情况等,来决定技术支撑单位具备的支撑级别以及需要满足的条件和履行的义务。同时,伴随技术支撑单位级别的变化,对技术支撑单位的要求和义务以及向技术支撑单位提供的权益也会相应的发生变化,从而使参与各方获得更广泛的共赢。技术支撑单位的可从如下方面向CNNV提供支撑:(1)安全漏洞一一按照CNNV漏洞提交规范向CNNV提交未公开漏洞信息,信息需要具备真实性、有效性、非重复等特点。(2)安全事件一一按照CN