从“斯诺登”事件到国家.CN顶级域名系统被攻击,从超级网银授权支付欺骗到由于使用Struts2导致国内多家网站被远程控制,从CSDN等国内知名网站账户密码泄露到酒店住客信息泄露,频频发生的信息安全事件对国家安全、社会稳定、人民生产生活造成了严重威胁和影响。所有这些信息安全事件,都与信息安全漏洞密切相关。信息安全漏洞是信息安全事件的本质所在,是信息安全事件发生的主要原因,因此从国家层面对信息安全漏洞进行管控,是当前解决信息安全问题的重要抓手。
中国国家信息安全漏洞库(CNNVD)由中国信息安全测评中心组建,并于2009年正式投入运行,这一国家级公益服务平台旨在为我国信息安全保障提供基础服务,截至2013年12月共收集漏洞信息63132条、补丁信息17005条,发布安全新闻2201条。到目前为止,CNNVD已形成以漏洞数据资源为核心,涵盖补丁、受影响产品、安全事件等多元素的漏洞资源服务平台,支撑信息系统产品测评、漏洞分析、隐患分析、风险评估等多项业务,有效提高了我国信息安全威胁应对与风险管理的能力和水平。但同时我们也应意识到,面对影响波及全球的“斯诺登事件”和新的安全形势,加强国家漏洞库建设的任务依然严峻,汇聚社会力量以提高安全保障的水平同样势在必行。
12月8日,在京召开的第六届漏洞分析与风险评估大会上,中国信息安全测评中心举行了CNNVD技术支撑单位的授牌仪式与特聘专家证书颁发仪式,14家CNNVD技术支撑单位的领导和专家出席。
据悉,CNNVD计划与第一批14家技术支撑单位以及14位业内顶级信息安全专家合作,共同开展与漏洞分析相关的技术研究工作,以提升信息安全专业化服务能力和水平,带动信息产业和信息安全服务业的发展,为基础信息网络、重要信息系统和社会公众提供更加有力的保障,努力将CNNVD打造成为国际知名、有实际成效的国家级信息安全漏洞共享、互助和服务平台。
根据对CNNVD漏洞库技术支撑能力的不同要求,技术支撑单位划分为三个级别,其中一级单位6家,二级单位3家,三级单位5家,囊括了启明星辰、网御星云等国内信息安全企业。特聘专家主要包括袁仁广、于旸、左磊、潘剑锋和王清等国内顶尖信息安全专家。
作为具有中国特色和为国内广大用户服务的信息安全国家级公益服务平台,CNNVD在未来的工作中将积极同合作单位与业内专家开展技术交流合作,进一步扩大信息渠道、丰富服务内容和服务形式、规范服务流程和技术标准、强化技术研究和平台建设,以切实保障信息安全,降低信息安全事件发生的可能性,提高我国信息安全漏洞研究水平和全行业信息安全预警能力,更好地提升我国信息安全漏洞管理服务的技术水平和能力,进一步满足国家重要信息系统安全保障的需求。
