从“DDoS攻击导致半个美国互联网瘫痪”事件到“京东疑似遭到信息泄露”;从“勒索病毒造成大量用户钱财损失”到“IoT蠕虫木马横行”,这些频频发生的信息安全事件给我们不断敲响了警钟。世界各国如何对漏洞进行统一的管控,是否有权威的解读和知识库?
漏洞界的国家级最高奖项:CNNVD、CNVD
**产品、系统在设计、实现、配置、运行等过程中,或多或少会存在缺陷,这些缺陷可能是有意留下的,也可能是无意产生的,而这些缺陷一旦被恶意人员所利用,就会对信息系统安全造成损害,在信息安全领域,我们把这些缺陷统称为信息安全漏洞。信息安全漏洞是引发信息安全事件的主要原因之一,信息安全事件的频发也引起了业界对信息安全的高度重视。因此,世界各国为了更好的进行信息安全漏洞的管理和控制,均建立了自己的国家漏洞库。
在我国,有两个权威的信息安全漏洞发布和共享知识库,分别是CNNVD和CNVD。
什么是CNNVD?
中国国家信息安全漏洞库,英文名称“China National Vulnerability Database of Information Security ”,简称“CNNVD”,是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能、负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务。
CNNVD已形成以漏洞数据资源为核心,涵盖补丁、受影响产品、安全事件等漏洞资源服务平台,支撑信息系统产品测评、漏洞分析、隐患分析、风险评估等多项业务,有效提高了我国信息安全威胁应对与风险管理的能力和水平。
CNNVD是中国权威的漏洞库,通过CNNVD编号可以在此平台上快速查询到该漏洞的相关描述、补丁信息或临时解决办法。
CNNVD一直着力于与各技术支撑单位及业内顶级信息安全专家合作,共同开展与漏洞分析相关的技术研究。
什么是CNVD?
与CNNVD有着一字之差的CNVD,也是重磅的国家信息安全漏洞共享和管理平台,它的全称是”China National Vulnerability Database”,简称CNVD。CNVD是由国家互联应急中心联合国内重要信息系统单位建立的漏洞信息共享知识库。致力于与优秀软件厂商、科研机构、公共互联网用户等合作,共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系。CNVD遵循的原则是共建共享,侧重处置影响国内**、行业和个人用户的重要漏洞,并定向推送重要的漏洞信息。
CNVD也有自己的漏洞编号,并且每个漏洞编号是唯一的。在CNVD平台上,我们可以查到漏洞的各种信息,如CVE编号、危害等级、漏洞描述及类型,漏洞解决方案等。
CNNVD和CNVD平台的出现,应该说为厂商、企业起到了很好的预警作用,他们及时公布漏洞供厂商、企业参考,避免造成更大的危害。CNNVD和CNVD在提升我国在安全漏洞方面的整体研究水平和及时预防的能力、提高我国信息系统及软件的安全性方面,起着不可替代的作用。
CNVD和CNNVD名字很像,它们的区别是什么呢?
CNVD是国家信息安全漏洞共享平台,是由国家互联网应急中心联合国内重要信息系统单位、基础电信运营商、**安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享库,目的是建立国内安全漏洞统一收集验证、预警发布及应急处置体系。
CNNVD是中国信息安全漏洞库,世界各国为了更好的进行信息安全漏洞的管理和控制,均先后建立了国家信息安全漏洞库,国家漏洞库通过各种渠道在整个互联网范围内,不分国界地收集漏洞数据和补丁信息,并及时发布,让大家第一时间了解并解决自己的信息系统存在的问题。