安全公告编号:CNTA-2016-0039

经2016年8月18日召开的国家信息安全漏洞共享平台（CNVD）工作会议全体讨论通过，现正式发布《CNVD成员单位基本能力要求和申请流程指南》，并欢迎网络安全研究机构、网络安全企业、互联网企业、软硬件生产厂商积极加入CNVD技术组和用户组，共同做好CNVD共建共享和漏洞安全应急管理工作。

一、CNVD工作目标

国家信息安全漏洞共享平台（ChinaNational Vulnerability Database，简称CNVD）是由国家计算机网络应急技术处理协调中心（中文简称国家互联应急中心，英文简称CNCERT）联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系，切实提升我国在安全漏洞方面的整体研究水平和及时预防能力，进而提高我国信息系统及国产软件的安全性，带动国内相关安全产品的发展。

二、加入CNVD工作体系倡议

国家信息安全漏洞共享平台（CNVD）倡议安全研究机构、网络安全企业、互联网企业、软硬件生产厂商以及相关行业单位积极加入CNVD，成为技术支持组（简称技术组）或用户合作组（简称用户组）单位，以及倡议第三方漏洞信息报告平台积极建立与CNVD的处置协作关系，共同开展漏洞收集、验证、分析和处置相关工作，以保障政府和重要信息系统部门网络安全、保障企事业单位和个人用户的网络安全权益。

三、CNVD技术组条件要求

CNVD技术组成员单位是CNVD开展漏洞收录、漏洞分析、漏洞挖掘以及漏洞全局监测、应急响应工作的核心成员，具体支撑作用体现在漏洞收录、挖掘、验证、威胁评价等技术研究方面以及在产品的漏洞应急响应、补丁的发布测试等应急处置方面。

技术组成员单位的基本条件如下(满足一项或多项)：

（一）能积极跟踪国内外公开漏洞信息发布源，能持续定期批量向CNVD提交本单位收录的已公开漏洞信息，并按CNVD格式要求进行规范化整理。能力评估参照：每年报送数公开漏洞数量超过1500个。

（二）具备接收原创漏洞报送或自主实施漏洞奖励计划的工作平台，并与CNVD开展漏洞信息共享和处置协作。能力评估参照：具备规范的漏洞信息披露和处置流程，每年推送信息超过1000个。

（三）具备漏洞挖掘的技术能力，并向CNVD积极提交原创漏洞信息（需经过有效性和原创性比对）。能力评估参照：通用软硬件漏洞数量不设最低限，需由CNVD秘书处综合评估核心技术能力、产出数量能力，对于事件型漏洞数量>300个/年。

（四）具备漏洞相关的自主知识产权产品（如：漏洞检测引擎、漏洞威胁风险大数据等），与CNVD开展产品能力调用（如：引擎调用）、全局响应能力输出（如：共享漏洞威胁检测数据）。能力评估参照：需提供相关产品知识产权证明或通过CNVD同类产品无先例、产品无OEM核查，能持续提供引擎类调用接口或协商技术对接应用。

（五）具备开展漏洞检测、监测的技术能力，能独立开展软硬件产品应用识别和漏洞攻击检测分析。能力评估参照：每年提供应用识别特征覆盖超过100种类产品包括操作系统、数据库、WEB软件、中间件等（不包括同一软硬件产品不同版本情形，并与CNVD已有特征库进行查重比对），或每年分析漏洞攻击报文监测特征（限最近两年漏洞，与CNVD已有特征库进行查重比对）超过200条。

（六）具备漏洞全局处置能力，并已建立行业领域内有效的漏洞处置工作机制，协助CNVD处置本行业单位漏洞完成率超过95%。

（七）具备上述项未涉及的其他独有漏洞安全研究技术能力或产品、数据输出能力。

四、CNVD用户组条件要求

CNVD用户组成员单位是CNVD开展漏洞应急处置，防范政府和重要部门、行业单位用户、大规模用户安全风险的重要组成部分，用户组成员需认同并贯彻漏洞处置用户侧主动响应原则，具备基本的漏洞修复技术服务能力、良好的漏洞处置协作能力，与CNVD开展漏洞大规模威胁处置协作，向CNVD积极报备自身产品、信息系统相关漏洞风险。根据应用规模和应用领域划分，基本条件如下：

（一）软硬件产品用户涉及国内大规模用户单位，信息系统产品安全风险有可能影响大规模个人用户。数量参照：软硬件产品涉及超过100个党政机关或重要行业单位用户；自主管理的信息系统涉及个人用户数量达百万级；归口管理的信息系统或下属机构数量超过百个。

（二）主体单位归属以下类别工作组：政府高校、基础电信、增值电信、网络设备、工业控制、电子邮件、电子政务等，CNVD根据主体情况可新设工作组。

五、CNVD成员单位申请流程

CNVD成员单位申请流程主要包括：能力证明材料提交、前期试行考察、协议和公约签署三个部分。其中：

能力证明材料包含：单位基本资质审核、单位授权证明、对照技术组和用户组条件要求的相关能力证明材料。

前期试行考察包含：通过材料审核后，参照能力评估标准按照CNVD工作机制对申请单位进行为期1至2个月的实践考察。

协议和公约签署包含：通过试行考察后，与中国互联网协会网络与信息安全工作委员会（秘书处设在国家互联网应急中心，CNCERT）签署《国家信息安全漏洞共享平台（CNVD）共建共享协议》以及《中国互联网协会漏洞信息披露和处置自律公约》。

成为CNVD成员单位后，须接受协议和公约的约束和监督，并由CNVD秘书处评估成员单位参照指标完成情况。

附：

CNVD成员单位申请联系邮箱：vsupport@cert.org.cn，联系人：何世平 联系电话：010-82990286。