CNCVE安全測試服務(wù)白皮書

中文漏洞知識庫（CNCVE）信息技術(shù)產(chǎn)品安全測試服務(wù)白皮書中文漏洞知識庫（CNCVE）信息技術(shù)產(chǎn)品安全測試服務(wù)白皮書版本：V1.0憑闌江蘇實驗室科技有限公司

目錄一、 服務(wù)概述 3二、 服務(wù)內(nèi)容 32.1、 服務(wù)對象 32.2、 申請流程 32.3、 證書續(xù)期 42.4、 服務(wù)費用 4三、 聯(lián)系方式 4

服務(wù)概述中文漏洞知識庫（ChineseCommonVulnerabilitiesandExposures，以下簡稱“CNCVE”），是憑闌江蘇實驗室科技有限公司（以下簡稱“憑闌實驗室”）基于公開漏洞進行收集、分析和評估，負(fù)責(zé)運營的中文信息安全漏洞知識管理平臺，旨在為全球信息安全保障提供服務(wù)。通過社區(qū)建設(shè)與運營，CNCVE在信息安全漏洞搜集、重大漏洞信息通報、高危漏洞安全消控等方面發(fā)揮了重大作用，為全球重要行業(yè)和關(guān)鍵設(shè)施安全保障工作提供了重要的技術(shù)支撐和數(shù)據(jù)支持。信息技術(shù)產(chǎn)品安全測試證書經(jīng)常用于應(yīng)用程序，數(shù)據(jù)庫，網(wǎng)絡(luò)，軟件，操作系統(tǒng)，半導(dǎo)體，協(xié)議，存儲介質(zhì)和其他IT產(chǎn)品的測試，以確保其可靠性并符合行業(yè)安全標(biāo)準(zhǔn)。信息技術(shù)產(chǎn)品安全測試證書將確保產(chǎn)品的安全性，可靠性和可用性，為使用此類產(chǎn)品的用戶提供安全保障。以豐富標(biāo)準(zhǔn)的漏洞數(shù)據(jù)為依托，CNCVE為客戶提供信息技術(shù)產(chǎn)品安全測試服務(wù)，根據(jù)CNCVE最新漏洞庫中漏洞列表，對上述產(chǎn)品進行漏洞覆蓋測試，從而驗證該產(chǎn)品中是否存在已知漏洞。服務(wù)內(nèi)容服務(wù)對象CNCVE信息技術(shù)產(chǎn)品安全測試服務(wù)主要面向國內(nèi)外信息技術(shù)從業(yè)單位，對其研制的信息技術(shù)產(chǎn)品提供安全測試服務(wù)。申請流程用戶提交申請申請CNCVE信息技術(shù)產(chǎn)品安全測試服務(wù)的用戶，通過網(wǎng)站在線提交《CNCVE信息技術(shù)產(chǎn)品安全測試服務(wù)申請表》。《申請書》如有內(nèi)容變更，則須重新提交。需要簽署紙質(zhì)協(xié)議的，可線上線下同步進行。材料受理CNCVE將于5個工作日內(nèi)對申請單位所提交的相關(guān)資料進行審核，審核內(nèi)容包括：對申請產(chǎn)品/系統(tǒng)的基本資料和相關(guān)資質(zhì)進行審核。材料正式受理后，用戶繳納測試費用。產(chǎn)品送測用戶將產(chǎn)品送至CNCVE進行測試，產(chǎn)品形態(tài)可以是軟件、硬件一體機（內(nèi)置軟件）或在線提供系統(tǒng)等，同時附上安裝及使用說明文檔，用戶需遠程協(xié)助安裝、配置系統(tǒng)，確保系統(tǒng)可正常運行。用戶應(yīng)將CNCVE測試設(shè)備的IP列入白名單，提供必要權(quán)限的測試賬號、密碼（如有需要），且不得使用各類干擾措施影響測試效果。安全測試CNCVE安全測試人員對產(chǎn)品進行安全測試，出具測試（初測）報告，如無中高風(fēng)險漏洞則為合規(guī)，否則為不合格。安全整改如有不合格項，用戶應(yīng)在15個工作日內(nèi)予以整改。特殊情況下，用戶可申請延長整改期，但最長不超過60個工作日，否則視為自動放棄測試，費用不退。安全復(fù)測CNCVE安全測試人員對產(chǎn)品進行安全復(fù)測，出具測試（復(fù)測）報告。復(fù)測次數(shù)不超過2次，第2次復(fù)測仍不合格的，本次測試自動終止，費用不退。頒發(fā)證書并公示安全測試合格后，CNCVE對實施完成的產(chǎn)品將頒發(fā)CNCVE信息技術(shù)產(chǎn)品安全測試證書，并在CNCVE官方網(wǎng)站進行發(fā)布。證書續(xù)期信息技術(shù)產(chǎn)品安全測試證書有效期為三年。產(chǎn)品版本更新應(yīng)重新申請測試。服務(wù)費用CNCVE信息技術(shù)產(chǎn)品安