CNCVE兼容性服務白皮書

中文漏洞知識庫（CNCVE）兼容性服務白皮書中文漏洞知識庫（CNCVE）兼容性服務白皮書版本：V1.0憑闌江蘇實驗室科技有限公司

目錄一、 服務概述 3二、 服務介紹 32.1、 服務定義 32.2、 服務特點 42.3、 服務收益 4三、 服務內(nèi)容 53.1、 服務對象 53.2、 申請流程 53.3、 服務要求 73.3.1、 基本要求 73.3.2、 功能要求 73.4、 證書續(xù)期 83.5、 數(shù)據(jù)同步 83.6、 服務費用 8四、 服務監(jiān)督 84.1、 監(jiān)督要求 94.2、 監(jiān)督流程 94.2.1、 警告階段 94.2.2、 撤銷階段 9五、 聯(lián)系方式 10

服務概述中文漏洞知識庫（ChineseCommonVulnerabilitiesandExposures，以下簡稱“CNCVE”），是憑闌江蘇實驗室科技有限公司（以下簡稱“憑闌實驗室”）基于公開漏洞進行收集、分析和評估，負責運營的中文信息安全漏洞知識管理平臺，旨在為全球信息安全保障提供服務。通過社區(qū)建設與運營，CNCVE在信息安全漏洞搜集、重大漏洞信息通報、高危漏洞安全消控等方面發(fā)揮了重大作用，為全球重要行業(yè)和關(guān)鍵設施安全保障工作提供了重要的技術(shù)支撐和數(shù)據(jù)支持。CNCVE對所收錄的漏洞信息給予統(tǒng)一的編碼標識（即：CNCVE-ID標識），建立了與國內(nèi)外主流漏洞庫的映射關(guān)系，同時對漏洞詳細屬性特征進行統(tǒng)一的、詳細的、標準化的描述（如：漏洞命名、內(nèi)容描述、分類、分級等），基本涵蓋了國內(nèi)外主流軟硬件產(chǎn)品和信息系統(tǒng)。以豐富標準的漏洞數(shù)據(jù)為依托，規(guī)范詳實的漏洞描述為基礎，CNCVE對國內(nèi)外信息安全廠商及用戶推出兼容性服務，為漏洞挖掘、應用、驗證與規(guī)避等技術(shù)研究提供基礎支持，為開發(fā)更安全的信息產(chǎn)品或軟件系統(tǒng)提供理論和技術(shù)支撐，進一步滿足信息系統(tǒng)安全保障的需求。服務介紹服務定義CNCVE兼容性是指通過使用CNCVE標識，在各類安全工具、漏洞數(shù)據(jù)存儲庫及信息安全服務之間，以及與其他漏洞披露平臺之間，實現(xiàn)漏洞信息交叉關(guān)聯(lián)的方式。CNCVE兼容性服務是CNCVE面向國內(nèi)外信息安全從業(yè)單位，對其產(chǎn)品/服務等涉及的漏洞信息進行規(guī)范性評估與認證的服務。通過CNCVE兼容性服務的信息安全產(chǎn)品/服務，可實現(xiàn)其漏洞信息擁有統(tǒng)一的規(guī)范性命名與標準化描述，從而提高和加強國內(nèi)信息安全行業(yè)漏洞信息資源的共享與服務能力。通過CNCVE兼容性服務的產(chǎn)品/服務，應滿足CNCVE兼容性的要求：第一，檢索要求，通過CNCVE標識可檢索到對應的漏洞信息；第二，輸出要求，在輸出的漏洞信息中應包含CNCVE標識；第三，更新要求，存儲數(shù)據(jù)庫需定期更新CNCVE漏洞數(shù)據(jù)，并與CNCVE更新速度保持基本一致；第四，標準文檔要求，產(chǎn)品/服務標準說明文檔中需包含CNCVE兼容性的說明。服務特點唯一性：每個漏洞擁有唯一的編碼標識；及時性：CNCVE漏洞庫有專業(yè)的團隊與系統(tǒng)工具，對各大主流漏洞庫進行信息進行更新，確保數(shù)據(jù)收錄的及時性；兼容性：CNCVE漏洞庫數(shù)據(jù)源涵蓋了國內(nèi)外各大主流漏洞庫，如CVE、NVD、CNVD、CNCVE、NVD等，同時對Microsoft、Cisco、Oracle等重要廠商安全公告披露的漏洞信息進行了收錄，實現(xiàn)CNCVE與國內(nèi)外漏洞數(shù)據(jù)源的有效兼容；規(guī)范性：在參考國內(nèi)信息安全技術(shù)國家標準、國際通用標準的基礎上，CNCVE制定了統(tǒng)一的漏洞標準規(guī)范。易識別：統(tǒng)一的命名標識與規(guī)范化的描述，能更好的讓用戶識別安全隱患，提高安全防護。服務收益安全廠商使用CNCVE兼容性服務的優(yōu)勢1.使用CNCVE兼容性服務的安全廠商，可讓自身的安全產(chǎn)品/服務兼容國際標準與國家標準規(guī)范，可提供更好的安全服務，提升廠商競爭力；2.使用CNCVE兼容性服務的安全廠商，可實現(xiàn)與其他漏洞數(shù)據(jù)庫（如CVE）的相互映射，提升安全服務能力；3.使用CNCVE兼容性服務的安全廠商，可與CNCVE漏洞庫進行數(shù)據(jù)同步，能第一時間獲得最新漏洞與修復補丁信息，減少安全廠商在自身產(chǎn)品/服務基準庫的資源投入，更加專注于提升自身產(chǎn)品/服務的防護能力；4.使用CNCVE兼容性服務的安全廠商，可基于CNCVE漏洞庫打造、拓展更精細的創(chuàng)新性安全產(chǎn)品/服務；5.使用CNCVE兼容性服務的安全廠商，對于同用戶或系統(tǒng)平臺，可實現(xiàn)多類安全產(chǎn)品/服務相互映射，形成整體安全態(tài)勢信息，便于提出安全解決方案；6.使用CNCVE兼容性服務的安全廠商，可獲得CNCVE兼容性服務資質(zhì)證書及服務標識LOGO的授權(quán)，提升產(chǎn)品/服務的用戶認可度。企業(yè)用戶使用符合CNCVE兼容性要求的產(chǎn)品/服務的好處1.對企業(yè)用戶而言，使用符合CNCVE兼容性要求的產(chǎn)品/服務，可實現(xiàn)多個安全廠商的多類安全產(chǎn)品基于CNCVE標識相互檢索、相互配合，協(xié)同解決企業(yè)安全風險和安全隱患。2.對企業(yè)用戶而言，使用符合CNCVE兼容性要求的安全產(chǎn)品/服務，擁有統(tǒng)一的、符合國標的漏洞信息、補丁信息等的標準描述，可根據(jù)CNCVE標識，確定所采用的產(chǎn)品是否及時更新和升級了相關(guān)補丁。3.對企業(yè)用戶而言，使用符合CNCVE兼容性要求的產(chǎn)品/服務，可以根據(jù)公開的漏洞預警或漏洞公告所涉及的漏洞標識，確定所采用的產(chǎn)品/服務是否覆蓋相關(guān)漏洞。服務內(nèi)容服務對象CNCVE兼容性服務主要面向國內(nèi)外信息安全從業(yè)單位，對其提供安全服務（如入侵檢測、終端安全、網(wǎng)站監(jiān)測、漏洞掃描等）的工具（軟/硬）、系統(tǒng)、平臺或其他安全產(chǎn)品所涉及的漏洞信息提供規(guī)范化服務。申請流程CNCVE兼容性服務申請流程分為五個階段：第一階段，申請單位提交用戶與產(chǎn)品的申請材料和資質(zhì)證明；第二階段，申請單位等待CNCVE進行資料審核，收到審核通過的通知后，提交兼容性測試結(jié)果，CNCVE與通過評審的單位簽訂兼容性服務協(xié)議；第三階段，申請單位落實兼容性要求，CNCVE對其實施情況進行現(xiàn)場確認并進行專家評審；第四階段，CNCVE對完成兼容性服務的產(chǎn)品頒發(fā)資質(zhì)證書并公示；第五階段，協(xié)議有效期內(nèi)，CNCVE對通過兼容性服務的產(chǎn)品進行實施監(jiān)督。其過程共分為八個步驟：1、用戶提交申請；2、資料審核；3、兼容性測試；4、兼容性綜合評估；5、簽訂兼容性服務協(xié)議；6、兼容性實施確認與評審；7、頒發(fā)證書并公示；8兼容性實施監(jiān)督。用戶提交申請申請CNCVE兼容性服務的用戶，通過網(wǎng)站在線提交《CNCVE兼容性產(chǎn)品申請表》。《申請書》如有內(nèi)容變更，則須重新提交。需要簽署紙質(zhì)協(xié)議的，可線上線下同步進行。材料審核CNCVE將于5個工作日內(nèi)對申請單位所提交的相關(guān)資料進行審核，審核內(nèi)容包括：對申請單位的資本資料和相關(guān)資質(zhì)進行審核；對申請產(chǎn)品/系統(tǒng)的基本資料和相關(guān)資質(zhì)進行審核。兼容性測試通過資料審核后，CNCVE會向申請單位提供《CNCVE兼容性服務測試報告》模板及XML格式的樣本數(shù)據(jù)，申請單位要在5個工作日內(nèi)完成自測并將測試資料通過網(wǎng)站反饋給CNCVE。兼容性綜合評估CNCVE將按照“服務要求”評估標準，對申請產(chǎn)品/服務進行兼容性綜合評估。簽訂兼容性服務協(xié)議根據(jù)綜合評估結(jié)果，對于申請通過的產(chǎn)品/服務，中國信息安全測評中心與申請單位在線簽訂《CNCVE兼容性服務協(xié)議書》。兼容性實施確認與評審兼容性服務協(xié)議書簽訂后，申請單位需在20個工作日內(nèi)完成兼容性落實工作，如未能按時在實施期內(nèi)完成，須提前向CNCVE提出延期申請，最終實施期不得超過40個工作日，并將完成情況告知。然后，由CNCVE發(fā)送《CNCVE兼容性服務實施確認表》與《兼容性服務現(xiàn)場確認規(guī)范》，申請單位將該表填好后予以反饋，由CNCVE對其實施情況進行確認與專家評審，確保兼容性服務的貫徹實施。頒發(fā)證書并公示兼容性實施確認與評審通過后，CNCVE對實施完成的產(chǎn)品將頒發(fā)CNCVE兼容性服務資質(zhì)證書，并在CNCVE官方網(wǎng)站進行發(fā)布。兼容性實施監(jiān)督CNCVE頒發(fā)證書后，在協(xié)議有效期內(nèi)將對已通過兼容性服務的產(chǎn)品進行實施監(jiān)督，監(jiān)督機制具體見第4章。服務要求對于通過CNCVE兼容性服務的產(chǎn)品/服務及所屬廠商，需滿足CNCVE兼容性服務的基本要求與功能要求。基本要求凡通過CNCVE兼容性服務的產(chǎn)品/服務及所屬廠商，需遵守以下基本要求：1.廠商必須遵守相關(guān)法律法規(guī)，其產(chǎn)品/服務不得侵犯任何第三方的專利權(quán)、著作權(quán)、商標權(quán)、名譽權(quán)或其他任何合法權(quán)益；2.廠商所提交的各類材料（資質(zhì)證明材料、產(chǎn)品技術(shù)材料等）須真實有效；通過CNCVE兼容性服務的產(chǎn)品/服務與廠商所屬關(guān)系發(fā)生變化時，須提前告知CNCVE，并提供變更后的廠商資料；3.通過CNCVE兼容性服務的同款產(chǎn)品/服務版本升級須告知CNCVE，進行備案；若版本迭代須重新申請CNCVE兼容性服務；4.通過CNCVE兼容性服務的廠商須提供接口人，以協(xié)調(diào)CNCVE兼容性服務相關(guān)工作；5.對于通過CNCVE兼容性服務的產(chǎn)品/服務，CNCVE授權(quán)使用兼容性服務的LOGO，產(chǎn)品/服務須將LOGO進行貼注，具體要求如下：（1）軟件系統(tǒng)，須在系統(tǒng)界面添加CNCVE兼容性服務標識LOGO。（2）硬件設備，須在設備外殼及外包裝盒添加CNCVE兼容性服務標識LOGO，同時在設備系統(tǒng)內(nèi)添加CNCVE兼容性服務標識LOGO。功能要求通過CNCVE兼容性服務的產(chǎn)品/服務必須滿足以下功能要求：CNCVE標識檢索要求通過申請的產(chǎn)品/服務須保證使用CNCVE標識檢索到相關(guān)漏洞信息。CNCVE標識輸出要求通過申請的產(chǎn)品/服務，其輸出的相關(guān)信息中，必須包含CNCVE標識；CNCVE漏洞更新要求對于配有存儲庫的產(chǎn)品/服務，其漏洞信息必須能與CNCVE標識進行一一映射匹配，且更新速度與CNCVE漏洞信息的更新速度基本一致。4.產(chǎn)品/服務的標準說明文檔要求（1）相關(guān)的標準說明文檔（或幫助文檔）須包括CNCVE和CNCVE兼容性服務的簡要描述，可參考《CNCVE兼容性服務白皮書》；（2）相關(guān)的標準說明文檔（或幫助文檔）須說明用戶如何通過CNCVE標識檢索漏洞信息，以及通過漏洞信息查詢其CNCVE標識；（3）相關(guān)的標準說明文檔（或幫助文檔）如包含索引，必須在相關(guān)說明中標出引用。證書續(xù)期兼容性服務資質(zhì)有效期為三年。相關(guān)單位應在有效期結(jié)束之前向CNCVE提交續(xù)期申請和變更聲明。未提交申請或未成功辦理證書續(xù)期的單位將取消兼容性服務合作，CNCVE會對取消資質(zhì)的單位進行聲明和公示。數(shù)據(jù)同步CNCVE漏洞庫采用國際通用的“XML”標準格式對漏洞信息資源共享，用戶在使用前需先了解定義的XML標準和相關(guān)的技術(shù)，獲取“XML”格式的漏洞信息資源需登錄CNCVE官方網(wǎng)站（http://www.CNCVE.）下載“XML文件”。CNCVE漏洞庫也支持通過API接口調(diào)用，獲取最新漏洞信息。服務費用CNCVE兼容性服務：每個產(chǎn)品0元/次（免費）。服務監(jiān)督CNCVE兼容性服務監(jiān)督機制，是對已通過并在有效期內(nèi)的兼容性服務安全產(chǎn)品/服務進行監(jiān)督的機制，其主要目的是審核兼容性服務的落實與執(zhí)行情況。在監(jiān)督期間，若該產(chǎn)品/服務未滿足兼容性服務的要求，則會被警告或撤銷資格。監(jiān)督要求1、在兼容性服務有效期間內(nèi)，均為CNCVE監(jiān)督時間范圍；2、通過兼容性服務的產(chǎn)品/服務及所屬廠商，均為CNCVE監(jiān)督對象；3、在兼容性服務的有效期內(nèi)，廠商是否落實并貫徹執(zhí)行兼容性服務基本要求。如未落實并貫徹執(zhí)行，則進入警告階段；4、在兼容性服務的有效期內(nèi)，廠商是否落實并貫徹執(zhí)行兼容性服務的功能要求。如未落實并貫徹執(zhí)行，則進入警告階段；5、在兼容性服務的有效期內(nèi)，產(chǎn)品/服務是否涉侵、違法及損害CNCVE利益。如出現(xiàn)，則進入警告階段，當情節(jié)嚴重時則直接進入撤銷階段。6、在兼容性服務的有效期內(nèi)，廠商是否存在損害CNCVE利益的言論、行為。如存在，則進入警告階段，當情節(jié)嚴重時則直接進入撤銷階段。7、在兼容性服務的有效期內(nèi)，產(chǎn)品/服務所屬廠商關(guān)系發(fā)生變更，則需告知CNCVE，并及時更新廠商資料；如不告知CNCVE，則視為申請材料不符合要求，進入警告階段；監(jiān)督流程監(jiān)督機制包括兩個階段：警告階段和撤銷階段，詳情如下：警告階段（1）當CNCVE監(jiān)督期間發(fā)現(xiàn)問題時，會郵件告知，并要求在5個工作日內(nèi)響應（回復郵件或電話）；如5個工作日內(nèi)部不做出響應，則進入撤銷階段。（2）當廠商對監(jiān)督問題進行響應后，需在10個工作日內(nèi)對問題進行處理并解決，如10個工作日內(nèi)無法完成，可向CNCVE申請延長處理時間，經(jīng)同意后可在規(guī)定時間內(nèi)解決問題；若廠商在規(guī)定時間內(nèi)未解決問題，且未向CNCVE申請延期，則進入撤銷階段。（3）廠商解決問題后，需告知CNCVE并提交證明材料，材料可自行編