CNVD、CNNVD、CICSVD、NVD、CVE等区别与联系详解
文章目录
一、CNVD(国家信息安全漏洞共享平台)
国家信息安全漏洞共享平台(CNVD,China National Vulnerability Database)
是由国家计算机网络应急技术处理协调中心(中文简称:国家互联网应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。
建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。
CNVD官网:https://www.cnvd.org.cn/
CNCERT(国家互联网应急中心)
国家计算机网络应急技术处理协调中心(CNCERT/CC,National Computer Network Emergency Response Technical Team/Coordination Center of China)
成立于2001年8月,为非政府非盈利的网络安全技术中心,是中国计算机网络应急处理体系中的牵头单位。也是中共中央网络安全和信息化委员会办公室直属正厅级事业单位,承担国家网络信息安全管理技术支撑保障职能 。
作为国家级应急中心,CNCERT/CC的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,运行和管理国家信息安全漏洞共享平台(CNVD),维护公共互联网安全,保障关键信息基础设施的安全运行。CNCERT/CC积极发挥行业联动合力,发起成立了中国反网络病毒联盟(ANVA)和中国互联网网络安全威胁治理联盟(CCTGA)。
CNCERT官网:https://www.cert.org.cn/
ANVA(中国反网络病毒联盟)
中国反网络病毒联盟(ANVA,Anti Network-Virus Alliance of China)
2009年7月7日,根据工业和信息化部的统一部署,依托CNCERT/CC,联合基础互联网运营企业、网络安全厂商、增值服务提供商、搜索引擎、域名注册机构等单位共同发起成立“中国反网络病毒联盟”,通过行业自律机制推动互联网网络病毒的防范、治理工作,净化网络空间,维护公共互联网网络安全。
ANVA官网:https://www.anva.org.cn/
NITSC(国家信息技术安全研究中心)
国家信息技术安全研究中心:National Research Center for Information Technology Security
http://www.nitsc.cn/index.html#/homepage
国家信息技术安全研究中心是遵照中央领导重要批示,经中央编制委员会办公室批准组建,中央网信办所属的国家事业单位,履行科研技术攻关与网络安全保障双重职能,主要开展网络安全核心技术研究、国家网络安全现实保障及网络安全技术服务等业务,现有各类科技人员200余人。
自2005年成立以来,中心以服务国家网络安全为使命,秉承“国家网络安全因我而不同”的建设发展理念,践行“忠诚、团结、创新、务实、高效”的文化精神,承担国家重大活动网络安保、党政机关和重要行业关键信息基础设施安全防护、网络和信息技术产品安全检测、自主可控技术产品研发,以及网络安全发展战略研究等任务。
在执行国家重大活动网络安保任务中发挥核心作用。先后执行上百次国家重大活动安全保障任务,牵头组织和参与多项网络安全应急处置任务,受到国家有关部门的充分肯定和表彰。
在关键信息基础设施安全检查评估中发挥骨干作用。完成国家主管部门下达的网络安全审查、系统安全检查等任务500余项,服务地域覆盖全国31个省、自治区、直辖市,服务领域涉及政务、金融、电信、能源、交通等22个重要行业,检测国家重要信息系统4000多个、各类信息技术产品500余款。
在网络安全事件监测预警中发挥主力作用。为国家党政机关开展监测预警工作提供技术支持,每年向中央网信办、国家部委、行业主管部门提供大量网络安全重要信息,年均通报各类网络安全事件100多份。
在国家网络空间安全重大工程建设中发挥重要作用。建成手段齐全、特色鲜明的网络与信息安全技术检测体系和产品研发环境,建有计算机病毒防御技术国家工程实验室、国家IC卡芯片安全检测中心和工业控制系统安全技术国家工程实验室三个国家级实验室,以及国家信息技术安全特种技术检测实验室、云计算安全监测技术研究中心和金融安全实验室等科研实体;承研中央网信办下达的国家级重点科研课题、国家科技部下达的国家重点研发计划项目和“863计划”主题项目等20余个科研任务,开展多项国家标准编制工作。
计算机病毒防御技术国家工程实验室,可疑文件分析云平台
二、CNNVD(中国国家信息安全漏洞库)
中国国家信息安全漏洞库(CNNVD,China National Vulnerability Database of Information Security)
(记忆:CN–N–VD,中国–国家–信息安全漏洞库)
于2009年10月18日正式成立,是中国信息安全测评中心(中文简称:国测,英文简称:CNITSEC,China Information Technology Security Evaluation Center)为切实履行 漏洞分析 和 风险评估 的职能,负责建设运维的国家信息安全漏洞库,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。CNNVD在国家专项经费支持下,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。
CNNVD官网:http://www.cnnvd.org.cn/
CNITSEC(中国信息安全测评中心)
中国信息安全测评中心(CNITSEC,China Information Technology Security Evaluation Center)
中国信息安全测评中心(以下简称测评中心)是中央批准成立的国家信息安全权威测评机构,以“为信息技术安全性提供测评服务”为宗旨。
依据中央授权,测评中心主要职能包括:开展信息安全漏洞分析与风险评估;开展信息技术产品、系统和工程建设的安全性测试与评估;开展信息安全服务和信息安全专业人员的能力评估与资质审核;开展信息安全技术咨询、工程监理与开发服务;从事信息安全测试评估的理论研究、技术研发、标准研制;出版《中国信息安全》杂志等。
测评中心是国家信息安全保障体系中的重要基础设施之一。在国家专项工程投入支持下,测评中心以国家信息安全漏洞库为基础,以“移动互联网安全技术国家工程实验室”、“工业控制系统安全技术国家工程实验室”和“大数据协同安全技术国家工程实验室”为依托,建立了数十个技术平台和专用技术环境,形成了适应国家信息化发展和网络安全形势需要的技术能力。
测评中心自1998年创立以来,依照国家法律法规和标准,在信息安全领域为国家提供技术保障,向社会提供公共服务。测评中心先后完成数千个国内外信息技术产品、主流软件和网络应用系统的安全检测和技术分析;承担国家信息安全专项检查任务数百项,形成对党政机关、国家关键基础设施以及大型央企进行风险评估的工作体系;为国内10万余人提供信息安全技能培训;对数千家信息安全企业进行资质测评与认定;与40余个行业、部委及地方政府签署《战略协作协议》,为其提供集安全检测、漏洞通告、保障咨询、外围监测、应急处置、技术支持于一体的信息安全综合保障服务。
CNITSEC官网:http://www.itsec.gov.cn/
三、CICSVD(国家工业信息安全漏洞库,工业控制产品安全漏洞专业库)
国家工业信息安全漏洞库(CICSVD,China National Industrial Cyber Security Vulnerability Database)
成立于2019年6月,由国家工业信息安全发展研究中心组织发起,国内从事工业信息安全相关产业、教育、科研、应用的机构、企业及个人自愿参与建设的全国性、行业性、非营利性的漏洞收集、分析、处置、披露的平台。
该漏洞库面向原材料工业、装备工业、消费品工业、电子信息制造、国防军工、能源、交通、水利、市政、民用核设施等行业领域,重点关注工业硬件、工业软件等相关产品和组件的安全漏洞、补丁及解决方案的研究。
CICSVD官网:https://www.cics-vd.org.cn/
CICS-CERT(国家工信安全中心)
国家工业信息安全发展研究中心(简称:国家工信安全中心),前身为成立于1959年的电子科学技术情报研究所,为工业和信息化部直属事业单位,是支撑我国工业领域信息安全的国家级研究与推进机构。
国家工业信息安全发展研究中心(工业和信息化部电子第一研究所),是工业和信息化部直属事业单位。经过60多年的发展与积淀,中心“支撑政府、服务行业”为宗旨,构建了以工业信息安全、产业数字化、软件和知识产权、智库支撑四大板块为核心的业务体系,发展成为工业和信息化领域有重要影响力的研究咨询与决策支撑机构,国防科技、装发工业的电子领域技术基础核心情报研究机构。
中心现有科研办公面积50000多平方米,总资产11亿元,下设16个业务部门及1个经济实体——赛昇控股(北京)集团有限公司。现有在职人员863人,其中科研业务人员占比为78%、硕博人员占比为62%、中高级职称人员占比为58%,享受政府特殊津贴人员1人。拥有2个国家质检中心、5个工信部重点实验室,具有等保测评、商用密码安全性评估、数据管理能力成熟度评估、信息安全风险评估、电子数据司法鉴定等资质。牵头(或参与)承担了上百项国家重点研发计划、工业转型升级专项、制造业高质量发展专项、基础科研重大工程等重大专项。
业务范围涵盖工业信息安全、两化融合、工业互联网、软件和信创产业、工业经济、数字经济、国防电子等领域,提供智库咨询、技术研发、检验检测、试验验证、评估评价、知识产权、数据资源等公共服务,并长期承担声像采集制作、档案文献、科技期刊、工程建设、年鉴出版等管理支撑工作。服务对象包括工业和信息化部、中央网信办、科技部、发改委等政府机构,以及科研院所、企事业单位和高等院校等各类主体。
“十四五”时期,中心将深入贯彻总体国家安全观,统筹发展和安全,聚焦主责主业,突出特色、整合资源,勇担工业信息安全保障主责,强化产业链供应链安全研究支撑,推进制造业数字化转型,支撑服务国防军工科技创新,着力建设一流工业信息安全综合保障体系、一流特色高端智库,构建产业数字化数据赋能、关键软件应用推广、知识产权全生命周期等三大服务体系,打造具有核心竞争力的智库支撑、公共服务、市场化发展等三种能力,发展成为保障工业信息安全的国家队、服务数字化发展的思想库、培育软件产业生态的推进器、促进军民科技协同创新的生力军,更好服务我国工业和信息化事业高质量发展。
Industrial Control Systems(工业控制系统)
国家工信安全中心官网:http://www.cics-cert.org.cn/
四、NVD(美国国家计算机通用漏洞数据库)
NVD,National Vulnerability Database,美国国家计算机通用漏洞数据库,是美国权威的漏洞数据收集平台。
NVD是美国政府基于标准的漏洞管理数据存储库,使用安全内容自动化协议(SCAP)表示。这些数据支持漏洞管理、安全测量和遵从性的自动化。NVD包括安全检查表引用、安全相关软件缺陷、错误配置、产品名称和影响指标的数据库。有关如何引用NVD的信息,包括数据库的数字对象标识符(DOI),请咨询NIST的公共数据存储库。
美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)
The NVD is the U.S. government repository of standards based vulnerability management data represented using the Security Content Automation Protocol (SCAP). This data enables automation of vulnerability management, security measurement, and compliance. The NVD includes databases of security checklist references, security-related software flaws, misconfigurations, product names, and impact metrics.
For information on how to the cite the NVD, including the database’s Digital Object Identifier (DOI), please consult NIST’s Public Data Repository.
https://nvd.nist.gov/
五、CVE(通用漏洞披露)
CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。公共漏洞和暴露。
CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。
CVE是对漏洞的收录和编号,一个很水的漏洞也是可以申请CVE编号。当然,这里是针对通用组件漏洞的,即有安全人员在自己的简历写自己获得了多少个CVE编号,那意味着对应编号的通用组件漏洞是当时由他发现的0DAY,是他拥有独立的0DAY发现能力的象征。
格式:CVE-漏洞披露年份-当年编号
例子:心脏出血漏洞:CVE-2014-0160
常见CVE安全漏洞库
cve主页:
https://cve.mitre.org/
https://cve.mitre.org/cve/search_cve_list.html
下载地址:https://cve.mitre.org/data/downloads/index.html
nvd中cve
https://nvd.nist.gov/vuln/search
阿里云漏洞库 https://avd.aliyun.com/nvd/list
tenable漏洞库(nessus) https://www.tenable.com/cve/search
https://www.securityfocus.com/bid