CNNVD举办漏洞标准研讨会

发布时间:2016-12-14   

   2016年12月14日,国家信息安全漏洞库(CNNVD)运行管理中心组织召开了“信息安全漏洞标准” 专题研讨会,对《CNNVD漏洞命名规范》、《CNNVD漏洞内容描述规范》、《CNNVD漏洞分级指南》和《CNNVD漏洞分类指南》等相关标准进行说明。奇虎360科技有限公司、北京神州绿盟信息安全科技股份有限公司、北京天融信科技有限公司、北京启明星辰信息技术有限公司、杭州安恒信息技术有限公司、深圳市深信服电子科技有限公司、华为技术有限公司、上海三零卫士信息安全有限公司、北京永信至诚科技股份有限公司等9家专家代表参会,并围绕漏洞标准的适用性及操作性进行深入探讨。

   漏洞库运管中心侯元伟主持会议,并详细介绍了《CNNVD漏洞命名规范》等相关标准的研制背景、参考依据以及在CNNVD实际工作中的应用情况。漏洞库运管中心李龙杰博士依次对上述标准的原则、内容、适用场景以及实践经验,结合漏洞实例进行了阐述。与会专家结合实际工作对相关标准进行讨论,形成如下共识。

   第一,统一漏洞标准已成为信息安全行业亟待解决的问题。目前,国内信息安全行业漏洞命名不规范、描述不专业、危害定级不一致、类型划分不统一,给信息共享、漏洞研究、安全防护等造成了一定的困难。为此,迫切需要在信息安全行业推行统一的漏洞标准,以消除标识歧义、明确评判依据,从而提高和加强国内信息安全行业漏洞信息共享和协同预警能力。

   第二,CNNVD相关标准具有实用性和可操作性。上述标准是在参考国际主流标准和中国国家标准的基础上,结合CNNVD多年建设运行经验制定的。CNNVD漏洞标准科学、合理,具有很高的实用性和可操作性,能够有效地对漏洞进行描述和评判,为研究人员进行漏洞分析和产品研发提供了参考依据和理论支撑。

   第三,建议在技术研究及产品研发中,参考CNNVD相关标准对漏洞进行统一描述和评价。建议以CNNVD的相关漏洞标准为参考依据,联合行业用户、安全厂商及高校科研机构,在信息安全技术研究和信息安全产品研发中,对漏洞统一标识格式、统一评判依据、统一分类准则。并建议CNNVD进一步开放漏洞数据、推广 CNNVD兼容性认证服务,以实现不同厂商产品之间的数据兼容,提高漏洞处置的工作效率,提升全行业的协同防护能力。

   与会专家代表对漏洞的标准化工作建言献策,一致认为《CNNVD漏洞命名规范》等标准科学、合理,具有可操作性和实用性,建议以国家信息安全漏洞库为平台,联合信息安全行业以及科研机构等,通过CNNVD兼容性认证服务,尽快将上述标准推广至整个信息安全行业。



漏洞信息快速查询

热点漏洞

更多