CNCVE兼容性服務(wù)白皮書(shū)

中文漏洞知識(shí)庫(kù)（CNCVE）兼容性服務(wù)白皮書(shū)中文漏洞知識(shí)庫(kù)（CNCVE）兼容性服務(wù)白皮書(shū)版本：V1.0憑闌江蘇實(shí)驗(yàn)室科技有限公司

目錄一、 服務(wù)概述 3二、 服務(wù)介紹 32.1、 服務(wù)定義 32.2、 服務(wù)特點(diǎn) 42.3、 服務(wù)收益 4三、 服務(wù)內(nèi)容 53.1、 服務(wù)對(duì)象 53.2、 申請(qǐng)流程 53.3、 服務(wù)要求 73.3.1、 基本要求 73.3.2、 功能要求 73.4、 證書(shū)續(xù)期 83.5、 數(shù)據(jù)同步 83.6、 服務(wù)費(fèi)用 8四、 服務(wù)監(jiān)督 84.1、 監(jiān)督要求 94.2、 監(jiān)督流程 94.2.1、 警告階段 94.2.2、 撤銷階段 9五、 聯(lián)系方式 10

服務(wù)概述中文漏洞知識(shí)庫(kù)（ChineseCommonVulnerabilitiesandExposures，以下簡(jiǎn)稱“CNCVE”），是憑闌江蘇實(shí)驗(yàn)室科技有限公司（以下簡(jiǎn)稱“憑闌實(shí)驗(yàn)室”）基于公開(kāi)漏洞進(jìn)行收集、分析和評(píng)估，負(fù)責(zé)運(yùn)營(yíng)的中文信息安全漏洞知識(shí)管理平臺(tái)，旨在為全球信息安全保障提供服務(wù)。通過(guò)社區(qū)建設(shè)與運(yùn)營(yíng)，CNCVE在信息安全漏洞搜集、重大漏洞信息通報(bào)、高危漏洞安全消控等方面發(fā)揮了重大作用，為全球重要行業(yè)和關(guān)鍵設(shè)施安全保障工作提供了重要的技術(shù)支撐和數(shù)據(jù)支持。CNCVE對(duì)所收錄的漏洞信息給予統(tǒng)一的編碼標(biāo)識(shí)（即：CNCVE-ID標(biāo)識(shí)），建立了與國(guó)內(nèi)外主流漏洞庫(kù)的映射關(guān)系，同時(shí)對(duì)漏洞詳細(xì)屬性特征進(jìn)行統(tǒng)一的、詳細(xì)的、標(biāo)準(zhǔn)化的描述（如：漏洞命名、內(nèi)容描述、分類、分級(jí)等），基本涵蓋了國(guó)內(nèi)外主流軟硬件產(chǎn)品和信息系統(tǒng)。以豐富標(biāo)準(zhǔn)的漏洞數(shù)據(jù)為依托，規(guī)范詳實(shí)的漏洞描述為基礎(chǔ)，CNCVE對(duì)國(guó)內(nèi)外信息安全廠商及用戶推出兼容性服務(wù)，為漏洞挖掘、應(yīng)用、驗(yàn)證與規(guī)避等技術(shù)研究提供基礎(chǔ)支持，為開(kāi)發(fā)更安全的信息產(chǎn)品或軟件系統(tǒng)提供理論和技術(shù)支撐，進(jìn)一步滿足信息系統(tǒng)安全保障的需求。服務(wù)介紹服務(wù)定義CNCVE兼容性是指通過(guò)使用CNCVE標(biāo)識(shí)，在各類安全工具、漏洞數(shù)據(jù)存儲(chǔ)庫(kù)及信息安全服務(wù)之間，以及與其他漏洞披露平臺(tái)之間，實(shí)現(xiàn)漏洞信息交叉關(guān)聯(lián)的方式。CNCVE兼容性服務(wù)是CNCVE面向國(guó)內(nèi)外信息安全從業(yè)單位，對(duì)其產(chǎn)品/服務(wù)等涉及的漏洞信息進(jìn)行規(guī)范性評(píng)估與認(rèn)證的服務(wù)。通過(guò)CNCVE兼容性服務(wù)的信息安全產(chǎn)品/服務(wù)，可實(shí)現(xiàn)其漏洞信息擁有統(tǒng)一的規(guī)范性命名與標(biāo)準(zhǔn)化描述，從而提高和加強(qiáng)國(guó)內(nèi)信息安全行業(yè)漏洞信息資源的共享與服務(wù)能力。通過(guò)CNCVE兼容性服務(wù)的產(chǎn)品/服務(wù)，應(yīng)滿足CNCVE兼容性的要求：第一，檢索要求，通過(guò)CNCVE標(biāo)識(shí)可檢索到對(duì)應(yīng)的漏洞信息；第二，輸出要求，在輸出的漏洞信息中應(yīng)包含CNCVE標(biāo)識(shí)；第三，更新要求，存儲(chǔ)數(shù)據(jù)庫(kù)需定期更新CNCVE漏洞數(shù)據(jù)，并與CNCVE更新速度保持基本一致；第四，標(biāo)準(zhǔn)文檔要求，產(chǎn)品/服務(wù)標(biāo)準(zhǔn)說(shuō)明文檔中需包含CNCVE兼容性的說(shuō)明。服務(wù)特點(diǎn)唯一性：每個(gè)漏洞擁有唯一的編碼標(biāo)識(shí)；及時(shí)性：CNCVE漏洞庫(kù)有專業(yè)的團(tuán)隊(duì)與系統(tǒng)工具，對(duì)各大主流漏洞庫(kù)進(jìn)行信息進(jìn)行更新，確保數(shù)據(jù)收錄的及時(shí)性；兼容性：CNCVE漏洞庫(kù)數(shù)據(jù)源涵蓋了國(guó)內(nèi)外各大主流漏洞庫(kù)，如CVE、NVD、CNVD、CNCVE、NVD等，同時(shí)對(duì)Microsoft、Cisco、Oracle等重要廠商安全公告披露的漏洞信息進(jìn)行了收錄，實(shí)現(xiàn)CNCVE與國(guó)內(nèi)外漏洞數(shù)據(jù)源的有效兼容；規(guī)范性：在參考國(guó)內(nèi)信息安全技術(shù)國(guó)家標(biāo)準(zhǔn)、國(guó)際通用標(biāo)準(zhǔn)的基礎(chǔ)上，CNCVE制定了統(tǒng)一的漏洞標(biāo)準(zhǔn)規(guī)范。易識(shí)別：統(tǒng)一的命名標(biāo)識(shí)與規(guī)范化的描述，能更好的讓用戶識(shí)別安全隱患，提高安全防護(hù)。服務(wù)收益安全廠商使用CNCVE兼容性服務(wù)的優(yōu)勢(shì)1.使用CNCVE兼容性服務(wù)的安全廠商，可讓自身的安全產(chǎn)品/服務(wù)兼容國(guó)際標(biāo)準(zhǔn)與國(guó)家標(biāo)準(zhǔn)規(guī)范，可提供更好的安全服務(wù)，提升廠商競(jìng)爭(zhēng)力；2.使用CNCVE兼容性服務(wù)的安全廠商，可實(shí)現(xiàn)與其他漏洞數(shù)據(jù)庫(kù)（如CVE）的相互映射，提升安全服務(wù)能力；3.使用CNCVE兼容性服務(wù)的安全廠商，可與CNCVE漏洞庫(kù)進(jìn)行數(shù)據(jù)同步，能第一時(shí)間獲得最新漏洞與修復(fù)補(bǔ)丁信息，減少安全廠商在自身產(chǎn)品/服務(wù)基準(zhǔn)庫(kù)的資源投入，更加專注于提升自身產(chǎn)品/服務(wù)的防護(hù)能力；4.使用CNCVE兼容性服務(wù)的安全廠商，可基于CNCVE漏洞庫(kù)打造、拓展更精細(xì)的創(chuàng)新性安全產(chǎn)品/服務(wù)；5.使用CNCVE兼容性服務(wù)的安全廠商，對(duì)于同用戶或系統(tǒng)平臺(tái)，可實(shí)現(xiàn)多類安全產(chǎn)品/服務(wù)相互映射，形成整體安全態(tài)勢(shì)信息，便于提出安全解決方案；6.使用CNCVE兼容性服務(wù)的安全廠商，可獲得CNCVE兼容性服務(wù)資質(zhì)證書(shū)及服務(wù)標(biāo)識(shí)LOGO的授權(quán)，提升產(chǎn)品/服務(wù)的用戶認(rèn)可度。企業(yè)用戶使用符合CNCVE兼容性要求的產(chǎn)品/服務(wù)的好處1.對(duì)企業(yè)用戶而言，使用符合CNCVE兼容性要求的產(chǎn)品/服務(wù)，可實(shí)現(xiàn)多個(gè)安全廠商的多類安全產(chǎn)品基于CNCVE標(biāo)識(shí)相互檢索、相互配合，協(xié)同解決企業(yè)安全風(fēng)險(xiǎn)和安全隱患。2.對(duì)企業(yè)用戶而言，使用符合CNCVE兼容性要求的安全產(chǎn)品/服務(wù)，擁有統(tǒng)一的、符合國(guó)標(biāo)的漏洞信息、補(bǔ)丁信息等的標(biāo)準(zhǔn)描述，可根據(jù)CNCVE標(biāo)識(shí)，確定所采用的產(chǎn)品是否及時(shí)更新和升級(jí)了相關(guān)補(bǔ)丁。3.對(duì)企業(yè)用戶而言，使用符合CNCVE兼容性要求的產(chǎn)品/服務(wù)，可以根據(jù)公開(kāi)的漏洞預(yù)警或漏洞公告所涉及的漏洞標(biāo)識(shí)，確定所采用的產(chǎn)品/服務(wù)是否覆蓋相關(guān)漏洞。服務(wù)內(nèi)容服務(wù)對(duì)象CNCVE兼容性服務(wù)主要面向國(guó)內(nèi)外信息安全從業(yè)單位，對(duì)其提供安全服務(wù)（如入侵檢測(cè)、終端安全、網(wǎng)站監(jiān)測(cè)、漏洞掃描等）的工具（軟/硬）、系統(tǒng)、平臺(tái)或其他安全產(chǎn)品所涉及的漏洞信息提供規(guī)范化服務(wù)。申請(qǐng)流程CNCVE兼容性服務(wù)申請(qǐng)流程分為五個(gè)階段：第一階段，申請(qǐng)單位提交用戶與產(chǎn)品的申請(qǐng)材料和資質(zhì)證明；第二階段，申請(qǐng)單位等待CNCVE進(jìn)行資料審核，收到審核通過(guò)的通知后，提交兼容性測(cè)試結(jié)果，CNCVE與通過(guò)評(píng)審的單位簽訂兼容性服務(wù)協(xié)議；第三階段，申請(qǐng)單位落實(shí)兼容性要求，CNCVE對(duì)其實(shí)施情況進(jìn)行現(xiàn)場(chǎng)確認(rèn)并進(jìn)行專家評(píng)審；第四階段，CNCVE對(duì)完成兼容性服務(wù)的產(chǎn)品頒發(fā)資質(zhì)證書(shū)并公示；第五階段，協(xié)議有效期內(nèi)，CNCVE對(duì)通過(guò)兼容性服務(wù)的產(chǎn)品進(jìn)行實(shí)施監(jiān)督。其過(guò)程共分為八個(gè)步驟：1、用戶提交申請(qǐng)；2、資料審核；3、兼容性測(cè)試；4、兼容性綜合評(píng)估；5、簽訂兼容性服務(wù)協(xié)議；6、兼容性實(shí)施確認(rèn)與評(píng)審；7、頒發(fā)證書(shū)并公示；8兼容性實(shí)施監(jiān)督。用戶提交申請(qǐng)申請(qǐng)CNCVE兼容性服務(wù)的用戶，通過(guò)網(wǎng)站在線提交《CNCVE兼容性產(chǎn)品申請(qǐng)表》?！渡暾?qǐng)書(shū)》如有內(nèi)容變更，則須重新提交。需要簽署紙質(zhì)協(xié)議的，可線上線下同步進(jìn)行。材料審核CNCVE將于5個(gè)工作日內(nèi)對(duì)申請(qǐng)單位所提交的相關(guān)資料進(jìn)行審核，審核內(nèi)容包括：對(duì)申請(qǐng)單位的資本資料和相關(guān)資質(zhì)進(jìn)行審核；對(duì)申請(qǐng)產(chǎn)品/系統(tǒng)的基本資料和相關(guān)資質(zhì)進(jìn)行審核。兼容性測(cè)試通過(guò)資料審核后，CNCVE會(huì)向申請(qǐng)單位提供《CNCVE兼容性服務(wù)測(cè)試報(bào)告》模板及XML格式的樣本數(shù)據(jù)，申請(qǐng)單位要在5個(gè)工作日內(nèi)完成自測(cè)并將測(cè)試資料通過(guò)網(wǎng)站反饋給CNCVE。兼容性綜合評(píng)估CNCVE將按照“服務(wù)要求”評(píng)估標(biāo)準(zhǔn)，對(duì)申請(qǐng)產(chǎn)品/服務(wù)進(jìn)行兼容性綜合評(píng)估。簽訂兼容性服務(wù)協(xié)議根據(jù)綜合評(píng)估結(jié)果，對(duì)于申請(qǐng)通過(guò)的產(chǎn)品/服務(wù)，中國(guó)信息安全測(cè)評(píng)中心與申請(qǐng)單位在線簽訂《CNCVE兼容性服務(wù)協(xié)議書(shū)》。兼容性實(shí)施確認(rèn)與評(píng)審兼容性服務(wù)協(xié)議書(shū)簽訂后，申請(qǐng)單位需在20個(gè)工作日內(nèi)完成兼容性落實(shí)工作，如未能按時(shí)在實(shí)施期內(nèi)完成，須提前向CNCVE提出延期申請(qǐng)，最終實(shí)施期不得超過(guò)40個(gè)工作日，并將完成情況告知。然后，由CNCVE發(fā)送《CNCVE兼容性服務(wù)實(shí)施確認(rèn)表》與《兼容性服務(wù)現(xiàn)場(chǎng)確認(rèn)規(guī)范》，申請(qǐng)單位將該表填好后予以反饋，由CNCVE對(duì)其實(shí)施情況進(jìn)行確認(rèn)與專家評(píng)審，確保兼容性服務(wù)的貫徹實(shí)施。頒發(fā)證書(shū)并公示兼容性實(shí)施確認(rèn)與評(píng)審?fù)ㄟ^(guò)后，CNCVE對(duì)實(shí)施完成的產(chǎn)品將頒發(fā)CNCVE兼容性服務(wù)資質(zhì)證書(shū)，并在CNCVE官方網(wǎng)站進(jìn)行發(fā)布。兼容性實(shí)施監(jiān)督CNCVE頒發(fā)證書(shū)后，在協(xié)議有效期內(nèi)將對(duì)已通過(guò)兼容性服務(wù)的產(chǎn)品進(jìn)行實(shí)施監(jiān)督，監(jiān)督機(jī)制具體見(jiàn)第4章。服務(wù)要求對(duì)于通過(guò)CNCVE兼容性服務(wù)的產(chǎn)品/服務(wù)及所屬?gòu)S商，需滿足CNCVE兼容性服務(wù)的基本要求與功能要求?；疽蠓餐ㄟ^(guò)CNCVE兼容性服務(wù)的產(chǎn)品/服務(wù)及所屬?gòu)S商，需遵守以下基本要求：1.廠商必須遵守相關(guān)法律法規(guī)，其產(chǎn)品/服務(wù)不得侵犯任何第三方的專利權(quán)、著作權(quán)、商標(biāo)權(quán)、名譽(yù)權(quán)或其他任何合法權(quán)益；2.廠商所提交的各類材料（資質(zhì)證明材料、產(chǎn)品技術(shù)材料等）須真實(shí)有效；通過(guò)CNCVE兼容性服務(wù)的產(chǎn)品/服務(wù)與廠商所屬關(guān)系發(fā)生變化時(shí)，須提前告知CNCVE，并提供變更后的廠商資料；3.通過(guò)CNCVE兼容性服務(wù)的同款產(chǎn)品/服務(wù)版本升級(jí)須告知CNCVE，進(jìn)行備案；若版本迭代須重新申請(qǐng)CNCVE兼容性服務(wù)；4.通過(guò)CNCVE兼容性服務(wù)的廠商須提供接口人，以協(xié)調(diào)CNCVE兼容性服務(wù)相關(guān)工作；5.對(duì)于通過(guò)CNCVE兼容性服務(wù)的產(chǎn)品/服務(wù)，CNCVE授權(quán)使用兼容性服務(wù)的LOGO，產(chǎn)品/服務(wù)須將LOGO進(jìn)行貼注，具體要求如下：（1）軟件系統(tǒng)，須在系統(tǒng)界面添加CNCVE兼容性服務(wù)標(biāo)識(shí)LOGO。（2）硬件設(shè)備，須在設(shè)備外殼及外包裝盒添加CNCVE兼容性服務(wù)標(biāo)識(shí)LOGO，同時(shí)在設(shè)備系統(tǒng)內(nèi)添加CNCVE兼容性服務(wù)標(biāo)識(shí)LOGO。功能要求通過(guò)CNCVE兼容性服務(wù)的產(chǎn)品/服務(wù)必須滿足以下功能要求：CNCVE標(biāo)識(shí)檢索要求通過(guò)申請(qǐng)的產(chǎn)品/服務(wù)須保證使用CNCVE標(biāo)識(shí)檢索到相關(guān)漏洞信息。CNCVE標(biāo)識(shí)輸出要求通過(guò)申請(qǐng)的產(chǎn)品/服務(wù)，其輸出的相關(guān)信息中，必須包含CNCVE標(biāo)識(shí)；CNCVE漏洞更新要求對(duì)于配有存儲(chǔ)庫(kù)的產(chǎn)品/服務(wù)，其漏洞信息必須能與CNCVE標(biāo)識(shí)進(jìn)行一一映射匹配，且更新速度與CNCVE漏洞信息的更新速度基本一致。4.產(chǎn)品/服務(wù)的標(biāo)準(zhǔn)說(shuō)明文檔要求（1）相關(guān)的標(biāo)準(zhǔn)說(shuō)明文檔（或幫助文檔）須包括CNCVE和CNCVE兼容性服務(wù)的簡(jiǎn)要描述，可參考《CNCVE兼容性服務(wù)白皮書(shū)》；（2）相關(guān)的標(biāo)準(zhǔn)說(shuō)明文檔（或幫助文檔）須說(shuō)明用戶如何通過(guò)CNCVE標(biāo)識(shí)檢索漏洞信息，以及通過(guò)漏洞信息查詢其CNCVE標(biāo)識(shí)；（3）相關(guān)的標(biāo)準(zhǔn)說(shuō)明文檔（或幫助文檔）如包含索引，必須在相關(guān)說(shuō)明中標(biāo)出引用。證書(shū)續(xù)期兼容性服務(wù)資質(zhì)有效期為三年。相關(guān)單位應(yīng)在有效期結(jié)束之前向CNCVE提交續(xù)期申請(qǐng)和變更聲明。未提交申請(qǐng)或未成功辦理證書(shū)續(xù)期的單位將取消兼容性服務(wù)合作，CNCVE會(huì)對(duì)取消資質(zhì)的單位進(jìn)行聲明和公示。數(shù)據(jù)同步CNCVE漏洞庫(kù)采用國(guó)際通用的“XML”標(biāo)準(zhǔn)格式對(duì)漏洞信息資源共享，用戶在使用前需先了解定義的XML標(biāo)準(zhǔn)和相關(guān)的技術(shù)，獲取“XML”格式的漏洞信息資源需登錄CNCVE官方網(wǎng)站（http://www.CNCVE.）下載“XML文件”。CNCVE漏洞庫(kù)也支持通過(guò)API接口調(diào)用，獲取最新漏洞信息。服務(wù)費(fèi)用CNCVE兼容性服務(wù)：每個(gè)產(chǎn)品0元/次（免費(fèi)）。服務(wù)監(jiān)督CNCVE兼容性服務(wù)監(jiān)督機(jī)制，是對(duì)已通過(guò)并在有效期內(nèi)的兼容性服務(wù)安全產(chǎn)品/服務(wù)進(jìn)行監(jiān)督的機(jī)制，其主要目的是審核兼容性服務(wù)的落實(shí)與執(zhí)行情況。在監(jiān)督期間，若該產(chǎn)品/服務(wù)未滿足兼容性服務(wù)的要求，則會(huì)被警告或撤銷資格。監(jiān)督要求1、在兼容性服務(wù)有效期間內(nèi)，均為CNCVE監(jiān)督時(shí)間范圍；2、通過(guò)兼容性服務(wù)的產(chǎn)品/服務(wù)及所屬?gòu)S商，均為CNCVE監(jiān)督對(duì)象；3、在兼容性服務(wù)的有效期內(nèi)，廠商是否落實(shí)并貫徹執(zhí)行兼容性服務(wù)基本要求。如未落實(shí)并貫徹執(zhí)行，則進(jìn)入警告階段；4、在兼容性服務(wù)的有效期內(nèi)，廠商是否落實(shí)并貫徹執(zhí)行兼容性服務(wù)的功能要求。如未落實(shí)并貫徹執(zhí)行，則進(jìn)入警告階段；5、在兼容性服務(wù)的有效期內(nèi)，產(chǎn)品/服務(wù)是否涉侵、違法及損害CNCVE利益。如出現(xiàn)，則進(jìn)入警告階段，當(dāng)情節(jié)嚴(yán)重時(shí)則直接進(jìn)入撤銷階段。6、在兼容性服務(wù)的有效期內(nèi)，廠商是否存在損害CNCVE利益的言論、行為。如存在，則進(jìn)入警告階段，當(dāng)情節(jié)嚴(yán)重時(shí)則直接進(jìn)入撤銷階段。7、在兼容性服務(wù)的有效期內(nèi)，產(chǎn)品/服務(wù)所屬?gòu)S商關(guān)系發(fā)生變更，則需告知CNCVE，并及時(shí)更新廠商資料；如不告知CNCVE，則視為申請(qǐng)材料不符合要求，進(jìn)入警告階段；監(jiān)督流程監(jiān)督機(jī)制包括兩個(gè)階段：警告階段和撤銷階段，詳情如下：警告階段（1）當(dāng)CNCVE監(jiān)督期間發(fā)現(xiàn)問(wèn)題時(shí)，會(huì)郵件告知，并要求在5個(gè)工作日內(nèi)響應(yīng)（回復(fù)郵件或電話）；如5個(gè)工作日內(nèi)部不做出響應(yīng)，則進(jìn)入撤銷階段。（2）當(dāng)廠商對(duì)監(jiān)督問(wèn)題進(jìn)行響應(yīng)后，需在10個(gè)工作日內(nèi)對(duì)問(wèn)題進(jìn)行處理并解決，如10個(gè)工作日內(nèi)無(wú)法完成，可向CNCVE申請(qǐng)延長(zhǎng)處理時(shí)間，經(jīng)同意后可在規(guī)定時(shí)間內(nèi)解決問(wèn)題；若廠商在規(guī)定時(shí)間內(nèi)未解決問(wèn)題，且未向CNCVE申請(qǐng)延期，則進(jìn)入撤銷階段。（3）廠商解決問(wèn)題后，需告知CNCVE并提交證明材料，材料可自行編