登录  免费注册
当前位置:首页 > 处理策略

CNVD漏洞上报处理策略

为提高我国基础信息网络、重要信息系统和广大网民的网络信息安全防护水平,有效防范、应对信息系统漏洞引发的网络信息安全事件,保障关键信息基础设施和公共互联网的安全运行,维护社会公共利益和国家网络信息安全,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)与国家信息技术安全研究中心发起,联合国内主要的信息安全厂商、信息网络产品和服务提供商、网络信息安全科研机构共同建立开放、中立、非营利性的国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD),在此平台上构建信息安全漏洞统一收集、分析验证、预警发布和应急处置的工作体系,面向基础信息网络、重要信息系统和社会公众提供漏洞权威信息发布、修补技术支持等信息和技术服务。

作为CNVD发起机构,CNCERT/CC将成立专门工作组接收来自单位和个人的漏洞信息报告并进行分析验证;在核实确认后,协调和督促漏洞相关厂商进行漏洞修补;根据漏洞修补进度和漏洞利用代码的活跃情况,在漏洞发现者和相关厂商间协调漏洞发布时机;本着“快速、安全、可靠,重要系统优先”的原则,建立针对不同用户的漏洞发布机制和途径,重点保障国家基础信息网络和重要信息系统的安全运行。

关于此策略的常见问题


问:漏洞的处理过程是什么?

答:异常信息(在确认为漏洞前称为“异常信息”)上报后,若该异常现象可以重现,便由CNCERT/CC组织CNVD成员单位进行漏洞分析验证。核实确认漏洞信息后,便与相关厂商共同协商发布时间,根据漏洞发布策略,选择性的发布漏洞信息。

问:信息系统用户如何上报漏洞信息?

答:可以通过网站或邮件方式向CNCERT/CC报送漏洞信息。邮件地址为: vreport@cert.org.cn。鉴于漏洞信息的敏感性,建议上报漏洞信息时通过PGP密钥进行加密(下载地址:http://www.cert.org.cn/cnvd.asc, Fingerprint:2749 3320 B75A 1AEA 8E52 B1BD 7FF7 EB2C 8D8A 398C,报送信息格式excel下载)。如有问题,还可以直接拨打热线电话010-82990999。

问:漏洞上报者如何知晓漏洞的处理过程?

答:上报者在上报漏洞信息时留下联系邮箱,CNCERT/CC会通过邮件方式尽快通知漏洞处理过程,或者由漏洞上报者在CNVD网站查询漏洞信息。

问:CNCERT/CC会对漏洞信息进行完全披露?

答:CNCERT/CC将会对漏洞信息采取分级披露策略,包括漏洞基本信息、漏洞修补信息和漏洞细节信息等。在对外公开发布漏洞信息时,仅发布有助于信息系统用户进行安全防范的漏洞基本信息和防范措施。

问:漏洞发布时机是什么?

答:在漏洞已有相关修补或相应减缓措施的情况下,发布漏洞信息。

问:漏洞信息在公开披露前,是否会告知漏洞相关的产品和服务提供商?

答:CNCERT/CC会尽可能及时通知相关厂商,以便其研究修补方案或应对措施。但对于已公开漏洞信息或在无法联系到软件厂商时,CNCERT/CC将根据情况选择性地发布漏洞信息。

问:在漏洞信息公开披露前,谁还会获得该信息?

答:一般来说,CNCERT/CC将漏洞信息提供给有助于解决该漏洞的单位或组织,以及受影响的重要信息系统用户,如产品和服务提供商、协助漏洞分析验证的安全企业、基础电信运营商等。同时,CNCERT/CC将与知晓漏洞信息的单位或个人达成保密协议。如有信息保密方面的特殊要求,在上报漏洞信息时可向CNCERT/CC特殊说明。

问:漏洞上报者上报漏洞后可以获得什么益处?

答:建设信息安全漏洞共享平台,服务于国内广大信息系统用户,是一件“多方参与、多方受益”的好事。对于基础信息网络包括和重要信息系统单位,可以通过漏洞信息通报及时获知漏洞信息,及早采取预防此片是措施,积极应对漏洞威胁;对于网络信息安全厂商,可以彰显其漏洞发现、分析、验证的技术能力,体现其产品优势,扩大品牌影响;对于信息产品和服务提供商,可以帮助其提高产品和服务的安全质量水平;对于科研院所,可以引导其信息安全漏洞挖掘、分析的科研方向;对于广大网民,有助其提高终端系统安全防护能力,减少被攻击入侵的风险。

CNCERT/CC后续将建立科学的评估体系,以更好地体现漏洞上报者的贡献。例如,对积极上报者予以公开奖励;以上报CNVD的时间为参考,确认漏洞首发时间;正式发布漏洞信息时标明上报者的信息等等。