国家信息安全漏洞共享平台成员单位

[参考官网
：国家信息安全漏洞共享平台https://www.cnvd.org.cn/webinfo/list?type=7

一、、简介

国家信息安全漏洞共享平台（China National Vulnerability Database
，
，，简称CNVD）是由国家计算机网络应急技术处理协调中心（中文简称国家互联网应急中心，
，，，英文简称CNCERT）联合国内重要信息系统单位、
、、
、基础电信运营商、、网络安全厂商、、、、软件厂商和互联网企业建立的国家网络安全漏洞库。。。。

建立CNVD的主要目标即与国家政府部门、、
、重要信息系统用户、、运营商、
、、主要安全厂商
、、、、软件厂商、、、
、科研机构、、公共互联网用户等共同建立软件安全漏洞统一收集验证、、、、预警发布及应急处置体系，，，切实提升我国在安全漏洞方面的整体研究水平和及时预防能力，，进而提高我国信息系统及国产软件的安全性，，带动国内相关安全产品的发展。。

二、、、、能力要求

CNVD技术组支撑单位能力要求：

CNVD技术组支撑单位是CNVD开展漏洞收录、、、
、漏洞分析、、漏洞挖掘以及漏洞全局监测、
、、
、应急响应工作的核心成员，，，具体支撑作用体现在漏洞收录、、挖掘、
、、验证、、、、威胁评价等技术研究方面以及在产品的漏洞应急响应、
、、、补丁的发布测试等应急处置方面。
。。

技术组支撑单位的能力要求如下(满足一项或多项)：

（一）能积极跟踪国内外公开漏洞信息发布源，
，，，能持续定期批量向CNVD提交本单位收录的已公开漏洞信息，，并按CNVD格式要求进行规范化整理。
。。
。能力评估参照：每年报送数公开漏洞数量超过1500个。。

（二）具备接收原创漏洞报送或自主实施漏洞奖励计划的工作平台，
，，并与CNVD开展漏洞信息共享和处置协作。。。。能力评估参照：具备规范的漏洞信息披露和处置流程，，，，每年推送信息超过1000个。。。
。

（三）具备漏洞挖掘的技术能力，，
，并向CNVD积极提交原创漏洞信息（需经过有效性和原创性比对）。。。
。能力评估参照：通用软硬件漏洞数量不设最低限，，需由CNVD秘书处综合评估核心技术能力
、、、产出数量能力，，对于事件型漏洞数量>600个/半年。。

（四）具备漏洞相关的自主知识产权产品（如：漏洞检测引擎
、、、漏洞威胁风险大数据等）
，
，，与CNVD开展产品能力调用（如：引擎调用）、、全局响应能力输出（如：共享漏洞威胁检测数据）。。
。
。能力评估参照：需提供相关产品知识产权证明或通过CNVD同类产品无先例、、、产品无OEM核查
，，能持续提供引擎类调用接口或协商技术对接应用。
。。。

（五）具备开展漏洞检测、、、监测的技术能力，
，，，能独立开展软硬件产品应用识别和漏洞攻击检测分析
。。能力评估参照：每年提供应用识别特征覆盖超过100种类产品包括操作系统
、、、数据库、、、WEB软件、、中间件等（不包括同一软硬件产品不同版本情形，，，
，并与CNVD已有特征库进行查重比对），，或每年分析漏洞攻击报文监测特征（限最近两年漏洞，，，
，与CNVD已有特征库进行查重比对）超过200条。。

（六）具备漏洞全局处置能力，
，并已建立行业领域内有效的漏洞处置工作机制，，协助CNVD处置本行业单位漏洞完成率超过95%。。

（七）具备上述项未涉及的其他独有漏洞安全研究技术能力或产品
、、数据输出能力
。。
。
。

CNVD用户组支撑单位能力要求：

CNVD用户组支撑单位是CNVD开展漏洞应急处置，，
，，防范政府和重要部门
、、行业单位用户、
、、大规模用户安全风险的重要组成部分，，用户组成员需认同并贯彻漏洞处置用户侧主动响应原则
，，，
，具备基本的漏洞修复技术服务能力、、、良好的漏洞处置协作能力，
，
，
，与CNVD开展漏洞大规模威胁处置协作，，，，向CNVD积极报备自身产品、、、
、信息系统相关漏洞风险。。。根据应用规模和应用领域划分
，，能力要求如下：

（一）软硬件产品用户涉及国内大规模用户单位，，，，信息系统产品安全风险有可能影响大规模个人用户。
。数量参照：软硬件产品涉及超过100个党政机关或重要行业单位用户；自主管理的信息系统涉及个人用户数量达百万级；归口管理的信息系统或下属机构数量超过百个。
。。。

（二）主体单位归属以下类别工作组：政府高校
、
、、、基础电信、、增值电信、
、、网络设备、、
、、工业控制、、电子邮件、
、、、电子政务等，，CNVD根据主体情况可新设工作组

（备注
：以上内容仅供参考，，，如未详尽或有更新，
，，
，均以具体官方发布为准。。）