CVE 与CNVD以及漏洞处置

一、CVE与CNVD之间的关联

Cve

CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露，列出了已公开披露的各种计算机安全缺陷（不止包含计算机终端，还涵盖网络、安全、操作系统、数据库、应有程序等）。 CVE，指的都是已分配 CVE ID 编号的安全缺陷。

在各大厂商发布的漏洞预警中，一般都会发布该漏洞对应的cve编号，技术人员按照cve编号查找对应的解决方法。

Cnvd

是对应cve，我国建立的一套的信息安全漏洞体系。

国家信息安全漏洞共享平台（China National Vulnerability Database，简称CNVD）是由国家计算机网络应急技术处理协调中心（中文简称国家互联网应急中心，英文简称CNCERT）联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。

建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系，切实提升我国在安全漏洞方面的整体研究水平和及时预防能力，进而提高我国信息系统及国产软件的安全性，带动国内相关安全产品的发展。

二、安全漏洞的分级和处置原则

cve漏洞的级别，分为高危、中危、低危

按照当前执行网络安全等级保护2.0标准要求，高危漏洞必须修复，中危漏洞尽量解决修复，低危漏洞一般涉及信息泄露，是指在网页中出现了以文本形式体现的电话等，可以酌情修复。

编号规则为cve-年度-漏洞编号，比如近期的微软CVE-2023-29362

2.1网络安全法的明确要求

2017年6月1日起施行

第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内，不得终止提供安全维护。

2.2网络产品安全漏洞管理规定

工信部联网安〔2021〕66号 2021年7月12日发布

第七条网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：

（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。

三、常用的cve网站

1.https://cve.mitre.org/      可以和国家信息安全漏洞共享平台的漏洞对照查询

2.https://www.cve.org/

3.https://avd.aliyun.com/nvd/list  阿里云漏洞库

4.https://www.tenable.com/cve/search tenable漏洞库(nessus)

5.http://www.nsfocus.net/index.php?act=sec_bug 绿盟漏洞库

5.国家互联网应急中心

国家互联网应急中心

6.国家信息安全漏洞共享平台

https://www.cnvd.org.cn/