首页
社区
课程
招聘
[新闻]国家信息安全漏洞共享平台建立(看雪网站参与技术合作组)
发表于: 2009-10-22 16:57 49732

[新闻]国家信息安全漏洞共享平台建立(看雪网站参与技术合作组)

2009-10-22 16:57
49732
共建共享协作,构建安全防线----20余家企业共建国家信息安全漏洞共享平台



信息来自:
http://www.cert.org.cn/articles/activities/common/2009102224586.shtml
http://tech.qq.com/a/20091022/000160.htm

共建共享协作,构建安全防线
   —        国家信息安全漏洞共享平台共建签约仪式在湘举行

   2009年10月22日,国家计算机网络应急技术处理协调中心(以下简称“国家互联网应急中心”)、国家信息技术安全研究中心与神州绿盟、启明星辰、腾讯、新浪等国内近二十家安全公司、软件厂商、互联网企业就共同建设国家信息安全漏洞共享平台的合作事宜在湖南长沙举行了签约仪式。

   软件安全漏洞是构成网络安全威胁的重要原因,网络入侵、大规模蠕虫传播、系统拒绝服务等问题多是由软件安全漏洞所引发。为降低软件安全漏洞带来的风险,增加对漏洞威胁的预警能力,世界上一些发达国家纷纷建立了漏洞集中收集和发布机制,如美国由国土安全部(DHS)和美国应急响应组织(US-CERT),日本由其本国应急响应组织(JPCERT/CC)统一收集各类信息系统的安全漏洞信息。

  随着我国信息化建设不断推进,互联网新业务层出不穷,但伴随的是软件复杂性的增加,软件开发质量难以保证。近年来零日漏洞的不断出现,也使得国内软件安全漏洞问题愈演愈烈,对我国互联网网络安全预警和应急处置能力提出了新的要求。

  国家互联网应急中心作为国家级网络安全应急组织,多年来为国家互联网基础网络、政府和重要信息系统部门提供网络安全监测、预警和应急处置服务,为包括证监会、电监会等在内的国家许多关键部门提供了安全应急服务和技术支持,涉及电信、银行、证券、电力、广电、税务、海关、民航、新闻出版等多个行业系统,在应对国家互联网安全突发事件方面发挥了重要作用。

  为切实提高我国政府部门、基础信息网络、重要信息系统用户和普通网民对计算机及互联网安全漏洞的防护水平,有效防范漏洞引发的安全隐患,保障我国公共互联网的安全运行,国家互联网应急中心、国家信息技术安全研究中心与国内主要安全公司、软件厂商以及相关互联网企业将共同建设国家信息安全漏洞共享平台。在开放、中立、非营利性的原则下,共建中国信息安全漏洞库(英文名称为China Information Security Vulnerability Database,简称CNVD),并逐步建立起我国漏洞发现、上报、分析、验证、发布、应急处置和共享体系。

  现在我国已有一批具有漏洞发现、验证能力的企业、单位在漏洞处置方面做了大量工作,如绿盟、启明、东软等公司建立了有数万条目的企业级安全漏洞库,在漏洞发现和分析上积累了一定的经验。在充分发挥这些安全公司、软件厂商、互联网企业以及科研高校在漏洞发现、分析、验证的优势,广泛吸收民间安全研究力量的基础上,通过资源整合、信息共享、相互协作的方式,共同建立公益的、开放的信息安全漏洞库及漏洞收集、发布机制。

  国家信息安全漏洞共享平台将面向政府部门、重要信息系统用户、基础电信运营商、安全企业以及互联网终端用户,建立不同的漏洞信息发布途径,并按照不同用户的安全需求发布不同类型的漏洞信息,使得信息系统用户能够第一时间获知其所使用信息系统的安全隐患情况,从而加强对安全威胁的及时防范能力。

  参加签约仪式的各方表示,建立国家信息安全漏洞共享平台将对提升我国在安全漏洞方面的整体研究水平和应急处置能力,保护用户网络信息安全,带动国内相关安全产品发展具有重要的积极意义。

工作委员会
国家计算机网络应急技术处理协调中心(CNCERT/CC)

国家信息技术安全研究中心

北京神州绿盟科技有限公司

北京启明星辰信息技术有限公司

沈阳东软系统集成工程有限公司

北京安氏领信科技发展有限公司

奇虎360软件(北京)有限公司

技术合作组
北京安天电子设备有限公司

北京焜安信息技术有限公司

北京知道创宇信息技术有限公司

看雪安全网站

华为技术有限公司

深圳市腾讯计算机系统有限公司

北京暴风网际科技有限公司

杭州安恒信息 技术有限公司

用户支持组
百度在线网络技术(北京)有限公司

新浪网技术(中国)有限公司

北京搜狐互联网信息服务有限公司

网之易信息技术(北京)有限公司

上海盛大网络发展有限公司

北京雷霆万钧网络科技有限责任公司

上海巨人网络科技有限公司

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (155)
雪    币: 47147
活跃值: (20460)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
   
看雪安全网站作为技术合作组参与了本次的签约。看雪网站将发挥自己的平台优势,努力为中国的信息安全建设,贡献一份力量!



CNCERT处长孙蔚敏:建立开放式漏洞发布机制
CNCERT处长孙蔚敏:建立开放式漏洞发布机制
摘自:http://tech.qq.com/a/20091022/000295.htm



以下是国家互联网应急中心处长孙蔚敏发言实录:

主持人:各位来宾、各位朋友:大家下午好!

国家信息安全漏洞共享平台共建签约仪式正式开始,有请国家互联网应急中心周勇林处长主持签约仪式。

周勇林:尊敬的各位领导、各位嘉宾,朋友们、同志们:大家下午好!

在这金秋送爽,丹桂飘香的美好时节,我们相聚美好湖南,共同举行国家信息安全漏洞共享平台共建签约仪式,通过共建信息安全漏洞平台,共享信息安全漏洞资源。我代表国家互联网应急中心,向出席今天启动仪式,见证这个美好时刻的领导和来宾表示衷心的感谢!现在,我宣布国家信息安全漏洞共享平台共建签约仪式正式开始!

首先,请国家互联网应急中心孙蔚敏处长致辞。

孙蔚敏:大家下午好!

首先,声明一下不是致辞,上午有很多领导已经致辞了,我给大家汇报一下国家信息安全漏洞共享平台的工作机制和模式。因为时间关系,说得比较简单,我主要说五个方面的内容。

大家知道,安全漏洞工程非常巨大,安全漏洞形式不容乐观,我们每年会发布年报,大家从年报里面看到的主要数据能表明现在的安全形势确实是不容乐观。

安全防护投入这么大,安全形势这么不容乐观,两者矛盾的焦点到底在什么地方呢?我想大家都很清楚,其中有大家非常关心的一个问题就是安全漏洞。

安全漏洞出现的数量每年是有增无减,网络上有很多漏洞攻击工具,一个简单地初中生、高中生,或者是对漏洞很感兴趣的人,或者是对竞争伙伴实施攻击,都会有人利用这些工具来实施攻击。

09年非常关注的利用操作系统漏洞在我国大肆传播的“飞客”蠕虫,我们对其进行了大半年的监测,将近有一千多个设计国计民生的重要系统都受到了“飞客”蠕虫的控制,它有一个最大的特点是能够窃取机密信息。那么,“飞客”蠕虫的被控制端在我国是最多的,占58%,导致我国六个省区的互联网瘫痪,这些都是很典型的利用漏洞进行攻击的案例。

那么,国内外安全漏洞的处置情况大家也非常清楚。在一个信息发达的国家,较早地开展了信息安全工作的统计收集及发布等一系列工作,在美国有一个国家级的应急组织,对美国的漏洞进行监测;日本也建立了自己国家监测漏洞库的专门组织。在我国也有一些漏洞监测部门,他们没有一个专门的程序去申报,据我们所知就报告到了国外的互联网组织。

安全企业做了大量技术积累,很多知名安全厂商都拥有各自的上万条漏洞信息的企业极漏洞库。

10月18日,中国信息安全测评中心的信息安全“国家漏洞库”正式投入使用,我想这进一步提升了漏洞作为一种资源的地位和作用。但是,我们还是要说漏洞的处置工作需要在更广泛地层面得到加强。

首先,我认为漏洞处置工作需要整理各方力量和资源,应对复杂的信息系统漏洞,要充分发挥各自优势,共同发挥作用。复杂的漏洞问题,信息系统类型多,应该软件类型多,漏洞种类多,利用情况复杂。

(图)大家可以从图上清楚地看到,图里面有政府部门、安全厂商、软件厂商、信息系统用户和科研院所。王局长早上说了政府有一个重要的职能是规范和指导,软件厂商希望把自己的软件做得非常安全,但做出万无一失没有漏洞的软件也非常难,我们需要有非常完善地机制去修正它。

国家互联网应急中心决定整合各方面的力量和资源,共建漏洞处置信息平台。坚持两点基本原则:

第一,坚持开放性、重力兴和非营利性的基本原则。

安全厂商、软件厂商、科研机构、个人均可以参与安全漏洞的发现,上报工作,由我们来牵头负责收集、验证、复杂和发布等工作,大家共同参与漏洞库及相关机制的建设,共享漏洞信息资源。

第二,坚持以我为主,预防为主的原则。

通过建立国家信息安全漏洞共享平台,国家互联网应急中心、国家信息安全技术研究中心与国家政府部门,重要信息系统用户,基础电信经营商,主要安全厂商,软件厂商,科研机构,公共互联网用户等共同建立信息系统安全漏洞统一收集、分析验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。建立这个共享平台,让大家从各自的角度都成为受益者,受益者是参与平台共建的广大信息系统用户。

基本的工作思路也可以用一个简单地图来表示:共同建设、资源共享、相互协作。漏洞库建设只是整个共享平台的一个环节,也希望建成某一个漏洞被利用了的案例库,也希望建成被利用了的漏洞库的处理经验库。

我们的工作方法是成立一个工作组,工作组分四个部分,工作委员会、专家委员会、技术合作组、用户支持组。因为时间的关系,在协议里面都有明确规定,我就不在这里仔细阐述了。

总之,通过这样一种工作形式,希望大家都从中受益。

工作步骤分为两步:一是与主要安全厂商共建信息漏洞库;二是积极接收,处理社会各单位和个人举报的漏洞信息。与主要软件厂商建立漏洞信息,预警和修补工作机制,建立起面向政府部门、通信行业,重要信息系统和广大用户的漏洞发布机制。我们希望在这个平台做出国家标准,在国际上做出一定的影响力。

我的汇报内容就到这里,谢谢大家。

协作防御安全漏洞

绿盟科技总裁吴明辉:协作防御安全漏洞
http://www.bianews.com/viewnews-104607.html


主持人周勇林:下面有请企业界代表绿盟科技的吴明辉总裁讲话。

吴明辉:各位领导、各位专家:下午好!

听完各位领导的发言,作为厂商深有感触,作为安全厂商,我在这里发表自己的想法。

(图)这张图是05年绿盟科技研究院于洋做出的地下产业链意识图。这张图的脉络很多,整理之后的商业模式是这样的。从工具的开发者-工具滥用者-工具价值方都有参与,这种角色的互相分工是在黑客当中的一种协作。

我们可以看到现在的问题远远不是一个人或一个组织可以完成的,他们通过协作来完成攻击我们的网络,攻击我们的用户,我们作为防守方,作为我们的用户,包括研究机构或政府,其实也需要这种协作。今天,漏洞信息平台的发布就是这样一种形式。

(图)漏洞信息发布图。厂商安全通告对CVE的覆盖率发布。大家可以看出,如果仅仅参考一个安全厂商漏洞的时候,你得到的数据覆盖率只有92%,如果选择两个安全厂商进行参考的时候,你的数据覆盖率甚至可以达到99%点多。

再换一个角度看,刚才孙处提到漏洞发展趋势。目前,在全国最大的中文漏洞库13000多条,这十几年中漏洞库发展变化也有不同。最早买一个网络设备、买一个数据库就可以对漏洞进行分析了,现在却做不到了,因为有很多新的漏洞出现了。现在,不仅仅是在单独的设备上出现漏洞,有的时候是在用户的系统上出现漏洞。包括网银系统,还有在核心网络设备上发现大规模的漏洞。还包括应用开发厂商的系统上也出现漏洞,这都是漏洞挖掘的网点,在漏洞挖掘和分析的过程中,可以看到一个明显的趋势,需要用户、IT技术的提供商、政府、研究机构等一起合作来做防护工作。

有了漏洞就要做防护,还要做消除隐患控制的事情,最早的防护有防火墙软件,未来的手段在很多地方有在用了,比如去年为保护奥运会流动信息网络是中国电信建的,还包括恶意网站数据系统等等,这都是未来的一些手段,它们不是单个设备、单个组织能完成的,它们需要协作。

我记得在08年奥运会期间,当时我们和其他的厂商一起合作建设了中国电信流量清晰网络建设奥运会。但是,我们发现在奥运会期间防守压力比平时轻,原因是什么呢?后来发现奥运会组织对僵尸网络进行了封堵,黑客很难对僵尸网络发动攻击,这样就很好地防护了系统。那么,漏洞与隐患的小处不是单一产品或是组织可以解除的,需要更大范围的协作。

在4月、10月奥巴马政府做的报告中,强调了政府与私营企业之间的协作;今年5月我收到互联网应急中心发布的通报办法和前面的技术是相呼应的,有了一个很好地平台和环境做这个事情。非常可喜的是今天这个平台,包括政府所做的工作都为安全产业创造了很好的环境。

绿盟科技作为一家安全厂商,十年来一直专注于技术,包括今天还有其他的签约厂商,我们愿意在这样一个平台,这样一个环境下为安全产业贡献自己的力量。

我的汇报就到这里,谢谢大家。

签约


主持人周勇林:谢谢吴明辉总裁的讲话。他讲话的中心思想是在目前的新时期下,网络安全漏洞的分析和处置,一定能够通过各部门的通力协作把这项工作做好。

下面,举行国家信息安全漏洞共享平台共建签约仪式,请签约仪式单位的代表上台。有请国家互联网应急中心云晓春副主任上台。有请杭州安恒、看雪安全网站、TOM、盛大网络、网易、新浪公司、安天公司、安氏通信科技、启明星辰、绿盟科技、东软、奇虎360、百度、搜狐、腾讯科技、华为公司、知道创宇、焜安信息公司的签约代表上台!

如此强大的阵容,可以看到国家信息安全漏洞共享平台充满了希望。下面,有请各位代表拿起手中的“英雄牌”钢笔签署各自面前的“协议”。各位代表的各自部门在这本“协议”上签署了名字,同时也签署了对国家信息网络安全漏洞共享平台共建的承诺。

下面,请各位到水晶球前来,启动水晶球,让我们共同启动互联网共享平台的共建!

主持人周勇林:这一刻,标志着国家信息安全漏洞共享平台已经正式启动,希望合作方精诚团结,合作共赢!国家信息安全漏洞共享平台共建签约仪式圆满成功!

主持人周勇林:各位领导、各位朋友,再次感谢各位领导、各位专家出席本次签约仪式,签约仪式到此结束,谢谢!

上传的附件:
2009-10-22 16:57
0
雪    币: 424
活跃值: (10)
能力值: ( LV9,RANK:850 )
在线值:
发帖
回帖
粉丝
3
放几张照片上来
2009-10-22 17:01
0
雪    币: 623
活跃值: (10)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
4
重大新闻 啊,看PP
2009-10-22 17:01
0
雪    币: 249
活跃值: (196)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
做个沙发看看,呵呵
2009-10-22 17:01
0
雪    币: 2096
活跃值: (100)
能力值: (RANK:420 )
在线值:
发帖
回帖
粉丝
6
建議該帖新聞總頂,並將 title 標紅色、藍色以外之顏色,以茲區別,廣為宣傳。
2009-10-22 17:01
0
雪    币: 167
活跃值: (1574)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
7
恭喜~~  恭喜看雪论坛 也感谢段哥这些年不懈的努力 为国内搭建了这样一个优秀的技术交流平台 !
2009-10-22 17:03
0
雪    币: 129
活跃值: (135)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
8
恭喜恭喜^_^
2009-10-22 17:04
0
雪    币: 3171
活跃值: (76)
能力值: (RANK:250 )
在线值:
发帖
回帖
粉丝
9
这个帖子一定要顶 希望看到论坛后续的延伸工作尽快展开
2009-10-22 17:05
0
雪    币: 19
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
支持下,看学好强大!!
2009-10-22 17:05
0
雪    币: 1505
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
11
首页 占个首页
2009-10-22 17:08
0
雪    币: 1203
活跃值: (56)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
楼层还不高,赶紧盖
2009-10-22 17:08
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
13
火帖留名
2009-10-22 17:10
0
雪    币: 1450
活跃值: (35)
能力值: (RANK:680 )
在线值:
发帖
回帖
粉丝
14
看雪对中国软件安全领域的发展起到了巨大的推动作用.
看雪网站以及看雪的思想乃至对论坛做过贡献的前辈们会被历史永远记住的.
2009-10-22 17:13
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
看雪学院  很好很强大!
2009-10-22 17:14
0
雪    币: 2134
活跃值: (14)
能力值: (RANK:170 )
在线值:
发帖
回帖
粉丝
16
恭喜~恭喜论坛的成绩, 感谢老大为广大逆向爱好者提供如此好的知识平台.
2009-10-22 17:18
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
17
支持看雪。。看雪是个很实在的网站。。
2009-10-22 17:25
0
雪    币: 370
活跃值: (52)
能力值: ( LV13,RANK:350 )
在线值:
发帖
回帖
粉丝
18
恭喜  看雪的明天将更加美好
2009-10-22 17:42
0
雪    币: 13095
活跃值: (4092)
能力值: ( LV15,RANK:1673 )
在线值:
发帖
回帖
粉丝
19
恭喜...支持...
祝看雪办得更好...
2009-10-22 17:46
0
雪    币: 303
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
不得不顶啊。终于有个好的名份了!!!
2009-10-22 17:50
0
雪    币: 116
活跃值: (220)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
21
可喜可贺。。。
2009-10-22 17:53
0
雪    币: 2319
活跃值: (565)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
22
恭喜

看雪这里的特别之处,是具备了软件分析的精英

有能力分析有害软件的流程,对抗木马的自我保护,验证漏洞
2009-10-22 17:59
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
23
支持看雪,支持老大
2009-10-22 18:06
0
雪    币: 267
活跃值: (24)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
24
果然很NX!
2009-10-22 18:07
0
雪    币: 192
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
恭喜看雪论坛
2009-10-22 18:08
0
游客
登录 | 注册 方可回帖
返回
//