| 无论是对攻击者还是防御者来说,网络安全漏洞信息获取都是十分必要的。攻击者通过及时掌握新发现的安全漏洞,可以更有效地实施攻击。防御者利用漏洞数据,做到及时补漏,堵塞攻击者的入侵途径。目前,国内外漏洞信息来源主要有四个方面:一是网络安全应急响应机构;二是网络安全厂商;三是IT产品或系统提供商;四是网络安全组织。国内外网络安全漏洞信息发布的主要来源,分别介绍如下。
|
|
|
|
|
| CERT(Computer Emergency Response Team)组织建立于1988年,是世界上第一个计算机安全应急响应组织,其主要的工作任务是提供入侵事件响应与处理。目前,该组织也发布漏洞信息。
|
|
|
| Security Focus Vulnerability Database
|
|
|
| Security Focus Vulnerability Database是由Security Focus公司开发维护的漏洞信息库,它将许多原本零零散散的、与计算机安全相关的讨论结果加以结构化整理,组成了一个数据库。
|
|
|
|
|
| CNNVD是中国信息安全测评中心(以下简称“测评中心”)为切实履行漏洞分析和风险评估职能,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为国家信息安全保障提供服务。经过几年的建设与运营,CNNVD在信息安全漏洞搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用,为国家重要行业和关键基础设施的安全保障工作提供了重要的技术支撑和数据支持。CNNVD的网络界面如下图所示。
|
|
|
|
|
|
|
|
|
| 国家信息安全漏洞共享平台(CNVD)是由国家计算机网络应急技术处理协调中心联合国内重要的信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。CNVD已建立起软件安全漏洞统一收集验证、预警发布及应急处置体系,发布了《国家信息安全漏洞共享平台章程》。CNVD的网站界面如下图所示。
|
|
|
|
|
|
|
|
|
| 厂商漏洞信息是由厂商自己公布的其生产产品的安全漏洞信息。通常情况下,厂商会在其网站的安全服务栏目公布产品漏洞信息状况。
|
|
|
