您的位置: 网界网 > 周报全文 > 正文

[周报全文]CVE认证带来了什么?

2005年10月25日 16:12:31 | 作者:○ 本报记者 仪句 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:启明星辰公司的脆弱性扫描与管理系统通过了国际安全组织CVE的标准评审

标签
CVE
启明星辰

        近日,启明星辰公司的脆弱性扫描与管理系统通过了国际安全组织CVE(Common Vulnerabilities & Exposures,通用漏洞披露)的标准评审,获得最高级别的CVE兼容性认证(CVE Compatible),从而成为国内厂商中率先获得CVE认证的漏洞扫描产品,业内不少人士都对该消息表示出了浓厚的兴趣,那么,究竟什么是CVE认证?它对于一家安全厂商而言又有什么实际意义?带着这些问题,记者采访了启明星晨副总裁周力丹女士。

CVE是什么
        据了解,CVE是国际上一个著名的漏洞知识库,也是目前在国际上最具公信力的安全弱点披露与发布单位,CVE组织是一个由企业界、政府界和学术界综合参与的国际组织,其使命是通过一种非盈利的组织形式,能更加快速而有效地去鉴别、发现和修复软件产品的脆弱性。CVE是编号与命名特定弱点的标准协议,以确保哪个弱点已经清楚确实地被辨识出来。目前,CVE的命名方案由MITER公司主持。
        周力丹介绍说,几年前,无论是厂商还是用户都面临着对软件的各种安全问题命名混乱的局面,这使得用户面对不同种类的脆弱性评估服务、工具和软件供应商升级时的大量数据文件,非常难于利用这些文件统一评定、管理和修复系统漏洞和脆弱点。有了CVE以后,常见的系统漏洞都可以被统一标识,都能有自己惟一的编号和名称,经过这样的标准化工作后,用户和厂商对漏洞管理就有了统一的认识,不再会出现以前那样混乱的局面。
        如果某个产品获得了CVE认证,就表示该产品支持CVE漏洞名称的输出和CVE漏洞名称的查询。通常,各家企业产品在获得CVE最高级别认证(CVE Compatible)之前,需经过5个评审阶段,这包括:CVE Intent Declared、Declared CVE Output、Declared CVE Searchable、Declared CVE Output &Searchable和CVE Compatibility Questionnaire Posted,国内一些安全产品生产厂商正在努力争取,部分产品已经通过了初级评审阶段。
        周力丹表示,启明星辰这次获得的是最高级别的CVE兼容性认证,目前这在国内厂商生产的漏洞扫描产品中还是第一家,再加上去年11月天阗入侵检测与管理系统获得的CVE兼容性认证。已经充分说明了启明星辰公司无论在入侵检测,还是在漏洞扫描的技术实力方面均已与国际接轨,并且获得了国际权威组织的充分认可。

建立中国的CVE
        周力丹在采访中强调,CVE认证的获得殊非易事,启明星辰对CVE的关注与联系可以说是源远流长。支持启明星辰在CVE认证领域不断耕耘的是启明星辰积极防御实验室(ADLAB)。成立于1999年的ADLAB,拥有专职研究技术人员近20人(+本站微信networkworldweixin),其核心成员在国内、国际网络安全业界具有相当知名度。ADLAB专注于网络安全基础性研究,密切跟踪国内、国际漏洞机理研究的最新进展。
        多年来,ADLAB一直与包括CVE在内的多家国际安全组织保持着密切的合作关系。对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪,对重大安全问题成立专项研究小组进行技术攻关,并将发现的漏洞及时呈报给CVE,目前已有多个漏洞的命名被CVE组织采用。
        对于启明星辰这样的国内网络安全厂商来说,重视CVE认证,一方面是与国际接轨,开拓国际市场; 另一方面是给用户带来更安全、使用更方便的产品。目前,国际上主流的安全厂商都会把CVE认证作为一个重点,以提高产品的兼容性和互操作性,启明星辰自然也不例外。除此之外,启明星辰还把目光放在了CVE认证所不能覆盖的其他漏洞信息。目前,在国家计算机网络应急处理协调中心(CNCERT/CC)领导下,国内正在组建自己的CVE组织——CNCVE,启明星辰积极参与并支持这项工作。
        CNCVE的组建目的就是建设一个具有中国特色的,能为国内广大用户服务的CVE组织。国际CVE组织仅仅是描述漏洞的主要特征,统一命名漏洞。CNCVE不但包含漏洞的描述予以统一定义,还将包括漏洞的补丁、验证等措施,更方便、有用。
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]