10月18日,我国信息安全“国家漏洞库”正式投入运行,并对外开展漏洞分析与风险评估服务。这是中国信息安全测评中心当天在北京举行的新闻发布会上宣布的。据介绍,我国信息安全“国家漏洞库”由国家专项资金支持,中国信息安全测评中心这一我国专门设立的漏洞分析和风险评估职能机构负责建设。“国家漏洞库”建设 经过半年多试运行,收效明显。正式投入运行后,通过建立漏洞收集、分析、通报和面向应用的工作机制,开始为政府部门、产业界及社会提供信息安全漏洞分析和 风险评估服务,以提高国家信息安全的威胁应对与风险管理的能力和水平。
漏洞是信息技 术、产品、系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷,一旦被恶意主体所利用,就会造成对信息系统的安全损害。据中国信息安全测评中心 主任吴世忠介绍,“国家漏洞库”的建设是信息安全保障工作中一项极为关键的基础性和长期性工作。当前大量的网络失泄密案件和信息安全问题均与漏洞的存在息 息相关。西方发达国家均高度重视信息安全漏洞的管理及控制工作,美国、欧盟都投入巨资和力量建立自己的“国家漏洞库”。
又电在当天的新闻发布会上,4家我国信息安全骨干企业的产品首批获得了国产信息安全产品“自主原创证明”。这项由中国信息安全测评中心依托国家漏洞库开展的测评业务,将有助于确保国家信息安全实现自主可控的目标。
链接
10 月18日,中国信息安全测评中心产品安全检测实验室主任张翀斌说,在测评中发现,目前信息安全产品的三个新问题较为普遍:贴牌生产过程中,其实只是将外来产品包装直接换掉和把软件界面汉化;“借用”别的产品的软件模块;只是将源代码改头换面,实际并没有掌握核心技术。这三个新问题会产生相应的信息安全漏洞。