目录
一、CNVD(国家信息安全漏洞共享平台)
国家信息安全漏洞共享平台(CNVD,China National Vulnerability Database)
是由 国家计算机网络应急技术处理协调中心 (中文简称: 国家互联网应急中心 ,英文简称 CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库 。
建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。
CNVD官网:https://www.cnvd.org.cn/
1.1、CNCERT(国家互联网应急中心)
国家计算机网络应急技术处理协调中心 (CNCERT/CC,National Computer Network Emergency Response Technical Team/Coordination Center of China)
成立于2001年8月,为 非政府非营利 的网络安全技术中心,是中国 计算机网络 应急处理体系中的牵头单位。也是 中共中央网络安全和信息化委员会办公室直属正厅级事业单位 ,承担国家网络信息安全管理技术支撑保障职能 。
作为国家级应急中心,CNCERT/CC的主要职责是:按照“ 积极预防、及时发现、快速响应、力保恢复 ”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,运行和管理国家信息安全漏洞共享平台(CNVD),维护公共互联网安全,保障关键信息基础设施的安全运行。CNCERT/CC积极发挥行业联动合力,发起成立了中国反网络病毒联盟(ANVA)和中国互联网网络安全威胁治理联盟(CCTGA)。
CNCERT官网:https://www.cert.org.cn/
1.2、ANVA(中国反网络病毒联盟)
中国反网络病毒联盟 (ANVA,Anti Network-Virus Alliance of China)
2009年7月7日,根据 工业和信息化部 的统一部署,依托CNCERT/CC,联合基础互联网运营企业、网络安全厂商、增值服务提供商、搜索引擎、域名注册机构等单位共同发起成立“中国反网络病毒联盟”,通过行业自律机制推动互联网网络病毒的防范、治理工作,净化网络空间,维护公共互联网网络安全。
ANVA官网:https://www.anva.org.cn/
1.3、NITSC(国家信息技术安全研究中心)
国家信息技术安全研究中心:National Research Center for Information Technology Security国家信息技术安全研究中心是遵照中央领导重要批示,经中央编制委员会办公室批准组建,中央网信办所属的国家事业单位,履行科研技术攻关与网络安全保障双重职能,主要开展网络安全核心技术研究、国家网络安全现实保障及网络安全技术服务等业务,现有各类科技人员200余人。
计算机病毒防御技术国家工程实验室,可疑文件分析云平台
https://cloud.vdnel.cn/
二、CNNVD(中国国家信息安全漏洞库)
中国国家信息安全漏洞库 (CNNVD,China National Vulnerability Database of Information Security) (记忆:CN–N–VD,中国–国家–信息安全漏洞库)
于2009年10月18日正式成立,是 中国信息安全测评中心 (中文简称:国测,英文简称: CNITSEC ,China Information Technology Security Evaluation Center)为切实履行 漏洞分析 和 风险评估 的职能,负责建设运维的国家信息安全漏洞库,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。CNNVD在国家专项经费支持下,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。
CNNVD官网:http://www.cnnvd.org.cn/
CNITSEC(中国信息安全测评中心)
中国信息安全测评中心 (CNITSEC,China Information Technology Security Evaluation Center)
中国信息安全测评中心(以下简称测评中心)是中央批准成立的国家信息安全权威测评机构,以“ 为信息技术安全性提供测评服务 ”为宗旨。
依据中央授权,测评中心 主要职能 包括:开展信息安全漏洞分析与风险评估;开展信息技术产品、系统和工程建设的安全性测试与评估;开展信息安全服务和信息安全专业人员的能力评估与资质审核;开展信息安全技术咨询、工程监理与开发服务;从事信息安全测试评估的理论研究、技术研发、标准研制;出版《中国信息安全》杂志等。
测评中心是国家信息安全保障体系中的重要 基础设施 之一。在国家专项工程投入支持下,测评中心以国家信息安全漏洞库为基础,以“移动互联网安全技术国家工程实验室”、“工业控制系统安全技术国家工程实验室”和“大数据协同安全技术国家工程实验室”为依托,建立了数十个技术平台和专用技术环境,形成了适应国家信息化发展和网络安全形势需要的技术能力。
测评中心自1998年创立以来,依照国家法律法规和标准,在信息安全领域为国家提供技术保障,向社会提供公共服务。测评中心先后完成数千个国内外信息技术产品、主流软件和网络应用系统的安全检测和技术分析;承担国家信息安全专项检查任务数百项,形成对党政机关、国家关键基础设施以及大型央企进行风险评估的工作体系;为国内10万余人提供信息安全技能培训;对数千家信息安全企业进行资质测评与认定;与40余个行业、部委及地方政府签署《战略协作协议》,为其提供集安全检测、漏洞通告、保障咨询、外围监测、应急处置、技术支持于一体的信息安全综合保障服务。
CNITSEC官网:http://www.itsec.gov.cn/
三、CICSVD(国家工业信息安全漏洞库,工业控制产品安全漏洞专业库)
国家工业信息安全漏洞库 (CICSVD,China National Industrial Cyber Security Vulnerability Database)
成立于2019年6月,由 国家工业信息安全发展研究中心 组织发起,国内从事工业信息安全相关产业、教育、科研、应用的机构、企业及个人自愿参与建设的全国性、行业性、非营利性的漏洞收集、分析、处置、披露的平台。 该漏洞库面向原材料工业、装备工业、消费品工业、电子信息制造、国防军工、能源、交通、水利、市政、民用核设施等行业领域,重点关注工业硬件、工业软件等相关产品和组件的安全漏洞、补丁及解决方案的研究。
CICSVD官网:https://www.cics-vd.org.cn/
CICS-CERT(国家工信安全中心)
国家工业信息安全发展研究中心 (简称:国家工信安全中心),前身为成立于1959年的电子科学技术情报研究所,为工业和信息化部直属事业单位,是支撑我国工业领域信息安全的国家级研究与推进机构。
国家工业信息安全发展研究中心( 工业和信息化部电子第一研究所 ),是工业和信息化部直属事业单位。经过60多年的发展与积淀,中心“支撑政府、服务行业”为宗旨,构建了以工业信息安全、产业数字化、软件和知识产权、智库支撑四大板块为核心的业务体系,发展成为工业和信息化领域有重要影响力的研究咨询与决策支撑机构,国防科技、装发工业的电子领域技术基础核心情报研究机构。
中心现有科研办公面积50000多平方米,总资产11亿元,下设16个业务部门及1个经济实体—— 赛昇控股 (北京)集团有限公司。现有在职人员863人,其中科研业务人员占比为78%、硕博人员占比为62%、中高级职称人员占比为58%,享受政府特殊津贴人员1人。拥有2个国家质检中心、5个工信部重点实验室,具有等保测评、商用密码安全性评估、数据管理能力成熟度评估、信息安全风险评估、电子数据司法鉴定等资质。牵头(或参与)承担了上百项国家重点研发计划、工业转型升级专项、制造业高质量发展专项、基础科研重大工程等重大专项。
业务范围涵盖工业信息安全、两化融合、工业互联网、软件和信创产业、工业经济、数字经济、国防电子等领域,提供智库咨询、技术研发、检验检测、试验验证、评估评价、知识产权、 数据资源 等公共服务,并长期承担声像采集制作、档案文献、科技期刊、工程建设、年鉴出版等管理支撑工作。服务对象包括工业和信息化部、中央网信办、科技部、发改委等政府机构,以及科研院所、企事业单位和高等院校等各类主体。
“十四五”时期,中心将深入贯彻总体国家安全观,统筹发展和安全,聚焦主责主业,突出特色、整合资源,勇担工业信息安全保障主责,强化产业链供应链安全研究支撑,推进制造业数字化转型,支撑服务国防军工科技创新,着力建设一流工业信息安全综合保障体系、一流特色高端智库,构建产业数字化数据赋能、关键软件应用推广、知识产权全生命周期等三大服务体系,打造具有核心竞争力的智库支撑、公共服务、市场化发展等三种能力,发展成为保障工业信息安全的国家队、服务数字化发展的思想库、培育软件产业生态的推进器、促进军民科技协同创新的生力军,更好服务我国工业和信息化事业高质量发展。
四、NVD(美国国家计算机通用漏洞数据库)
NVD,National Vulnerability Database,美国国家计算机通用漏洞数据库,是美国权威的漏洞数据收集平台。 NVD是美国政府基于标准的漏洞管理数据存储库,使用安全内容自动化协议(SCAP)表示。这些数据支持漏洞管理、安全测量和遵从性的自动化。NVD包括安全检查表引用、安全相关软件缺陷、错误配置、产品名称和影响指标的数据库。有关如何引用NVD的信息,包括数据库的数字对象标识符(DOI),请咨询NIST的公共数据存储库。 美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)
五、CVE(通用漏洞披露)
CVE 的英文全称是“Common Vulnerabilities & Exposures” 通用漏洞披露 。公共漏洞和暴露。 CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个 公共的名称 。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。
CVE是对漏洞的 收录和编号 ,一个很水的漏洞也是可以申请CVE编号。当然,这里是针对 通用组件漏洞 的,即有安全人员在自己的简历写自己获得了多少个CVE编号,那意味着对应编号的通用组件漏洞是当时由他发现的0DAY,是他拥有独立的0DAY发现能力的象征。 格式:CVE-漏洞披露年份-当年编号 例子:心脏出血漏洞:CVE-2014-0160
常见CVE安全漏洞库
cve主页:
https://cve.mitre.org/
https://cve.mitre.org/cve/search_cve_list.html
下载地址:https://cve.mitre.org/data/downloads/index.html
nvd中cve
https://nvd.nist.gov/vuln/search
阿里云漏洞库:https://avd.aliyun.com/nvd/list
tenable漏洞库(nessus): https://www.tenable.com/cve/search
https://www.securityfocus.com/bid
作为一个网络安全初学者,大家在学习过程中难免会遇到各种各样的问题,比如:
即将参加CTF比赛,不知道如何在比赛中取得好成绩;
校招面试就要开始了,不知道如何拿到满意的offer;
想挖企业SRC赚钱,但一直挖不到该怎么办;
想参加护网赚钱,但苦于没有学习方向和面试机会;
想转行从事网络安全的工作,不知道需要掌握哪些技术点;
如果你也有上面这些问题,那一定一定不能错过我整理的这套网络安全零基础资源包,资源包里的内容包含:
网络安全/信息安全零基础学习路线图
150节网络安全攻防技术视频教程
200+网络安全/信息安全pdf书籍
30+护网红蓝对抗技术文档
100+CTF夺旗赛必备工具包
历年CTF夺旗赛真题解析
50份安全攻防面试真题及答案
20份安全工程师简历模版
最最最重要的是,我整理的这套网络安全/信息安全零基础资源包,粉丝都可以直接抱走。全套网络安全/信息安全学习资源包
扫描下方二维码免费领取
方向不对,努力白费!对于刚接触网络安全的同学,我帮大家准备了详细的零基础学习路线图。
经过几千位同学的反馈,这套路线图可以说是最科学、最系统的学习路线,大家跟着这个大的方向学习准没问题。
考虑到很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,内容从计算机网络、HTML、MySQL数据库等基础知识点开始讲解,内容由浅入深、循序渐进,确保每一位同学都听得懂、学得会、用得上。
除了看视频学习,我们也能通过书籍文档快速上手掌握某个具体的技术,这也是我现在学习新知识最常用的方式。
受限于篇幅的原因,剩下的内容就不在这里一一展示了,大家如果需要的话,可以扫描下方二维码领取!(不收费、不收费、不收费)
全套网络安全/信息安全学习资源包
扫描下方二维码立即领取
10个月宝宝每天需要喝多少奶粉?
