国家信息安全漏洞共享平台

国家信息安全漏洞共享平台（China National Vulnerability Database，简称CNVD）是由国家

建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系，切实提升我国在安全漏洞方面的整体研究水平和及时预防能力，进而提高我国信息系统及国产软件的安全性，带动国内相关安全产品的发展。

为提高我国基础信息网络、重要信息系统和广大网民的网络信息安全防护水平，有效防范、应对信息系统漏洞引发的网络信息安全事件，保障关键信息基础设施和公共互联网的安全运行，维护社会公共利益和国家网络信息安全，国家计算机网络应急技术处理协调中心（简称CNCERT/CC）与国家信息技术安全研究中心发起，联合国内主要的信息安全厂商、信息网络产品和服务提供商、网络信息安全科研机构共同建立开放、中立、非营利性的国家信息安全漏洞共享平台（China National Vulnerability Database,简称CNVD），在此平台上构建信息安全漏洞统一收集、分析验证、预警发布和应急处置的工作体系，面向基础信息网络、重要信息系统和社会公众提供漏洞权威信息发布、修补技术支持等信息和技术服务。

作为CNVD发起机构，CNCERT/CC将成立专门工作组接收来自单位和个人的漏洞信息报告并进行分析验证；在核实确认后，协调和督促漏洞相关厂商进行漏洞修补；根据漏洞修补进度和漏洞利用代码的活跃情况，在漏洞发现者和相关厂商间协调漏洞发布时机；本着“快速、安全、可靠，重要系统优先”的原则，建立针对不同用户的漏洞发布机制和途径，重点保障国家基础信息网络和重要信息系统的安全运行。

经2016年8月18日召开的国家信息安全漏洞共享平台（CNVD）工作会议全体讨论通过，现正式发布《国家信息安全漏洞共享平台章程》全文如下：

第一章 总则

第一条 组织名称：

国家信息安全漏洞共享平台以下简称CNVD漏洞平台，英文China National Vulnerability Database ,缩写CNVD）第二条 组织背景：

由国家互联网应急中心、国家信息技术安全研究中心于2009年10月牵头发起，由国家互联网应急中心（以下简称CNCERT）具体组织运作，并在中国互联网协会网络与信息安全工作委员会中成立专门的技术协作工作组——国家信息安全漏洞共享平台。

第三条 组织性质：

作为民间技术协作组织，平台依托CNCERT以及相关行业单位的技术和资源基础，与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集、验证、预警发布及应急处置体系，切实提升我国在安全漏洞方面的整体研究水平和及时预防能力，进而提高我国信息系统及国产软件的安全性，带动国内相关安全产品的发展。

第四条 组织宗旨：

漏洞的管理和应急要遵守国家宪法、法律和国家主管部门制定的规章制度，成员单位协同开展漏洞收集、验证、分析和处置相关工作，同时积极动员互联网和社会资源，提高全民信息系统漏洞和个人信息安全防范意识，保障政府和重要信息系统部门网络运行安全、保障企事业单位和个人用户的网络安全权益。

第五条 组织运行管理：

CNVD平台同时接受中国互联网协会的业务指导和监督管理，并制定一系列的运行管理机制以及自律公约，接受成员单位和社会公众的广泛监督。

第五条 秘书处地址：

CNVD秘书处设在位于北京市朝阳区裕民路甲3号的国家互联网应急中心。

第二章 工作范围

第六条 工作目标：

在中国互联网协会网络与信息安全工作委员会中，建立以发现、报送、评估、处置为核心环节的信息系统安全漏洞工作链条，建立漏洞安全应急处置的工作闭环，防范黑客地下产业大规模攻击，形成漏洞研究者、安全厂商、软硬件生产厂商、互联网用户之间良好的互动，营造良好的漏洞安全生态。

第七条 工作原则：

核心价值：公开、客观、协同、自律。

保持CNVD的开放性、中立性，安全厂商、软件厂商、科研院校、个人等均可以参与CNVD漏洞发现、收集、发布、验证等工作，CNVD保持以国家利益和公共利益为首要关切，确保技术客观和流程中立。

保持以我为主、预防为主。CNVD漏洞信息利用以预警预防为主，同时CNVD主要服务于国内信息化建设，关注我国广泛使用的软件产生的安全漏洞问题，并保持对漏洞造成全球互联网安全威胁的关注和积极处置态度。

第八条 工作内容：

（一）组织和动员成员单位和互联网力量，面向成员单位和漏洞研究者收集、整理、共享漏洞信息，共同建设国家信息安全漏洞数据库。

（二）建立CNVD漏洞接收、验证和处置工作机制和策略，组织开展漏洞安全响应工作，维护漏洞相关的政府部门、行业单位和个人用户安全利益；（三）向社会公众和成员单位发布漏洞预警信息，重点开展大规模或高危漏洞攻击风险防范和处置专项行动，提高漏洞安全处置成功率和响应效率。

（四）以《中国互联网协会漏洞信息披露和处置自律公约》为准则，加强社会和媒体监督，积极抵制利用漏洞开展黑客地下攻击，抵制不客观、不安全、不积极的漏洞披露和处置行为。

（五）组织开展漏洞安全技术研究，举办漏洞安全技术论坛和宣传活动，提升网民安全意识；（六）提供信息系统安全漏洞的技术支持及信息咨询等服务；（七）与漏洞安全研究和应急处置相关的其他工作。

第三章 组织结构

第九条 组织形式：

CNVD由中国互联网协会网络与信息安全工作委员会直接负责管理，秘书处负责日常运行管理事务。所有加入CNVD的机构和企事业单位均为成员单位。CNVD成员单位主要包括网络安全研究机构、网络安全企业、基础电信企业、增值电信企业、软硬件生产厂商以及具备漏洞应急响应能力的行业机构，按照技术研究和应急处置协作能力，分为技术组和用户组。同时，CNVD积极建立与其他漏洞平台、漏洞应急组织的协作关系（另设为合作方）。

第十条 成员条件：

（一）认同CNVD平台章程；

（二）符合CNVD技术组和用户组成员单位相关技术能力要求；（三）同意签署《中国互联网协会漏洞信息披露和处置自律公约》；（四）同意签署《国家信息安全漏洞共享平台（CNVD）共建共享协议》（技术组或用户组）。

第十一条 加入程序：

（一）提交申请材料，包括：单位基本资质审核、单位授权证明以及技术工作能力证明材料；（二）根据《CNVD成员单位基本能力要求和申请流程指南》进行审核；（三）审核通过后试行公示。

（四）签署自律公约和共建共享协议；

（五）在CNVD官方网站（www.cnvd.org.cn）发布公告。

第十二条 成员权利：

根据共建共享情况，CNVD成员单位将优先获得如下权益：

（一）CNVD公开发布的漏洞的全量共享接口；

（二）CNVD漏洞报送证明、原创漏洞证明以及出具相关贡献情况证明；（三）CNVD对漏洞安全相关产品的兼容性证明；（四）第一时间获得漏洞信息验证、补丁验证、用户侧巡检发现、漏洞攻击威胁监测等方面的信息共享和技术支持；（五）针对本单位软硬件产品、信息系统漏洞验证和处置情况的CNVD官方声明和核查情况背书；（六）按照《漏洞信息披露和处置自律公约》，对信息披露和处置争议事项优先协调权；（七）涉及本单位软硬件产品漏洞和用户安全风险的由成员单位提供的境内外处置体系协作；（八）获得CNVD漏洞协作突出贡献单位表彰资格。

第十三条 成员单位义务：

（一）遵守自律公约和共建共享协议；

（二）配合秘书处的工作，包括：漏洞报送、验证和处置任务，漏洞响应专项行动以及本章程第八条约定的其他相关工作任务；（三）向CNVD反映漏洞工作机制的情况，提供有关信息；（四）自觉执行CNVD全体成员达成的其他决议。

第十四条 成员单位退出：

（一）成员退出应书面通知秘书处；

（二）成员如有严重违反本章程以及自律公约、共建共享协议的行为，将予以除名；（三）在CNVD官方网站（www.cnvd.org.cn）发布公告。

第四章 章程文本

第十五条 章程建立：

章程文本由秘书处起草，经征询现有成员单位意见，超过三分之二单位通过后生效。

第十六条 章程修改：

章程后续的修改和更新均需秘书处征询超过三分之二成员单位意见无异议后通过生效。

第五章 附则

第十七条 本章程经2016年8月18日CNVD成员单位工作会议通过生效。

第十八条 本章程由CNVD秘书处负责解释。

CNVD成员单位申请流程主要包括：能力证明材料提交、前期试行考察、协议和公约签署三个部分。其中：

能力证明材料包含：单位基本资质审核、单位授权证明、对照技术组和用户组条件要求的相关能力证明材料。

前期试行考察包含：通过材料审核后，参照能力评估标准按照CNVD工作机制对申请单位进行为期1至2个月的实践考察。

协议和公约签署包含：通过试行考察后，与中国互联网协会网络与信息安全工作委员会（秘书处设在国家互联网应急中心，CNCERT）签署《国家信息安全漏洞共享平台（CNVD）共建共享协议》以及《中国互联网协会漏洞信息披露和处置自律公约》。

成为CNVD成员单位后，须接受协议和公约的约束和监督，并由CNVD秘书处评估成员单位参照指标完成情况。