研發背景
漏洞是信息技術、產品、系統在設計、實現、配置、運行等過程中,有意或無意產生的缺陷,一旦被惡意主體所利用,就會造成對信息系統的安全損害。
目前中國金融、電力、能源、電信等重要行業和信息基礎設施中採用的中高端產品、核心技術和關鍵服務仍然是嚴重依賴國外,難以做到“自主”,導致網路與信息安全面臨的最大風險。包括IC卡的安全和微軟的“黑屏事件”。
投入使用
2009年10月18日,中國信息安全“國家漏洞庫”正式投入運行,並對外開展漏洞分析與風險評估服務。
中國信息安全“國家漏洞庫”由國家專項資金支持,中國信息安全測評中心這一中國專門設立的漏洞分析和風險評估職能機構負責建設。“國家漏洞庫”建設經過半年多試運行,收效明顯。正式投入運行後,通過建立漏洞收集、分析、通報和面向套用的工作機制,開始為政府部門、產業界及社會提供信息安全漏洞分析和風險評估服務,以提高國家信息安全的威脅應對與風險管理的能力和水平。
作用
國家漏洞庫通過各種渠道在整個網際網路範圍內,不分國界地收集漏洞數據和一些補丁措施等信息,並且將收集到的這些信息及時發布出去,讓大家第一時間內了解並且解決自己信息系統存在的問題;另一方面,國家漏洞庫也可以為提供一些關於巨觀態勢的基礎的分析數據。
意義
國家漏洞庫的建設是信息安全保障工作中一項極為關鍵的基礎性和長期性工作。大量的網路失泄密案件和信息安全問題均與漏洞的存在息息相關。
國家漏洞庫通過其漏洞收集、分析、通報和面向套用的工作機制,將極大提高中國應對信息安全威脅的能力和風險管理水平。
發展
西方已開發國家均高度重視信息安全漏洞的管理及控制工作,美國更是將信息安全漏洞管理作為幾屆政府信息安全戰略的重要內容,建立了開放靈活的漏洞收集、發布等管理機制,經營著全球最大的漏洞庫。歐盟也於近年投入巨資,啟動了以構建國家漏洞庫為核心的“信息安全盾牌計畫”。
美國總統歐巴馬曾經很直接地指出,21世紀美國的經濟繁榮將依賴並取決於網路安全。美國、英國都相繼推行信息安全改革,在戰略上,把信息安全作為“核”和“太空”之外的第三種網路威懾力量。比如智慧地球、物聯網、雲計算、WINDOWS7等新系統、新技術、新概念。