来源 :奇安信集团2024-09-11
9月11日,国家信息安全漏洞库(CNNVD)在“CCS 2024成都网络安全系列活动——国家漏洞库网络安全漏洞治理产业协同创新研讨活动”举行颁奖仪式。奇安信凭借对CNNVD漏洞研究技术支撑做出的突出贡献,以及对自有产品漏洞管理的优秀能力表现,最终获得“国家信息安全漏洞库核心技术支撑试点单位”和“国家信息安全漏洞库优秀漏洞管理企业”两项殊荣。
中国国家信息安全漏洞库(CNNVD)是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务,为我国重要行业和关键基础设施安全保障工作提供着重要的技术支撑和数据支持。
本次“国家信息安全漏洞库核心技术支撑试点单位”的评选,以提高国家重大网络安全漏洞的发现、分析、处置能力,形成漏洞的收集、分析、处置、披露的良性机制为目标,从281家CNNVD技术支撑单位中的32家一级支撑单位进行层层筛选,最终选拔10家支撑单位为“核心技术支撑试点单位”。奇安信凭借在漏洞挖掘、漏洞分析、漏洞消控、漏洞通报等方面的突出贡献,赢得了CNNVD的高度认可,顺利入选。
为进一步推动国家网络安全漏洞治理,提升我国重要信息系统和关键基础设施的网络安全防护和风险消控能力,CNNVD在“漏洞信息共享合作计划”的基础上,选拔14家漏洞管理优秀厂商为“国家信息安全漏洞库优秀漏洞管理企业”,其中安全厂商9家。本次入选,无疑是对奇安信漏洞发现、分析和应急处置等能力的充分肯定,奇安信将持续借助合作单位的信息共享优势,进一步提升漏洞发现、消控及修复处置的效率和效果,满足国家重要信息产业安全保障的需求。
奇安信相关负责人表示,数字时代,更多连接意味着更多漏洞,所有网络攻击的本质都是利用漏洞,反过来,漏洞也是网络防护技术的核心。尤其是随着各行各业网络化、数字化、智能化转型加速,数字业务系统将愈发复杂,漏洞带来的各种威胁将更加严峻。为此,奇安信在漏洞挖掘和分析、漏洞情报等核心领域长期持续投入,建立了代码安全实验室、天工实验室、补天平台、无极实验室、巽丰实验室、奇安信CERT等十四大安全技术团队,形成了漏洞监测、漏洞分析研判、漏洞报送、应急响应、漏洞管理等覆盖漏洞治理生命周期各阶段的安全技术及服务能力。
与此同时,奇安信非常重视自身安全产品的安全性。公司内部组建了多个自上而下的产品安全组织,包括决策小组、开发安全团队、应急响应团队、产线安全专员,并引入SDLC(安全开发生命周期)深度融入到研发流程中,在需求-设计-实现-测试-发布等环节开展各类安全评估与测试活动。同时发起QAXSRC、产品安全众测活动,积极与外部广大白帽群体建立联系,邀请其为奇安信提交漏洞。面对频繁产生的开源软件和自研产品漏洞,将“漏洞发现-漏洞推修-漏洞验证-漏洞复盘”的闭环机制融入开发流程和资产管理运营体系,以收敛已知漏洞带来的安全风险。对于未知的漏洞,公司将安全活动继续左移至源头,引入安全组件、安全基线实现内部环境的默认安全,从而实现漏洞被动救火转向主动防御阶段。
作为CNNVD最早的技术支撑单位之一,奇安信积极向CNNVD提供原创漏洞报送、漏洞通报、漏洞分析、漏洞响应等高质量技术服务,屡获CNNVD的高度认可。在今年6月CNNVD举行的优秀支撑单位表彰大会上,奇安信以综合排名第一名的成绩荣获8项重磅大奖。未来,奇安信将积极配合CNNVD技术支撑工作,持续报送高质量原创漏洞,积极完成各项漏洞挖掘、漏洞处置、漏洞分析、漏洞响应任务,为国家的漏洞收集、隐患挖掘和数据库建设贡献企业力量,为保障国家网络安全肩负更多的企业责任与担当。