解析启明星辰独家摘得两项CVE认证

        2005年8月，启明星辰公司的天镜脆弱性扫描与管理系统通过了国际安全组织CVE（Common Vulnerabilities & Exposures）严格的标准评审，获得最高级别的CVE兼容性认证（CVE Compatible），从而成为国内厂商中唯一获得CVE认证的漏洞扫描产品，这也是启明星辰公司继2004年11月，天阗（tián）入侵检测与管理系统获得CVE兼容性认证后，再次获得此权威认证。它标志着启明星辰公司无论在入侵检测，还是在漏洞扫描的技术实力方面均已与国际接轨，并且其研发成果已得到了国际权威组织的充分认可。

    天镜脆弱性扫描与管理系统是启明星辰公司自主研发的基于网络的安全性能评估分析系统，可以对网络中的系统、设备和数据库进行脆弱性扫描，对网络进行有效的评估，并提出建设性的解决方案。

    天镜获得CVE认证有什么意义？什么是CVE认证？CVE认证有什么实际意义？为什么启明星辰能够独家获得两项CVE认证？

认识CVE

       CVE是国际上一个著名的漏洞知识库，CVE（Common Vulnerabilities and Exposures）的中文意思是“通用漏洞披露”。作为目前在国际上最具公信力的安全弱点披露与发布单位，CVE组织是一个由企业界、政府界和学术界综合参与的国际组织，其使命是通过一种非盈利的组织形式，能更加快速而有效地去鉴别、发现和修复软件产品的脆弱性。CVE是编号与命名特定弱点的标准协议，以确保哪个弱点已经清楚确实地被辨识出来。目前，CVE的命名方案由MITER公司主持。

    几年前，无论是厂商还是用户都面临着对软件的各种安全问题命名混乱的局面，这使得用户面对不同种类的脆弱性评估服务、工具和软件供应商升级时的大量数据文件，非常难于利用这些文件统一评定、管理和修复系统漏洞和脆弱点。有了CVE以后，常见的系统漏洞都可以被统一标识，都能有自己唯一的编号和名称，经过这样的标准化工作后，用户和厂商对漏洞管理就有了统一的认识，不再会出现以前那样混乱的局面。

    如果某个产品获得了CVE认证，就表示该产品支持CVE漏洞名称的输出和CVE漏洞名称的查询。通常，各家企业产品在获得CVE最高级别认证（CVE Compatible）之前，需经过5个评审阶段，这包括：CVE Intent Declared、Declared CVE Output、Declared CVE Searchable、Declared CVE Output &Searchable和CVE Compatibility Questionnaire Posted，国内一些安全产品生产厂商正在努力争取，部分产品已经通过了初级评审阶段。

为什么启明星辰能够独家获得两项CVE认证

    国内从事信息安全的厂商众多，为什么只有启明星辰一家可以获此殊荣呢？总体来说，其原因主要有以下几点：

l         源自长期的关注

    启明星辰对CVE的关注与联系可以说是源远流长。支持启明星辰在CVE认证领域不断耕耘的是启明星辰积极防御实验室（ADLAB）。成立于1999年的ADLAB，拥有专职研究技术人员近20人，其核心成员在国内、国际网络安全业界具有相当知名度。ADLAB专注于网络安全基础性研究，密切跟进国内、国际漏洞机理研究的最新进展，探寻各种操作系统与应用软件的安全性特征，建立全面专业的漏洞库，提升取证、验证技术水平，模拟出真实的网络环境，为客户提供全面响应服务。

    多年来，ADLAB一直与国际CVE组织、国际CSI组织（Computer Security Institute，计算机安全学会）、国际ICSA组织（TruSecure International Computer Security Association Lab，国际计算机安全协会实验室）、国际FIRST组织（Forum of Incident Response and Security Teams，应急响应与安全小组论坛）保持着密切的合作关系。

    启明星辰公司积极防御实验室成立后，对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪，对重大安全问题成立专项研究小组进行技术攻关，并将发现的漏洞及时呈报给CVE，目前已有多个漏洞的命名被CVE组织采用。其中包括，IE非正常解析jpg扩展名文件漏洞，导致可能执行恶意代码问题；Vmware GSX Server缓冲区溢出漏洞，导致远程用户提升为管理员权限（高风险）；SQL Server脚本过滤漏洞，导致本地用户提升权限（高风险）；SQL Server 字符串操作过滤漏洞，导致本地或远程用户提升权限（高风险）等由启明星辰公司独立发现的漏洞，被国际CVE组织收录。2004年12月，启明星辰公司积极防御实验室研究发现，目前在国外获得大量应用的著名即时通讯程序Jabberd的多个远程漏洞，其中两个为安全风险较高的远程缓冲区溢出漏洞，启明星辰公司及时将此漏洞提交给原程序厂商及CVE组织，这些安全漏洞已被CVE组织收录，获得了该组织机构唯一的标识号。

l         源自深厚的技术实力

    现在，一个新漏洞的发现，往往意味着若干个与之密切相关的病毒随后出现，而病毒对人们的工作、生活的影响非同一般。因此，是否能够统一标识漏洞，迅速引起人们的重视、加以防范显得意义非凡。由此可见CVE的重要性。

    是否能获得CVE的认证，能获得CVE的何种认证，意味着一个企业对操作系统的深入了解能力、一个企业的技术实力，以及在国际尖端网络安全领域是否拥有核心地位。目前，获得CVE认证的企业，在国际上也为数不多，而且，大多数的安全厂商都没有获得这项殊荣，由此可见，CVE认证的严格性以及对一个企业技术实力的挑战。

    作为一个安全厂商，尤其是入侵检测与漏洞扫描的产品供应商，其漏洞库的数量和质量是衡量这个厂商技术实力的一个硬指标，获得CVE认证，意味着该公司对漏洞的敏感程度，从侧面验证了其漏洞库的质量，同时也可以有效降低IDS的漏报与误报率。独家获得CVE两项认证，再一次验证了启明星辰公司的技术实力。

    事实上，启明星辰公司主力产品天阗（tián）入侵检测与管理系统以绝对的优势，已经连续几年占据中国IDS市场第一的位置。而且，早在2003年，启明星辰成为国内仅有的两家可以查看微软Windows操作系统源代码的网络安全厂商之一，也是其中唯一的入侵检测与漏洞扫描的产品供应商。由此可见，启明星辰在国家信息安全体系中的特殊地位，以及国际上对启明星辰综合实力的认可。

    通过查看微软Windows操作系统源代码，可以实现在第一时间，从操作系统的本质上分析安全漏洞的危险程度，并可以进一步分析漏洞产生的机理，研究针对这些漏洞可能存在的攻击模式，以及可能存在的特征代码，可以在第一时间发现漏洞，编写出漏洞补丁程序和蠕虫病毒查杀程序，从根本上降低安全事件造成的损失。

启明星辰鼎力支持中国CVE——CNCVE

    对于启明星辰这样的国内网络安全领导厂商来说，重视CVE认证，一方面是与国际接轨，开拓国际市场；另一方面是给用户带来更安全、使用更方便的产品。目前，国际上主流的安全厂商都会把CVE认证作为一个重点，以提高产品的兼容性和互操作性，启明星辰自然也不例外。除此之外，启明星辰还把目光放在了CVE认证所不能覆盖的其他漏洞信息。目前，在国家计算机网络应急处理协调中心（CNCERT/CC）领导下，国内正在组建自己的CVE组织——CNCVE，启明星辰作为国内漏洞信息研究的拓荒者和执牛耳者，正在积极参与并支持这项工作。

        CNCVE的组建目的就是建设一个具有中国特色的，能为国内广大用户服务的CVE组织。国际CVE组织仅仅是描述漏洞的主要特征，统一命名漏洞。CNCVE不但包含漏洞的描述予以统一定义，还将包括漏洞的补丁、验证等措施，更方便、有用。