總機:020-87516161 傳真:020-87516161-8040
地址:廣州市天河北路898號信源大廈3206-3211室 郵編:510660
安全服務(wù) > 安全公告 > 關(guān)于發(fā)布《CNVD原創(chuàng)漏洞積分評分細則》的公告
安全公告編號:CNTA-2016-0042
為進一步肯定漏洞報送者(白帽子)在防范漏洞安全風(fēng)險的積極作用,做好CNVD漏洞積分管理,為后續(xù)實施CNVD激勵機制提供客觀評價依據(jù),現(xiàn)公布CNVD原創(chuàng)漏洞積分評分細則:
一、評分依據(jù)原則
根據(jù)客觀性、可度量的基本原則,同時要兼顧對研究發(fā)現(xiàn)漏洞新技術(shù)、利用新技巧以及發(fā)現(xiàn)重大漏洞安全威脅的權(quán)重傾斜。對客觀情況的度量采用CVSS 2.0標準的的評分原則,對單個漏洞進行基本向量評分,并設(shè)置影響的目標對象設(shè)置權(quán)重系數(shù)。
對于通用軟硬件漏洞以及通過較復(fù)雜技術(shù)、技巧發(fā)現(xiàn)的漏洞給予一定的額外加分。對于有可能造成國家黨政機關(guān)、重要信息系統(tǒng)部門相關(guān)系統(tǒng)運行安全和信息泄露風(fēng)險的,對于有可能造成社會公眾大規(guī)模信息泄露風(fēng)險的、造成大規(guī)模攻擊威脅的,給予一定的額外加分。
二、評分計算規(guī)則
基本得分=單個漏洞CVSS評分*權(quán)重系數(shù)(0.1-1.0)
總得分=基本得分+額外加分
三、評分參考指標
(一)權(quán)重系數(shù)參考表(按行業(yè)、通用軟硬件進行分類)
黨政機關(guān) | 縣級網(wǎng)站 | 地市級網(wǎng)站 | 省廳級網(wǎng)站 | 中央部委級網(wǎng)站 |
---|---|---|---|---|
系數(shù) | 0.2-0.3 | 0.4-0.5 | 0.6-0.8 | 0.9-1.0 |
重要行業(yè) | 互聯(lián)網(wǎng)金融、保險、證券等單位 | 地方國有重要行業(yè)單位 | 中央直屬大型國有重要行業(yè)單位、地方重要行業(yè)監(jiān)管部門 | 中央或部委級重要行業(yè)監(jiān)管單位 |
---|---|---|---|---|
系數(shù) | 0.5 | 0.6 | 0.6-0.8 | 0.9-1.0 |
教育及其他行業(yè)單位 | 一般高校 (其他行業(yè)參照高校) |
知名高校 (其他行業(yè)參照高校) |
知名高校(985或部屬知名高校\其他行業(yè)參照) |
---|---|---|---|
系數(shù) | 0.2 | 0.4 | 0.5-0.6 |
通用軟硬件漏洞 | 一般漏洞 | 影響一定規(guī)模數(shù)量用戶 | 影響較大規(guī)模數(shù)量用戶 | 影響較大規(guī)模數(shù)量用戶(且包含政府和重要行業(yè)單位) | 互聯(lián)網(wǎng)上廣泛應(yīng)用的軟硬件產(chǎn)品 |
---|---|---|---|---|---|
系數(shù) | 0.6 | 0.8 | 1.0 | 1.0+額外加分 | 1.0+額外加分 |
(二)額外加分參考表
加分情況 | 原創(chuàng)技術(shù)和新奇技巧 | 國家黨政機關(guān)、重要信息系統(tǒng)部門相關(guān)系統(tǒng)運行安全和信息泄露風(fēng)險 | 有可能造成社會公眾大規(guī)模信息泄露風(fēng)險 | 影響十分廣泛的情形(含黨政機關(guān)) |
---|---|---|---|---|
分值 | 10-20 | 10-20 | 20+ | 30+ |
四、相關(guān)說明
漏洞提交者可登陸CNVD網(wǎng)站,在“用戶中心”———“原創(chuàng)漏洞獎金”頁面查看當前積分情況。此前在CNVD上提交的漏洞CNVD秘書處將回溯進打分(需要有一定時間周期才能補充完整)。如對漏洞評分有相關(guān)異議,可郵件向vsupport@cert.org.cn反映,CNVD秘書處將及時回復(fù)。
CNVD激勵機制待制定推出,敬請關(guān)注。