无标题文档
当前位置:

首页网络安全

CNVD原创漏洞积分激励机制(第三版)

2022-03-04文章来源:网络与教育技术中心

安全公告编号:CNTA-2022-0006

  

  为充分吸收民间社区的报送力量,进一步规范CNVD原创漏洞信息收集工作,较持续稳定地扩充CNVD平台原创漏洞收录数量,同时提升CNVD平台的漏洞收录质量和积分管理效果,增强平台的用户粘性,CNVD平台对积分规则进行了修订,详情如下:

  一、评分依据原则

  根据客观性、可度量的基本原则,同时向研究发现漏洞新技术、利用新技巧以及发现重大漏洞安全威胁的权重倾斜。对客观情况的度量采用CVSS 2.0标准的评分原则,对单个漏洞进行完整性和质量性的评分,并根据涉事对象设置影响系数。

  对于通用软硬件漏洞以及通过较复杂技术、技巧发现的漏洞给予一定的额外加分。对于有可能造成国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险的、对于有可能造成社会公众大规模信息泄露风险的、造成大规模攻击威胁的,给予一定的额外加分。

  二、原创漏洞积分计算规则

  (一)漏洞积分计算

  1、基本得分 = 单个漏洞CVSS评分 * 影响系数 * 完整系数 * 质量系数

  影响系数(0.1-1.0):体现漏洞的重要性,参见本文第三部分;

  完整系数(0.9-1.0):体现漏洞信息的完整性;

  质量系数(0.8-1.1):体现漏洞信息与案例信息的质量情况。

  2、总得分 = 基本得分 + 额外加分

  (二)荣誉值计算

  1、初始值设定1,浮动范围为0.000-1.200;

  2、根据如下规则,每月自动更新一次:

  1)单月有效漏洞报送数量少于5个,每个漏洞使荣誉值降低0.005;

  2)单月有效漏洞报送数量5至10个,荣誉值保持不变;

  3)单月有效漏洞报送超出10个的部分,每个漏洞使荣誉值增加0.001;

  4)荣誉值的月增长上限为0.05。

  (三)可兑换积分计算

  总积分 = 漏洞积分加总,可兑换积分初始值为0;

  1、提交漏洞后,可兑换积分按漏洞积分乘以荣誉值累加;

  2、每月底按照荣誉值对可兑换积分进行加权:如小于1,与可兑换积分相乘,如高于1,可兑换积分按相应比例上浮;

  3、兑换积分后,可兑换积分核减;

  4、可兑换积分仅保留整数部分。

  (四)影响系数表(按行业、通用软硬件进行分类)

  党政机关

  县级

  地市级

  省厅级

  中央部委级

  系数

  0.2-0.3

  0.4-0.5

  0.6-0.8

  0.9-1.0

  

  重要行业

  互联网金融、保险、证券等单位

  地方国有重要行业单位

  中央直属大型国有重要行业单位、地方重要行业监管部门

  中央或部委级重要行业监管单位

  系数

  0.5

  0.6

  0.6-0.8

  0.9-1.0

  

  教育及其他行业单位

  一般高校

  (其他行业参照高校)

  知名高校

  (其他行业参照高校)

  知名高校

  (985或部属知名高校\其他行业参照)

  系数

  0.2

  0.4

  0.5-0.6

  

  通用软硬件

  漏洞

  一般漏洞

  影响一定规模数量用户

  影响较大规模数量用户

  影响较大规模数量用户(且包含政府和重要行业单位)

  互联网上广泛应用的软硬件产品

  系数

  0.3

  0.8

  1.0

  1.0+额外加分

  1.0+额外加分

  

  产品组件

  漏洞

  一般漏洞

  影响一定规模数量用户

  影响较大规模数量用户

  影响较大规模数量用户(且包含政府和重要行业单位)

  互联网上广泛应用的软硬件产品

  系数

  0.15

  0.4

  0.5

  1.0+额外加分

  1.0+额外加分

  

  (五)额外加分表

  加分情况

  原创技术和

  新奇技巧

  国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险

  可能造成社会公众大规模信息泄露风险

  影响十分广泛的情形(含党政机关)

  分值

  10-20

  10-20

  20+

  30+

  

  三、漏洞插件评分计算规则

  (一)评分计算

  1、基本得分=插件对应漏洞CVSS评分*应用场景系数

  2、总得分=(基本得分+额外加分)*基本权重系数

  (二)基本权重系数参考表

  时效性和知悉范围

  0day

  及其有限的范围知悉

  特定范围内知悉

  大范围知悉

  系数

  1-100

  0.6-0.9

  0.2-0.5

  0.1

  

  编写规范和执行效率

  完全符合接口编写规范,执行效率较高

  基本符合编写规范要求,仅需要较少修改,或具备一定的执行效率

  与编写规范要求严重偏离,需要较大更改,或执行效率较低

  系数

  1.2-1.5

  0.7-1.2

  0-0.6

  

  信息完整度

  字段信息齐备、准确,代码注释清晰,提供了有效验证用例

  字段信息基本完善,有必要的代码注释,验证用例经完善后通过

  严重的字段信息缺失,无必要的代码注释,无有效验证用例。

  系数

  1.0-1.2

  0.3-0.9

  0-0.2

  

  网络监测特征情况

  可以稳定的提取出网络监测规则

  可以提取出监测规则,但执行的稳定性和效率有限

  无法提取网络监测规则

  系数

  0.8-1.0

  0.3-0.7

  0-0.2

   

  (三)应用场景系数参考表

  党政机关

  县级网站

  地市级网站

  省厅级网站

  中央部委级网站

  系数

  0.2-0.3

  0.4-0.5

  0.6-0.8

  0.9-1.0

  

  重要行业

  互联网金融、保险、证券等单位

  地方国有重要行业单位

  中央直属大型国有重要行业单位、地方重要行业监管部门

  中央或部委级重要行业监管单位

  系数

  0.5

  0.6

  0.6-0.8

  0.9-1.0

  

  教育及其他行业单位

  一般高校

  (其他行业参照高校)

  知名高校

  (其他行业参照高校)

  知名高校

  (985或部属知名高校\其他行业参照)

  系数

  0.2

  0.4

  0.5-0.6

  

  消费级产品服务

  一般漏洞

  影响一定规模数量用户

  影响较大规模数量用户

  影响较大规模数量用户(且包含政府和重要行业单位)

  互联网上广泛应用的软硬件产品

  分值

  0.1

  0.5

  1.0

  1.1

  1.2

  注:对应多个应用场景的取最高系数值。

  

  (四)额外加分参考表

  加分情况

  原创技术和新奇技巧

  国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险

  有可能造成社会公众大规模信息泄露风险

  影响十分广泛的情形(含党政机关)

  分值

  10-20

  10-20

  20+

  30+

  

  五、相关说明

  如对相关细则有更好的建议,可于2022年3月15日前向vsupport@cert.org.cn反映。

  

  

  国家信息安全漏洞共享平台(CNVD)

  2022年2月24日

无标题文档

CopyRight©海南热带海洋学院网络与教育技术中心 All Rights Reserved

电话:
0898-88651886(网络报修)
0898-88557675(系统账号问题)
邮箱:
nic@hntou.edu.cn
地址:
海南省三亚市育才路1号海南热带海洋学院教学楼6栋2层