当前位置:CNVD原创漏洞积分激励机制(第三版)
2022-03-04文章来源:网络与教育技术中心
安全公告编号:CNTA-2022-0006
为充分吸收民间社区的报送力量,进一步规范CNVD原创漏洞信息收集工作,较持续稳定地扩充CNVD平台原创漏洞收录数量,同时提升CNVD平台的漏洞收录质量和积分管理效果,增强平台的用户粘性,CNVD平台对积分规则进行了修订,详情如下:
一、评分依据原则
根据客观性、可度量的基本原则,同时向研究发现漏洞新技术、利用新技巧以及发现重大漏洞安全威胁的权重倾斜。对客观情况的度量采用CVSS 2.0标准的评分原则,对单个漏洞进行完整性和质量性的评分,并根据涉事对象设置影响系数。
对于通用软硬件漏洞以及通过较复杂技术、技巧发现的漏洞给予一定的额外加分。对于有可能造成国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险的、对于有可能造成社会公众大规模信息泄露风险的、造成大规模攻击威胁的,给予一定的额外加分。
二、原创漏洞积分计算规则
(一)漏洞积分计算
1、基本得分 = 单个漏洞CVSS评分 * 影响系数 * 完整系数 * 质量系数
影响系数(0.1-1.0):体现漏洞的重要性,参见本文第三部分;
完整系数(0.9-1.0):体现漏洞信息的完整性;
质量系数(0.8-1.1):体现漏洞信息与案例信息的质量情况。
2、总得分 = 基本得分 + 额外加分
(二)荣誉值计算
1、初始值设定1,浮动范围为0.000-1.200;
2、根据如下规则,每月自动更新一次:
1)单月有效漏洞报送数量少于5个,每个漏洞使荣誉值降低0.005;
2)单月有效漏洞报送数量5至10个,荣誉值保持不变;
3)单月有效漏洞报送超出10个的部分,每个漏洞使荣誉值增加0.001;
4)荣誉值的月增长上限为0.05。
(三)可兑换积分计算
总积分 = 漏洞积分加总,可兑换积分初始值为0;
1、提交漏洞后,可兑换积分按漏洞积分乘以荣誉值累加;
2、每月底按照荣誉值对可兑换积分进行加权:如小于1,与可兑换积分相乘,如高于1,可兑换积分按相应比例上浮;
3、兑换积分后,可兑换积分核减;
4、可兑换积分仅保留整数部分。
(四)影响系数表(按行业、通用软硬件进行分类)
|
党政机关 |
县级 |
地市级 |
省厅级 |
中央部委级 |
|
系数 |
0.2-0.3 |
0.4-0.5 |
0.6-0.8 |
0.9-1.0 |
|
重要行业 |
互联网金融、保险、证券等单位 |
地方国有重要行业单位 |
中央直属大型国有重要行业单位、地方重要行业监管部门 |
中央或部委级重要行业监管单位 |
|
系数 |
0.5 |
0.6 |
0.6-0.8 |
0.9-1.0 |
|
教育及其他行业单位 |
一般高校 (其他行业参照高校) |
知名高校 (其他行业参照高校) |
知名高校 (985或部属知名高校\其他行业参照) |
|
系数 |
0.2 |
0.4 |
0.5-0.6 |
|
通用软硬件 漏洞 |
一般漏洞 |
影响一定规模数量用户 |
影响较大规模数量用户 |
影响较大规模数量用户(且包含政府和重要行业单位) |
互联网上广泛应用的软硬件产品 |
|
系数 |
0.3 |
0.8 |
1.0 |
1.0+额外加分 |
1.0+额外加分 |
|
产品组件 漏洞 |
一般漏洞 |
影响一定规模数量用户 |
影响较大规模数量用户 |
影响较大规模数量用户(且包含政府和重要行业单位) |
互联网上广泛应用的软硬件产品 |
|
系数 |
0.15 |
0.4 |
0.5 |
1.0+额外加分 |
1.0+额外加分 |
(五)额外加分表
|
加分情况 |
原创技术和 新奇技巧 |
国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险 |
可能造成社会公众大规模信息泄露风险 |
影响十分广泛的情形(含党政机关) |
|
分值 |
10-20 |
10-20 |
20+ |
30+ |
三、漏洞插件评分计算规则
(一)评分计算
1、基本得分=插件对应漏洞CVSS评分*应用场景系数
2、总得分=(基本得分+额外加分)*基本权重系数
(二)基本权重系数参考表
|
时效性和知悉范围 |
0day |
及其有限的范围知悉 |
特定范围内知悉 |
大范围知悉 |
|
系数 |
1-100 |
0.6-0.9 |
0.2-0.5 |
0.1 |
|
编写规范和执行效率 |
完全符合接口编写规范,执行效率较高 |
基本符合编写规范要求,仅需要较少修改,或具备一定的执行效率 |
与编写规范要求严重偏离,需要较大更改,或执行效率较低 |
|
系数 |
1.2-1.5 |
0.7-1.2 |
0-0.6 |
|
信息完整度 |
字段信息齐备、准确,代码注释清晰,提供了有效验证用例 |
字段信息基本完善,有必要的代码注释,验证用例经完善后通过 |
严重的字段信息缺失,无必要的代码注释,无有效验证用例。 |
|
系数 |
1.0-1.2 |
0.3-0.9 |
0-0.2 |
|
网络监测特征情况 |
可以稳定的提取出网络监测规则 |
可以提取出监测规则,但执行的稳定性和效率有限 |
无法提取网络监测规则 |
|
系数 |
0.8-1.0 |
0.3-0.7 |
0-0.2 |
(三)应用场景系数参考表
|
党政机关 |
县级网站 |
地市级网站 |
省厅级网站 |
中央部委级网站 |
|
系数 |
0.2-0.3 |
0.4-0.5 |
0.6-0.8 |
0.9-1.0 |
|
重要行业 |
互联网金融、保险、证券等单位 |
地方国有重要行业单位 |
中央直属大型国有重要行业单位、地方重要行业监管部门 |
中央或部委级重要行业监管单位 |
|
系数 |
0.5 |
0.6 |
0.6-0.8 |
0.9-1.0 |
|
教育及其他行业单位 |
一般高校 (其他行业参照高校) |
知名高校 (其他行业参照高校) |
知名高校 (985或部属知名高校\其他行业参照) |
|
系数 |
0.2 |
0.4 |
0.5-0.6 |
|
消费级产品服务 |
一般漏洞 |
影响一定规模数量用户 |
影响较大规模数量用户 |
影响较大规模数量用户(且包含政府和重要行业单位) |
互联网上广泛应用的软硬件产品 |
|
分值 |
0.1 |
0.5 |
1.0 |
1.1 |
1.2 |
注:对应多个应用场景的取最高系数值。
(四)额外加分参考表
|
加分情况 |
原创技术和新奇技巧 |
国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险 |
有可能造成社会公众大规模信息泄露风险 |
影响十分广泛的情形(含党政机关) |
|
分值 |
10-20 |
10-20 |
20+ |
30+ |
五、相关说明
如对相关细则有更好的建议,可于2022年3月15日前向vsupport@cert.org.cn反映。
国家信息安全漏洞共享平台(CNVD)
2022年2月24日
电话:
邮箱: