登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于发布《CNVD原创漏洞积分评分细则》的公告

2016-09-23 09:12:23
安全公告编号:CNTA-2016-0042


为进一步肯定漏洞报送者(白帽子)在防范漏洞安全风险的积极作用,做好CNVD漏洞积分管理,为后续实施CNVD激励机制提供客观评价依据,现公布CNVD原创漏洞积分评分细则:


一、评分依据原则


根据客观性、可度量的基本原则,同时要兼顾对研究发现漏洞新技术、利用新技巧以及发现重大漏洞安全威胁的权重倾斜。对客观情况的度量采用CVSS 2.0标准的的评分原则,对单个漏洞进行基本向量评分,并设置影响的目标对象设置权重系数。

对于通用软硬件漏洞以及通过较复杂技术、技巧发现的漏洞给予一定的额外加分。对于有可能造成国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险的,对于有可能造成社会公众大规模信息泄露风险的、造成大规模攻击威胁的,给予一定的额外加分。


二、评分计算规则

基本得分=单个漏洞CVSS评分*权重系数(0.1-1.0

总得分=基本得分+额外加分


三、评分参考指标

(一)权重系数参考表(按行业、通用软硬件进行分类)


党政机关

县级网站

地市级网站

省厅级网站

中央部委级网站

系数

0.2-0.3

0.4-0.5

0.6-0.8

0.9-1.0

 

重要行业

 

互联网金融、保险、证券等单位

地方国有重要行业单位

中央直属大型国有重要行业单位、地方重要行业监管部门

中央或部委级重要行业监管单位

系数

0.5

0.6

0.6-0.8

0.9-1.0

 

教育及其他行业单位

一般高校

(其他行业参照高校)

知名高校

(其他行业参照高校)

知名高校(985或部属知名高校\其他行业参照)

系数

0.2

0.4

0.5-0.6

 

通用软硬件漏洞

一般漏洞

影响一定规模数量用户

影响较大规模数量用户

影响较大规模数量用户(且包含政府和重要行业单位)

互联网上广泛应用的软硬件产品

系数

0.6

0.8

1.0

1.0+额外加分

1.0+额外加分

 

(二)额外加分参考表


加分情况

原创技术和新奇技巧

国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险

有可能造成社会公众大规模信息泄露风险

影响十分广泛的情形(含党政机关)

分值

10-20

10-20

20+

30+

 

四、相关说明


漏洞提交者可登陆CNVD网站,在“用户中心”———“原创漏洞奖金”页面查看当前积分情况。此前在CNVD上提交的漏洞CNVD秘书处将回溯进打分(需要有一定时间周期才能补充完整)。如对漏洞评分有相关异议,可邮件向vsupport@cert.org.cn反映,CNVD秘书处将及时回复。

CNVD激励机制待制定推出,敬请关注。

 

(编辑:CNVD) | 已有15条评论

评论

2019-11-28 洋葱 洋葱
大爷的,上千用户积分,能换钱的只有辣么点
2019-01-27 wxw786 wxw786
建议建个qq群之类的,便于沟通交流,相信很多人都一头雾水
2018-11-09 雨sir 雨sir
首页的积分是干什么用的啊
2018-11-02 Farmsce最菜的一个 Farmsce最菜的一个
我的个人积分显示有, 但是排行那边没有, 怎么回事呢? 哪位大哥知道
2018-06-08 陌路黄昏 陌路黄昏
为什么邮件发不了,直接被退回来,我用的是QQ邮箱
2018-02-09 Mr_Duke Mr_Duke
我觉得每条漏洞都应该给点积分,以资鼓励
2017-11-24 闪电 闪电
没明白
2017-08-22 虫二 虫二
支持<a href=""></a>
2017-08-03 真浪 真浪
政府分好多
2017-07-12 六六 六六
请问白帽证书怎么可以获取呢?
2017-06-06 dyboy dyboy
学习
2017-03-30 simp1e simp1e
后台证书那里,有个白帽子证书是啥来的啊?
2017-03-29 Any3ite Any3ite
很想知道刷洞刷到第一名能干啥,另外这个积分计算和奖金积分到底是什么鬼?看了第一张图 觉得 挖 gov的漏洞好像会有很高的积分,不过会不会遇到麻烦? piapia (怕怕)!
2017-02-13 传媒社老实人 传媒社老实人
请问积分可以用来干什么啊?
2016-12-30 See See
期待!
登录 后才能发表评论
已有15条评论