安全公告编号:CNTA-2018-0033
为充分吸收民间社区的报送力量,进一步规范CNVD原创漏洞信息收集工作,较持续稳定地扩充CNVD平台原创漏洞收录数量,同时提升CNVD平台的漏洞收录质量和积分管理效果,增强平台的用户粘性,CNVD平台对积分规则进行了修订,详情如下:
一、评分依据原则
根据客观性、可度量的基本原则,同时向研究发现漏洞新技术、利用新技巧以及发现重大漏洞安全威胁的权重倾斜。对客观情况的度量采用CVSS 2.0标准的评分原则,对单个漏洞进行完整性和质量性的评分,并根据涉事对象设置影响系数。
对于通用软硬件漏洞以及通过较复杂技术、技巧发现的漏洞给予一定的额外加分。对于有可能造成国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险的、对于有可能造成社会公众大规模信息泄露风险的、造成大规模攻击威胁的,给予一定的额外加分。
引入荣誉值作为漏洞积分转换至可兑换积分的加权项,对漏洞报送者能力的持久度进行衡量,实现将有限的奖励资源向优秀白帽子进行倾斜,同时,能力持久度也是本平台后续对企业和白帽子开展能力进行评价的重要指标之一。
二、积分计算规则
(一)漏洞积分计算
1、基本得分 = 单个漏洞CVSS评分 * 影响系数 * 完整系数 * 质量系数
影响系数(0.1-1.0):体现漏洞的重要性,参见本文第三部分;
完整系数(0.9-1.0):体现漏洞信息的完整性;
质量系数(0.8-1.1):体现漏洞的质量、可利用性、利用难度等。
2、总得分 = 基本得分 + 额外加分
额外加分参见本文第三部分。
(二)荣誉值计算
1、初始值设定1,浮动范围为0.000-1.200;
2、根据如下规则,每月自动更新一次:
1) 单月有效漏洞报送数量少于5个,每个漏洞使荣誉值降低0.005;
2) 单月有效漏洞报送数量5至10个,荣誉值保持不变;
3) 单月有效漏洞报送超出10个的部分,每个漏洞使荣誉值增加0.001;
4) 荣誉值的月增长上限为0.05。
(三)可兑换积分计算
1、总积分 = 漏洞积分加总,可兑换积分初始值为0;
提交漏洞后,可兑换积分按漏洞积分乘以荣誉值累加:
可兑换积分 += 新增漏洞积分加总 * 当前荣誉值
月底结算:可兑换积分 *= 荣誉值
2、兑换积分后,可兑换积分减去已兑换积分:
兑换积分后:可兑换积分 -= 已兑换积分
3、可兑换积分仅保留整数部分。
(四)积分兑换
每批奖励发放将根据奖金总额度和荣誉值情况分时分批发放。荣誉值较高的漏洞报送者,享有优先批次兑换的权利。
三、评分参考指标
(一)影响系数表(按行业、通用软硬件进行分类)
党政机关 |
县级网站 |
地市级网站 |
省厅级网站 |
中央部委级网站 |
系数 |
0.2-0.3 |
0.4-0.5 |
0.6-0.8 |
0.9-1.0 |
重要行业 |
互联网金融、保险、证券等单位 |
地方国有重要行业单位 |
中央直属大型国有重要行业单位、地方重要行业监管部门 |
中央或部委级重要行业监管单位 |
系数 |
0.5 |
0.6 |
0.6-0.8 |
0.9-1.0 |
教育及其他行业单位 |
一般高校 (其他行业参照高校) |
知名高校 (其他行业参照高校) |
知名高校(985或部属知名高校\其他行业参照) |
系数 |
0.2 |
0.4 |
0.5-0.6 |
通用软硬件漏洞 |
一般漏洞 |
影响一定规模数量用户 |
影响较大规模数量用户 |
影响较大规模数量用户(且包含政府和重要行业单位) |
互联网上广泛应用的软硬件产品 |
系数 |
0.6 |
0.8 |
1.0 |
1.0+额外加分 |
1.0+额外加分 |
(二)额外加分参考表
加分情况 |
原创技术和新奇技巧 |
国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险 |
有可能造成社会公众大规模信息泄露风险 |
影响十分广泛的情形(含党政机关) |
分值 |
10-20 |
10-20 |
20+ |
30+
|
四、相关说明
积分相关情况可登陆CNVD积分兑换网站(http://bonus.cnvd.org.cn),在“个人中心 - 积分查询”页面查看。
荣誉值可登陆CNVD官网(http://www.cnvd.org.cn),在“用户中心 - 我的荣誉 - 原创漏洞积分”页面查看。
如对相关细则有更好的建议,可在2018年12月28日17:00前向vsupport@cert.org.cn反映,CNVD秘书处将及时进行回复。
国家信息安全漏洞共享平台(CNVD)
2018年12月24日