安全公告编号:CNTA-2022-0006
为充分吸收民间社区的报送力量,进一步规范CNVD原创漏洞信息收集工作,较持续稳定地扩充CNVD平台原创漏洞收录数量,同时提升CNVD平台的漏洞收录质量和积分管理效果,增强平台的用户粘性,CNVD平台对积分规则进行了修订,详情如下:
一、评分依据原则
根据客观性、可度量的基本原则,同时向研究发现漏洞新技术、利用新技巧以及发现重大漏洞安全威胁的权重倾斜。对客观情况的度量采用CVSS 2.0标准的评分原则,对单个漏洞进行完整性和质量性的评分,并根据涉事对象设置影响系数。
对于通用软硬件漏洞以及通过较复杂技术、技巧发现的漏洞给予一定的额外加分。对于有可能造成国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险的、对于有可能造成社会公众大规模信息泄露风险的、造成大规模攻击威胁的,给予一定的额外加分。
二、原创漏洞积分计算规则
(一)漏洞积分计算
1、基本得分 = 单个漏洞CVSS评分 * 影响系数 * 完整系数 * 质量系数
影响系数(0.1-1.0):体现漏洞的重要性,参见本文第三部分;
完整系数(0.9-1.0):体现漏洞信息的完整性;
质量系数(0.8-1.1):体现漏洞信息与案例信息的质量情况。
2、总得分 = 基本得分 + 额外加分
(二)荣誉值计算
1、初始值设定1,浮动范围为0.000-1.200;
2、根据如下规则,每月自动更新一次:
1)单月有效漏洞报送数量少于5个,每个漏洞使荣誉值降低0.005;
2)单月有效漏洞报送数量5至10个,荣誉值保持不变;
3)单月有效漏洞报送超出10个的部分,每个漏洞使荣誉值增加0.001;
4)荣誉值的月增长上限为0.05。
(三)可兑换积分计算
总积分 = 漏洞积分加总,可兑换积分初始值为0;
1、提交漏洞后,可兑换积分按漏洞积分乘以荣誉值累加;
2、每月底按照荣誉值对可兑换积分进行加权:如小于1,与可兑换积分相乘,如高于1,可兑换积分按相应比例上浮;
3、兑换积分后,可兑换积分核减;
4、可兑换积分仅保留整数部分。
(四)影响系数表(按行业、通用软硬件进行分类)
党政机关
| 县级
| 地市级
| 省厅级
| 中央部委级
|
系数
| 0.2-0.3
| 0.4-0.5
| 0.6-0.8
| 0.9-1.0
|
重要行业
| 互联网金融、保险、证券等单位
| 地方国有重要行业单位
| 中央直属大型国有重要行业单位、地方重要行业监管部门
| 中央或部委级重要行业监管单位
|
系数
| 0.5
| 0.6
| 0.6-0.8
| 0.9-1.0
|
教育及其他行业单位
| 一般高校
(其他行业参照高校)
| 知名高校
(其他行业参照高校)
| 知名高校
(985或部属知名高校\其他行业参照)
|
系数
| 0.2
| 0.4
| 0.5-0.6
|
通用软硬件
漏洞
| 一般漏洞
| 影响一定规模数量用户
| 影响较大规模数量用户
| 影响较大规模数量用户(且包含政府和重要行业单位)
| 互联网上广泛应用的软硬件产品
|
系数
| 0.3
| 0.8
| 1.0
| 1.0+额外加分
| 1.0+额外加分
|
产品组件
漏洞
| 一般漏洞
| 影响一定规模数量用户
| 影响较大规模数量用户
| 影响较大规模数量用户(且包含政府和重要行业单位)
| 互联网上广泛应用的软硬件产品
|
系数
| 0.15
| 0.4
| 0.5
| 1.0+额外加分
| 1.0+额外加分
|
(五)额外加分表
加分情况
| 原创技术和
新奇技巧
| 国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险
| 可能造成社会公众大规模信息泄露风险
| 影响十分广泛的情形(含党政机关)
|
分值
| 10-20
| 10-20
| 20+
| 30+
|
三、漏洞插件评分计算规则
(一)评分计算
1、基本得分=插件对应漏洞CVSS评分*应用场景系数
2、总得分=(基本得分+额外加分)*基本权重系数
(二)基本权重系数参考表
时效性和知悉范围
| 0day
| 及其有限的范围知悉
| 特定范围内知悉
| 大范围知悉
|
系数
| 1-100
| 0.6-0.9
| 0.2-0.5
| 0.1
|
编写规范和执行效率
| 完全符合接口编写规范,执行效率较高
| 基本符合编写规范要求,仅需要较少修改,或具备一定的执行效率
| 与编写规范要求严重偏离,需要较大更改,或执行效率较低
|
系数
| 1.2-1.5
| 0.7-1.2
| 0-0.6
|
信息完整度
| 字段信息齐备、准确,代码注释清晰,提供了有效验证用例
| 字段信息基本完善,有必要的代码注释,验证用例经完善后通过
| 严重的字段信息缺失,无必要的代码注释,无有效验证用例。
|
系数
| 1.0-1.2
| 0.3-0.9
| 0-0.2
|
网络监测特征情况
| 可以稳定的提取出网络监测规则
| 可以提取出监测规则,但执行的稳定性和效率有限
| 无法提取网络监测规则
|
系数
| 0.8-1.0
| 0.3-0.7
| 0-0.2
|
(三)应用场景系数参考表
党政机关
| 县级网站
| 地市级网站
| 省厅级网站
| 中央部委级网站
|
系数
| 0.2-0.3
| 0.4-0.5
| 0.6-0.8
| 0.9-1.0
|
重要行业
| 互联网金融、保险、证券等单位
| 地方国有重要行业单位
| 中央直属大型国有重要行业单位、地方重要行业监管部门
| 中央或部委级重要行业监管单位
|
系数
| 0.5
| 0.6
| 0.6-0.8
| 0.9-1.0
|
教育及其他行业单位
| 一般高校
(其他行业参照高校)
| 知名高校
(其他行业参照高校)
| 知名高校
(985或部属知名高校\其他行业参照)
|
系数
| 0.2
| 0.4
| 0.5-0.6
|
消费级产品服务
| 一般漏洞
| 影响一定规模数量用户
| 影响较大规模数量用户
| 影响较大规模数量用户(且包含政府和重要行业单位)
| 互联网上广泛应用的软硬件产品
|
分值
| 0.1
| 0.5
| 1.0
| 1.1
| 1.2
|
注:对应多个应用场景的取最高系数值。
(四)额外加分参考表
加分情况
| 原创技术和新奇技巧
| 国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险
| 有可能造成社会公众大规模信息泄露风险
| 影响十分广泛的情形(含党政机关)
|
分值
| 10-20
| 10-20
| 20+
| 30+
|
五、相关说明
如对相关细则有更好的建议,可于2022年3月15日前向vsupport@cert.org.cn反映。
国家信息安全漏洞共享平台(CNVD)
2022年2月24日
吉公网安备 22017202000203号
