安全公告编号:CNTA-2016-0042

为进一步肯定漏洞报送者（白帽子）在防范漏洞安全风险的积极作用，做好CNVD漏洞积分管理，为后续实施CNVD激励机制提供客观评价依据，现公布CNVD原创漏洞积分评分细则：

一、评分依据原则

根据客观性、可度量的基本原则，同时要兼顾对研究发现漏洞新技术、利用新技巧以及发现重大漏洞安全威胁的权重倾斜。对客观情况的度量采用CVSS 2.0标准的的评分原则，对单个漏洞进行基本向量评分，并设置影响的目标对象设置权重系数。

对于通用软硬件漏洞以及通过较复杂技术、技巧发现的漏洞给予一定的额外加分。对于有可能造成国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险的，对于有可能造成社会公众大规模信息泄露风险的、造成大规模攻击威胁的，给予一定的额外加分。

二、评分计算规则

基本得分=单个漏洞CVSS评分*权重系数（0.1-1.0）

总得分=基本得分+额外加分

三、评分参考指标

（一）权重系数参考表（按行业、通用软硬件进行分类）

党政机关	县级网站	地市级网站	省厅级网站	中央部委级网站
系数	0.2-0.3	0.4-0.5	0.6-0.8	0.9-1.0

重要行业	互联网金融、保险、证券等单位	地方国有重要行业单位	中央直属大型国有重要行业单位、地方重要行业监管部门	中央或部委级重要行业监管单位
系数	0.5	0.6	0.6-0.8	0.9-1.0

教育及其他行业单位	一般高校 (其他行业参照高校)	知名高校 (其他行业参照高校)	知名高校（985或部属知名高校\其他行业参照）
系数	0.2	0.4	0.5-0.6

通用软硬件漏洞	一般漏洞	影响一定规模数量用户	影响较大规模数量用户	影响较大规模数量用户（且包含政府和重要行业单位）	互联网上广泛应用的软硬件产品
系数	0.6	0.8	1.0	1.0+额外加分	1.0+额外加分

（二）额外加分参考表

加分情况	原创技术和新奇技巧	国家党政机关、重要信息系统部门相关系统运行安全和信息泄露风险	有可能造成社会公众大规模信息泄露风险	影响十分广泛的情形（含党政机关）
分值	10-20	10-20	20+	30+

四、相关说明

漏洞提交者可登陆CNVD网站，在“用户中心”———“原创漏洞奖金”页面查看当前积分情况。此前在CNVD上提交的漏洞CNVD秘书处将回溯进打分(需要有一定时间周期才能补充完整)。如对漏洞评分有相关异议，可邮件向vsupport@cert.org.cn反映，CNVD秘书处将及时回复。

CNVD激励机制待制定推出,敬请关注。