安全公告編號:CNTA-2016-0042

為進一步肯定漏洞報送者（白帽子）在防范漏洞安全風險的積極作用，做好CNVD漏洞積分管理，為后續實施CNVD激勵機制提供客觀評價依據，現公布CNVD原創漏洞積分評分細則：

一、評分依據原則

根據客觀性、可度量的基本原則，同時要兼顧對研究發現漏洞新技術、利用新技巧以及發現重大漏洞安全威脅的權重傾斜。對客觀情況的度量采用CVSS 2.0標準的的評分原則，對單個漏洞進行基本向量評分，并設置影響的目標對象設置權重系數。

對于通用軟硬件漏洞以及通過較復雜技術、技巧發現的漏洞給予一定的額外加分。對于有可能造成國家黨政機關、重要信息系統部門相關系統運行安全和信息泄露風險的，對于有可能造成社會公眾大規模信息泄露風險的、造成大規模攻擊威脅的，給予一定的額外加分。

二、評分計算規則

基本得分=單個漏洞CVSS評分*權重系數（0.1-1.0）

總得分=基本得分+額外加分

三、評分參考指標

（一）權重系數參考表（按行業、通用軟硬件進行分類）

黨政機關	縣級網站	地市級網站	省廳級網站	中央部委級網站
系數	0.2-0.3	0.4-0.5	0.6-0.8	0.9-1.0

重要行業	互聯網金融、保險、證券等單位	地方國有重要行業單位	中央直屬大型國有重要行業單位、地方重要行業監管部門	中央或部委級重要行業監管單位
系數	0.5	0.6	0.6-0.8	0.9-1.0

教育及其他行業單位	一般高校 (其他行業參照高校)	知名高校 (其他行業參照高校)	知名高校（985或部屬知名高校\其他行業參照）
系數	0.2	0.4	0.5-0.6

通用軟硬件漏洞	一般漏洞	影響一定規模數量用戶	影響較大規模數量用戶	影響較大規模數量用戶（且包含政府和重要行業單位）	互聯網上廣泛應用的軟硬件產品
系數	0.6	0.8	1.0	1.0+額外加分	1.0+額外加分

（二）額外加分參考表

加分情況	原創技術和新奇技巧	國家黨政機關、重要信息系統部門相關系統運行安全和信息泄露風險	有可能造成社會公眾大規模信息泄露風險	影響十分廣泛的情形（含黨政機關）
分值	10-20	10-20	20+	30+

四、相關說明

漏洞提交者可登陸CNVD網站，在“用戶中心”———“原創漏洞獎金”頁面查看當前積分情況。此前在CNVD上提交的漏洞CNVD秘書處將回溯進打分(需要有一定時間周期才能補充完整)。如對漏洞評分有相關異議，可郵件向vsupport@cert.org.cn反映，CNVD秘書處將及時回復。

CNVD激勵機制待制定推出,敬請關注。