能力象限 | 能力要求 | 能力細項 | 評分標準 | 分數(shù)上限 | 說明 |
(一)漏洞收集能力 | 能積極跟蹤國內(nèi)外公開漏洞信息發(fā)布源����,能持續(xù)定期批量向CNVD提交本單位收錄的已公開漏洞信息�����,并按CNVD格式要求進行規(guī)范化整理���。 | 公開漏洞收集 | 報送數(shù)量 * 首報率 * 質量系數(shù)(完整度、字段����、嚴謹性) | 1000 | 協(xié)助CNVD收集國內(nèi)外漏洞庫、安全論壇(以國外為主)發(fā)布的已核實確認的通用軟硬件漏洞信息�,按照CNVD提供的模板完成信息字段的整理(包括中文化翻譯)并通過CNVD網(wǎng)站前臺上傳。 |
具備運營接收原創(chuàng)漏洞報送或自主實施漏洞獎勵計劃的工作平臺能力����,并與CNVD開展漏洞信息共享和處置協(xié)作。 | 原創(chuàng)漏洞收集 | ∑漏洞積分 | 不設上限 | 要求具備規(guī)范的漏洞信息披露和處置流程�����。 數(shù)據(jù)去重和比對以CNVD漏洞庫為準��。單漏洞分數(shù)原則上最高不超過3分�����,根據(jù)收集漏洞的質量和影響力情況進行評分。 |
(二)原創(chuàng)漏洞挖掘能力 | 具備漏洞挖掘的技術能力����,向CNVD提交原創(chuàng)漏洞信息。CNVD秘書處將對漏洞的有效性和原創(chuàng)型進行嚴格審核�,并按照CNVD收錄流程進行驗證、歸檔以及頒發(fā)電子版原創(chuàng)漏洞提交證明�。根據(jù)CNVD原創(chuàng)漏洞提交情況進行評分。 | 事件型漏洞 | ∑漏洞積分 | 不設上限 | 需經(jīng)過有效性和原創(chuàng)性比對�����。 每個漏洞單獨積分���,積分標準參照CNVD原創(chuàng)漏洞積分細則。 單個漏洞得分=CVSS 2.0基準分 *權重系數(shù) + 額外加分 |
通用型漏洞 | ∑漏洞積分 | 不設上限 | 需經(jīng)過有效性和原創(chuàng)性比對�。 每個漏洞單獨積分,積分標準參照CNVD原創(chuàng)漏洞積分細則����。 單個漏洞得分=CVSS 2.0基準分 *權重系數(shù) + 額外加分 |
(三)漏洞檢測能力 | 具備開展漏洞檢測、監(jiān)測的技術能力��,擁有漏洞檢測相關的自主知識產(chǎn)權產(chǎn)品,能夠與CNVD漏洞檢測平臺對接����,持續(xù)提供引擎類調用接口。 | 自主引擎與漏洞檢測平臺的協(xié)作情況 | 發(fā)現(xiàn)漏洞的URL數(shù)量 * 1 + 唯一檢出的漏洞URL數(shù)量 * 10 + 任務URL數(shù)量 * 0.01 - 誤報數(shù)量 * 1.1 | 不設上限 |
|
(四)漏洞威脅風險大數(shù)據(jù)能力 | 具備獨立開展軟硬件產(chǎn)品應用識別和資產(chǎn)普查工作的能力�。 | 應用識別特征 | 與CNVD特征庫查重比對后的應用識別特征數(shù)量 * 1 | 不設上限 | 應用識別特征包括操作系統(tǒng)、數(shù)據(jù)庫���、WEB軟件����、中間件等類別��,不包括同一軟硬件產(chǎn)品不同版本的情形����,并需與CNVD已有特征庫進行查重比對。 |
資產(chǎn)普查數(shù)據(jù) | ∑單次數(shù)據(jù)分數(shù) | 不設上限 | 原則上預設分值最高不超過50分�,根據(jù)資產(chǎn)普查數(shù)據(jù)的質量、覆蓋范圍��、準確程度進行評分�����。 |
(五)漏洞技術分析能力 | 能夠獨立完成軟硬件產(chǎn)品漏洞的攻擊檢測、分析����、驗證工作,具備漏洞PoC/EXP編寫和漏洞攻擊監(jiān)測特征的輸出能力���。 | 首發(fā)漏洞技術報告 | ∑單次報告分數(shù) | 不設上限 | 在充分考慮質量的前提下��,漏洞分析結果和報告只采納原創(chuàng)和首報��。 原則上預設分值最高不超過5分��。 |
PoC/EXP腳本或漏洞攻擊監(jiān)測特征 | ∑單次腳本/特征分數(shù) | 不設上限 | PoC/EXP腳本:0-10分���; 漏洞攻擊監(jiān)測特征:0-5分; 首發(fā)腳本和特征分數(shù)不設上限�。 |
配合CNVD秘書處完成漏洞的技術核驗 | ∑±單次任務分數(shù) | 不設上限 | Web漏洞:0.5分; 硬件設備漏洞:1分�; 二進制漏洞:1分; 發(fā)現(xiàn)任務超時倒扣分�。 |
(六)漏洞全局處置能力 | 具備漏洞全局處置能力���,已建立行業(yè)領域內(nèi)有效的漏洞處置工作機制��,能夠協(xié)助CNVD處置本行業(yè)單位漏洞�。 | 能夠配合CNVD秘書處完成漏洞處置任務 | 任務處置數(shù)量 * 漏洞處置率 * (1 + 漏洞反饋率) | 1000 | 漏洞處置率:在CNVD平臺上按時完成漏洞詳情認領所占的比例。 漏洞反饋率:在CNVD平臺提交漏洞修復����、補丁等反饋信息所占的比例。 |
(七)重大漏洞事件響應能力 | 指由CNVD秘書處發(fā)起的對突發(fā)漏洞事件或一些制定漏洞的技術驗證和全局相應工作��,具體包括:提供或改寫驗證代碼�����、開展全網(wǎng)目標巡檢���、開展全網(wǎng)攻擊情況監(jiān)測等�����。 | 由CNVD秘書處牽頭的重大漏洞協(xié)作任務 | ∑±N | 不設上限 | N根據(jù)每次任務具體情況(難易度�、完成時效性)設定預設分值��,原則上預設分值最高不超過100分����,根據(jù)任務完成情況進行評分���。 對未響應CNVD秘書處請求,或參與了該項工作但支撐不力的單位酌情倒扣分���。 |
(八)集體任務協(xié)作能力 | 指由CNVD秘書處發(fā)起的專項任務支撐配合�����,一般包括:按照工作要求提供相應的人員和技術支撐���,配合完成所分配的專項任務等。專項任務往往具有性質重要��、內(nèi)容較負責���、時效性和技術性要求較高�����、持續(xù)時間較長等特點����,例如重要網(wǎng)站網(wǎng)絡安全檢查�����、重要工具專項分析等�,一般會根據(jù)專項任務的內(nèi)容和要求,有選擇性的組織相關單位參與���。 | 由CNVD秘書處牽頭的�、多個成員單位共同完成的漏洞協(xié)作任務 | ( 總參與隊伍數(shù) - 排名 + 1 )* N | 不設上限 | N根據(jù)每次任務具體情況設定預設分值���,原則上預設分值最高不超過100分����,根據(jù)任務完成情況進行評分�����。參與單位應積極主動完成任務����,發(fā)現(xiàn)問題或困難及時溝通和反饋,CNVD秘書處可視情進行任務調整����。如參與任務后���,無故不提交任務完成報告、多次提醒仍不反饋或任務報告質量極其差����,且給整體工作進度和完成質量造成嚴重不良影響的,酌情倒扣分�。 |
(九)其他能力 | 具備上述項未涉及的其他獨有漏洞安全研究技術能力或產(chǎn)品、數(shù)據(jù)輸出能力����,能夠與CNVD協(xié)商技術對接應用。 |
|
| 不設上限 | 酌情考慮 |
甘公網(wǎng)安備 62010002000506號
