安全公告编号:CNTA-2018-0036
国家信息安全漏洞共享平台(CNVD)成员单位能力评价
能力象限 | 能力要求 | 能力细项 | 评分标准 | 分数上限 | 说明 |
(一)漏洞收集能力 | 能积极跟踪国内外公开漏洞信息发布源,能持续定期批量向CNVD提交本单位收录的已公开漏洞信息,并按CNVD格式要求进行规范化整理。 | 公开漏洞收集 | 报送数量 * 首报率 * 质量系数(完整度、字段、严谨性) | 1000 | 协助CNVD收集国内外漏洞库、安全论坛(以国外为主)发布的已核实确认的通用软硬件漏洞信息,按照CNVD提供的模板完成信息字段的整理(包括中文化翻译)并通过CNVD网站前台上传。 |
具备运营接收原创漏洞报送或自主实施漏洞奖励计划的工作平台能力,并与CNVD开展漏洞信息共享和处置协作。 | 原创漏洞收集 | ∑漏洞积分 | 不设上限 | 要求具备规范的漏洞信息披露和处置流程。 数据去重和比对以CNVD漏洞库为准。单漏洞分数原则上最高不超过3分,根据收集漏洞的质量和影响力情况进行评分。 |
(二)原创漏洞挖掘能力 | 具备漏洞挖掘的技术能力,向CNVD提交原创漏洞信息。CNVD秘书处将对漏洞的有效性和原创型进行严格审核,并按照CNVD收录流程进行验证、归档以及颁发电子版原创漏洞提交证明。根据CNVD原创漏洞提交情况进行评分。 | 事件型漏洞 | ∑漏洞积分 | 不设上限 | 需经过有效性和原创性比对。 每个漏洞单独积分,积分标准参照CNVD原创漏洞积分细则。 单个漏洞得分=CVSS 2.0基准分 *权重系数 + 额外加分 |
通用型漏洞 | ∑漏洞积分 | 不设上限 | 需经过有效性和原创性比对。 每个漏洞单独积分,积分标准参照CNVD原创漏洞积分细则。 单个漏洞得分=CVSS 2.0基准分 *权重系数 + 额外加分 |
(三)漏洞检测能力 | 具备开展漏洞检测、监测的技术能力,拥有漏洞检测相关的自主知识产权产品,能够与CNVD漏洞检测平台对接,持续提供引擎类调用接口。 | 自主引擎与漏洞检测平台的协作情况 | 发现漏洞的URL数量 * 1 + 唯一检出的漏洞URL数量 * 10 + 任务URL数量 * 0.01 - 误报数量 * 1.1 | 不设上限 |
|
(四)漏洞威胁风险大数据能力 | 具备独立开展软硬件产品应用识别和资产普查工作的能力。 | 应用识别特征 | 与CNVD特征库查重比对后的应用识别特征数量 * 1 | 不设上限 | 应用识别特征包括操作系统、数据库、WEB软件、中间件等类别,不包括同一软硬件产品不同版本的情形,并需与CNVD已有特征库进行查重比对。 |
资产普查数据 | ∑单次数据分数 | 不设上限 | 原则上预设分值最高不超过50分,根据资产普查数据的质量、覆盖范围、准确程度进行评分。 |
(五)漏洞技术分析能力 | 能够独立完成软硬件产品漏洞的攻击检测、分析、验证工作,具备漏洞PoC/EXP编写和漏洞攻击监测特征的输出能力。 | 首发漏洞技术报告 | ∑单次报告分数 | 不设上限 | 在充分考虑质量的前提下,漏洞分析结果和报告只采纳原创和首报。 原则上预设分值最高不超过5分。 |
PoC/EXP脚本或漏洞攻击监测特征 | ∑单次脚本/特征分数 | 不设上限 | PoC/EXP脚本:0-10分; 漏洞攻击监测特征:0-5分; 首发脚本和特征分数不设上限。 |
配合CNVD秘书处完成漏洞的技术核验 | ∑±单次任务分数 | 不设上限 | Web漏洞:0.5分; 硬件设备漏洞:1分; 二进制漏洞:1分; 发现任务超时倒扣分。 |
(六)漏洞全局处置能力 | 具备漏洞全局处置能力,已建立行业领域内有效的漏洞处置工作机制,能够协助CNVD处置本行业单位漏洞。 | 能够配合CNVD秘书处完成漏洞处置任务 | 任务处置数量 * 漏洞处置率 * (1 + 漏洞反馈率) | 1000 | 漏洞处置率:在CNVD平台上按时完成漏洞详情认领所占的比例。 漏洞反馈率:在CNVD平台提交漏洞修复、补丁等反馈信息所占的比例。 |
(七)重大漏洞事件响应能力 | 指由CNVD秘书处发起的对突发漏洞事件或一些制定漏洞的技术验证和全局相应工作,具体包括:提供或改写验证代码、开展全网目标巡检、开展全网攻击情况监测等。 | 由CNVD秘书处牵头的重大漏洞协作任务 | ∑±N | 不设上限 | N根据每次任务具体情况(难易度、完成时效性)设定预设分值,原则上预设分值最高不超过100分,根据任务完成情况进行评分。 对未响应CNVD秘书处请求,或参与了该项工作但支撑不力的单位酌情倒扣分。 |
(八)集体任务协作能力 | 指由CNVD秘书处发起的专项任务支撑配合,一般包括:按照工作要求提供相应的人员和技术支撑,配合完成所分配的专项任务等。专项任务往往具有性质重要、内容较负责、时效性和技术性要求较高、持续时间较长等特点,例如重要网站网络安全检查、重要工具专项分析等,一般会根据专项任务的内容和要求,有选择性的组织相关单位参与。 | 由CNVD秘书处牵头的、多个成员单位共同完成的漏洞协作任务 | ( 总参与队伍数 - 排名 + 1 )* N | 不设上限 | N根据每次任务具体情况设定预设分值,原则上预设分值最高不超过100分,根据任务完成情况进行评分。参与单位应积极主动完成任务,发现问题或困难及时沟通和反馈,CNVD秘书处可视情进行任务调整。如参与任务后,无故不提交任务完成报告、多次提醒仍不反馈或任务报告质量极其差,且给整体工作进度和完成质量造成严重不良影响的,酌情倒扣分。 |
(九)其他能力 | 具备上述项未涉及的其他独有漏洞安全研究技术能力或产品、数据输出能力,能够与CNVD协商技术对接应用。 |
|
| 不设上限 | 酌情考虑 |
甘公网安备 62010002000506号
