北京教育行业SRC平台漏洞定级办法

一、基本原则

SRC漏洞定级办法旨在提供一种系统化、科学化的漏洞定级方案，以确保对安全漏洞的及时响应和处理。本办法基于全国信息安全标准化技术委员会相关标准（见附件2）和安全公司实际使用的定级方法，综合评估漏洞的严重性、影响范围和易利用程度等因素，为漏洞进行分类和优先级排序，以便SRC平台团队能够高效地分配资源和采取相应的应对措施。

二、概念说明

1. 信息：非结构化的，不应被使用者获取到的数据。

2. 数据：结构化的，存储在数据库中的内容。

3.认证信息：用户在使用认证功能时的信息。

4.认证逻辑：用户在进行系统认证时的系统所使用的流程以及规律。

5.业务逻辑：系统的业务功能的运转流程和规律。

6.认证功能：能够让用户在系统进行认证的实现。

7.业务功能：能够让系统完成预想的操作的实现。

8.防护功能：能够阻止系统被攻击的相关防护措施。

9.权限：不同种类的用户对系统相关资源和操作的使用划分。

10.泄露：直接展现或通过一些手段能够获取到本不该被获取的。

11.猜解：在未经告知的情况下，能够被猜测相关内容。

12.篡改：在未经允许，不和流程的情况下，对数据和内容进行修改。

13.缺失：缺少功能模块。

14.失效：由于不当或恶意操作，导致功能不再能够被使用。

15.滥用：由于不当或恶意操作，导致功能被用在了不该使用的场景。

三、漏洞分类、场景及风险程度

根据漏洞的危害程度将漏洞等级分为严重、高危、中危、低危、无五个等级。其中严重级别漏洞指需紧急上报市教委的情况。等级为无的漏洞，指经过初审取得其他等级，但在专家终审定级阶段被定为非漏洞、无风险、无危害等的情况。

四、补充说明

北京教育行业SRC平台尊重每位白帽子的付出。白帽子在漏洞提交及处理过程中，如果对流程处理、漏洞定级、漏洞评分等有异议的可以进行邮件申诉。