一、高风险漏洞奖励：

1）现金奖励：给予 1000 元至 3000 元的赏金。

2）荣誉证书：颁发特制 “高级安全贡献者” 荣誉证书。

3）额外福利：邀请参加公司内部的安全研讨会或培训课程，与公司的安全专家团队进行面对面的交流和学习。

二、中风险漏洞奖励：

1）现金奖励：给予 500 元至 1000 元的赏金。

2）荣誉证书：颁发 特制“中级安全贡献者” 荣誉证书。

3）享有优先参与公司未来的安全测试项目或活动的机会。

三、低风险漏洞奖励：

1）现金奖励：给予积分奖励（积分可兑换公司福利商品）。

2）电子荣誉徽章：颁发一枚具有特别设计的电子荣誉徽章。

安全漏洞奖励积分规则

一、目的

本规则文件旨在明确公司对于安全漏洞发现者的积分奖励机制，包括积分获取规则和积分在后续积分商城中的使用规则，以激励更多人参与到公司安全建设中来。

二、适用范围

本规则适用于向公司安全应急响应中心（SRC）提交低风险安全漏洞的所有人员，包括公司内部员工、外部安全研究人员等。

积分计算规则

基础积分：低风险漏洞根据其潜在影响程度给予积分奖励。第一档次漏洞可获得 20 - 50 积分，这些漏洞虽仍属于低风险，但可能在特定复杂场景下被恶意利用，对局部业务产生一定干扰。

附加积分：若提交的漏洞报告包含详细准确的漏洞复现步骤、影响范围分析和可能的修复建议，根据报告质量可获得 10 - 50 积分的额外奖励。若发现的低风险漏洞是新类型（之前未在公司系统中发现过），额外奖励 30 - 80 积分。对于在短时间内（如一周内）连续提交低风险漏洞的情况，每多提交一个漏洞（上限为 5 个），额外增加 10% 的基础积分。

兑换流程

公司将建立专门的积分商城平台，在平台上详细展示可兑换商品信息、所需积分以及库存情况。

发现低风险漏洞获得积分的人员可使用个人专属账号登录平台进行兑换操作。在提交兑换申请后，公司后勤部门将在 5 个工作日内处理申请，若商品有库存，则安排配送；若商品缺货，将及时通知用户并提供可选的替代商品或等待补货的选项。用户可在平台上查询兑换申请的处理进度。

漏洞评分标准

DREAD模型的计算方式：等级=危害性+复现难度+利用难度+受影响用户+发现难度

危害性

0分：未泄露敏感信息，不涉及资金损失

1分：泄露内部公开的数据，或存在较少资金损失

2分：泄露秘密数据，或存在一定资金损失

3分：泄露机密数据，或资金损失较大

4分：获取完全验证权限，或执行管理员操作，或非法上传文件，或资金存世巨大

复现难度

0分：非常困难或者不可能复现，即时对于应用管理员

1分：很难复现，复现成功率较低，需要多种因素限制并对技术有较高要求

2分：可以复现，但有时间或其他因素限制

3分：容易复现，需要一步或两步，可能需要变成授权用户

4分：非常容易复现，仅仅一个浏览器和地址栏就ok,不需要身份认证

利用难度

0分：漏洞无法利用

1分：利用条件非常苛刻，如未披露的0day

2分：熟练攻击者可攻击，需自定制脚本或高级攻击工具

3分：中级攻击者能攻击，已存在可用工具或可被轻易利用

4分：初学者短期能掌握，仅需Web浏览器即可

受影响用户

0分：对用户无影响

1分：一般边缘业务的少量用户

2分：一般边缘业务的大量用户或核心业务的少量用户

3分：核心业务的大量用户

4分：所有用户或涉及多个核心业务的大量用户

发现难度

0分：非常困难，甚至不可能发现；需要源码或者管理员权限

1分：发现漏洞很困难，可以通过猜测或者监测网络活动来发现

2分：在私有区域(如内网)，部分非可见（如有权限限制），有时间或其他因素限制，需要深入挖掘的漏洞

3分：容易发现，错误的细节已经在外部公共平台上披露，而且可以用搜索引擎轻易发现，攻击条件较易获得

4分：非常容易发现，信息在web浏览器的地址栏或者表单里可见（通常是外网）