通用漏洞評估方法CVSS3.0詳解
阿新 • • 發佈:2018-12-18
CVSS(Common Vulerability Scoring System, 通用漏洞評估方法),是由NIAC 釋出、FITST維護的開放式行業標準,CVSS 的釋出為資訊保安產業從業人員交流網路中所存在的系統漏洞的特點與影響提供了一個開放式的評價方法。
1.度量(Metrics)
CVSS3.0由三個基本尺度組成,
基本(Base):代表著漏洞的原始屬性,不受時間與環境的影響,又由Exploitability可執行性與影響程度Impact 度量。
時間(Temporal):反應漏洞隨著時間推移的影響而不受環境影響,舉個簡單的例子,隨著一個漏洞軟體的補丁不斷增加,該漏洞的CVSS分數會隨之減少。
環境(Environmental):代表特定環境下執行漏洞的分數,允許根據相應業務需求提高或者降低該分值。
2.分數(Scoring)
Base分值由專業的分析人員給出,分數在0.0-10.0之間,可以在美國國家漏洞資料庫官網上搜到相應CVE漏洞的分值
計算方法可見下表:
對於時間與環境的分值是一種可選項,可根據具體的商業環境來選擇。
3.Base Merics具體計算方法
3.1 Exploitability可執行性塊
| 攻擊向量(AV) | 網路(N) 相鄰(A) 本地(L) 物理(P) |
| 攻擊的複雜性(AC) | 低(L) 高(H) |
| 所需的特權(PR) | 沒有(N) 低(L) 高(H) |
| 使用者互動(UI) | 沒有(N) 要求(R) |
| 範圍(Scope) | |
| 範圍(S) | 不變(U) 改變(C) |
3.2 Impact影響指標
| 機密性(C) | 沒有(N) 低(L) 高(H) |
| 完整性(I) | 沒有(N) 低(L) 高(H) |
| 可用性(A) | 沒有(N) 低(L) 高(H) |
4.Time具體計算方法
| 時間分數(可選) | |
|---|---|
| 利用程式碼的成熟度(E) | 未定義(X) 未經驗證(U) PoC(P) 函式(F) 高(H) |
| 修復級別(RL) | 未定義(X) 官方修復(O) 臨時修復(T) 工作區(W) 不可用(U) |
| 報告的可信度(RC) | 未定義(X) 未知(U) 合理(R) 確認(C) |
5.Environmental具體計算方法
| 環境分數(可選) | |
|---|---|
| 機密性要求(CR) | 未定義(X) 低(L) 中(M) 高(H) |
| 完整性要求(IR) | 未定義(X) 低(L) 中(M) 高(H) |
| 可用性要求(AR) | 未定義(X) 低(L) 中(M) 高(H) |
| 修改基礎度量指標
(Modified Base Metrics) |
Modified Attack Vector (MAV) Modified Attack Complexity (MAC) Modified Privileges Required (MPR) Modified User Interaction (MUI) Modified Scope (MS) Modified Confidentiality (MC) Modified Integrity (MI) Modified Availability (MA) |