@秒灵儿
3年前 提问
1个回答

什么是 cvss 评价体系

Anna艳娜
3年前
官方采纳

通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级。

CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。

它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。

  1. 基本评价

基本评价指的是该漏洞本身固有的一些特点,及这些特点可能造成的影响评价分值。

(1)攻击途径(AccessVector) :如果是本地攻击给0.7,可以远程攻击给1.0。

(2)攻击复杂度(AccessComplexity) :分为三个标准分别是低、中、高,给出的分值为0.6、0.8、1.0.

(3)认证(Authentication) :需要认证给0.6,不需要认证给1.0。

(4)机密性(Conflmpact) :不受影响给0,部分影响0.7,完全影响1.0。

(5)完整性(Integlmpact) :不受影响给0,部分影响0.7,完全影1.0。

(6)可用性(Availlmpact) :不受影响给0,部分影响0.7, 完全影响1.0。

权值倾向:平均/机密性/完整性/可用性,各0.333/权值倾向要素0.5另两个0.25。

基础评价=四舍五入(10 攻击途径攻击复杂度认证 ((机密性机密性权重) + (完整性完整性权重) + (可用性*可用性权重))

  1. 生命周期评价

生命周期评价是针对最新类型漏洞(如: 0day漏洞)设置的评分项,因此SQL注入漏洞不用考虑。这里列举出了3个与时间紧密关联的要素,具体介绍如下:

(1)可利用性:未证明0.85、概念证明0.9、 功能性0.95、完全代码1.0。

(2)修复措施:官方补丁0.87、 临时补丁0.9、临时解决方案0.95、无措施1.0。

(3)确认程度:不确认0.9、未经确认0.95、 已确认1.0。

计算的公式为:生命周期评价=四舍五入(基础评价可利用性修复措施未经确认)