漏洞风险评估：CVSS介绍及计算

CVSS

通用弱点评价体系（CVSS）是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准，可以对弱点进行评分，进而帮助我们判断修复不同弱点的优先等级。

CVSS : Common Vulnerability Scoring System，即“通用漏洞评分系统”，是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”。

它的主要目的是帮助人们建立衡量漏洞严重程度的标准，使得人们可以比较漏洞的严重程度，从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果，这些测量维度被称为量度（Metrics）。漏洞的最终得分最大为10，最小为0。

得分7~10的漏洞通常被认为比较严重，

得分在4~6.9之间的是中级漏洞，

0~3.9的则是低级漏洞.

CVSS系统包括三种类型的分数：基本分数、暂时分和环境分。

 

基本得分和临时得分通常由安全产品卖主、供应商给出，因为他们能够更加清楚的了解漏洞的详细信息；

环境得分通常由用户给出，因为他们能够在自己的使用环境下更好的评价该漏洞存在的潜在影响。

所以应该是基于漏洞库的扫描？？需要预先知道该漏洞的威胁值？？？

就是说漏洞应该预先有脆弱性等级，系统的安全性评估是综合各个漏洞来进行的？？

         CVSS 2.0 计算方法：

一些指标具有不确定性和复杂性，会导致完全的定量分析困难。

3个客观性指标和11个主观性指标。

下一步：指标量化（客观性指标量化和主观性指标量化）

 

http://www.xfocus.net/releases/200602/a850.html：

CVSS评分计算方法：

基本评价：

基本评价指的是该漏洞本身固有的一些特点及这些特点可能造成的影响的评价分值

A

基本评价（  BASE METRIC  ）

 

要素

可选值

评分

1

攻击途径AccessVector 

本地/远程

0.7/1.0

2

攻击复杂度AccessComplexity

高/中/低

0.6/0.8/1.0

3

认证       Authentication

需要/不需要

0.6/1.0

4

机密性ConfImpact

不受影响/部分/完全

0/0.7/1

5

完整性IntegImpact       

不受影响/部分/完全

0/0.7/1

6

可用性AvailImpact

不受影响/部分/完全

0/0.7/1

 

权值倾向

平均/机密性/完整性/可用性

各0.333/权值倾向要素0.5另两个0.25

基础评价 =  四舍五入(10 * 攻击途径* 攻击复杂度*认证* ((机密性 * 机密性权重) + (完整性 * 完整性权重) + (可用性 * 可用性权重)))

生命周期评价：

是针对最新类型漏洞（如：0day漏洞）设置的评分项，因此SQL注入漏洞不用考虑。

因此这里也列举出三个与时间紧密关联的要素如下：

B

生命周期评价（ TEMPORAL METRIC）

 

要素

可选值

评分

1

可利用性

未证明/概念证明/功能性/完全代码

0.85/0.9/0.95/1.0

2

修复措施

官方补丁/临时补丁/临时解决方案/无

0.87/0.90/0.95/1.0

3

确认程度

不确认/未经确认/已确认

0.9/0.95/1.0

 

生命周期评价 =四舍五入(基础评价*可利用性* 修复措施*未经确认)

环境评价

每个漏洞会造成的影响大小都与用户自身的实际环境密不可分，因此可选项中也包括了环境评价，这可以由用户自评。（用户扫描配置时填写）

C

环境评价（  ENVIRONMENTAL METRIC ）

 

要素

可选值

评分

1

危害影响程度

无/低/中/高

0/0.1/0.3/0.5

2

目标分布范围

无/低/中/高（0/1-15%/16-49%/50-100%）

0/0.25/0.75/1.0

 

环境评价 = 四舍五入<(生命周期评价 + [(10 -生命周期评价) *危害影响程度]) *目标分布范围>

 

 

 

评分与危险等级

 

评分

危险等级

1

[0,4）

低

2

[4,7）

中

3

[7,10]

高