2.2　系統漏洞評分標準——CVSS

通用弱點評價體系（CVSS, Common Vulnerability Scoring System）是由NIAC開發、FIRST維護的一個開放且能夠被產品廠商免費采用的標準。利用該標準，可以對弱點進行評分，進而幫助我們判斷修復不同弱點的優先等級。

2.2.1　CVSS簡介

CVSS是一個行業公開標準，可以幫助用戶建立衡量漏洞嚴重程度的標準，比較漏洞的嚴重程度，從而確定處理它們的優先級。

CVSS得分基于一系列維度上的測量結果，這些測量維度被稱為量度（Metrics）。漏洞的最終得分最大為10，最小為0。得分在7～10的漏洞通常被認為比較嚴重，得分在4～6.9的是中級漏洞，0～3.9的則是低級漏洞。CVSS包括3種類型的分數：基本分數、暫時分數和環境分數。其中，基本分數和暫時分數通常由安全產品賣主、供應商給出，因為他們能夠更加清楚地了解漏洞的詳細信息；環境分數通常由用戶給出，因為他們能夠在自己的使用環境下更好地評價漏洞存在的潛在影響。

2.2.2　CVSS計算方法

CVSS有一整套漏洞評分計算方法，但也有一些指標具有不確定性和復雜性，會導致完全的定量分析困難。它采用了3個客觀性指標和11個主觀性指標。

1. 基本評價

基本評價是指該漏洞本身固有的一些特點，以及這些特點可能造成的影響評價分值。

（1）攻擊途徑（AccessVector）：本地攻擊得分為0.7，遠程攻擊得分為1.0。

（2）攻擊復雜度（AccessComplexity）：分為低、中、高3個標準，給出的分值分別為0.6、0.8、1.0。

（3）認證（Authentication）：需要認證得分為0.6、不需要認證得分為1.0。

（4）機密性（ConfImpact）：不受影響得分為0、部分影響得分為0.7、完全影響得分為1.0。

（5）完整性（IntegImpact）：不受影響得分為0、部分影響得分為0.7、完全影響得分為1.0。

（6）可用性（AvailImpact）：不受影響得分為0、部分影響得分為0.7、完全影響得分為1.0。

（7）權值傾向：平均、機密性、完整性、可用性得分分別為0.333、0.5、0.25和0.25。

計算公式為：基本評價=（10×攻擊途徑×攻擊復雜度×認證×（機密性×機密性權重+完整性×完整性權重+可用性×可用性權重））

2. 生命周期評價

生命周期評價是針對較新類型漏洞（如0day漏洞）設置的評分項，因此SQL注入漏洞不用考慮。這里列舉出3個與時間緊密關聯的要素及其得分，具體介紹如下。

（1）可利用性：未證明得分為0.85、概念證明得分為0.9、功能性得分為0.95、完全代碼得分為1.0。

（2）修復措施：官方補丁得分為0.87、臨時補丁得分為0.9、臨時解決方案得分為0.95、無措施得分為1.0。

（3）確認程度：不確認得分為0.9、未經確認得分為0.95、已確認得分為1.0。

計算公式為：生命周期評價=基本評價×可利用性×修復措施×未經確認

3. 環境評價

每個漏洞會造成的影響大小都與用戶實際工作環境密不可分，因此可選項中又包括了環境評價，這可以由用戶自評。

（1）危害影響程度：無得分為0、低得分為0.1、中得分為0.3、高得分為0.5。

（2）目標分布范圍：無（0%）得分為0、低（1%～15%）得分為0.25、中（16%～49%）得分為0.75、高（50%～100%）得分為1.0。

計算公式為：環境評價=（生命周期評價+（10-生命周期評價）×危害影響程度）×目標分布范圍

評分與危險等級介紹如下。

• [0,4)：被認為是低等級威脅。
• [4,7)：被認為是中等級威脅。
• [7,10]：被認為是高等級威脅。

不同機構按照CVSS分值定義威脅的低、中、高威脅級別（Severfity），CVSS體現漏洞的風險，威脅級別表示漏洞風險對系統的影響程度；CVSS分值是工業標準，威脅級別不是。